FedRAMP
El Gobierno federal de EE. UU. introdujo el programa federal de gestión de autorizaciones y riesgo de ese país (FedRAMP) para proporcionar un método estandarizado con el que evaluar la seguridad, la autorización y la monitorización de productos y servicios en la nube de forma constante. En el 2022, el Congreso estadounidense definió FedRAMP como "un programa gubernamental que ofrece un enfoque estandarizado y reutilizable para evaluar la seguridad y autorizar productos y servicios de cloud computing que tratan información no clasificada usada por los organismos".
Exceptuando determinadas nubes privadas on‑premise, todos los despliegues y modelos de servicio de nube que proporcionan las agencias federales deben cumplir los requisitos establecidos por el programa FedRAMP en función del nivel de impacto de riesgo correspondiente (bajo, moderado o alto).
Los clientes que quieran usar servicios de Google Cloud de acuerdo con el alojamiento de nivel moderado o alto según el programa FedRAMP deben usar Assured Workloads y Asistencia de Assured (solo alta).
Cumplimiento del programa FedRAMP de Google Cloud
La junta de FedRAMP (antes conocida como "Junta de Autorización Conjunta") es el principal órgano de gobierno de este programa e incluye el Departamento de Defensa, el Departamento de Seguridad Nacional y la Administración de Servicios Generales de EE. UU., así como otros organismos según determinen la Administración y el director de FedRAMP.
La junta de FedRAMP ha emitido una autorización para operar de FedRAMP Moderate y FedRAMP High en la infraestructura de Google Cloud y en productos concretos de este servicio. Google Cloud envía periódicamente a la junta servicios adicionales para que reciban la aprobación de FedRAMP Moderate y High.
Google Cloud puede proporcionar a los clientes la siguiente documentación adicional de cumplimiento de FedRAMP en virtud de un acuerdo de confidencialidad:
- Matriz de responsabilidades de clientes de FedRAMP
- Plan de seguridad del sistema de Google Cloud
- Informes de pruebas de penetración y otros documentos
Nuestro equipo de Ventas o tu representante de Google Cloud pueden ayudarte a acceder a esta documentación. Los clientes gubernamentales también pueden solicitar el paquete de FedRAMP de Google a través de la oficina de administración del programa FedRAMP usando el formulario de solicitud correspondiente.
En el caso de los clientes que compran a través de un partner de Google, nuestros partners establecen los términos y condiciones de compra.
Cumplimiento del programa FedRAMP de Google Workspace
Los clientes pueden usar Google Workspace conforme a diversos estándares mundiales y del Gobierno federal de EE.UU. relativos a la seguridad y la privacidad en la nube. Además de mantener la autorización de FedRAMP High, Google Workspace también cuenta con la certificación ISO 27017, 27018, 27001, y se somete a una auditoría según los estándares de Control de Organizaciones de Servicios (SOC) del Instituto Estadounidense de Contables Públicos Certificados (AICPA).
Preparación de alta disponibilidad de VMware Engine de Google Cloud (GCVE) para FedRAMP
En el 2023, la Oficina de administración del programa (PMO) de FedRAMP ha completado la revisión del informe de evaluación de alta preparación (RAR) de VMware Engine (GCVE) de Google Cloud, proporcionado por una organización de evaluación de terceros (3PAO). Ante los resultados positivos de la revisión, donde no se detectaron puntos débiles significativos con respecto a la capacidad, GCVE se aceptó como un producto con un nivel alto de preparación FedRAMP (ID de paquete de FedRAMP: FR2405153785).
Haber alcanzado el nivel alto de preparación de FedRAMP indica al Gobierno federal de EE. UU. que es muy probable que GCVE consiga una autorización de FedRAMP. GCVE también cuenta con las certificaciones ISO 27017, 27018, 27001 y PCI DSS, y se somete a una auditoría según los estándares de Control de Organizaciones de Servicios (SOC) del Instituto Estadounidense de Contables Públicos Certificados (AICPA).
Alojar cargas de trabajo de FedRAMP Moderate y High en Google Cloud
La inversión de Google Cloud en la seguridad de nuestra infraestructura asegura que los controles de seguridad estén integrados y preconfigurados para que los clientes puedan ceñirse a distintos niveles de cumplimiento sin tener que contar con una arquitectura de nube gubernamental aislada tradicional.
Los clientes que quieran desplegar sus soluciones mediante Google Cloud en sus entornos de FedRAMP Moderate y High deben usar Assured Workloads. Con Assured Workloads, los clientes pueden proteger y configurar cargas de trabajo sensibles con total confianza para satisfacer los requisitos de cumplimiento y de seguridad mediante los servicios de Google Cloud. Assured Workloads no depende de una infraestructura física distinta de la de sus centros de datos en la nube pública. En lugar de eso, proporciona una nube comunitaria definida mediante software que ofrece ventajas relativas a los costes, la velocidad y la innovación.
Los servicios con autorización de FedRAMP disponibles a través de Assured Workloads implementan controles de seguridad de FedRAMP y permiten a los clientes usar las funciones de Google Cloud para satisfacer las necesidades de su empresa. Assured Workloads también ofrece visibilidad sobre el estado de cumplimiento de las cargas de trabajo de FedRAMP a través de Assured Workloads Monitoring. Esta herramienta puede ayudarte a detectar y solucionar las infracciones de cumplimiento, y a proporcionar atestaciones de control a los auditores del estado de cumplimiento.
Además de los controles que se aplican con la autorización para operar de FedRAMP High de la infraestructura de Google Cloud, Assured Workloads implementa de forma predeterminada los siguientes controles clave de FedRAMP High para los clientes que gestionan datos gubernamentales de FedRAMP High:
- Restricciones para limitar la ubicación de los datos de clientes de FedRAMP High a EE. UU.
- Personal de asistencia técnica limitado al personal adjudicado por el programa FedRAMP ubicado en Estados Unidos
- Encriptado conforme a FIPS‐140‐2 tanto en reposo como en tránsito
- Controles de acceso del personal para usuarios con acceso rutinario a datos de clientes
- Solo se permiten productos y servicios que cumplan los requisitos de FedRAMP
- Segmentación lógica del límite de cumplimiento cubierto para cumplir los requisitos de FedRAMP Moderate y High
Alojar datos de FedRAMP Moderate y High en Google Workspace
Google Workspace mantiene una autorización para operar de FedRAMP High, que los clientes pueden aprovechar para alojar datos de FedRAMP Moderate y High. Los clientes que quieran desplegar Google Workspace en sus entornos de FedRAMP Moderate y High deben habilitar los servicios autorizados por FedRAMP que tengan la autorización correspondiente. Información sobre cómo activar o desactivar un servicio en Google Workspace
Además, las ediciones Business y Enterprise de Google Workspace incluyen controles de seguridad y conjuntos de funciones integrados que permiten a los clientes cumplir los requisitos de FedRAMP High y adaptar su propia autorización para operar. Los usuarios de Google Workspace pueden configurar sus entornos para que cumplan los controles de residencia de datos del programa FedRAMP mediante una política de región de datos.
Proceso para conseguir una autorización para operar de FedRAMP
A los clientes que quieran alojar datos gubernamentales en Google Cloud también les puede interesar recurrir a su propia autorización para operar. Las empresas deben plantearse los siguientes objetivos para lograr una autorización para operar en Google Cloud:
- Determinar si los datos cubiertos requieren el uso de FedRAMP Moderate o High
- Ciertos cargas de trabajo de Assured Workloads (el nivel moderado del programa FedRAMP está incluido en el nivel gratuito y el nivel alto de FedRAMP requiere una suscripción premium) para los servicios de Google Cloud cubiertos.
- Decidir cuáles son tus límites de FedRAMP en Google Cloud
- Configurar tus cargas de trabajo de acuerdo con el modelo de responsabilidad compartida, la matriz de responsabilidad de los clientes, los servicios de Google Cloud cubiertos y las directrices de FedRAMP
- Someterse a una auditoría con una organización de evaluación externa
- Enviar tu paquete a la junta de FedRAMP o a la agencia federal para que lo revisen y lo autoricen
Para obtener más información sobre el proceso de la autorización para operar, consulta el sitio web de FedRAMP. Si quieres recibir más asistencia relativa a las autorizaciones para operar de FedRAMP de Google Cloud, visita la página de los servicios de consultoría de Google Cloud.