FedRAMP
El Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP) es un programa del Gobierno de Estados Unidos que brinda un enfoque estandarizado en relación con la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube. En 2022, el Congreso codificó el FedRAMP como “un programa para todo el Gobierno que ofrece un enfoque estandarizado y reutilizable en relación con la evaluación y autorización de la seguridad para los productos y servicios de computación en la nube que procesan información sin clasificar que utilizan las agencias”.
Todas las implementaciones en la nube y los modelos de servicios de las agencias federales, además de ciertas nubes privadas locales, deben cumplir con los requisitos del FedRAMP en el nivel adecuado de impacto de riesgos (bajo, moderado o alto).
Los clientes que deseen usar los servicios de Google Cloud de acuerdo con los niveles de hosting moderado o alto de FedRAMP deben usar Assured Workloads y Assured Support (solo alto).
Cumplimiento del FedRAMP de Google Cloud
La Junta del FedRAMP (antes conocida como Junta de Autorización) es el organismo administrativo principal del FedRAMP y, además, incluye el Departamento de Defensa (DoD), el Departamento de Seguridad Nacional (DHS) y los Servicios Generales de Administración (GSA) y otras agencias, según lo determinen el administrador de la app y el director del FedRAMP.
La Junta del FedRAMP emitió la autoridad para operar (ATO) de los niveles alto y moderado del FedRAMP a la infraestructura de Google Cloud y a las Ofertas de Servicios (CSO) específicas de Google Cloud. Google Cloud envía de forma habitual servicios adicionales a la junta para las aprobaciones de los niveles alto y moderado del FedRAMP.
Google Cloud puede proporcionar la siguiente documentación adicional de cumplimiento del FedRAMP a los clientes que tengan un acuerdo de confidencialidad (NDA):
- Matriz de responsabilidad del cliente (CRM) del FedRAMP
- Plan de seguridad del sistema (SSP) de Google Cloud
- Informes de pruebas de penetración y otros documentos
Nuestro equipo de ventas o tu representante de Google Cloud pueden ayudarte a obtener acceso a esta documentación. Los clientes del sector gubernamental también pueden solicitar el paquete del FedRAMP de Google a través de la Oficina de Administración del Programa FedRAMP con el formulario de solicitud del paquete.
En el caso de los clientes que compran a través de un socio de Google, los términos y condiciones de la compra se derivan de nuestros socios.
Cumplimiento del FedRAMP en Google Workspace
Los clientes pueden usar Google Workspace de conformidad con varios estándares globales y gubernamentales federales de EE.UU. para la seguridad y privacidad de la nube. Además de mantener una autorización de FedRAMP High, Google Workspace también cuenta con las certificaciones ISO 27017, 27018 y 27001, y se auditó según los estándares del Control de Organización de Servicios (SOC) del Instituto Estadounidense de Contadores Públicos Certificados (AICPA).
Alta preparación de FedRAMP para Google Cloud VMware Engine (GCVE)
En 2023, la Oficina de administración de programas (PMO) de FedRAMP completó la revisión del Informe de evaluación de alta preparación (RAR) de Google Cloud VMware Engine (GCVE) proporcionado por una organización de evaluación externa (3PAO). En función de los resultados positivos de la revisión, ya que no se encontraron debilidades de capacidad notables, se aceptó a GCVE como una oferta de FedRAMP High Ready (ID de paquete de FedRAMP FR2405153785).
Alcanzar el nivel FedRAMP High Ready le indica al Gobierno federal de EE.UU. que GCVE tiene una alta probabilidad de obtener una autorización de FedRAMP. GCVE también cuenta con las certificaciones ISO 27017, 27018, 27001 y PCI DSS, y se audita según los estándares de Control de Organización de Servicios (SOC) del Instituto Estadounidense de Contadores Públicos Certificados (AICPA).
Alojamiento de cargas de trabajo de los niveles alto y moderado del FedRAMP en Google Cloud
La inversión de Google Cloud en seguridad de forma predeterminada para nuestra infraestructura garantiza que los controles de seguridad estén integrados y preconfigurados para permitir que los clientes alcancen varios niveles de cumplimiento sin una arquitectura de nube gubernamental aislada tradicional.
Los clientes que quieran implementar sus soluciones con Google Cloud en sus entornos alto y moderado del FedRAMP deben usar Assured Workloads. Assured Workloads permite a los clientes proteger y configurar con confianza cargas de trabajo sensibles para satisfacer los requisitos de cumplimiento y seguridad usando los servicios de Google Cloud. Assured Workloads no depende de una infraestructura física distinta de la de sus centros de datos en la nube pública. En cambio, ofrece una nube comunitaria definida por software que ofrece ventajas de costo, innovación y velocidad.
Los servicios autorizados por el FedRAMP que se ponen a disposición a través de Assured Workloads implementan controles de seguridad del FedRAMP y permiten que los clientes usen las funciones de Google Cloud para satisfacer las necesidades de su organización. Assured Workloads también proporciona visibilidad del estado de cumplimiento de las cargas de trabajo del FedRAMP a través de Assured Workloads Monitoring. Esta herramienta puede ayudarte a detectar y solucionar los incumplimientos, y proporcionar certificaciones de control a los auditores de tu estado de cumplimiento.
Además de los controles que cumple el FedRAMP High ATO de la infraestructura de Google Cloud, Assured Workloads implementa los siguientes controles clave del nivel alto del FedRAMP de forma predeterminada para los clientes que administran datos gubernamentales de este nivel del FedRAMP:
- Establece barreras de seguridad para restringir la ubicación de los datos de clientes del nivel alto del FedRAMP a EE.UU.
- Personal de asistencia técnica limitado al personal con permisos adjudicados por el FedRAMP y que se encuentra en EE.UU.
- La encriptación que cumple con FIPS-140-2 en reposo y en tránsito
- Controles de acceso del personal para aquellos con acceso rutinario a los datos de los clientes
- Solo se permiten productos y servicios que cumplan con FedRAMP
- Se aplica una segmentación lógica del límite de cumplimiento dentro del alcance para cumplir con los requisitos del FedRAMP de niveles moderado y alto.
Alojamiento de datos de los niveles alto y moderado del FedRAMP en Google Workspace
Google Workspace mantiene una ATO de nivel alto del FedRAMP, que los clientes pueden aprovechar para alojar datos en los niveles moderado y alto del FedRAMP. Los clientes que buscan implementar Google Workspace en sus entornos moderados y altos del FedRAMP deben habilitar los servicios autorizados por el FedRAMP que cumplan con la autorización correspondiente. Obtén más información para activar o desactivar un servicio para Google Workspace.
Además, las ediciones Google Workspace Business y Enterprise tienen controles de seguridad integrados y conjuntos de funciones que permiten que los clientes se reúnan con el nivel alto del FedRAMP y alineen sus propias ATO. Los usuarios de Google Workspace pueden configurar sus entornos para cumplir con los controles de residencia de datos de FedRAMP con una política de región de datos.
Proceso para obtener una autoridad para operar (ATO) del FedRAMP
Es posible que los clientes que estén interesados en alojar datos gubernamentales en Google Cloud también deseen buscar su propia autoridad para operar (ATO). Las organizaciones deben considerar los siguientes eventos importantes para lograr una ATO en Google Cloud:
- Determina si los datos dentro del alcance requieren los niveles alto o moderado del FedRAMP
- Selecciona Assured Workloads (FedRAMP Moderate está incluida en el nivel gratuito; FedRAMP High requiere una suscripción premium) para los servicios de Google Cloud dentro del alcance.
- Decidir tu límite del FedRAMP en Google Cloud
- Configura tus cargas de trabajo de acuerdo con el modelo de responsabilidad compartida, la matriz de responsabilidad del cliente, los servicios de Google Cloud dentro del alcance y los lineamientos del FedRAMP.
- Realiza una auditoría con una organización de evaluación de terceros (3PAO)
- Envía tu paquete a la Junta del FedRAMP o a la Agencia Federal para su revisión y autorización
Para obtener más información sobre el proceso de ATO, consulta el sitio web del FedRAMP. Para obtener asistencia adicional de Google Cloud sobre la ATO del FedRAMP, visita nuestra página de consultoría de Google Cloud.