Orientación para la implementación de FedRAMP en Google Cloud

Last reviewed 2026-02-10 UTC

En este documento, se aclara cómo Google Cloud admite tus necesidades de cumplimiento de FedRAMP y se te dirige a los recursos para configurar los servicios de modo que cumplan con los requisitos de FedRAMP. Este documento está diseñado para el personal de seguridad, cumplimiento y TI que es responsable de la implementación y el cumplimiento de FedRAMP en Google Cloud.

Según el modelo de responsabilidad compartida, eres responsable de comprender tus requisitos de cumplimiento y seguridad, y de configurar tu Google Cloud entorno de forma adecuada. Cuando implementes la compatibilidad con FedRAMP, te recomendamos que busques asesoramiento legal independiente en relación con tus responsabilidades de FedRAMP.

Acerca de FedRAMP

El Gobierno federal de EE.UU. estableció el marco de trabajo del Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP) para estandarizar la evaluación de seguridad, la autorización y la supervisión continua de los productos y servicios en la nube en todas las agencias gubernamentales. En 2022, el Congreso codificó el FedRAMP como “un programa para todo el Gobierno que ofrece un enfoque estandarizado y reutilizable en relación con la evaluación y autorización de la seguridad para los productos y servicios de computación en la nube que procesan información sin clasificar que utilizan las agencias”.

En 2025, FedRAMP comenzó una revisión importante del programa como parte de la FedRAMP 20x iniciativa. Estos cambios tienen como objetivo adoptar la supervisión y la aplicación automatizadas de las prácticas recomendadas de seguridad comercial para cumplir con los requisitos mínimos de seguridad de los sistemas federales de información. FedRAMP está dejando de usar la documentación costosa, ineficiente y compilada de forma manual para adoptar informes de seguridad basados en datos y dirigidos por la industria. Para obtener información sobre cómo Google admite la iniciativa FedRAMP 20x, consulta Cómo está automatizando el cumplimiento. Google Cloud

FedRAMP se basa en el Instituto Nacional de Estándares y Tecnología (NIST) estándar SP 800-53, aumentado por los controles y las mejoras de control de FedRAMP. Todas las implementaciones en la nube y los modelos de servicios de las agencias federales, además de ciertas nubes privadas locales, deben cumplir con los requisitos del FedRAMP en el nivel adecuado de impacto de riesgos (bajo, moderado o alto) según los lineamientos de NIST FIPS 199. La cantidad de controles de NIST SP 800-53 en la línea de base correspondiente aumenta a medida que aumenta el nivel de impacto. Por ejemplo, la línea de base de FedRAMP Moderate tiene 325 controles, mientras que la línea de base de FedRAMP High tiene 421 controles.

FedRAMP es un programa de evaluación y autorización, no una certificación o acreditación única. Incluye una supervisión continua para garantizar la eficacia de los controles de seguridad en una oferta de servicios en la nube, que se adapta a los entornos de amenazas en evolución y a los cambios en el entorno del sistema.

Google Cloud Autorización de FedRAMP

La Junta del FedRAMP (antes conocida como Junta de Autorización Conjunta o JAB) es el organismo administrativo principal del FedRAMP. La Junta del FedRAMP incluye a los directores generales de información del Departamento de Defensa (DoD), el Departamento de Seguridad Nacional (DHS) y la Administración General de Servicios (GSA).

La Junta del FedRAMP emitió una Autoridad Provisional para Operar (P-ATO) del nivel alto del FedRAMP a Google Cloud yla infraestructura subyacente de Google Common Infrastructure (GCI). La autorización FedRAMP High representa el estándar más alto para el cumplimiento de FedRAMP.

Tras las mejoras de FedRAMP 20x, la GSA se convirtió en la agencia autorizante de Google Cloud, que envía de forma habitual servicios adicionales a la GSA para la autorización FedRAMP High. La línea de base de control del nivel moderado del FedRAMP es un subconjunto de la línea de base de control del nivel alto del FedRAMP. Por lo tanto, una autorización FedRAMP High proporciona una cobertura integral para todos los requisitos de control de FedRAMP Moderate.

Para obtener más información sobre el cumplimiento de Google Cloud FedRAMP, consulta Cumplimiento de FedRAMP.

Servicios incluidos en el alcance de la auditoría

Google Cloud mantiene una P-ATO FedRAMP High integral que cubre más de 150 servicios en la nube. Este alcance te permite compilar una amplia variedad de aplicaciones en Google Cloud y obtener tu ATO de FedRAMP heredando los controles de seguridad de la plataforma subyacente Google Cloud . Por ejemplo, puedes usar modelos de aprendizaje automático (AA) y servicios de inteligencia artificial (IA), incluidos los agentes de IA, la IA generativa y la IA multimodal en tus Google Cloud implementaciones.

Para obtener más información sobre el Google Cloud alcance de la auditoría de FedRAMP, consulta Alcance del cumplimiento de FedRAMP y DoD y el Google Cloud FedRAMP Marketplace.

IA y LLM

Google Cloud puede ayudarte a cumplir con los requisitos de cumplimiento de FedRAMP para las cargas de trabajo que incluyen modelos de AA y aplicaciones de IA. Puedes usar Google Cloud servicios autorizados por FedRAMP, como IA generativa en Gemini Enterprise Agent Platform y Gemini Enterprise Agent Platform Inference: Batch and Online para interactuar con más de 200 modelos de lenguaje grandes (LLM) propios, de terceros y de código abierto que están disponibles en nuestro Model Garden. Para obtener más información, consulta Modelos compatibles con Model Garden.

Los LLM individuales no están autorizados de forma independiente en FedRAMP y no hay ningún registro de su autorización en FedRAMP Marketplace. En cambio, Marketplace refleja las autorizaciones para servicios en la nube como IA generativa en Agent Platform y Agent Platform Inference: Batch y Online, que Google envía para su aprobación. Sin embargo, la infraestructura de nube subyacente que se usa para la implementación de LLM debe cumplir con los requisitos de cumplimiento de FedRAMP, incluida la infraestructura que se usa para la supervisión continua. Este requisito se cumple para los modelos administrados por Google, como los LLM propios de Google (por ejemplo, la familia de modelos Gemini) y los modelos de socios de Anthropic, que admiten la Capacidad de procesamiento aprovisionada. En consecuencia, el uso de los servicios de Agent Platform autorizados por FedRAMP High permite la interacción con estos modelos compatibles en un entorno FedRAMP High.

Google continúa implementando disposiciones de supervisión para más LLM alojados en la infraestructura administrada por Google. Aunque Google es responsable de autorizar la infraestructura de entrega y los contenedores personalizados para implementar modelos de código abierto, la seguridad de los modelos de código abierto es tu responsabilidad.

Para obtener más información sobre los LLM autodesplegados, consulta Descripción general de los modelos autodesplegados. Si implementas LLM en tu propia Google Cloud infraestructura de inquilino, asegúrate de que la evaluación de ATO de FedRAMP cubra esa infraestructura, no los LLM individuales. Por ejemplo, debes satisfacer los requisitos de supervisión continua para la Google Cloud infraestructura que aprovisionas para la implementación de LLM. Puedes colaborar con tu organización de evaluación de terceros (3PAO) y Google para obtener tu ATO.

Cómo obtener tu ATO de FedRAMP

Según los cambios continuos de FedRAMP 20x, la ruta disponible para la autorización de FedRAMP es la ATO de la agencia Rev. 5. Debes trabajar con Google y tu 3PAO para completar los pasos que conducen a una ATO. Para obtener información sobre el proceso de ATO de la agencia, incluidos vínculos a recursos importantes, como el manual de estrategias de autorización de la agencia, consulta el sitio web de FedRAMP.

Si quieres usar Google Cloud servicios para cumplir con tus obligaciones de cumplimiento de FedRAMP High, debes usar el Límite de datos para FedRAMP High. La línea de base de control del nivel moderado del FedRAMP es un subconjunto de la línea de base de control del nivel alto del FedRAMP. Por lo tanto, si tú quieres una ATO de FedRAMP Moderate para una solución implementada en Google Cloud, puedes usar cualquier Google Cloud servicio autorizado por FedRAMP High en tu límite de autorización de FedRAMP Moderate. Deberás evaluar menos controles para una ATO de FedRAMP Moderate en comparación con los controles que debes evaluar para la ATO de FedRAMP High.

Para ayudarte con tu ATO de FedRAMP, Google puede proporcionarte la siguiente Google Cloud documentación de cumplimiento de FedRAMP High en virtud de un acuerdo de confidencialidad (NDA):

  • Matriz de responsabilidad del cliente (CRM): Descripciones detalladas de tus responsabilidades cuando implementas los controles de NIST SP 800-53 en la línea de base de control de FedRAMP High.
  • Plan de seguridad del sistema (SSP): El límite de autorización de seguridad y cómo se diseña el sistema. Este documento también proporciona descripciones detalladas de los requisitos de control de NIST SP 800-53 y los Google Cloud detalles de implementación de control que se aplican a la línea de base de control de FedRAMP High.

Nuestro equipo de ventas o tu Google Cloud representante pueden ayudarte a obtener acceso a esta documentación. Si eres un organismo gubernamental federal, también puedes solicitar el paquete de FedRAMP de Google con el formulario de solicitud de acceso al paquete de FedRAMP.

Guía y automatización

Google proporciona documentación de orientación y soluciones de automatización para ayudarte con tus obligaciones de cumplimiento de FedRAMP, como se describe en esta sección.

Guías de asignación de controles

A diferencia de la CRM integral de Google Cloud FedRAMP High, las guías de asignación de controles (CMG) son específicas del servicio. Estas guías proporcionan una cobertura de control detallada para los Google Cloud servicios, de modo que puedas configurar los servicios para cumplir con los requisitos de FedRAMP High. Las CMG abordan los controles pertinentes de NIST SP 800-53 que requieren una configuración técnica de tu parte. Las CMG también aclaran los pasos que debes seguir para un servicio en particular (y cualquier servicio compatible Google Cloud y de Google Workspace), para garantizar que estas responsabilidades sean transparentes.

Las CMG están disponibles para servicios seleccionados, incluidos BigQuery, Data Studio Pro, IA generativa en Agent Platform, Agent Search en Agent Platform, Cloud Logging, Compute Engine, Identity and Access Management (IAM) y muchos más. Google Cloud Comunícate con nuestro equipo de ventas o tu Google Cloud representante para obtener acceso a esta documentación en virtud de un acuerdo de confidencialidad (NDA).

Guías de implementación de FedRAMP High

Las guías de implementación de FedRAMP High están diseñadas para cubrir las APIs específicas del servicio que están dentro del alcance de FedRAMP High, incluidas las funciones de servicio afectadas y los campos de datos adecuados para almacenar datos protegidos. Por ejemplo, estas guías describen las APIs específicas del servicio que cumplen con los requisitos de FedRAMP High y proporcionan detalles de configuración adicionales que usas con el Google Cloud servicio en particular para las cargas de trabajo de FedRAMP High. Estas configuraciones no se aplican de forma predeterminada y debes administrarlas.

Las guías de implementación de FedRAMP High están disponibles para servicios seleccionados Google Cloud, incluidos Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), IA generativa en Agent Platform, Agent Search on Agent Platform, Cloud Storage y muchos más. Comunícate con nuestro equipo de ventas o tu Google Cloud representante para obtener acceso a esta documentación en virtud de un NDA.

Residencia de datos y cumplimiento de SA-9(5)

Cuando implementas tu aplicación en Google Cloud, los requisitos de residencia de datos de FedRAMP solo se exigen en la línea de base de control de FedRAMP High. Para aplicar estos requisitos, debes elegir el Límite de datos de Assured Workloads para FedRAMP High. Si buscas una autorización de FedRAMP Moderate y eliges el Límite de datos de Assured Workloads para FedRAMP Moderate, no tendrás controles de residencia de datos, ya que los requisitos no se aplican a ti.

Google Cloud proporciona compromisos contractuales de residencia de datos para los servicios regionales, lo que te permite configurar un servicio para usar una ubicación de datos específica. Estos compromisos ayudan a garantizar que tus datos de FedRAMP High se almacenen en una región de Estados Unidos, permanezcan en Estados Unidos y no se muevan a otra región fuera de Estados Unidos. Algunos ejemplos de datos de FedRAMP High incluyen datos que pertenecen a la aplicación de la ley, los servicios de emergencia, los servicios financieros, los sistemas de atención médica y salud pública, o cualquiera de los 16 sectores de infraestructura crítica.

Algunos Google Cloud servicios no son regionales ni globales por diseño y no te permiten especificar la región en la que se implementa el servicio. Este enfoque de diseño es necesario para que los servicios globales funcionen correctamente. Algunos de estos servicios no regionales o globales no están implicados en el procesamiento, la transmisión o el almacenamiento de tus datos de FedRAMP High. Las capacidades de residencia de datos para servicios no regionales o globales son limitadas.

En julio de 2020, FedRAMP lanzó una actualización del control SA-9(5) de la línea de base de FedRAMP High para restringir la ubicación geográfica de los servicios de información de datos de alto impacto a Estados Unidos o territorios bajo la jurisdicción de EE.UU. Después de esta actualización, algunos Google Cloud servicios se marcaron en FedRAMP Marketplace con un asterisco y la siguiente aclaración: "Los servicios que se indican con un asterisco (*) no cumplen con el requisito SA-9(5). Revisa la carta de P-ATO de la JAB para obtener más información”.

Nuestra 3PAO aún no revisó algunos Google Cloud servicios que se marcaron en FedRAMP Marketplace como que no cumplen con los requisitos de SA-9(5) para volver a enviarlos a la GSA con evidencia actualizada de SA-9(5). Google está trabajando de forma activa en estos envíos con el objetivo de quitar las aclaraciones de SA-9(5) de FedRAMP Marketplace. Para obtener más información sobre el estado de estos servicios, consulta la pestaña SA-9(5) en el documento CRM de FedRAMP High.

Mientras se lleva a cabo el proceso de reevaluación de los servicios autorizados por FedRAMP High Google Cloud con la aclaración SA-9(5), Google recomienda que implementes controles de mitigación como se describe en los lineamientos de RMF para abordar las restricciones geográficas de los datos de FedRAMP High. Por ejemplo, puedes usar la encriptación de datos para establecer el control exclusivo sobre los datos de FedRAMP High, como se explica en el resto de esta sección.

Soberanía digital y residencia de datos

Google enfatiza la soberanía digital, un concepto que protege los datos sin importar la ubicación física. Este enfoque se basa en Assured Workloads y la nube comunitaria definida por software. A diferencia de la soberanía física convencional que enfatiza la residencia de datos, Google Cloud los controles de soberanía digital proporcionan una protección de datos mejorada.

La soberanía digital te otorga autoridad sobre la protección de datos, lo que elimina la necesidad de depender de las garantías de los proveedores de servicios en la nube o los evaluadores externos. La soberanía digital implica que tienes el control exclusivo sobre el acceso a tus datos a través de la propiedad exclusiva de las claves de encriptación de datos.

De acuerdo con los lineamientos de RMF, Google recomienda que implementes controles de mitigación para abordar el riesgo de que se acceda a los datos de FedRAMP High mientras transitan por la infraestructura de redes o durante el almacenamiento potencial en una región de la nube que no sea de EE.UU. El mecanismo principal para la restricción de acceso es la encriptación de datos en tránsito y en reposo.

Para proteger tus datos de FedRAMP High y restringir el acceso solo a tus usuarios autorizados, puedes usar claves de encriptación administradas por el cliente para la encriptación de datos en reposo. Google Cloud también proporciona encriptación de datos en tránsito. En las siguientes secciones, se describen las tecnologías de encriptación de datos que están disponibles en Google Cloud. La encriptación de datos ayuda a evitar que se lean tus datos de FedRAMP High mientras están en tránsito o que otros inquilinos y personal de Google accedan a ellos mientras están almacenados en reposo.

Claves de encriptación administradas por el cliente

Las claves de encriptación administradas por el cliente (CMEK) en ( Cloud KMS) te otorgan la propiedad y el control de las claves que protegen tus datos en reposo en Google Cloud. Un Google Cloud servicio que puede usar tus claves tiene una integración con CMEK. Puedes administrar estas CMEK directamente o a través de la clave automática de Cloud KMS. Los servicios que admiten integraciones con CMEK usan tus claves de Cloud KMS para encriptar o unir tus claves de encriptación de datos (DEK). La unión de DEK con claves de encriptación de claves (KEK) se denomina encriptación de sobre. Para obtener más información, consulta Prácticas recomendadas para usar CMEK. Para obtener una lista de los servicios que admiten CMEK, consulta Servicios compatibles.

Con Cloud External Key Manager (Cloud EKM), puedes usar claves de encriptación que administras de forma externa fuera Google Cloud para proteger los datos dentro de Google Cloud. Puedes proteger los datos en reposo en los servicios de integración de CMEK compatibles o llamando directamente a la API de Cloud Key Management Service.

Google ofrece las siguientes garantías con respecto a la seguridad de las claves de encriptación en Cloud KMS:

  • El material de clave desencriptado no se puede exportar ni ver a través de la interfaz de la API ni de ninguna otra interfaz de usuario.
  • El personal de Google no puede acceder al material de las claves de cliente no encriptado. Además, el material de las claves se encripta con una clave maestra de KMS en Keystore, y el personal de Google no puede acceder a la clave maestra de KMS.
  • En un módulo de seguridad de hardware (HSM), los trabajos de la API de Cloud KMS nunca acceden a un material de clave en un estado desencriptado. Los HSM que se ponen a tu disposición en Google Cloud están validados por FIPS 140.
  • Los operadores de sistemas de Google no pueden acceder al material de las claves de cliente, usarlo ni extraerlo mientras realizan sus tareas, como se define en los procedimientos operativos estándar.

Se requiere la validación de FIPS 140 para la autorización de FedRAMP. Por ejemplo, el control de protección criptográfica SC-13 exige el uso de criptografía validada por FIPS 140 o criptografía aprobada por la NSA. Google te proporciona módulos de encriptación para la encriptación de datos en reposo y en tránsito que tienen la validación de FIPS 140.

Encriptación de datos en reposo

Google Cloud encripta los datos en reposo de forma predeterminada. Google Cloud proporciona encriptación transparente del lado del servidor para los servicios de almacenamiento con un cifrado de bloque simétrico AES-256 validado por FIPS 140. También puedes crear tus propias claves de encriptación que administras con Cloud KMS y almacenar en HSM externos o basados en la nube.

Cloud HSM te permite alojar claves de encriptación y realizar operaciones criptográficas en un clúster de HSM validados por FIPS 140. Cloud HSM usa Cloud KMS como frontend para darte acceso a las capacidades de integración de CMEK y otras funciones que proporciona Cloud KMS. Debido a que Google Cloud emplea una criptografía sólida validada por FIPS 140, solo los usuarios que poseen tu CMEK pueden acceder a tus datos encriptados.

Google Cloud también admite claves administradas por el cliente para encriptar los discos conectados a máquinas virtuales. Además, Google Cloud admite la encriptación del cliente, en la que puedes encriptar datos dentro de tu propio entorno de aplicación antes de enviarlos a la nube.

Encriptación de datos en tránsito

Google Cloud proporciona compatibilidad con la encriptación de datos en tránsito de la siguiente manera:

  • La encriptación transparente se produce en la red troncal controlada por Google del tráfico de red entre las regiones de los centros de datos y las zonas de disponibilidad. Esta encriptación se implementa en la capa física de vínculo de datos (capa 2 en la pila de red) con la seguridad de control de acceso a medios (MACsec).
  • El tráfico de VM a VM dentro de una red de nube privada virtual (VPC) y las redes de VPC con intercambio de tráfico se encripta de forma transparente.
  • En la capa de aplicación, Google te permite usar seguridad de la capa de transporte (TLS) para la encriptación de datos en tránsito. Además, los extremos de servicio admiten TLS para crear una conexión HTTPS segura cuando se realizan llamadas a la API.
  • Las conexiones entre la VPC y tu infraestructura local están disponibles con Cloud VPN, que crea un túnel encriptado seguro a través de Internet o a través de circuitos privados directos.

La encriptación de datos en tránsito incluye la encriptación en tránsito entre el usuario final y Google, y la encriptación en tránsito dentro de las redes de Google. Para obtener más información, consulta Encriptación en tránsito para Google Cloud.

¿Qué sigue?

Para comenzar a usar la autorización de FedRAMP para tu Google Cloud implementación, revisa lo siguiente: