Guía de implementación de FedRAMP en Google Cloud

En este documento se explica cómo Google Cloud puede ayudarte a cumplir los requisitos de FedRAMP y se te dirige a recursos para configurar los servicios de forma que se ajusten a ellos. Este documento está dirigido al personal de seguridad, cumplimiento y TI responsable de la implementación y el cumplimiento del programa FedRAMP enGoogle Cloud.

De acuerdo con el modelo de responsabilidad compartida, debes conocer tus requisitos de cumplimiento y seguridad, así como configurar tuGoogle Cloud entorno de forma adecuada. Al implementar la compatibilidad con FedRAMP, le recomendamos que busque asesoramiento jurídico independiente en relación con sus responsabilidades de FedRAMP.

Acerca de FedRAMP

El Gobierno federal de EE. UU. creó el marco del programa federal de gestión de autorizaciones y riesgo (FedRAMP) para estandarizar la evaluación de la seguridad, la autorización y la monitorización continua de los productos y servicios en la nube en todos los organismos públicos. En el 2022, el Congreso estadounidense definió FedRAMP como "un programa gubernamental que ofrece un enfoque estandarizado y reutilizable para evaluar la seguridad y autorizar productos y servicios de cloud computing que tratan información no clasificada usada por los organismos".

En el 2025, FedRAMP inició una revisión importante del programa como parte de la iniciativa FedRAMP 20x. Estos cambios tienen como objetivo adoptar la monitorización y la aplicación automáticas de las prácticas recomendadas de seguridad comercial para cumplir los requisitos mínimos de seguridad de los sistemas de información federales. FedRAMP está dejando atrás la documentación costosa, ineficiente y compilada manualmente para adoptar informes de seguridad basados en datos y liderados por la industria. Para obtener información sobre cómo apoya Google la iniciativa FedRAMP 20x, consulta el artículo Acelerar FedRAMP 20x: cómo automatiza Google Cloud el cumplimiento.

FedRAMP se basa en el estándar SP 800-53 del Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST), que se ha mejorado con controles y mejoras de control de FedRAMP. Exceptuando determinadas nubes privadas on-premise, todos los despliegues y modelos de servicio de nube que proporcionan las agencias federales deben cumplir los requisitos establecidos por el programa FedRAMP en función del nivel de impacto de riesgo correspondiente (bajo, moderado o alto) según las directrices NIST FIPS 199. El número de controles de la norma NIST SP 800-53 en la configuración de referencia correspondiente aumenta a medida que lo hace el nivel de impacto. Por ejemplo, el valor de referencia de FedRAMP Moderate tiene 325 controles, mientras que el valor de referencia de FedRAMP High tiene 421 controles.

FedRAMP es un programa de evaluación y autorización, no una certificación o acreditación única. Incluye una monitorización continua para asegurar la eficacia de los controles de seguridad en una oferta de servicios en la nube, adaptándose a los cambios en el entorno del sistema y a los nuevos panoramas de amenazas.

Google Cloud Autorización de FedRAMP

La junta de FedRAMP (anteriormente conocida como la junta de autorización conjunta o JAB) es el principal órgano de gobierno de FedRAMP. La junta de FedRAMP está formada por directores de sistemas de información del Departamento de Defensa, el Departamento de Seguridad Nacional y la Administración de Servicios Generales de Estados Unidos.

La junta de FedRAMP ha emitido una autoridad provisional para operar (P-ATO) de nivel alto para Google Cloud y la infraestructura común de Google (GCI) subyacente. Google Cloud envía periódicamente a la junta servicios adicionales para que reciban la autorización de FedRAMP High. La autorización FedRAMP High representa el nivel más alto de cumplimiento de FedRAMP.

El valor de referencia de control de FedRAMP Moderate es un subconjunto del valor de referencia de control de FedRAMP High. Por lo tanto, una autorización de FedRAMP High proporciona una cobertura completa de todos los requisitos de control de FedRAMP Moderate.

Para obtener más información sobre el cumplimiento del programa FedRAMP, consulta Cumplimiento del programa FedRAMP. Google Cloud

Servicios incluidos en el ámbito de la auditoría

Google Cloud mantiene una autoridad provisional para operar de FedRAMP High que abarca más de 150 servicios en la nube. Este ámbito te permite crear una amplia gama de aplicaciones en Google Cloud y obtener tu autorización para operar de FedRAMP heredando los controles de seguridad de la plataforma Google Cloud subyacente. Por ejemplo, puedes usar modelos de aprendizaje automático (ML) y servicios de inteligencia artificial (IA), incluidos agentes de IA, IA generativa e IA multimodal, en tus Google Clouddespliegues.

Para obtener más información sobre el Google Cloud ámbito de la auditoría de FedRAMP, consulta los servicios de FedRAMP incluidos en el ámbito y el Google Cloud mercado de FedRAMP.

IA y LLMs

Google Cloud puede ayudarte a cumplir los requisitos de cumplimiento de FedRAMP para cargas de trabajo que incluyan modelos de aprendizaje automático y aplicaciones de IA. Puedes usarGoogle Cloud servicios autorizados por FedRAMP, como IA generativa en Vertex AI y Inferencia de Vertex AI: por lotes y online, para interactuar con más de 200 modelos de lenguaje extenso (LLMs) propios, de terceros y de código abierto que están disponibles en nuestro Model Garden. Para obtener más información, consulta Modelos admitidos en Model Garden.

Los LLMs individuales no están autorizados de forma independiente en FedRAMP y no hay ningún registro de su autorización en FedRAMP Marketplace. En su lugar, el mercado refleja las autorizaciones de servicios en la nube, como la IA generativa en Vertex AI y Vertex AI Inference: Batch y Online, que Google envía para su aprobación. Sin embargo, la infraestructura en la nube subyacente que se usa para el despliegue de LLMs debe cumplir los requisitos de FedRAMP, incluida la infraestructura que se usa para la monitorización continua. Este requisito se cumple en los modelos gestionados por Google, como los LLMs propios de Google (por ejemplo, la familia de modelos Gemini) y los modelos de partners de Anthropic, todos los cuales admiten Provisioned Throughput. Por lo tanto, al usar los servicios de Vertex AI autorizados por FedRAMP High, se puede interactuar con estos modelos compatibles en un entorno de FedRAMP High.

Google sigue implementando medidas de monitorización para más LLMs alojados en infraestructura gestionada por Google. Aunque Google es responsable de autorizar la infraestructura de servicio y los contenedores creados específicamente para implementar modelos de código abierto, la seguridad de estos modelos es responsabilidad del cliente.

Para obtener más información sobre los LLMs implementados por los usuarios, consulta Información general sobre los modelos implementados por los usuarios. Si implementas LLMs en tu propia infraestructura de Google Cloud inquilino, asegúrate de que tu evaluación de la autorización para operar de FedRAMP cubra esa infraestructura, no los LLMs individuales. Por ejemplo, debes cumplir los requisitos de monitorización continua de laGoogle Cloud infraestructura que aprovisiones para la implementación de LLMs. Puedes colaborar con tu organización de evaluación externa (3PAO) y con Google para obtener tu ATO.

Obtener la autorización para operar de FedRAMP

Según los cambios de FedRAMP 20x, la vía disponible para obtener la autorización de FedRAMP es la autorización para operar (ATO) de la agencia de la revisión 5. Debes colaborar con Google y con tu 3PAO para completar los pasos que te permitan obtener una ATO. Para obtener información sobre el proceso de autorización para operar de las agencias, incluidos enlaces a recursos importantes, como el manual de autorización de agencias, consulta el sitio web de FedRAMP.

Si quieres usar Google Cloud servicios para cumplir tus obligaciones de cumplimiento de FedRAMP High, debes usar Data Boundary para FedRAMP High. El valor de referencia de control de FedRAMP Moderate es un subconjunto del valor de referencia de control de FedRAMP High. Por tanto, si quieres obtener una ATO de FedRAMP Moderate para una solución desplegada en Google Cloud, puedes usar cualquier servicio de Google Cloud que esté autorizado por FedRAMP High en tu límite de autorización de FedRAMP Moderate. Necesitarás evaluar menos controles para obtener una autorización para operar de FedRAMP Moderate que para obtener una autorización para operar de FedRAMP High.

Para ayudarte a obtener la autorización de funcionamiento de FedRAMP, Google puede proporcionarte la siguiente documentación de cumplimiento de FedRAMP High en virtud de un acuerdo de confidencialidad:Google Cloud

  • Matriz de responsabilidades de los clientes (CRM): descripciones detalladas de sus responsabilidades al implementar los controles NIST SP 800-53 en la línea de base de control Alto de FedRAMP.
  • Plan de seguridad del sistema (SSP): el límite de autorización de seguridad y la arquitectura del sistema. Este documento también proporciona descripciones detalladas de los requisitos de los controles de la publicación especial 800-53 del NIST y de los detalles de implementación de los controles que se aplican al nivel de referencia de control Alto de FedRAMP. Google Cloud

Nuestro equipo de Ventas o tu representante Google Cloud pueden ayudarte a acceder a esta documentación. Si eres un organismo público federal, también puedes solicitar el paquete de FedRAMP de Google a través de la oficina de gestión del programa FedRAMP mediante el formulario de solicitud correspondiente.

Asesoramiento y automatización

Google proporciona documentación de orientación y soluciones de automatización para ayudarte a cumplir tus obligaciones de conformidad con FedRAMP, tal como se describe en esta sección.

Guías de asignación de controles

A diferencia del CRM de nivel alto de FedRAMP, que es integral, las guías de asignación de controles (CMGs) son específicas de cada servicio. Google Cloud Estas guías proporcionan una cobertura de control detallada para los Google Cloud servicios, de modo que puedas configurarlos para cumplir los requisitos de FedRAMP High. Las CMGs abordan los controles pertinentes de la publicación 800-53 del NIST que requieren una configuración técnica por tu parte. Las CMGs también aclaran los pasos que debes seguir para un servicio concreto (y cualquier servicio deGoogle Cloud y Google Workspace complementario) para que estas responsabilidades sean transparentes.

Las CMGs están disponibles en determinados Google Cloud servicios, como BigQuery, Looker Studio Pro, IA generativa en Vertex AI, Vertex AI Search, Cloud Logging, Compute Engine, Gestión de identidades y accesos (IAM) y más. Ponte en contacto con nuestro equipo de Ventas o con tu representante Google Cloud para acceder a esta documentación mediante un acuerdo de confidencialidad.

Guías de implementación de FedRAMP High

Las guías de implementación de FedRAMP High están pensadas para cubrir las APIs específicas de los servicios que se incluyen en el ámbito de FedRAMP High, incluidas las funciones de los servicios afectados y los campos de datos aptos para almacenar datos protegidos. Por ejemplo, en estas guías se describen APIs específicas de servicios que cumplen los requisitos de FedRAMP High y se proporcionan detalles de configuración adicionales que puedes usar con el servicio concreto para las cargas de trabajo de FedRAMP High.Google Cloud Estas configuraciones no se aplican de forma predeterminada y debes gestionarlas tú.

Hay guías de implementación de FedRAMP High disponibles para determinados servicios, como Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), IA generativa en Vertex AI, Vertex AI Search y Cloud Storage, entre otros. Google CloudPonte en contacto con nuestro equipo de Ventas o con tuGoogle Cloud representante para obtener acceso a esta documentación en virtud de un acuerdo de confidencialidad.

Residencia de datos y cumplimiento de SA-9(5)

Google Cloud ofrece compromisos contractuales de residencia de datos para servicios regionales, que te permiten configurar un servicio para que use una ubicación de datos concreta. Estos compromisos ayudan a garantizar que tus datos de FedRAMP High se almacenen en una región de Estados Unidos, permanezcan en ese país y no se transfieran a otra región fuera de Estados Unidos. Algunos ejemplos de datos de nivel alto de FedRAMP son los datos de las fuerzas de seguridad, los servicios de emergencias, los servicios financieros, los sistemas sanitarios y de salud pública, o cualquiera de los 16 sectores de infraestructuras críticas.

Algunos Google Cloud servicios no están disponibles en todas las regiones o son globales por diseño y no te permiten especificar la región en la que se implementan. Este diseño es necesario para que los servicios globales funcionen correctamente. Algunos de estos servicios no regionales o globales no están implicados en el tratamiento, la transmisión ni el almacenamiento de tus datos de FedRAMP High. Las funciones de residencia de datos de los servicios no regionales o globales son limitadas.

En julio del 2020, FedRAMP publicó una actualización del control SA-9(5) de la configuración de nivel alto de FedRAMP para restringir la ubicación geográfica de los servicios de información de datos de alto impacto a Estados Unidos o a territorios bajo jurisdicción estadounidense. Tras esta actualización, algunos servicios se marcaron en el mercado de FedRAMP con un asterisco y la siguiente aclaración: "Los servicios marcados con un asterisco (*) no cumplen el requisito SA-9(5). Google Cloud Consulta la carta de la JAB P-ATO para obtener más información".

Algunos Google Cloud servicios que se marcaron en el mercado de FedRAMP como que no cumplían los requisitos de SA-9(5) aún no han sido revisados por nuestro 3PAO para volver a enviarlos a la junta de FedRAMP con pruebas actualizadas de SA-9(5). Google está trabajando activamente para retirar las aclaraciones de SA-9(5) del FedRAMP Marketplace. Para obtener más información sobre el estado de estos servicios, consulta la pestaña SA-9(5) del documento CRM de FedRAMP High.

Mientras se lleva a cabo el proceso de reevaluación de los servicios autorizados de FedRAMP High con la aclaración SA-9(5), Google recomienda que implemente controles de mitigación tal como se describe en las directrices de RMF para abordar las restricciones geográficas de los datos de FedRAMP High. Google CloudPor ejemplo, debes usar el cifrado de datos para tener el control exclusivo de los datos de FedRAMP High, tal como se explica en el resto de esta sección.

Soberanía digital y residencia de datos

Google hace hincapié en la soberanía digital, un concepto que protege los datos independientemente de su ubicación física. Este enfoque se basa en Assured Workloads y en nubes comunitarias definidas por software. A diferencia de la soberanía física convencional, que se centra en la residencia de los datos, Google Cloud los controles de soberanía digital ofrecen una mayor protección de los datos.

La soberanía digital te da autoridad sobre la protección de datos, lo que elimina la necesidad de depender de las garantías de los proveedores de la nube o de evaluadores externos. La soberanía digital implica que tienes el control exclusivo del acceso a tus datos mediante la propiedad exclusiva de las claves de cifrado de datos.

De acuerdo con las directrices del RMF, Google recomienda que implementes controles de mitigación para abordar el riesgo de que se acceda a los datos de FedRAMP High mientras se transfieren por la infraestructura de red o durante el posible almacenamiento en una región de la nube que no esté en EE. UU. El mecanismo principal para restringir el acceso es el cifrado de datos en tránsito y en reposo.

Para proteger tus datos de FedRAMP High y restringir el acceso solo a tus usuarios autorizados, puedes usar claves de cifrado gestionadas por el cliente, cifrado de datos en reposo y cifrado de datos en tránsito. En las siguientes secciones se describen las tecnologías de cifrado de datos que tienes a tu disposición en Google Cloud. El cifrado de datos ayuda a evitar que se lean tus datos de FedRAMP High mientras están en tránsito o que otros clientes y el personal de Google accedan a ellos mientras están almacenados en reposo.

Claves de encriptado gestionadas por el cliente

Las claves de cifrado gestionadas por el cliente (CMEK) de Cloud KMS (Cloud KMS) te permiten tener la propiedad y el control de las claves que protegen tus datos en reposo enGoogle Cloud. Un servicio que puede usar tus claves tiene una integración de CMEK. Google CloudPuedes gestionar estas CMEKs directamente o a través de Autokey de Cloud KMS. Los servicios que admiten integraciones de CMEK usan tus claves de Cloud KMS para cifrar o envolver tus claves de cifrado de datos (DEKs). El proceso de encapsulado de DEKs con claves de cifrado de claves (KEKs) se denomina cifrado envolvente. Para obtener más información, consulta las prácticas recomendadas para usar CMEKs. Para ver una lista de los servicios que admiten CMEK, consulta Servicios compatibles.

Con Cloud External Key Manager (Cloud EKM), puedes usar claves de cifrado que gestionas de forma externa fuera de Google Cloud para proteger los datos en Google Cloud. Puedes proteger los datos en reposo en los servicios de integración de CMEK compatibles o llamando directamente a la API de Cloud Key Management Service.

Google ofrece las siguientes garantías sobre la seguridad de las claves de encriptado en Cloud KMS:

  • El material de claves descifrado no se puede exportar ni consultar a través de la interfaz de la API ni de otra interfaz de usuario.
  • El personal de Google no puede acceder al material de claves de clientes sin encriptar. Además, el material de claves se encripta con una clave maestra de KMS en Keystore, y el personal de Google no puede acceder a la clave maestra de KMS.
  • En un módulo de seguridad de hardware (HSM), las tareas de la API de Cloud KMS nunca acceden al material de claves en un estado descifrado. Los HSMs que se te proporcionan en Google Cloud están validados según el estándar FIPS 140.
  • Los operadores del sistema de Google no pueden acceder, usar ni extraer material de claves de clientes mientras realizan sus tareas, tal como se define en los procedimientos operativos estándar.

La validación FIPS 140 es obligatoria para obtener la autorización de FedRAMP. Por ejemplo, el control SC-13 Cryptographic Protection exige el uso de criptografía validada por FIPS o de criptografía aprobada por la NSA. Google te proporciona módulos criptográficos para cifrar los datos en reposo y en tránsito que tienen la validación FIPS 140.

Encriptado de datos en reposo

Google Cloud Cifra los datos en reposo de forma predeterminada. Google Cloud Proporciona un cifrado transparente del lado del servidor para los servicios de almacenamiento mediante un cifrado de bloque simétrico AES-256 validado con FIPS 140. También puedes crear tus propias claves de cifrado, gestionarlas con Cloud KMS y almacenarlas en HSMs externos o basados en la nube.

Cloud HSM te permite alojar claves de cifrado y realizar operaciones criptográficas en un clúster de HSMs validados por FIPS. Cloud HSM usa Cloud KMS como frontend para darte acceso a las funciones de integración de CMEK y a otras funciones que ofrece Cloud KMS. Como Google Cloud utiliza una criptografía FIPS 140 validada sólida, solo los usuarios que tengan tu CMEK podrán acceder a tus datos cifrados.

Google Cloud También admite claves gestionadas por el cliente para encriptar discos que estén conectados a máquinas virtuales. Además, Google Cloud admite el cifrado del lado del cliente, con el que puedes cifrar datos en tu propio entorno de aplicación antes de enviarlos a la nube.

Cifrado de datos en tránsito

Google Cloud admite el cifrado de datos en tránsito de la siguiente manera:

  • El cifrado transparente se produce en la red troncal controlada por Google del tráfico de red entre regiones de centros de datos y zonas de disponibilidad. Este cifrado se implementa en la capa de enlace de datos física (capa 2 de la pila de redes) mediante Media Access Control Security (MACsec).
  • El tráfico entre máquinas virtuales de una red de nube privada virtual (VPC) y de redes de VPC emparejadas se encripta de forma transparente.
  • En la capa de aplicación, Google te permite usar Seguridad en la capa de transporte (TLS) para cifrar los datos en tránsito. Además, los endpoints de servicio admiten TLS para crear una conexión HTTPS segura al hacer llamadas a la API.
  • Las conexiones entre la VPC y tu infraestructura on-premise están disponibles mediante Cloud VPN, que crea un túnel cifrado seguro a través de Internet o mediante circuitos privados directos.

El cifrado de datos en tránsito incluye el cifrado en tránsito entre el usuario final y Google, así como el cifrado en tránsito dentro de las redes de Google. Para obtener más información, consulta Encriptado en tránsito paraGoogle Cloud.

Siguientes pasos

Para empezar a obtener la autorización de FedRAMP para tu implementación deGoogle Cloud , consulta lo siguiente: