Orientación para la implementación de FedRAMP en Google Cloud

En este documento, se explica cómo Google Cloud admite tus necesidades de cumplimiento de FedRAMP y se te dirige a recursos para configurar servicios que satisfagan los requisitos de FedRAMP. Este documento está diseñado para el personal de seguridad, cumplimiento y TI que es responsable de la implementación y el cumplimiento de FedRAMP enGoogle Cloud.

Según el modelo de responsabilidad compartida, eres responsable de comprender tus requisitos de cumplimiento y seguridad, y de configurar tu entorno deGoogle Cloud de forma adecuada. Cuando implementes la compatibilidad con FedRAMP, te recomendamos que busques asesoramiento legal independiente en relación con tus responsabilidades de FedRAMP.

Acerca de FedRAMP

El Gobierno federal de EE.UU. estableció el framework del Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP) para estandarizar la evaluación de seguridad, la autorización y la supervisión continua de los productos y servicios en la nube en todos los organismos gubernamentales. En 2022, el Congreso codificó el FedRAMP como un "programa para todo el Gobierno que ofrece un enfoque estandarizado y reutilizable en relación con la evaluación y autorización de la seguridad para los productos y servicios de computación en la nube que procesan información sin clasificar que utilizan las agencias".

En 2025, FedRAMP comenzó una revisión importante del programa como parte de la iniciativa FedRAMP 20x. Estos cambios tienen como objetivo adoptar la supervisión y la aplicación automatizadas de las prácticas recomendadas de seguridad comercial para cumplir con los requisitos mínimos de seguridad de los sistemas de información federales. FedRAMP está dejando atrás la documentación costosa, ineficiente y compilada manualmente para adoptar informes de seguridad basados en datos y liderados por la industria. Para obtener información sobre cómo Google respalda la iniciativa FedRAMP 20x, consulta Aceleración de FedRAMP 20x: Cómo Google Cloud automatizar el cumplimiento.

FedRAMP se basa en el estándar SP 800-53 del Instituto Nacional de Estándares y Tecnología (NIST), que se complementa con los controles y las mejoras de control de FedRAMP. Todas las implementaciones en la nube y los modelos de servicios de las agencias federales, además de ciertas nubes privadas locales, deben cumplir con los requisitos del FedRAMP en el nivel adecuado de impacto de riesgos (bajo, moderado o alto) según los lineamientos del NIST FIPS 199. La cantidad de controles de NIST SP 800-53 en el valor de referencia correspondiente aumenta a medida que aumenta el nivel de impacto. Por ejemplo, el modelo de referencia de FedRAMP Moderate tiene 325 controles, mientras que el modelo de referencia de FedRAMP High tiene 421.

FedRAMP es un programa de evaluación y autorización, no una certificación o acreditación única. Incluye la supervisión continua para garantizar la eficacia de los controles de seguridad en una oferta de servicios en la nube, y se adapta a los cambios en el entorno del sistema y a los panoramas de amenazas en evolución.

Google Cloud Autorización de FedRAMP

La Junta de FedRAMP (antes conocida como Junta de Autorización Conjunta o JAB) es el principal órgano rector de FedRAMP. La Junta del FedRAMP incluye a los CIO del Departamento de Defensa (DoD), el Departamento de Seguridad Nacional (DHS) y la Administración General de Servicios (GSA).

La Junta del FedRAMP emitió una Autoridad Provisional para Operar (P-ATO) del nivel alto del FedRAMP a Google Cloud y la infraestructura común subyacente de Google (GCI). Google Cloud envía de forma habitual servicios adicionales a la Junta para la autorización alta del FedRAMP. La autorización FedRAMP High representa el nivel más alto de cumplimiento de FedRAMP.

La línea de base de control del nivel moderado de FedRAMP es un subconjunto de la línea de base de control del nivel alto de FedRAMP. Por lo tanto, una autorización del nivel alto del FedRAMP proporciona una cobertura integral para todos los requisitos de control del nivel moderado del FedRAMP.

Para obtener más información sobre el Google Cloud cumplimiento de FedRAMP, consulta Cumplimiento de FedRAMP.

Servicios incluidos en el alcance de la auditoría

Google Cloud mantiene una P-ATO integral de FedRAMP High que abarca más de 150 servicios en la nube. Este alcance te permite compilar una amplia variedad de aplicaciones en Google Cloud y obtener tu ATO de FedRAMP heredando los controles de seguridad de la plataforma Google Cloud subyacente. Por ejemplo, puedes usar modelos de aprendizaje automático (AA) y servicios de inteligencia artificial (IA), incluidos agentes de IA, IA generativa y IA multimodal en tus implementaciones de Google Cloud.

Para obtener más información sobre el alcance de la auditoría de Google Cloud FedRAMP, consulta los servicios de FedRAMP incluidos en el alcance y el Google Cloud Mercado de FedRAMP.

IA y LLM

Google Cloud puede ayudarte a cumplir con los requisitos de cumplimiento de FedRAMP para las cargas de trabajo que incluyen modelos de AA y aplicaciones de IA. Puedes usarGoogle Cloud servicios autorizados por FedRAMP, como IA generativa en Vertex AI y Vertex AI Inference: Batch and Online, para interactuar con más de 200 modelos de lenguaje grande (LLM) propios, de terceros y de código abierto que están disponibles en nuestro Model Garden. Para obtener más información, consulta Modelos compatibles con Model Garden.

Los LLM individuales no están autorizados de forma independiente en virtud de FedRAMP, y no hay registros de su autorización en FedRAMP Marketplace. En cambio, Marketplace refleja las autorizaciones para los servicios en la nube, como Generative AI en Vertex AI y Vertex AI Inference: Batch y Online, que Google envía para su aprobación. Sin embargo, la infraestructura de nube subyacente que se usa para la implementación del LLM debe cumplir con los requisitos de cumplimiento de FedRAMP, incluida la infraestructura que se usa para la supervisión continua. Este requisito se cumple para los modelos administrados por Google, como los LLM de origen de Google (por ejemplo, la familia de modelos Gemini) y los modelos de socios de Anthropic, todos los cuales admiten el Provisioned Throughput. Por lo tanto, usar los servicios de Vertex AI autorizados por FedRAMP High permite la interacción con estos modelos compatibles en un entorno de FedRAMP High.

Google sigue implementando disposiciones de supervisión para más LLMs alojados en la infraestructura administrada por Google. Si bien Google es responsable de autorizar la infraestructura de entrega y los contenedores personalizados para implementar modelos de código abierto, la seguridad de estos modelos es tu responsabilidad.

Para obtener más información sobre los LLM implementados por el usuario, consulta Descripción general de los modelos implementados por el usuario. Si implementas LLMs en tu propia infraestructura de inquilino de Google Cloud , asegúrate de que tu evaluación de ATO de FedRAMP cubra esa infraestructura, no los LLMs individuales. Por ejemplo, debes satisfacer los requisitos de supervisión continua para la infraestructura deGoogle Cloud que aprovisiones para la implementación del LLM. Puedes colaborar con tu organización de evaluación de terceros (3PAO) y con Google para obtener tu ATO.

Cómo obtener la ATO del FedRAMP

Según los cambios continuos de FedRAMP 20x, la ruta disponible para la autorización de FedRAMP es la ATO de la agencia Rev. 5. Debes trabajar con Google y tu 3PAO para completar los pasos que conducen a una ATO. Para obtener información sobre el proceso de ATO de la agencia, incluidos vínculos a recursos importantes, como el manual de estrategias de autorización de la agencia, consulta el sitio web de FedRAMP.

Si quieres usar los servicios de Google Cloud para cumplir con tus obligaciones de cumplimiento de nivel alto del FedRAMP, debes usar el Límite de datos para FedRAMP High. La línea de base de control del nivel moderado de FedRAMP es un subconjunto de la línea de base de control del nivel alto de FedRAMP. Por lo tanto, si quieres una ATO de nivel moderado del FedRAMP para una solución implementada enGoogle Cloud, puedes usar cualquier servicio de Google Cloud que esté autorizado por el nivel alto del FedRAMP en tu límite de autorización del nivel moderado. Deberás evaluar menos controles para una ATO de FedRAMP Moderate en comparación con los controles que debes evaluar para una ATO de FedRAMP High.

Para ayudarte con tu ATO de FedRAMP, Google puede proporcionarte la siguiente documentación de cumplimiento deGoogle Cloud FedRAMP High en virtud de un acuerdo de confidencialidad (NDA):

  • Matriz de responsabilidad del cliente (CRM): Descripciones detalladas de tus responsabilidades cuando implementas los controles de NIST SP 800-53 en el modelo de referencia de control de FedRAMP High
  • Plan de seguridad del sistema (SSP): El límite de autorización de seguridad y la arquitectura del sistema. Este documento también proporciona descripciones detalladas de los requisitos de control de la SP 800-53 del NIST y detalles de implementación de controles Google Cloud que se aplican al modelo de referencia de control alto de FedRAMP.

Nuestro equipo de ventas o tu representante de Google Cloudpueden ayudarte a obtener acceso a esta documentación. Si eres una agencia del Gobierno federal, también puedes solicitar el paquete del FedRAMP de Google a través de la Oficina de Administración del Programa FedRAMP con el formulario de solicitud del paquete.

Orientación y automatización

Google proporciona documentación de orientación y soluciones de automatización para ayudarte con tus obligaciones de cumplimiento de FedRAMP, como se describe en esta sección.

Guías de asignación de controles

A diferencia de la CRM integral de Google Cloud FedRAMP High, las guías de correlación de controles (CMG) son específicas del servicio. Estas guías proporcionan una cobertura detallada de los controles para los servicios de Google Cloud , de modo que puedas configurarlos para cumplir con los requisitos del nivel alto del FedRAMP. Los CMG abordan los controles pertinentes de la SP 800-53 del NIST que requieren que realices una configuración técnica. Los CMG también aclaran los pasos que debes seguir para un servicio en particular (y cualquier servicio de asistencia al cliente deGoogle Cloud y Google Workspace) para garantizar que estas responsabilidades sean transparentes.

Los CMG están disponibles para servicios Google Cloud seleccionados, incluidos BigQuery, Looker Studio Pro, IA generativa en Vertex AI, Vertex AI Search, Cloud Logging, Compute Engine, Identity and Access Management (IAM) y muchos más. Comunícate con nuestro equipo de ventas o con tu representante para obtener acceso a esta documentación en virtud de un acuerdo de confidencialidad (NDA). Google Cloud

Guías de implementación de FedRAMP High

Las guías de implementación de FedRAMP High tienen como objetivo abarcar las APIs específicas del servicio que se encuentran dentro del alcance de FedRAMP High, incluidas las funciones del servicio afectadas y los campos de datos adecuados para almacenar datos protegidos. Por ejemplo, estas guías describen APIs específicas del servicio que cumplen con los requisitos de FedRAMP High y proporcionan detalles de configuración adicionales que se usan con el servicioGoogle Cloud en particular para las cargas de trabajo de FedRAMP High. Estas configuraciones no se aplican de forma predeterminada y debes administrarlas.

Las guías de implementación de FedRAMP High están disponibles para servicios Google Cloudseleccionados, incluidos Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), IA generativa en Vertex AI, Vertex AI Search, Cloud Storage y muchos más. Comunícate con nuestro equipo de ventas o con tu representante deGoogle Cloud para obtener acceso a esta documentación en virtud de un NDA.

Residencia de datos y cumplimiento de la SA-9(5)

Google Cloud proporciona compromisos contractuales de residencia de datos para los servicios regionales, lo que te permite configurar un servicio para que use una ubicación de datos específica. Estos compromisos ayudan a garantizar que tus datos de FedRAMP High se almacenen en una región de Estados Unidos, permanezcan en el país y no se trasladen a otra región fuera de Estados Unidos. Algunos ejemplos de datos de FedRAMP High incluyen datos que pertenecen a las fuerzas del orden, los servicios de emergencia, los servicios financieros, los sistemas de atención médica y salud pública, o cualquiera de los 16 sectores de infraestructura crítica.

Ciertos Google Cloud servicios son no regionales o globales por diseño y no te permiten especificar la región en la que se implementan. Este enfoque de diseño es necesario para que los servicios globales funcionen correctamente. Algunos de estos servicios no regionales o globales no están implicados en el procesamiento, la transmisión o el almacenamiento de tus datos de FedRAMP High. Las capacidades de residencia de datos para los servicios no regionales o globales son limitadas.

En julio de 2020, FedRAMP lanzó una actualización del control SA-9(5) del modelo de referencia alto de FedRAMP para restringir la ubicación geográfica de los servicios de información de datos de alto impacto a Estados Unidos o a territorios bajo la jurisdicción de EE.UU. Después de esta actualización, algunos Google Cloud servicios se marcaron en FedRAMP Marketplace con un asterisco y la siguiente aclaración: "Los servicios que se indican con un asterisco (*) no cumplen con el requisito SA-9(5). Revisa la carta de P-ATO de JAB para obtener más información".

Algunos Google Cloud servicios que se marcaron en el Mercado de FedRAMP como que no cumplen con los requisitos de SA-9(5) aún no fueron revisados por nuestro 3PAO para volver a enviarse al Consejo de FedRAMP con evidencia actualizada de SA-9(5). Google está trabajando activamente en estas presentaciones con el objetivo de quitar las aclaraciones del SA-9(5) de FedRAMP Marketplace. Para obtener más información sobre el estado de estos servicios, consulta la pestaña SA-9(5) en el documento del CRM de FedRAMP High.

Mientras se lleva a cabo el proceso de reevaluación de los servicios autorizados por FedRAMP High Google Cloudcon la aclaración SA-9(5), Google recomienda que implementes controles de mitigación como se describe en los lineamientos del RMF para abordar las restricciones geográficas de los datos de FedRAMP High. Por ejemplo, debes usar la encriptación de datos para establecer el control exclusivo sobre los datos de FedRAMP High, como se explica en el resto de esta sección.

Soberanía digital y residencia de datos

Google enfatiza la soberanía digital, un concepto que protege los datos independientemente de la ubicación física. Este enfoque se basa en Assured Workloads y nubes comunitarias definidas por software. Se diferencia de la soberanía física convencional, que enfatiza la residencia de los datos. Google Cloud Los controles de soberanía digital proporcionan una mayor protección de los datos.

La soberanía digital te otorga autoridad sobre la protección de datos, lo que elimina la necesidad de depender de las garantías de los proveedores de servicios en la nube o los asesores externos. La soberanía digital implica que tienes el control exclusivo del acceso a tus datos a través de la propiedad exclusiva de las claves de encriptación de datos.

De acuerdo con los lineamientos del RMF, Google recomienda que implementes controles de mitigación para abordar el riesgo de que se acceda a los datos de FedRAMP High mientras transitan por la infraestructura de redes o durante el posible almacenamiento en una región de la nube que no sea de EE.UU. El mecanismo principal para restringir el acceso es la encriptación de datos en tránsito y en reposo.

Para proteger tus datos de FedRAMP High y restringir el acceso solo a tus usuarios autorizados, puedes usar claves de encriptación administradas por el cliente, encriptación de datos en reposo y encriptación de datos en tránsito. En las siguientes secciones, se describen las tecnologías de encriptación de datos disponibles en Google Cloud. La encriptación de datos ayuda a evitar que se lean tus datos de FedRAMP High mientras están en tránsito o que otros arrendatarios y el personal de Google accedan a ellos mientras están almacenados en reposo.

Claves de encriptación administradas por el cliente

Las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS (Cloud KMS) te otorgan la propiedad y el control de las claves que protegen tus datos en reposo enGoogle Cloud. Un servicio que puede usar tus claves tiene una integración con CMEK. Google CloudPuedes administrar estas CMEK directamente o a través de la clave automática de Cloud KMS. Los servicios que admiten integraciones de CMEK usan tus claves de Cloud KMS para encriptar o encapsular tus claves de encriptación de datos (DEK). El proceso de unir DEK con claves de encriptación de claves (KEK) se denomina encriptación de sobre. Para obtener más información, consulta Prácticas recomendadas para usar CMEK. Para obtener una lista de los servicios que admiten CMEK, consulta Servicios compatibles.

Con Cloud External Key Manager (Cloud EKM), puedes usar claves de encriptación que administras de forma externa fuera de Google Cloud para proteger los datos en Google Cloud. Puedes proteger los datos en reposo en los servicios de integración de CMEK compatibles o llamando directamente a la API de Cloud Key Management Service.

Google ofrece las siguientes garantías con respecto a la seguridad de las claves de encriptación en Cloud KMS:

  • El material de clave desencriptado no se puede exportar ni ver a través de la interfaz de la API ni de ninguna otra interfaz de usuario.
  • El personal de Google no puede acceder al material de las claves de cliente no encriptado. Además, el material de clave se encripta con una clave maestra de KMS en Keystore, y el personal de Google no puede acceder a la clave maestra de KMS.
  • En un módulo de seguridad de hardware (HSM), los trabajos de la API de Cloud KMS nunca acceden a un material de clave en un estado desencriptado. Los HSM que se ponen a tu disposición en Google Cloud están validados según el estándar FIPS 140.
  • Los operadores de sistemas de Google no pueden acceder al material de las claves de cliente, usarlo ni extraerlo mientras realizan sus tareas, tal como se define en los procedimientos operativos estándar.

La validación de FIPS 140 es obligatoria para la autorización de FedRAMP. Por ejemplo, el control SC-13 Protección criptográfica exige el uso de criptografía validada por FIPS 140 o criptografía aprobada por la NSA. Google te proporciona módulos criptográficos para la encriptación de datos en reposo y en tránsito que cuentan con la validación de FIPS 140.

Encriptación de datos en reposo

Google Cloud Encripta los datos en reposo de forma predeterminada. Google Cloud Proporciona encriptación transparente del lado del servidor para los servicios de almacenamiento con un cifrado de bloque simétrico AES-256 validado por FIPS 140. También puedes crear tus propias claves de encriptación que administres con Cloud KMS y almacenes en HSM externos o basados en la nube.

Cloud HSM te permite alojar claves de encriptación y realizar operaciones criptográficas en un clúster de HSM validados por FIPS 140. Cloud HSM usa Cloud KMS como frontend para brindarte acceso a las capacidades de integración de CMEK y otras funciones que ofrece Cloud KMS. Dado que Google Cloudemplea una criptografía sólida validada por FIPS 140, solo los usuarios que poseen tu CMEK pueden acceder a tus datos encriptados.

Google Cloud también admite claves administradas por el cliente para encriptar discos conectados a máquinas virtuales. Además, Google Cloud admite la encriptación del cliente, con la que puedes encriptar datos en tu propio entorno de aplicación antes de enviarlos a la nube.

Encriptación de datos en tránsito

Google Cloud proporciona compatibilidad con la encriptación de datos en tránsito de la siguiente manera:

  • La encriptación transparente se produce en toda la red troncal controlada por Google del tráfico de red entre las regiones de los centros de datos y las zonas de disponibilidad. Esta encriptación se implementa en la capa de vínculo de datos física (capa 2 de la pila de redes) con Media Access Control Security (MACsec).
  • El tráfico de VM a VM dentro de una red de nube privada virtual (VPC) y redes de VPC con intercambio de tráfico se encripta de forma transparente.
  • En la capa de aplicación, Google te permite usar la seguridad de la capa de transporte (TLS) para la encriptación de datos en tránsito. Además, los extremos de servicio admiten TLS para crear una conexión HTTPS segura cuando se realizan llamadas a la API.
  • Las conexiones entre la VPC y tu infraestructura local están disponibles a través de Cloud VPN, que crea un túnel encriptado seguro a través de Internet o mediante circuitos privados directos.

La encriptación de datos en tránsito incluye la encriptación en tránsito entre el usuario final y Google, y la encriptación en tránsito dentro de las redes de Google. Para obtener más información, consulta Encriptación en tránsito paraGoogle Cloud.

¿Qué sigue?

Para comenzar con la autorización de FedRAMP para tu implementación deGoogle Cloud , revisa lo siguiente: