Mientras las organizaciones intentan cumplir con los estrictos requisitos del modelo CMMC 2.0, el uso de entornos de nube seguros puede ayudar a que el proceso de cumplimiento sea más rápido y rentable.
AWS GovCloud, AWS Secret Cloud, Azure Gov Cloud y Google Cloud ofrecen entornos de nube seguros y conformes que ayudan a las organizaciones a cumplir con los requisitos de CMMC.
En este artículo de blog, explicamos cómo puede acceder a estos entornos de nube especiales y cómo pueden apoyar sus esfuerzos de cumplimiento con CMMC.
Cómo un proveedor de nube gubernamental puede simplificar el cumplimiento de CMMC
Cuando un contratista del DoD utiliza un proveedor de servicios de nube externo para procesar, almacenar o transmitir CUI, dicho proveedor debe cumplir con requisitos de seguridad específicos. En concreto, el contratista del DoD debe asegurarse, de acuerdo con DFARS 252.204-7012 y el proceso de evaluación de CMMC, de que el CSP implementa medidas de seguridad que cumplen con la línea base moderada de FedRAMP. Este requisito tiene como objetivo asegurar que el proveedor puede proteger la confidencialidad, integridad y disponibilidad de CUI en el entorno de nube.
Esto significa que el contratista del DoD asume muchas funciones de seguridad de un proveedor de nube gubernamental. Por ejemplo, si el proveedor ya ha implementado cifrado, el contratista del DoD no necesita invertir tiempo ni dinero en implementar esta capacidad en la nube. Este es el concepto de responsabilidad compartida.
En un modelo de responsabilidad compartida, algunos controles y requisitos de seguridad deben ser cumplidos en su totalidad por el CSP, otros en su totalidad por el cliente, y otros más dividen la responsabilidad entre el CSP y el cliente.
Aunque no herede el 100 % de la seguridad de un CSP, este cumple con algunos de los requisitos de CMMC en su nombre. Por ejemplo, un CSP generalmente ofrece una amplia gama de controles y procesos heredables, tales como:
- seguridad física
- soporte de medios
- mantenimiento de equipos
- protección del área
- gestión de parches y configuración
- auditoría continua
- medidas de prevención
- automatización de APIs
- actualizaciones de software
respaldo y almacenamiento de datos
Cada CSP tendrá una matriz única de responsabilidad compartida y es importante que su organización entienda qué controles y requisitos son cubiertos por el CSP y cuáles deben ser cubiertos por su organización. El CMMC recomienda obtener esta matriz de responsabilidades por escrito de su proveedor.
Al utilizar servicios en la nube autorizados por FedRAMP (o presentando una prueba similar como en el proceso de FedRAMP), su organización puede beneficiarse de soluciones preconfiguradas diseñadas específicamente para cumplir con los requisitos del CMMC. Esto es particularmente ventajoso si usted es una pequeña o mediana empresa que carece del conocimiento y la experiencia en comparación con grandes proveedores como Amazon y Microsoft.
Cómo obtener acceso a AWS GovCloud
AWS GovCloud (EE.UU.) es una región de nube aislada diseñada para alojar todo tipo de datos CUI y datos no clasificados para agencias y entidades gubernamentales de EE.UU. verificadas. Cumple con muchos marcos regulatorios, incluidos FedRAMP, CJIS y las Regulaciones Internacionales de Tráfico de Armas (ITAR).
Puede seguir los siguientes pasos para obtener acceso.
Paso 1: Verifique su elegibilidad
AWS GovCloud está disponible para agencias gubernamentales de EE.UU. y sus contratistas. Para ser elegible, su organización debe ser una entidad basada en EE.UU. y su entorno debe ser administrado por personas de EE.UU.
Paso 2: Solicite el acceso
Para iniciar el proceso, visite la página de AWS GovCloud (EE.UU.) y complete el formulario de contacto. Un representante de ventas de AWS revisará el formulario y se pondrá en contacto con usted.
Los clientes calificados también pueden solicitar acceso a AWS GovCloud (EE.UU.) a través de la consola de administración de AWS de una cuenta estándar de AWS. AWS revisará su solicitud y, si se aprueba, lo guiará a través del proceso de integración.
Paso 3: Firme un contrato
Para obtener acceso, debe firmar un acuerdo de cliente y un acuerdo específico para AWS GovCloud (EE.UU.).
Paso 4: Cree un usuario IAM
No puede acceder a AWS GovCloud (EE.UU.) con credenciales estándar de AWS. Debe tener credenciales de usuario IAM de AWS GovCloud (EE.UU.). Solo el propietario de la cuenta (también conocido como usuario root) o un administrador de IAM en la cuenta de AWS GovCloud (EE.UU.) pueden crear usuarios IAM y proporcionar las credenciales correspondientes.
Los pasos para crear un usuario IAM varían según su rol como proveedor de soluciones o propietario de la cuenta. Puede encontrar estos pasos en la Guía del usuario de AWS GovCloud (EE.UU.) .
Cómo obtener acceso a AWS Secret Cloud
AWS Secret Cloud es un entorno en la nube altamente seguro y escalable para cargas de trabajo que han sido clasificadas como secretas por el gobierno de los Estados Unidos. Está diseñado para la comunidad de inteligencia de los Estados Unidos, el Departamento de Defensa, agencias civiles federales, la industria de defensa y organizaciones de apoyo que trabajan con información clasificada. Cumple con los requisitos del Guía de Requisitos de Seguridad de Computación en la Nube del DoD Nivel de Impacto 6 y la Directiva de la Comunidad de Inteligencia (ICD) 503.
Puede seguir los siguientes pasos para obtener acceso.
Paso 1: Comprender los requisitos
AWS Secret Cloud solo está disponible para organizaciones que tienen contratos especiales con el gobierno de los Estados Unidos que requieren un entorno clasificado. El acceso es muy restringido y generalmente requiere una estrecha colaboración con la agencia gubernamental con la que tiene el contrato.
Paso 2: Solicitar acceso
Hay menos información pública sobre AWS Secret Cloud que sobre AWS GovCloud (EE. UU.). Debe visitar la página de AWS Secret Cloud y completar el formulario de contacto para obtener más información y solicitar acceso.
Paso 3: Coordinación con el gobierno de EE. UU.
Si su proyecto requiere el uso de AWS Secret Cloud, debe colaborar directamente con la agencia gubernamental que respalda su proyecto. Ellos lo guiarán a través de los pasos necesarios, incluidos los requisitos de seguridad y los procedimientos de acceso.
Cómo obtener acceso a Azure Government
Azure Government es una plataforma en la nube que ha sido desarrollada para cumplir con los estrictos requisitos de seguridad y cumplimiento de las agencias gubernamentales de los Estados Unidos. Garantiza el cumplimiento de diversas normativas, incluyendo FedRAMP High, la cláusula DFARS 252.204-7012, CJIS, e ITAR.
Puede seguir los siguientes pasos para obtener acceso.
Paso 1: Verificar la elegibilidad
Azure Government está disponible para las agencias gubernamentales de EE. UU. y sus socios. Al igual que AWS GovCloud, está limitado a entidades ubicadas en los EE. UU. que son gestionadas por ciudadanos estadounidenses.
Paso 2: Solicitar acceso
Para obtener acceso a Azure Government, visite la página de Azure Government y complete el formulario para iniciar el proceso. Microsoft revisará su elegibilidad y, si se aprueba, continuará con el proceso de incorporación.
También puede solicitar una versión de prueba gratuita para comenzar.
Paso 3: Conectar con Azure Government
Hay varias formas de conectarse con Azure Government, incluidas el portal de Azure Government, Azure CLI y Powershell. Microsoft proporciona instrucciones detalladas para cada uno de estos métodos.
Paso 4: Utilizar Azure Blueprints
Microsoft ofrece Azure Blueprints para CMMC, que son plantillas preconfiguradas que le ayudan a configurar rápidamente un entorno conforme. Estos planos simplifican el proceso de cumplimiento de los requisitos de CMMC al explicar cómo se pueden implementar los servicios y funciones de Azure Government para cumplir con parte de los controles de seguridad que son responsabilidad del cliente.
Similar a AWS, Microsoft también ofrece Azure Government Secret para datos clasificados. Los pasos para obtener acceso son similares a los descritos anteriormente.
Cómo obtener acceso a Google Cloud
Google Cloud es otra plataforma en la nube que ha sido desarrollada para cumplir con los estándares de seguridad más estrictos del gobierno de los EE. UU. Además de obtener la autorización para FedRAMP High, Google ha realizado evaluaciones NIST SP 800-171, incluyendo una evaluación de preparación para CMMC en octubre de 2023, para prepararse para una evaluación oficial de CMMC Nivel 2 una vez que CMMC 2.0 esté completo.
A diferencia de AWS y Azure, Google no ofrece “nubes aisladas para gobiernos”. En cambio, Google Cloud ha obtenido la aprobación para Impact Level 5 para un número creciente de servicios en su nube comercial y se compromete a certificar toda su infraestructura en la nube en los EE. UU. al nivel IL-5. El objetivo es brindar a todos los usuarios, incluidos los del sector público, la confiabilidad, escalabilidad e innovación de Google Cloud.
Sin embargo, esto significa que las organizaciones que deseen mantener la conformidad con CMMC deben usar solo regiones y centros de datos de EE. UU. La buena noticia es que Google Cloud ofrece el portafolio de servicios en la nube más extenso del mercado para clientes gubernamentales de EE. UU., incluyendo nueve regiones y 28 zonas soportadas.
Acceder a Google Cloud es simple. Simplemente cree una cuenta de Google Cloud y podrá comenzar a configurar su plataforma.
Consideraciones importantes al utilizar servicios de nube gubernamental
Al utilizar un proveedor de nube gubernamental como AWS GovCloud, AWS Secret Cloud, Azure Government o Google Cloud e intentar alcanzar y mantener la conformidad con CMMC, tenga en cuenta lo siguiente:
- Soberanía de datos: Asegúrese de que sus datos permanezcan en los EE. UU. y sean gestionados por estadounidenses para cumplir con los requisitos del CMMC y otras normativas.
- Control de acceso: Implemente controles de acceso estrictos para limitar quién puede acceder a información sensible, de acuerdo con los requisitos de CMMC.
- Monitoreo continuo: Utilice las herramientas de monitoreo de AWS y Azure para evaluar y mantener continuamente la conformidad con los estándares de CMMC.
- Documentación: Lleve una documentación completa de la configuración de su entorno en la nube, las medidas de seguridad y el estado de conformidad para agilizar el proceso de evaluación de CMMC.
Preguntas Frecuentes
¿Puede un proveedor de servicios en la nube cumplir con algunos de los requisitos del CMMC por usted?
Sí, algunos de los requisitos del CMMC pueden ser cumplidos por un proveedor de servicios en la nube (CSP). En el modelo de responsabilidad compartida, muchos controles de seguridad básicos (como la seguridad física, la seguridad de la infraestructura de red y ciertos controles de acceso) suelen ser gestionados por el CSP. Por ejemplo, el CMMC exige ciertas medidas de protección para el almacenamiento y la transmisión de datos. Si utiliza un CSP que cumpla con estándares específicos como FedRAMP o NIST SP 800-171, estos estándares pueden alinearse con los controles del CMMC. El CSP puede ya haber cumplido con algunos de los requisitos del CMMC en cuanto a la seguridad de la infraestructura, pero el cliente sigue siendo responsable de configurar y gestionar sus sistemas de forma segura para cumplir con el resto de las obligaciones del CMMC.
¿Cómo sabe qué requisitos del CMMC ha cumplido su CSP?
Cada CSP tendrá una matriz única de responsabilidad compartida, y es importante que su organización entienda qué controles y requisitos son cubiertos por el CSP y cuáles son cubiertos por su organización. El CMMC recomienda obtener esta matriz de responsabilidades por escrito de su proveedor.
