¿Qué es un GovCloud? Preguntas y respuestas con el arquitecto jefe, Glenn Brunette
Cuando Salesforce llevó CRM a la nube, revolucionamos la forma en que nuestros clientes se conectaban con sus clientes, equipándolos con la tecnología para brindar sus servicios a escala y con facilidad. Pero para las agencias gubernamentales federales, estatales y locales, los desafíos de la implementación en una escala interfuncional, a la par que se protegen los datos de nuestros ciudadanos y nuestra nación, a menudo les han impedido aprovechar al máximo estos avances.
Todos hemos experimentado los efectos de una oficina gubernamental que usa tecnologías obsoletas, que no está equipada para satisfacer las necesidades de los ciudadanos modernos ni para producir las experiencias que se esperan de los gobiernos modernos. Esta infraestructura a menudo sobrecarga a las plantillas, frustra a los ciudadanos y dificulta la adaptación de este sector a nuestro panorama social, político y tecnológico en constante evolución. Es por eso que Salesforce ofrece una solución segura a este desafío, una solución que demuestra el cumplimiento normativo con numerosos marcos de conformidad del sector público: Government Cloud Plus.
Ya sea que esté familiarizado con Government Cloud Plus o no, es posible que se pregunte, "¿qué es exactamente GovCloud?" Hablé con Glenn Brunette, vicepresidente y arquitecto jefe de Government Cloud en Salesforce, para que nos explique qué hace que Salesforce Government Cloud Plus sea tan único (y seguro). Veamos.
Bueno, Glenn, todos queremos saber: ¿Qué es un GovCloud?
Bueno, en su forma más simple, GovCloud es solo un entorno de Internet dedicado a uno o más clientes o contratistas gubernamentales. Las instancias de Government Cloud Plus de Salesforce son precisamente eso, aunque, en realidad, el proceso va más allá de la simple incorporación de los clientes de GovCloud en un "espacio" dedicado. Lo más importante es que tenemos que cumplir con una amplia gama de requisitos específicos para la gestión de datos y cargas de trabajo del gobierno. Por lo tanto, Salesforce crea entornos GovCloud dedicados para sus clientes del sector público, mejorados con capacidades que cumplen con estos estándares.
Pero Salesforce está comprometido con un cumplimiento sólido para todos sus clientes, ¿qué hace que un GovCloud sea único?
Eso es cierto: nuestro principal valor es la confianza y nos adherimos a todas las normativas aplicables. Si bien no hay dos Government Cloud Plus de Salesforce idénticos, todos comparten muchas características comunes en cuanto a cómo se diferencian del resto del conjunto de productos Customer 360. Esas diferencias incluyen controles de cumplimiento mejorados, límites de autorización restringidos, proveedores de servicios de terceros autorizados, conectividad directa del cliente, criptografía aprobada por el gobierno y acceso administrativo restrictivo.
Eh, ¿me lo puedes traducir?
¡Por supuesto! Para mayor seguridad, los entornos de GovCloud cuentan con uno o más controles de cumplimiento mejorados (normalmente denominadas bases de referencia de cumplimiento del sector público). En los Estados Unidos, las agencias gubernamentales individuales se basan en el Marco de gestión de riesgos (RMF) del Instituto Nacional de Estándares y Tecnología (NIST), identificando los requisitos de cumplimiento específicos reunidos en una base de referencia.
Dichas bases de referencia pueden incluir la base de referencia de alto impacto FedRAMP o la base de referencia de impacto de nivel 4 del Departamento de Defensa. Salesforce creó su propia Base de referencia de cumplimiento que incluye numerosos marcos para crear una estrategia de cumplimiento unificada.
El límite de autorización restringida hace referencia a una barrera (piense en ella como una valla de seguridad alrededor de su casa) que rodea todos los componentes y servicios incluidos en el entorno de GovCloud. La valla indica lo que hay en GovCloud (su casa, en este caso) y cómo esta interactúa con otros sistemas y servicios fuera de dicho límite. De hecho, se requiere que los GovClouds restrinjan las comunicaciones entrantes y salientes, y que los funcionarios gubernamentales examinen y aprueben varios cambios. Algo así como un control de seguridad en la puerta.
Debido a ese límite de autorización restringido, se aplican consideraciones especiales cuando un GovCloud quiere usar o interactuar con un proveedor de servicios en la nube de terceros, independientemente de los datos compartidos a través de la conexión. Estos proveedores de servicios deben seguir el mismo conjunto de autorizaciones de cumplimiento que GovCloud (y en todos los mismos niveles). Por ejemplo, nuestros GovClouds no pueden integrarse con otros proveedores de servicios en la nube que no cumplan con los requisitos altos de FedRAMP.
Y eso no es todo: el acceso directo de los clientes desde Internet, a menudo no está permitido. Por lo tanto, los productos integrados en un entorno GovCloud deben poder interactuar con los clientes a través de conexiones de red dedicadas, establecidas directamente entre Salesforce y el gobierno.
Y dada la gran dependencia de la criptografía para la autenticación y la protección de los datos en tránsito y en reposo, o almacenados; los requisitos gubernamentales exigen que tanto GovClouds como sus clientes solo usen algoritmos, longitudes de claves, modos de cifrado y similares aprobados. Más importante aún, el gobierno también certifica de forma independiente los dispositivos criptográficos o las bibliotecas para su uso.
Cada una de estas capas de seguridad está protegida adicionalmente por un proceso similar a lo que muchos conocen como el principio de mínimo privilegio. Dado que los entornos de GovCloud almacenan, procesan y transmiten datos gubernamentales, Government Cloud Plus impone restricciones de acceso sobre quién puede obtener acceso físico o lógico a los sistemas dentro del límite de autorización. Las restricciones varían según el entorno de GovCloud, y el acceso a entornos de datos más confidenciales requiere niveles más rigurosos de selección de personal.
Teniendo en cuenta todos estos controles, ¿las GovCloud siempre serán diferentes?
Hoy por hoy, la respuesta es “sí”. Algunos requisitos impuestos a nuestras ofertas de Salesforce Government Cloud sencillamente no son necesarios, recomendados o no se pueden implementar en toda nuestra flota. Dicho esto, estamos realizando un gran esfuerzo para integrar capacidades y controles más sólidos en todas nuestras bases de producción, siempre que sea posible.
¡Guau!, ha sido toda una lección, las GovClouds son bastante fascinantes, ¿verdad? Con nuestros controles de seguridad y cumplimiento, los clientes gubernamentales pueden estar seguros de que sus datos están protegidos, mientras que las tecnologías de Salesforce les brindan las herramientas para que se centren en lo que hacen mejor y optimicen las experiencias de los clientes en las agencias estatales, locales y federales de todo el país.
Con Salesforce Government Cloud Plus, nuestros clientes tienen acceso al CRM líder del sector, servicios, plataforma, análisis, aplicaciones del sector público y otras soluciones de la industria que ayudan a los clientes y contratistas del gobierno a lograr sus objetivos y conseguir la transformación digital en toda la industria. Para obtener más información sobre las ofertas de Salesforce Government Cloud, póngase en contacto con un experto en soluciones gubernamentales: 1-844-807-8829.
Glenn Brunette es vicepresidente y arquitecto jefe de Government Cloud en Salesforce. En este cargo, es responsable del desarrollo de la estrategia de arquitectura, la ejecución de programas de arquitectura y de impulsar una paridad mejorada entre la flota comercial y de Government Cloud de Salesforce. Con más de 30 años de experiencia en el sector, Glenn ha desempeñado cargos como líder de GRC del sector público en Salesforce, arquitecto distinguido y responsable de ciberseguridad en Oracle, ingeniero distinguido y arquitecto jefe de seguridad en Sun Microsystems. Glenn ha obtenido dos patentes de ciberseguridad, ha participado en la publicación de muchos libros y artículos, y ha obtenido un máster y una licenciatura en Informática de la Universidad de St. Joseph.