FedRAMP-Atestado: Kio Ĝi Estas, Kial Ĝi Gravas, kaj Kiu Ĝin Havas

Kimberly Parker

29-05-2023 Strategio
  • Kundividu Ĉi Tion
Kimberly Parker

Hakitaj famulaj fotilruloj. Ŝtat-bazita ciberspionado. Kaj ĉio intere. Sekureco de datumoj havas vastan gamon de aplikoj. Kaj ĝi estas grava zorgo por ĉiuj, kiuj uzas aŭ provizas nub-bazitajn servojn.

Kiam registaraj datumoj estas implikitaj, tiuj zorgoj povas atingi la nivelon de nacia sekureco. Tial la usona registaro postulas, ke ĉiuj nubaj servoj uzataj de federaciaj agentejoj plenumu skrupulan aron da sekurecnormoj konataj kiel FedRAMP.

Do ĝuste kio estas FedRAMP, kaj kion ĝi implicas? Vi estas en la ĝusta loko por ekscii.

Gratifiko: Legu la paŝon post paŝo la strategiogvidilon pri sociaj amaskomunikiloj kun profesiaj konsiloj pri kiel kreskigi vian ĉeeston en sociaj amaskomunikiloj.

Kio estas FedRAMP?

FedRAMP signifas la "Federacia Risko kaj Rajtiga Administra Programo." Ĝi normigas sekurecan taksadon kaj rajtigon por nubaj produktoj kaj servoj uzataj de usonaj federaciaj agentejoj.

La celo estas certigi, ke federaciaj datumoj estas konstante protektataj je alta nivelo en la nubo.

Akiri FedRAMP. rajtigo estas serioza afero. La nivelo de sekureco postulata estas postulita per leĝo. Estas 14 aplikeblaj leĝoj kaj regularoj, kune kun 19 normoj kaj gviddokumentoj. Ĝi estas unu el la plej rigoraj atestiloj pri programaro kiel servo en la mondo.

Jen rapida enkonduko:

FedRAMP ekzistas ekde 2012. Jen kiam nubaj teknologioj vere ekzistasrajtigo por Adobe Sign.

Lernu pli pri kiel @Adobe Sign funkcias por transiri de FedRAMP Tailored al FedRAMP Moderaj statuoj ĉi tie: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) La 12-an de aŭgusto 2020

Memoru, ke estas la servo, ne la servoprovizanto, kiu ricevas rajtigon. Kiel Adobe, vi eble devos serĉi plurajn rajtigojn se vi proponas pli ol unu nub-bazitan solvon.

Slack

Antaŭrigite en majo de ĉi tiu jaro, Slack havas 21 FedRAMP-rajtigojn. La produkto estas rajtigita je la Modera nivelo. Ĝi estas uzata de agentejoj inkluzive de:

  • la Centroj por Malsana Kontrolo kaj Protekto,
  • la Federacia Komisiono pri Komunikado, kaj
  • la Nacia Scienca Fondaĵo.
  • 12>

    La usona publika sektoro nun povas funkcii pli da sia laboro en Slack, danke al nia nova FedRAMP Modera rajtigo. Kaj plenumante tiujn severajn sekurecpostulojn, ni tenas aferojn sekuraj por ĉiu alia kompanio uzante Slack ankaŭ. //t.co/dlra7qVQ9F

    — Slack (@SlackHQ) la 13-an de aŭgusto 2020

    Slack origine ricevis FedRAMP Tailored rajtigon. Poste, ili traktis Moderan rajtigon per partnerado kun la Departemento pri Veteranoj-Aferoj.

    Slack certigas atentigi pri la sekurecaj avantaĝoj de ĉi tiu rajtigo por klientoj de la privata sektoro en sia retejo:

    “Ĉi tio. lasta rajtigo tradukiĝas al pli sekura sperto porSlack klientoj, inkluzive de privatsektoraj entreprenoj, kiuj ne postulas medion rajtigitan de FedRAMP. Ĉiuj klientoj uzantaj la komercajn ofertojn de Slack povas profiti de la plifortigitaj sekurecaj mezuroj necesaj por atingi FedRAMP-atestadon."

    Trello Enterprise Cloud

    Trello ĵus ricevis Li-SaaS-rajtigon en septembro. Trello estas ĝis nun uzata nur de la Ĝenerala Servo-Administracio. Sed la kompanio serĉas ŝanĝi tion, kiel vidite en siaj sociaj afiŝoj pri ilia nova FedRAMP-statuso:

    🏛️Kun la rajtigo FedRAMP de Trello, via agentejo nun povas uzi Trello por akceli produktivecon, detrui teamsilon kaj kreskigi. kunlaboro. //t.co/GWYgaj9jfY

    — Trello (@trello) la 12-an de oktobro 2020

    Zendesk

    Ankaŭ rajtigita en majo, Zendesk estas uzata de:

    • la Departemento pri Energio,
    • la Federacia Agentejo pri Loĝfinanco
    • la Oficejo de la Ĝenerala Inspektoro de la FHFA, kaj
    • la Administracio pri Ĝeneralaj Servoj.

    La Zendesk Klienta Subteno kaj Helpa Platformo havas Li-Saas-rajtigon.

    De hodiaŭ ni povas multe plifaciligi por registaraj agentejoj labori kun ni ĉar @Zendesk nun estas rajtigita de FedRAMP. Koran dankon al ĉiuj teamoj ene kaj ekster Zendesk pro la klopodo farita en ĉi tion. //t.co/A0HVwjhGsv

    — Mikkel Svane (@mikkelsvane) la 22-an de majo 2020

    FedRAMP por administrado pri sociaj amaskomunikiloj

    SMMExpert estas FedRAMPrajtigita. Registaraj agentejoj nun povas facile kunlabori kun la tutmonda gvidanto en administrado de sociaj amaskomunikiloj por engaĝiĝi kun civitanoj, administri krizajn komunikadojn kaj liveri servojn kaj informojn per sociaj amaskomunikiloj.

    Peti Demo

    komencis anstataŭigi malmodernajn ligitajn softvarsolvojn. Ĝi naskiĝis el la strategio "Nubo Unue" de la usona registaro. Tiu strategio postulis agentejojn rigardi nub-bazitajn solvojn kiel unuan elekton.

    Antaŭ FedRAMP, provizantoj de nubo-servo devis prepari rajtigan pakon por ĉiu agentejo kun kiu ili volis labori. La postuloj ne estis konsekvencaj. Kaj estis multe da duobla klopodo por kaj provizantoj kaj agentejoj.

    FedRAMP enkondukis konsistencon kaj simpligis la procezon.

    Nun, taksadoj kaj postuloj estas normigitaj. Multoblaj registaraj agentejoj povas reuzi la sekurecpakaĵon de FedRAMP-rajtigo de la provizanto.

    La komenca uzo de FedRAMP estis malrapida. Nur 20 nubaj servoproponoj estis rajtigitaj en la unuaj kvar jaroj. Sed la ritmo vere plifortiĝis ekde 2018, kaj nun estas 204 rajtigitaj nubaj produktoj de FedRAMP.

    Fonto: FedRAMP

    FedRAMP estas kontrolita de Komuna Rajtkomisiono (JAB). La estraro konsistas el reprezentantoj de:

    • la Departemento pri Ŝtatsekureco
    • la Administracio pri Ĝeneralaj Servoj, kaj
    • la Departemento pri Defendo.
    • 12>

      La programo estas aprobita de la usona registaro de la Federacia Konsilantaro de Ĉefaj Informoj.

      Kial FedRAMP-atestilo estas grava?

      Ĉiuj nubaj servoj tenantaj federaciajn datumojn postulas FedRAMP-rajtigon. Do, se vi volas labori kunla federacia registaro, FedRAMP-rajtigo estas grava parto de via sekureca plano.

      FedRAMP estas grava ĉar ĝi certigas konsistencon en la sekureco de la nubaj servoj de la registaro—kaj ĉar ĝi certigas konsistencon en taksado kaj monitorado de tiu sekureco. Ĝi provizas unu aron da normoj por ĉiuj registaraj agentejoj kaj ĉiuj nubaj provizantoj.

      Nubaj servaj provizantoj, kiuj estas rajtigitaj de FedRAMP, estas listigitaj en la FedRAMP Merkato. Ĉi tiu vendoplaco estas la unua loko, kiun registaraj agentejoj rigardas kiam ili volas akiri novan nub-bazitan solvon. Estas multe pli facile kaj rapide por agentejo uzi produkton, kiu estas jam rajtigita, ol komenci la rajtigan procezon kun nova vendisto.

      Do, listo en la FedRAMP-merkato faras vin multe pli probabla akiri plian komercon de registaraj agentejoj. Sed ĝi ankaŭ povas plibonigi vian profilon en la privata sektoro.

      Tio estas ĉar la FedRAMP-foirejo estas videbla por la publiko. Ajna kompanio de privata sektoro povas ruliĝi tra la listo de rajtigitaj solvoj de FedRAMP.

      Ĝi estas bonega rimedo kiam ili serĉas sekuran nuban produkton aŭ servon.

      FedRAMP-rajtigo povas fari ajnan klienton. pli memfida pri la sekurecaj protokoloj. Ĝi reprezentas daŭran devontigon plenumi la plej altajn sekurecajn normojn.

      FedRAMP-rajtigo signife pliigas vian sekurecan kredindecon.preter la FedRAMP Foirejo, ankaŭ. Vi povas dividi vian rajtigon de FedRAMP en sociaj retoj kaj en via retejo.

      La vero estas, ke plej multaj el viaj klientoj verŝajne ne scias kio estas FedRAMP. Ili ne zorgas ĉu vi estas rajtigita aŭ ne. Sed por tiuj grandaj klientoj, kiuj komprenas FedRAMP - kaj en la publikaj kaj privataj sektoroj -, manko de rajtigo povas esti interrompa.

      Kion necesas por esti FedRAMP atestita?

      Tie. estas du malsamaj manieroj iĝi FedRAMP rajtigita.

      1. Provizora Aŭtoritato por Funkcii Komuna Rajtiga Estraro (JAB)

      En ĉi tiu procezo, la JAB donas provizoran rajtigon. Tio lasas agentejojn scii ke la risko estis reviziita.

      Ĝi estas grava unua aprobo. Sed ĉiu agentejo, kiu volas uzi la servon, ankoraŭ devas eldoni sian propran Aŭtoritaton por Funkcii.

      Ĉi tiu procezo plej taŭgas por provizantoj de nubaj servoj kun alta aŭ modera risko. (Ni plonĝos en riskajn nivelojn en la sekva sekcio.)

      Jen vida superrigardo de la JAB-procezo:

      Fonto: FedRAMP

      2. Agentejo-Aŭtoritato por Funkcii

      En ĉi tiu procezo, la provizanto de nubaj servoj establas rilaton kun specifa federacia agentejo. Tiu agentejo estas implikita dum la procezo. Se la procezo estas sukcesa, la agentejo elsendas leteron de Aŭtoritato por Funkcii.

      Fonto: FedRAMP

      Paŝoj al FedRAMP-rajtigo

      Ne gravas, kiun tipon de rajtigo vi sekvas, FedRAMP-rajtigo implikas kvar ĉefajn paŝojn:

      1. Pakaĵo-disvolviĝo. Unue, estas rajtigo-komenca kunveno. Tiam la provizanto kompletigas Sisteman Sekurecplanon. Poste, triaparta taksa organizo aprobita de FedRAMP ellaboras Sekurecan Takso-Planon.
      2. Taksadon. La taksa organizo sendas Sekurecan Takso-raporton. La provizanto kreas Planon de Agado & Mejloŝtonoj.
      3. Rajtigo. La JAB aŭ rajtiganta agentejo decidas ĉu la risko kiel priskribita estas akceptebla. Se jes, ili sendas leteron de Aŭtoritato por Funkcii al la oficejo pri administrado de projektoj FedRAMP. La provizanto tiam estas listigita en la FedRAMP Marketplace.
      4. Monitorado. La provizanto sendas ĉiumonate sekurecmonitorajn liverojn al ĉiu agentejo uzanta la servon.

      FedRAMP-rajtigo plej bone. praktikoj

      La procezo por atingi rajtigon de FedRAMP povas esti malfacila. Sed estas en la plej bona intereso de ĉiuj implikitaj, ke provizantoj de nubaj servoj sukcesu post kiam ili komencas la rajtigan procezon.

      Por helpi, FedRAMP intervjuis plurajn malgrandajn entreprenojn kaj noventreprenojn pri lecionoj lernitaj dum rajtigo. Jen iliaj sep plej bonaj konsiletoj por sukcese navigi la rajtigan procezon:

      1. Komprenu kiel viaproduktaj mapoj al FedRAMP - inkluzive de analizo de brecoj.
      2. Akiru organizan aĉeton kaj engaĝiĝon - inkluzive de la administra teamo kaj teknikaj teamoj.
      3. Trovu agentejan partneron - unu kiu uzas vian produkton aŭ estas engaĝita fari tion.
      4. Pasigu tempon precize difinante vian limon. Tio inkluzivas:
        • internaj komponantoj
        • konektoj al eksteraj servoj, kaj
        • la fluo de informoj kaj metadatenoj.
      5. Pensu pri FedRAMP kiel kontinua programo, prefere ol nur projekto kun komenca kaj findato. Servoj devas esti kontinue kontrolataj.
      6. Atente pripensu vian rajtigan aliron. Multoblaj produktoj povas postuli plurajn rajtigojn.
      7. La FedRAMP PMO estas valora rimedo. Ili povas respondi teknikajn demandojn kaj helpi vin plani vian strategion.

      FedRAMP ofertas ŝablonojn por helpi provizantoj de nubaj servoj prepariĝi por FedRAMP-konformeco.

      Kio estas la kategorioj. de FedRAMP-konformeco?

      FedRAMP ofertas kvar efiknivelojn por servoj kun malsamaj specoj de risko. Ili baziĝas sur la eblaj efikoj de sekureca rompo en tri malsamaj areoj.

      • Konfidenco: Protektoj por privateco kaj propra informo.
      • Integreco: Protektoj kontraŭ modifo aŭ detruo de informoj.
      • Havebleco: ĝustatempa kaj fidinda aliro al datumoj.

      La unuaj tri.efikniveloj estas bazitaj sur Federal Information Processing Standard (FIPS) 199 de la National Institute of Standards and Technology (NIST). La kvara baziĝas sur NIST Speciala Publikaĵo 800-37. La efikniveloj estas:

      • Altaj, surbaze de 421 kontroloj. “La perdo de konfidenco, integreco aŭ havebleco povus esti atendita havi severan aŭ katastrofan malfavoran efikon al organiza. operacioj, organizaj aktivoj, aŭ individuoj." Ĉi tio kutime validas por policoj, krizservoj, financaj kaj sansistemoj.
      • Modera, surbaze de 325 kontroloj. "La perdo de konfidenco, integreco aŭ havebleco povus esti atendita havi grava malfavora efiko al organizaj operacioj, organizaj aktivoj aŭ individuoj." Preskaŭ 80 procentoj de aprobitaj FedRAMP-aplikoj estas je la modera efiknivelo.
      • Malalta, surbaze de 125 kontroloj. “La perdo de konfidenco, integreco aŭ havebleco povus esti atendita havi limigitan. malfavora efiko al organizaj operacioj, organizaj aktivoj aŭ individuoj.”
      • Malalt-Impakta Programaro-as-a-Servo (LI-SaaS), bazita sur 36 kontroloj . Por "sistemoj kiuj estas malalta risko por uzoj kiel kunlaboraj iloj, projekt-administradaplikoj kaj iloj kiuj helpas evoluigi malfermfontan kodon." Ĉi tiu kategorio ankaŭ estas konata kiel FedRAMP Tailored.

      Ĉi tiu lasta kategorio estis aldonita en 2017por faciligi al agentejoj aprobi "malaltajn riskajn uzkazojn". Por kvalifiki por FedRAMP Tailored, la provizanto devas respondi jes al ses demandoj. Ĉi tiuj estas afiŝitaj sur la FedRAMP Tailored-politika paĝo:

      • Ĉu la servo funkcias en nuba medio?
      • Ĉu la nuba servo plene funkcias?
      • Ĉu la nubo estas plene funkcianta? servi Programaron kiel Servo (SaaS), kiel difinite de NIST SP 800-145, The NIST Definition of Cloud Computing?
      • La nuba servo ne enhavas persone identigeblajn informojn (PII), krom se necese por provizi ensaluta kapablo (uzantnomo, pasvorto kaj retadreso)?
      • Ĉu la nuba servo havas malaltan sekurecan efikon, kiel difinite de FIPS PUB 199, Normoj por Sekureca Kategorio de Federaciaj Informoj kaj Informaj Sistemoj?
      • Ĉu la nuba servo estas gastigita ene de FedRAMP-aŭtorizita Platformo kiel Servo (PaaS) aŭ Infrastrukturo kiel Servo (IaaS), aŭ ĉu la CSP provizas la suban nuban infrastrukturon?

      Rememoru. ke atingi FedRAMP-konformecon ne estas unufoja tasko. Ĉu vi memoras la Monitoran etapon de FedRAMP-rajtigo? Tio signifas, ke vi devos sendi regulajn sekurecajn reviziojn por certigi, ke vi resti FedRAMP konforma.

      Gratifiko: Legu la paŝon post paŝo la strategiogvidilon pri sociaj amaskomunikiloj kun profesiaj konsiloj pri kiel kreskigi vian ĉeeston en sociaj amaskomunikiloj.

      Akiru la senpagan gvidilon nun!

      Ekzemploj de FedRAMP atestitaproduktoj

      Estas multaj specoj de rajtigitaj produktoj kaj servoj de FedRAMP. Jen kelkaj ekzemploj de nubaj servaj provizantoj, kiujn vi konas kaj eble jam uzas vin.

      Amazon Retejaj Servoj

      Estas du AWS-listoj en la FedRAMP Marketplace. AWS GovCloud estas rajtigita je la Alta nivelo. AWS US Orienta/Okcidento estas rajtigita je la Modera nivelo.

      Ĉu vi aŭdis? Klientoj de AWS GovCloud (Usono) povas uzi #AmazonEFS por misi-kritikaj dosieraj laborkvantoj danke al lastatempe atingado de FedRAMP High-rajtigo. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

      — AWS por Registaro (@AWS_Gov) la 18-an de oktobro 2019

      AWS GovCloud havas enormajn 292 rajtigojn. AWS Usono Orienta/Okcidento havas 250 rajtigojn. Tio estas multe pli ol iu ajn alia listo en la FedRAMP Marketplace.

      Adobe Analytics

      Adobe Analytics estis rajtigita en 2019. Ĝi estas uzata de la Centroj por Malsanoj Kontrolo kaj Preventado kaj la Departemento pri Sano kaj Homaj Servoj. Ĝi estas rajtigita ĉe la LI-SaaS-nivelo.

      Adobe efektive havas plurajn produktojn rajtigitajn ĉe la LI-SaaS-nivelo. (Kiel Adobe Campaign kaj Adobe Document Cloud.) Ili ankaŭ havas kelkajn produktojn rajtigitajn je la Modera nivelo:

      • Adobe Connect Managed Services
      • Adobe Experience Manager Managed Services.

      Adobe estas nuntempe en la procezo de transiro de FedRAMP Tailored rajtigo al FedRAMP Moderate

Antaŭa afiŝo La Perfekta Gvidilo pri Socia Amaskomunikilaro por Via Marko en 2023
Sekva afiŝo 8 Konsiletoj por Senmanka Instagram-Transpreno

Kimberly Parker estas sperta profesiulo pri cifereca merkatado kun pli ol 10 jaroj da sperto en la industrio. Kiel la fondinto de sia propra merkata agentejo pri sociaj amaskomunikiloj, ŝi helpis multajn entreprenojn tra diversaj industrioj establi kaj kreskigi sian interretan ĉeeston per efikaj strategioj pri sociaj amaskomunikiloj. Kimberly ankaŭ estas produktiva verkisto, kontribuinte artikolojn pri sociaj amaskomunikiloj kaj cifereca merkatado al pluraj bonfamaj publikaĵoj. En sia libera tempo, ŝi amas eksperimenti kun novaj receptoj en la kuirejo kaj iri longajn promenojn kun sia hundo.