رول های دوربین سلبریتی هک شده. جاسوسی سایبری مبتنی بر دولت و همه چیز در این بین. امنیت داده ها دارای طیف وسیعی از کاربردها است. و این یک نگرانی بزرگ برای همه کسانی است که از خدمات مبتنی بر ابر استفاده می‌کنند یا ارائه می‌کنند.

وقتی داده‌های دولتی درگیر هستند، این نگرانی‌ها می‌توانند به سطح امنیت ملی برسند. به همین دلیل است که دولت ایالات متحده تمام سرویس‌های ابری مورد استفاده توسط آژانس‌های فدرال را ملزم می‌کند که مجموعه‌ای دقیق از استانداردهای امنیتی معروف به FedRAMP را رعایت کنند.

بنابراین، FedRAMP چیست و شامل چه مواردی می‌شود؟ شما در مکان مناسبی برای پیدا کردن هستید.

پاداش: راهنمای گام به گام استراتژی رسانه های اجتماعی را با نکات حرفه ای در مورد چگونگی رشد حضور خود در رسانه های اجتماعی بخوانید.

FedRAMP چیست؟

FedRAMP مخفف "برنامه مدیریت ریسک و مجوز فدرال" است. این ارزیابی امنیتی و مجوز را برای محصولات و خدمات ابری مورد استفاده آژانس‌های فدرال ایالات متحده استاندارد می‌کند.

هدف این است که مطمئن شویم داده‌های فدرال به طور مداوم در سطح بالایی در ابر محافظت می‌شوند.

دریافت FedRAMP مجوز یک تجارت جدی است. سطح امنیت مورد نیاز توسط قانون تعیین شده است. 14 قانون و مقررات قابل اجرا به همراه 19 استاندارد و سند راهنمایی وجود دارد. این یکی از سخت‌گیرانه‌ترین گواهینامه‌های نرم‌افزار به‌عنوان سرویس در جهان است.

در اینجا یک مقدمه سریع وجود دارد:

FedRAMP از سال 2012 وجود داشته است. در آن زمان است که فناوری‌های ابری واقعاًمجوز برای Adobe Sign.

درباره نحوه عملکرد @Adobe Sign برای انتقال از FedRAMP Tailored به FedRAMP Moderate در اینجا بیشتر بدانید: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 12 آگوست 2020

به خاطر داشته باشید که این سرویس است که مجوز دریافت می کند، نه ارائه دهنده خدمات. مانند Adobe، اگر بیش از یک راه حل مبتنی بر ابر ارائه دهید، ممکن است مجبور شوید چندین مجوز را دنبال کنید.

Slack

Slack که در ماه مه سال جاری مجاز شد، دارای 21 مجوز FedRAMP است. این محصول در سطح متوسط ​​مجاز است. این توسط آژانس هایی از جمله:

• مراکز کنترل و حفاظت از بیماری،
• کمیسیون ارتباطات فدرال، و
• بنیاد ملی علوم استفاده می شود.

به لطف مجوز جدید FedRAMP Moderate، بخش دولتی ایالات متحده اکنون می تواند کارهای بیشتری را در Slack اجرا کند. و با رعایت این الزامات امنیتی سختگیرانه، ما چیزها را برای هر شرکت دیگری که از Slack استفاده می کند نیز ایمن نگه می داریم. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 13 اوت 2020

Slack ابتدا مجوز FedRAMP Tailored را دریافت کرد. سپس، آنها مجوز متوسط ​​را با همکاری با وزارت امور کهنه سربازان دنبال کردند.

Slack مطمئن می شود که توجه را به مزایای امنیتی این مجوز برای مشتریان بخش خصوصی در وب سایت خود جلب می کند:

«این آخرین مجوز به تجربه ای امن تر برایمشتریان سست، از جمله مشاغل بخش خصوصی که به محیط مجاز FedRAMP نیاز ندارند. همه مشتریانی که از پیشنهادات تجاری Slack استفاده می‌کنند، می‌توانند از تدابیر امنیتی بالا برای دستیابی به گواهی FedRAMP بهره ببرند."

Trello Enterprise Cloud

Trello به تازگی مجوز Li-SaaS را در سپتامبر دریافت کرد. Trello تاکنون فقط توسط اداره خدمات عمومی استفاده می شود. اما شرکت به دنبال تغییر آن است، همانطور که در پست های اجتماعی خود در مورد وضعیت جدید FedRAMP مشاهده می شود:

همکاری //t.co/GWYgaj9jfY

— Trello (@trello) 12 اکتبر 2020

Zendesk

همچنین در ماه مه مجاز شد، Zendesk توسط:

• وزارت انرژی،
• آژانس مالی مسکن فدرال
• دفتر FHFA بازرس کل، و
• اداره خدمات عمومی.

پلتفرم پشتیبانی مشتری و میز راهنمایی Zendesk دارای مجوز Li-Saas است.

از امروز می‌توانیم کار را برای سازمان‌های دولتی بسیار آسان‌تر کنیم زیرا Zendesk@ اکنون FedRAMP مجاز است. با تشکر فراوان از همه تیم های داخل و خارج از Zendesk برای تلاشی که در این زمینه انجام دادند. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) 22 مه 2020

FedRAMP برای مدیریت رسانه های اجتماعی

SMMExpert FedRAMP استمجاز است. سازمان های دولتی اکنون می توانند به راحتی با رهبر جهانی در مدیریت رسانه های اجتماعی برای تعامل با شهروندان، مدیریت ارتباطات بحران، و ارائه خدمات و اطلاعات از طریق رسانه های اجتماعی همکاری کنند.

درخواست نسخه ی نمایشی

قبل از FedRAMP، ارائه دهندگان خدمات ابری باید برای هر آژانسی که می خواستند با آن کار کنند، یک بسته مجوز تهیه می کردند. الزامات سازگار نبود. و تلاش‌های تکراری زیادی هم برای ارائه‌دهندگان و هم برای آژانس‌ها انجام شد.

FedRAMP سازگاری را معرفی کرد و فرآیند را ساده کرد.

اکنون، ارزیابی‌ها و الزامات استاندارد شده‌اند. چندین سازمان دولتی می‌توانند از بسته امنیتی مجوز FedRAMP ارائه‌دهنده استفاده مجدد کنند.

دریافت اولیه FedRAMP کند بود. تنها 20 ارائه خدمات ابری در چهار سال اول مجاز شد. اما سرعت از سال 2018 واقعاً افزایش یافته است و اکنون 204 محصول ابری مجاز FedRAMP وجود دارد.

منبع: FedRAMP

FedRAMP توسط یک هیئت مجوز مشترک (JAB) کنترل می شود. این هیئت متشکل از نمایندگانی از:

• وزارت امنیت داخلی
• اداره خدمات عمومی و
• وزارت دفاع است.
• 12>

  این برنامه توسط شورای افسران اطلاعات ارشد فدرال دولت ایالات متحده تأیید شده است.

  چرا گواهینامه FedRAMP مهم است؟

  همه سرویس های ابری که داده های فدرال را در اختیار دارند به مجوز FedRAMP نیاز دارند. بنابراین، اگر می خواهید با آن کار کنیددولت فدرال، مجوز FedRAMP بخش مهمی از برنامه امنیتی شما است.

  همچنین ببینید: 40 ابزار اینستاگرام که بازاریابان باید در سال 2022 استفاده کنند

  FedRAMP مهم است زیرا ثبات در امنیت سرویس‌های ابری دولت را تضمین می‌کند—و به این دلیل که ثبات در ارزیابی و نظارت بر امنیت را تضمین می‌کند. مجموعه ای از استانداردها را برای همه سازمان های دولتی و همه ارائه دهندگان ابر ارائه می دهد.

  ارائه دهندگان خدمات ابری که FedRAMP مجاز هستند در بازار FedRAMP فهرست شده اند. این بازار اولین جایی است که سازمان‌های دولتی وقتی می‌خواهند یک راه‌حل جدید مبتنی بر ابر را تهیه کنند، به آن نگاه می‌کنند. برای یک آژانس استفاده از محصولی که قبلاً مجاز است بسیار ساده‌تر و سریع‌تر از شروع فرآیند مجوز با یک فروشنده جدید است.

  بنابراین، فهرست‌بندی در بازار FedRAMP باعث می‌شود شما به احتمال زیاد کسب‌وکار بیشتری را از آن دریافت کنید. سازمان های دولتی. اما همچنین می تواند نمایه شما را در بخش خصوصی بهبود بخشد.

  به این دلیل است که بازار FedRAMP برای عموم قابل مشاهده است. هر شرکت بخش خصوصی می‌تواند در فهرست راه‌حل‌های مجاز FedRAMP حرکت کند.

  وقتی به دنبال منبع محصول یا خدمات ابری امن هستند، این منبع عالی است.

  مجوز FedRAMP می‌تواند هر مشتری را ایجاد کند. در مورد پروتکل های امنیتی مطمئن تر است. این نشان دهنده یک تعهد مداوم برای رعایت بالاترین استانداردهای امنیتی است.

  مجوز FedRAMP به طور قابل توجهی اعتبار امنیتی شما را افزایش می دهد.فراتر از بازار FedRAMP نیز. می توانید مجوز FedRAMP خود را در رسانه های اجتماعی و وب سایت خود به اشتراک بگذارید.

  حقیقت این است که اکثر مشتریان شما احتمالاً نمی دانند FedRAMP چیست. برای آنها مهم نیست که شما مجاز هستید یا نه. اما برای آن دسته از مشتریان بزرگی که FedRAMP را درک می‌کنند - هم در بخش عمومی و هم در بخش خصوصی - فقدان مجوز ممکن است یک معامله‌ساز باشد.

  چه چیزی برای تایید FedRAMP لازم است؟

  در آنجا وجود دارد. دو راه مختلف برای مجوز FedRAMP وجود دارد.

  1. مرجع موقت هیئت مجوز مشترک (JAB) برای عملیات

  در این فرآیند، JAB یک مجوز موقت صادر می کند. این به آژانس‌ها اجازه می‌دهد تا بدانند خطر بررسی شده است.

  این اولین تأییدیه مهم است. اما هر آژانسی که می‌خواهد از این سرویس استفاده کند، همچنان باید اختیار خود را برای عملیات صادر کند.

  این فرآیند برای ارائه‌دهندگان خدمات ابری با ریسک بالا یا متوسط ​​مناسب‌تر است. (ما در بخش بعدی به سطوح ریسک می پردازیم.)

  در اینجا مروری بصری از فرآیند JAB است:

  

  منبع: FedRAMP

  2. اداره آژانس برای عملیات

  در این فرآیند، ارائه دهنده خدمات ابری با یک آژانس فدرال خاص رابطه برقرار می کند. آن آژانس در سراسر این فرآیند دخیل است. در صورت موفقیت آمیز بودن فرآیند، آژانس یک نامه مرجع برای عملیات صادر می کند.

  

  منبع: FedRAMP

  مراحل مجوز FedRAMP

  مهم نیست که کدام نوع مجوز را دنبال می کنید، مجوز FedRAMP شامل چهار مرحله اصلی است:

  1. توسعه بسته. ابتدا، یک جلسه آغازین مجوز وجود دارد. سپس ارائه دهنده یک طرح امنیت سیستم را تکمیل می کند. در مرحله بعد، یک سازمان ارزیابی شخص ثالث مورد تایید FedRAMP یک طرح ارزیابی امنیتی را توسعه می دهد.
  2. ارزیابی. سازمان ارزیابی یک گزارش ارزیابی امنیتی ارائه می دهد. ارائه دهنده یک برنامه اقدام ایجاد می کند و & نقاط عطف.
  3. مجوز. JAB یا آژانس مجوز دهنده تصمیم می گیرد که آیا خطری که شرح داده شده قابل قبول است یا خیر. اگر پاسخ مثبت است، آنها نامه ای برای عملیات اجرایی به دفتر مدیریت پروژه FedRAMP ارسال می کنند. سپس ارائه‌دهنده در بازار FedRAMP فهرست می‌شود.
  4. مانیتورینگ. ارائه‌دهنده موارد تحویل نظارت بر امنیت ماهانه را برای هر آژانسی که از این سرویس استفاده می‌کند ارسال می‌کند.

  بهترین مجوز FedRAMP روش‌ها

  فرایند دستیابی به مجوز FedRAMP می‌تواند دشوار باشد. اما به نفع همه کسانی است که ارائه‌دهندگان خدمات ابری پس از شروع فرآیند مجوز، موفق شوند.

  برای کمک، FedRAMP با چندین کسب‌وکار کوچک و استارت‌آپ درباره درس‌های آموخته شده در طول مجوز مصاحبه مصاحبه کرد. در اینجا هفت بهترین نکته آنها برای پیمایش موفقیت آمیز در فرآیند مجوز آورده شده است:

  1. دریابید که چگونه شمانقشه های محصول به FedRAMP - از جمله تجزیه و تحلیل شکاف.
  2. خرید و تعهد سازمانی را دریافت کنید - از جمله از تیم اجرایی و تیم های فنی.
  3. یک شریک نمایندگی پیدا کنید - شریکی که از محصول شما استفاده می کند یا متعهد به انجام این کار است.
  4. زمانی را صرف تعیین دقیق مرز خود کنید. این شامل:
     • مولفه های داخلی
     • اتصال به سرویس های خارجی، و
     • جریان اطلاعات و ابرداده ها می شود.
  5. به این فکر کنید FedRAMP به عنوان یک برنامه پیوسته، به جای یک پروژه با تاریخ شروع و پایان. خدمات باید به طور مداوم نظارت شوند.
  6. رویکرد مجوز خود را به دقت در نظر بگیرید. ممکن است چندین محصول به چندین مجوز نیاز داشته باشند.
  7. FedRAMP PMO منبع ارزشمندی است. آنها می توانند به سؤالات فنی پاسخ دهند و به شما در برنامه ریزی استراتژی خود کمک کنند.

  FedRAMP الگوهایی را برای کمک به ارائه دهندگان خدمات ابری ارائه می دهد تا برای انطباق با FedRAMP آماده شوند.

  چه دسته هایی هستند. از انطباق با FedRAMP؟

  FedRAMP چهار سطح تاثیر را برای خدمات با انواع ریسک ارائه می دهد. آنها بر اساس تأثیرات احتمالی یک نقض امنیتی در سه حوزه مختلف هستند.

  • محرمانه: حفاظت از حریم خصوصی و اطلاعات اختصاصی.
  • یکپارچگی: حفاظت در برابر تغییر یا تخریب اطلاعات.
  • در دسترس بودن: دسترسی به موقع و قابل اعتماد به داده ها.

  سه مورد اولسطوح تأثیر بر اساس استاندارد پردازش اطلاعات فدرال (FIPS) 199 از مؤسسه ملی استانداردها و فناوری (NIST) است. چهارمین بر اساس NIST Special Publication 800-37 است. سطوح تاثیر عبارتند از:

  • بالا، بر اساس 421 کنترل. "از دست دادن محرمانه بودن، یکپارچگی، یا در دسترس بودن می‌توان انتظار داشت که اثر نامطلوب شدید یا فاجعه‌باری بر سازمان داشته باشد. عملیات، دارایی‌های سازمانی یا افراد». این معمولاً برای اجرای قانون، خدمات اضطراری، سیستم‌های مالی و بهداشتی اعمال می‌شود.
  • متوسط، بر اساس 325 کنترل. «از دست دادن محرمانه بودن، یکپارچگی یا در دسترس بودن می‌توان انتظار داشت. یک اثر نامطلوب جدی بر عملیات سازمانی، دارایی‌های سازمانی یا افراد». تقریباً 80 درصد از برنامه‌های مورد تأیید FedRAMP در سطح تأثیر متوسط ​​هستند.
  • پایین، بر اساس 125 کنترل. «از دست دادن محرمانه بودن، یکپارچگی یا در دسترس بودن می‌توان انتظار داشت که محدود باشد. اثر نامطلوب بر عملیات سازمانی، دارایی‌های سازمانی، یا افراد."
  • نرم‌افزار به‌عنوان سرویس با تأثیر کم (LI-SaaS)، بر اساس 36 کنترل . برای "سیستم هایی که برای استفاده هایی مانند ابزارهای همکاری، برنامه های کاربردی مدیریت پروژه و ابزارهایی که به توسعه کد منبع باز کمک می کنند، کم خطر هستند." این دسته با نام FedRAMP Tailored نیز شناخته می شود.

  این آخرین دسته در سال 2017 اضافه شدبرای تسهیل در تأیید «موارد استفاده کم خطر» برای آژانس ها. برای واجد شرایط بودن برای FedRAMP Tailored، ارائه دهنده باید به شش سوال پاسخ مثبت دهد. این موارد در صفحه خط‌مشی FedRAMP Tailored پست شده‌اند:

  • آیا سرویس در محیط ابری کار می‌کند؟
  • آیا سرویس ابری کاملاً عملیاتی است؟
  • آیا ابر سرویس یک نرم افزار به عنوان سرویس (SaaS)، همانطور که توسط NIST SP 800-145 تعریف شده است، تعریف NIST از رایانش ابری؟
  • سرویس ابری حاوی اطلاعات شناسایی شخصی (PII) نیست، به جز در صورت نیاز برای ارائه قابلیت ورود به سیستم (نام کاربری، رمز عبور و آدرس ایمیل)؟
  • آیا سرویس ابری، همانطور که توسط FIPS PUB 199، استانداردهای طبقه بندی امنیتی سیستم های اطلاعات و اطلاعات فدرال تعریف شده، دارای امنیت پایینی است؟
  • آیا سرویس ابری در یک پلتفرم مجاز FedRAMP به عنوان سرویس (PaaS) یا زیرساخت به عنوان سرویس (IaaS) میزبانی می شود، یا CSP زیرساخت ابری زیربنایی را ارائه می دهد؟

  به خاطر داشته باشید که دستیابی به انطباق با FedRAMP یک کار یکباره نیست. مرحله مانیتورینگ مجوز FedRAMP را به خاطر دارید؟ این بدان معناست که باید ممیزی‌های امنیتی منظم را ارسال کنید تا مطمئن شوید بمانید با FedRAMP سازگار باشید.

  پاداش: راهنمای گام به گام استراتژی رسانه های اجتماعی را با نکات حرفه ای در مورد چگونگی رشد حضور خود در رسانه های اجتماعی بخوانید.

  راهنمای رایگان را همین حالا دریافت کنید!

  نمونه هایی از FedRAMP دارای گواهیمحصولات

  انواع بسیاری از محصولات و خدمات مجاز FedRAMP وجود دارد. در اینجا چند نمونه از ارائه دهندگان خدمات ابری وجود دارد که شما می شناسید و ممکن است قبلاً از آنها استفاده کنید.

  Amazon Web Services

  دو لیست AWS در بازار FedRAMP وجود دارد. AWS GovCloud در سطح بالا مجاز است. AWS US East/West در سطح متوسط ​​مجاز است.

  شنیدید؟ مشتریان AWS GovCloud (ایالات متحده) می‌توانند از #AmazonEFS برای بارهای کاری فایل‌های حیاتی، به لطف اخیراً به دست آوردن مجوز FedRAMP High استفاده کنند. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

  — AWS برای دولت (@AWS_Gov) 18 اکتبر 2019

  AWS GovCloud دارای 292 مجوز فوق العاده است. AWS US East/West دارای 250 مجوز است. این بسیار بیشتر از هر فهرست دیگری در بازار FedRAMP است.

  Adobe Analytics

  Adobe Analytics در سال 2019 مجاز شد. این توسط مراکز کنترل و پیشگیری از بیماری ها و وزارت بهداشت و سلامت استفاده می شود. خدمات انسانی. در سطح LI-SaaS مجاز است.

  Adobe در واقع چندین محصول مجاز در سطح LI-SaaS دارد. (مانند Adobe Campaign و Adobe Document Cloud.) آنها همچنین دارای چند محصول مجاز در سطح متوسط ​​هستند:

  • Adobe Connect Managed Services
  • Adobe Experience Manager Managed Services.

  Adobe در حال حاضر در حال انتقال از مجوز FedRAMP Tailored به FedRAMP Moderate است.