FedRAMP-sertifikaasje: wat is it, wêrom it wichtich is en wa hat it

Kimberly Parker

29-05-2023 Strategy
  • Diel Dit
Kimberly Parker

Hacked celebrity kamera rollen. State-basearre cyberespionage. En alles der tusken. Gegevensfeiligens hat in grut oanbod fan applikaasjes. En it is in grutte soarch foar elkenien dy't cloud-basearre tsjinsten brûkt of leveret.

As oerheidsgegevens belutsen binne, kinne dy soargen it nivo fan nasjonale feiligens berikke. Dêrom fereasket de Amerikaanske regearing alle wolktsjinsten dy't brûkt wurde troch federale ynstânsjes om te foldwaan oan in sekuere set fan feiligensnormen bekend as FedRAMP.

Dus krekt wat is FedRAMP, en wat hâldt it yn? Jo binne op it goede plak om út te finen.

Bonus: Lês de stap-foar-stapke hantlieding foar sosjale mediastrategy mei pro-tips oer hoe jo jo oanwêzigens op sosjale media kinne groeie.

Wat is FedRAMP?

FedRAMP stiet foar it "Federal Risk and Authorization Management Program." It standerdisearret feiligens beoardieling en autorisaasje foar wolk produkten en tsjinsten brûkt troch Amerikaanske federale ynstânsjes.

It doel is om te soargjen dat federale gegevens konsekwint beskerme wurde op in heech nivo yn 'e wolk.

FedRAMP krije. autorisaasje is serieus bedriuw. It fereaske nivo fan feiligens is ferplicht troch de wet. D'r binne 14 jildende wetten en regeljouwing, tegearre mei 19 noarmen en begeliedingsdokuminten. It is ien fan 'e meast strange software-as-a-service-sertifikaasjes yn' e wrâld.

Hjir is in rappe yntroduksje:

FedRAMP bestiet sûnt 2012. Dat is doe't wolktechnologyen echt binneautorisaasje foar Adobe Sign.

Lês mear oer hoe't @Adobe Sign wurket om te ferpleatsen fan FedRAMP Maatwurk nei FedRAMP Moderate stânbylden hjir: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 12 augustus 2020

Tink derom dat it de tsjinst is, net de tsjinstferliener, dy't autorisaasje krijt. Lykas Adobe, moatte jo miskien meardere autorisaasjes folgje as jo mear as ien cloud-basearre oplossing oanbiede.

Slack

Autorisearre yn maaie fan dit jier, Slack hat 21 FedRAMP-autorisaasjes. It produkt is autorisearre op it moderate nivo. It wurdt brûkt troch ynstânsjes ynklusyf:

  • de Centers for Disease Control and Protection,
  • de Federal Communications Commission, en
  • de National Science Foundation.

De publike sektor fan 'e Feriene Steaten kin no mear fan har wurk yn Slack útfiere, tank oan ús nije FedRAMP Moderate autorisaasje. En troch te foldwaan oan dy strange feiligenseasken, hâlde wy dingen feilich foar elk oar bedriuw dat Slack ek brûkt. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 13 augustus 2020

Slack krige oarspronklik FedRAMP Tailored autorisaasje. Dêrnei folgen se Moderate autorisaasje troch gearwurking mei de ôfdieling Veteranensaken.

Slack soarget derfoar om omtinken te freegjen foar de feiligensfoardielen fan dizze autorisaasje foar kliïnten yn 'e partikuliere sektor op har webside:

"Dit lêste autorisaasje fertaalt nei in feiliger ûnderfining foarSlack klanten, ynklusyf bedriuwen yn partikuliere sektor dy't gjin FedRAMP-autorisearre omjouwing nedich binne. Alle klanten dy't de kommersjele oanbiedingen fan Slack brûke, kinne profitearje fan de ferhege feiligensmaatregels dy't nedich binne om FedRAMP-sertifikaasje te berikken. Trello wurdt oant no ta allinnich brûkt troch de General Services Administration. Mar it bedriuw besiket dat te feroarjen, lykas sjoen yn har sosjale berjochten oer har nije FedRAMP-status:

🏛️Mei Trello's FedRAMP-autorisaasje kin jo buro no Trello brûke om de produktiviteit te stimulearjen, teamsilo's ôf te brekken en te befoarderjen kollaboraasje. //t.co/GWYgaj9jfY

— Trello (@trello) 12 oktober 2020

Zendesk

Ek autorisearre yn maaie, Zendesk wurdt brûkt troch:

  • it Department of Energy,
  • it Federal Housing Finance Agency
  • it FHFA Office of the Inspector General, en
  • de General Services Administration.

It Zendesk Customer Support and Help Desk Platform hat Li-Saas autorisaasje.

Fan hjoed ôf kinne wy ​​it in stik makliker meitsje foar oerheidsynstânsjes om mei ús te wurkjen, om't @Zendesk no FedRAMP autorisearre is. Tige tank oan alle teams fan binnen en bûten Zendesk foar de ynset dy't hjirfoar set is. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) May 22, 2020

FedRAMP for social media management

SMMExpert is FedRAMPautorisearre. Oerheidsynstânsjes kinne no maklik gearwurkje mei de wrâldwide lieder yn sosjale mediabehear om mei boargers yn te gean, krisiskommunikaasje te behearjen, en tsjinsten en ynformaasje te leverjen fia sosjale media.

Fersykje in demo

begûn te ferfangen ferâldere tethered software oplossings. It waard berne út 'e strategy fan' e Amerikaanske regearing "Cloud First". Dy strategy easke ynstânsjes om te sjen nei wolk-basearre oplossingen as in earste kar.

Foardat FedRAMP moasten wolktsjinstferlieners in autorisaasjepakket foar elk buro dêr't se mei wurkje woene, in autorisaasjepakket tariede. De easken wiene net konsekwint. En der wie in protte dûbele ynspanningen foar sawol oanbieders as ynstânsjes.

FedRAMP yntrodusearre konsistinsje en streamline it proses.

No binne evaluaasjes en easken standerdisearre. Meardere oerheidsynstânsjes kinne it FedRAMP-autorisaasjebefeiligingspakket fan 'e provider opnij brûke.

De earste FedRAMP-opname wie stadich. Allinich 20 oanbiedingen foar wolktsjinsten waarden yn 'e earste fjouwer jier autorisearre. Mar it tempo is sûnt 2018 echt ophelle, en d'r binne no 204 FedRAMP autorisearre wolkprodukten.

Boarne: FedRAMP

FedRAMP wurdt kontrolearre troch in Joint Authorization Board (JAB). It bestjoer bestiet út fertsjintwurdigers fan:

  • it Department of Homeland Security
  • de General Services Administration, en
  • it Department of Defense.

It programma wurdt ûnderskreaun troch de Federal Chief Information Officers Council fan 'e Amerikaanske regearing.

Wêrom is FedRAMP-sertifikaasje wichtich?

Alle wolktsjinsten mei federale gegevens hawwe FedRAMP-autorisaasje nedich. Dus, as jo wolle wurkje meiit federale regear, FedRAMP autorisaasje is in wichtich part fan jo feiligens plan.

FedRAMP is wichtich omdat it soarget foar konsistinsje yn 'e feiligens fan' e oerheid syn wolk tsjinsten-en omdat it soarget foar konsistinsje yn evaluaasje en tafersjoch op dy feiligens. It jout ien set fan noarmen foar alle oerheidsynstânsjes en alle wolk providers.

Cloud tsjinstferlieners dy't FedRAMP autorisearre binne neamd yn de FedRAMP Marketplace. Dizze merk is it earste plak dat oerheidsynstânsjes sjogge as se in nije wolkbasearre oplossing wolle boarne. It is folle makliker en flugger foar in buro om in produkt te brûken dat al autorisearre is dan it autorisaasjeproses te begjinnen mei in nije ferkeaper.

Dus, in fermelding yn 'e FedRAMP-merk makket jo folle mear kâns om ekstra bedriuwen te krijen fan oerheidsynstânsjes. Mar it kin jo profyl ek ferbetterje yn 'e partikuliere sektor.

Dat komt om't de FedRAMP-merkplak sichtber is foar it publyk. Elk bedriuw yn 'e partikuliere sektor kin troch de list mei FedRAMP-autorisearre oplossingen rôlje.

It is in geweldige boarne as se sykje om in feilich wolkprodukt of tsjinst te boarnen.

FedRAMP-autorisaasje kin elke kliïnt meitsje mear fertrouwen oer de feiligensprotokollen. It fertsjintwurdiget in trochgeande ynset om te foldwaan oan 'e heechste feiligensnoarmen.

FedRAMP-autorisaasje fergruttet jo feiligensleauwigens signifikantek bûten de FedRAMP Marketplace. Jo kinne jo FedRAMP-autorisaasje diele op sosjale media en op jo webside.

De wierheid is dat de measte fan jo kliïnten wierskynlik net witte wat FedRAMP is. Se skele net oer oft jo autorisearre binne of net. Mar foar dy grutte kliïnten dy't FedRAMP begripe - yn sawol de publike as partikuliere sektor - kin gebrek oan autorisaasje in deal-breaker wêze.

Wat hat it nedich om FedRAMP-sertifisearre te wurden?

Dêr binne twa ferskillende manieren om FedRAMP autorisearre te wurden.

1. Joint Authorization Board (JAB) Provisional Authority to Operating

Yn dit proses jout de JAB in foarlopige autorisaasje út. Dat lit ynstânsjes witte dat it risiko is hifke.

It is in wichtige earste goedkarring. Mar elk buro dat de tsjinst brûke wol moat noch har eigen Autoriteit útjaan om te operearjen.

Dit proses is it bêste geskikt foar providers fan wolktsjinsten mei hege of matige risiko. (Wy sille dûke yn risikonivo's yn 'e folgjende paragraaf.)

Hjir is in fisueel oersjoch fan it JAB-proses:

Boarne: FedRAMP

2. Agency Authority to Operate

Yn dit proses stelt de provider fan wolktsjinsten in relaasje mei in spesifyk federale buro. Dat buro is yn it hiele proses belutsen. As it proses suksesfol is, jout it buro in brief fan 'e Autoriteit om te operearjen.

Boarne: FedRAMP

Stappen nei FedRAMP-autorisaasje

It makket net út hokker type autorisaasje jo neistribbe, FedRAMP-autorisaasje omfettet fjouwer haadstappen:

  1. Pakketûntwikkeling. Earst is der in autorisaasje-kick-off-gearkomste. Dan foltôget de provider in System Security Plan. Folgjende ûntwikkelet in FedRAMP-goedkard beoardielingsorganisaasje fan tredden in Security Assessment Plan.
  2. Beoardieling. De beoardielingsorganisaasje jout in Security Assessment-rapport yn. De provider makket in Plan fan aksje & amp; Mylpalen.
  3. Autorisaasje. De JAB of it autorisearjende ynstânsje beslút oft it beskreaune risiko akseptabel is. As ja, jouwe se in brief fan 'e Autoriteit om te operearjen yn oan it FedRAMP-projektbehearkantoar. De provider wurdt dan fermeld yn 'e FedRAMP Marketplace.
  4. Monitoring. De provider stjoert moanlikse befeiligingsmonitoringsferlieningen nei elk buro mei de tsjinst.

FedRAMP-autorisaasje bêste praktiken

It proses om FedRAMP-autorisaasje te berikken kin lestich wêze. Mar it is yn it bêste belang fan elkenien dy't belutsen is foar wolktsjinstferlieners om te slagjen as se it autorisaasjeproses begjinne.

Om te helpen hat FedRAMP ferskate lytse bedriuwen en start-ups ynterviewd oer lessen dy't leard binne tidens autorisaasje. Hjir binne har sân bêste tips foar it suksesfol navigearjen fan it autorisaasjeproses:

  1. Begryp hoe't joproduktkaarten nei FedRAMP - ynklusyf in gapanalyse.
  2. Krij organisatoaryske oankeap en ynset - ynklusyf fan it útfierend team en technyske teams.
  3. Fyn in agintskippartner - ien dy't jo produkt brûkt of is ynset om dat te dwaan.
  4. Bring tiid om jo grins sekuer te bepalen. Dat omfettet:
    • ynterne komponinten
    • ferbiningen mei eksterne tsjinsten, en
    • de stream fan ynformaasje en metadata.
  5. Tink oan FedRAMP as in trochgeand programma, ynstee fan allinich in projekt mei in start- en eindatum. Tsjinsten moatte kontinu kontrolearre wurde.
  6. Besjoch jo autorisaasje-oanpak foarsichtich. Meardere produkten kinne meardere autorisaasjes fereaskje.
  7. De FedRAMP PMO is in weardefolle boarne. Se kinne technyske fragen beäntwurdzje en jo helpe by it plannen fan jo strategy.

    FedRAMP biedt sjabloanen om providers fan wolktsjinsten te helpen har tariede op FedRAMP-neilibjen.

    Wat binne de kategoryen fan FedRAMP neilibjen?

    FedRAMP biedt fjouwer ynfloednivo's foar tsjinsten mei ferskate soarten risiko. Se binne basearre op de mooglike gefolgen fan in befeiligingsbrek yn trije ferskillende gebieten.

    • Fertroulikens: Beskerming foar privacy en proprietêre ynformaasje.
    • Yntegriteit: Beskermings tsjin wiziging of ferneatiging fan ynformaasje.
    • Beskikberens: Tydige en betroubere tagong ta gegevens.

    De earste trijeynfloednivo's binne basearre op Federal Information Processing Standard (FIPS) 199 fan it National Institute of Standards and Technology (NIST). De fjirde is basearre op NIST Special Publication 800-37. De ynfloednivo's binne:

    • Heech, basearre op 421-kontrôles. "It ferlies fan fertroulikens, yntegriteit of beskikberens kin ferwachte wurde om in swier of katastrofysk negatyf effekt te hawwen op organisatoaryske operaasjes, organisatoaryske aktiva, as yndividuen. Dit jildt meastentiids foar wet hanthaveningsbelied, helptsjinsten, finansjele, en sûnens systemen.
    • Moederich, basearre op 325 kontrôles. "It ferlies fan fertroulikens, yntegriteit, of beskikberens koe wurde ferwachte te hawwen in serieus negatyf effekt op organisatoaryske operaasjes, organisatoaryske aktiva, as yndividuen. Hast 80 persint fan goedkarde FedRAMP-applikaasjes binne op it matige ynfloednivo.
    • Leech, basearre op 125-kontrôles. "It ferlies fan fertroulikens, yntegriteit of beskikberens kin ferwachte wurde om in beheinde te hawwen negatyf effekt op organisatoaryske operaasjes, organisatoaryske aktiva, of yndividuen."
    • Low-Impact Software-as-a-Service (LI-SaaS), basearre op 36 kontrôles . Foar "systemen dy't leech risiko binne foar gebrûk lykas gearwurkingsark, applikaasjes foar projektbehear, en ark dy't helpe by it ûntwikkeljen fan iepen boarne koade." Dizze kategory is ek bekend as FedRAMP Tailored.

    Dizze lêste kategory is tafoege yn 2017om it makliker te meitsjen foar ynstânsjes om "gebrûk mei leech risiko" goed te keuren. Om yn oanmerking te kommen foar FedRAMP Tailored, moat de provider ja beäntwurdzje op seis fragen. Dizze wurde pleatst op 'e FedRAMP Tailored policy side:

    • Operearret de tsjinst yn in wolkomjouwing?
    • Is de wolktsjinst folslein operasjoneel?
    • Is de wolk tsjinst in Software as in Service (SaaS), lykas definiearre troch NIST SP 800-145, The NIST Definition of Cloud Computing? in oanmeldmooglikheid (brûkersnamme, wachtwurd en e-postadres)?
    • Is de wolktsjinst leech-feiligens-ynfloed, lykas definiearre troch FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems?
    • Is de wolktsjinst hosted binnen in FedRAMP-autorisearre platfoarm as in tsjinst (PaaS) of Infrastructure as a Service (IaaS), of leveret de CSP de ûnderlizzende wolkynfrastruktuer?

    Hâld yn gedachten dat it berikken fan FedRAMP neilibjen is gjin ienmalige taak. Unthâld it tafersjochstadium fan FedRAMP-autorisaasje? Dat betsjut dat jo regelmjittige befeiligingskontrôles moatte yntsjinje om te soargjen dat jo bliuwe FedRAMP-kompatibel.

    Bonus: Lês de stap-foar-stapke hantlieding foar sosjale mediastrategy mei pro-tips oer hoe jo jo oanwêzigens op sosjale media kinne groeie.

    Krij no direkt de fergese gids!

    Foarbylden fan FedRAMP-sertifisearreprodukten

    D'r binne in protte soarten FedRAMP-autorisearre produkten en tsjinsten. Hjir binne in pear foarbylden fan cloud tsjinstferlieners dy't jo kenne en jo sels al brûke kinne.

    Amazon Web Services

    Der binne twa AWS-listings yn 'e FedRAMP Marketplace. AWS GovCloud is autorisearre op it hege nivo. AWS US East/West is autorisearre op it moderate nivo.

    Hast jo heard? Klanten fan AWS GovCloud (FS) kinne #AmazonEFS brûke foar missy-krityske bestânwurkloads, tank oan it koartlyn berikken fan FedRAMP High-autorisaasje. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — AWS for Government (@AWS_Gov) 18 oktober 2019

    AWS GovCloud hat mar leafst 292 autorisaasjes. AWS US East / West hat 250 autorisaasjes. Dat is folle mear as hokker oare fermelding yn 'e FedRAMP Marketplace.

    Adobe Analytics

    Adobe Analytics waard autorisearre yn 2019. It wurdt brûkt troch de Centers for Disease Control and Prevention en de Department of Health en Human Services. It is autorisearre op it LI-SaaS-nivo.

    Adobe hat eins ferskate produkten autorisearre op it LI-SaaS-nivo. (Lykas Adobe Campaign en Adobe Document Cloud.) Se hawwe ek in pear produkten autorisearre op it moderate nivo:

    • Adobe Connect Managed Services
    • Adobe Experience Manager Managed Services.

    Adobe is op it stuit yn it proses om te ferpleatsen fan FedRAMP op maat autorisaasje nei FedRAMP Moderate

    Foarige post De perfekte stylgids foar sosjale media foar jo merk yn 2023
    Folgjende post 8 tips foar in flaterfrije Instagram-oername

    Kimberly Parker is in betûfte digitale marketingprofessional mei mear dan 10 jier ûnderfining yn 'e sektor. As de oprjochter fan har eigen marketingburo foar sosjale media, hat se ferskate bedriuwen holpen yn ferskate yndustryen har online oanwêzigens te fêstigjen en te groeien fia effektive sosjale mediastrategyen. Kimberly is ek in produktive skriuwer, dy't artikels bydroegen hat oer sosjale media en digitale marketing oan ferskate renommearre publikaasjes. Yn har frije tiid hâldt se fan eksperimintearjen mei nije resepten yn 'e keuken en gean op lange kuiers mei har hûn.