विषयसूची
सेलेब्रिटी कैमरा रोल हैक कर लिया। राज्य आधारित साइबर जासूसी। और बीच में सब कुछ। डेटा सुरक्षा में अनुप्रयोगों की एक विशाल श्रृंखला है। और यह उन सभी के लिए एक प्रमुख चिंता है जो क्लाउड-आधारित सेवाओं का उपयोग या आपूर्ति करते हैं।
जब सरकारी डेटा शामिल होता है, तो वे चिंताएँ राष्ट्रीय सुरक्षा के स्तर तक पहुँच सकती हैं। यही कारण है कि अमेरिकी सरकार को संघीय एजेंसियों द्वारा उपयोग की जाने वाली सभी क्लाउड सेवाओं की आवश्यकता होती है, जो FedRAMP नामक सुरक्षा मानकों के एक सावधानीपूर्वक सेट को पूरा करती हैं।
तो बस FedRAMP क्या है, और इसमें क्या शामिल है? आप पता लगाने के लिए सही जगह पर हैं।
बोनस: चरण-दर-चरण सोशल मीडिया रणनीति मार्गदर्शिका पढ़ें, जिसमें आपकी सोशल मीडिया उपस्थिति कैसे बढ़ाई जाए, इसके बारे में प्रो टिप्स दिए गए हैं।
FedRAMP क्या है?
FedRAMP का अर्थ "संघीय जोखिम और प्राधिकरण प्रबंधन कार्यक्रम" है। यह यू.एस. संघीय एजेंसियों द्वारा उपयोग किए जाने वाले क्लाउड उत्पादों और सेवाओं के लिए सुरक्षा मूल्यांकन और प्राधिकरण को मानकीकृत करता है।
लक्ष्य यह सुनिश्चित करना है कि संघीय डेटा क्लाउड में उच्च स्तर पर लगातार सुरक्षित रहे।
FedRAMP प्राप्त करना प्राधिकरण गंभीर व्यवसाय है। आवश्यक सुरक्षा का स्तर कानून द्वारा अनिवार्य है। 19 मानकों और मार्गदर्शन दस्तावेजों के साथ 14 लागू कानून और नियम हैं। यह दुनिया में सबसे कठोर सॉफ़्टवेयर-एज़-ए-सर्विस सर्टिफ़िकेशन में से एक है।
यहां एक त्वरित परिचय दिया गया है:
FedRAMP 2012 से अस्तित्व में है। यह तब है जब वास्तव में क्लाउड प्रौद्योगिकियांAdobe साइन के लिए प्राधिकरण।
इस बारे में और जानें कि @Adobe साइन कैसे FedRAMP टेलर्ड से FedRAMP मॉडरेट स्टैच्यू में जाने के लिए काम कर रहा है: //t.co/cYjihF9KkP
— AdobeSecurity (@AdobeSecurity) 12 अगस्त, 2020
याद रखें कि यह सेवा है, न कि सेवा प्रदाता, जिसे प्राधिकरण मिलता है। Adobe की तरह, यदि आप एक से अधिक क्लाउड-आधारित समाधान पेश करते हैं, तो आपको कई प्राधिकरणों का पीछा करना पड़ सकता है।
Slack
इस साल मई में अधिकृत, Slack के पास 21 FedRAMP प्राधिकरण हैं। उत्पाद मध्यम स्तर पर अधिकृत है। इसका उपयोग एजेंसियों द्वारा किया जाता है जिनमें शामिल हैं:
- रोग नियंत्रण और संरक्षण केंद्र,
- संघीय संचार आयोग, और
- राष्ट्रीय विज्ञान फाउंडेशन।
हमारे नए FedRAMP मॉडरेट प्राधिकरण के कारण अमेरिकी सार्वजनिक क्षेत्र अब Slack में अपना अधिक कार्य चला सकता है। और उन कड़ी सुरक्षा आवश्यकताओं को पूरा करके, हम स्लैक का उपयोग करने वाली हर दूसरी कंपनी के लिए भी चीजों को सुरक्षित रख रहे हैं। //t.co/dlra7qVQ9F
— Slack (@SlackHQ) 13 अगस्त, 2020
Slack को मूल रूप से FedRAMP अनुरूप प्राधिकरण प्राप्त हुआ। फिर, उन्होंने वेटरन्स अफेयर्स विभाग के साथ साझेदारी करके मध्यम प्राधिकरण का अनुसरण किया।
स्लैक अपनी वेबसाइट पर निजी क्षेत्र के ग्राहकों के लिए इस प्राधिकरण के सुरक्षा लाभों पर ध्यान देना सुनिश्चित करता है:
"यह नवीनतम प्राधिकरण के लिए अधिक सुरक्षित अनुभव का अनुवाद करता हैसुस्त ग्राहक, जिनमें निजी क्षेत्र के व्यवसाय शामिल हैं, जिन्हें FedRAMP-अधिकृत वातावरण की आवश्यकता नहीं है। Slack की वाणिज्यिक पेशकशों का उपयोग करने वाले सभी ग्राहक FedRAMP प्रमाणन प्राप्त करने के लिए आवश्यक बढ़े हुए सुरक्षा उपायों से लाभान्वित हो सकते हैं। ट्रेलो का अभी तक केवल सामान्य सेवा प्रशासन द्वारा उपयोग किया जाता है। लेकिन कंपनी इसे बदलने की सोच रही है, जैसा कि उनकी नई FedRAMP स्थिति के बारे में उनकी सामाजिक पोस्ट में देखा गया है:
🏛️Trello के FedRAMP प्राधिकरण के साथ, आपकी एजेंसी अब Trello का उपयोग उत्पादकता बढ़ाने, टीम साइलो को तोड़ने और बढ़ावा देने के लिए कर सकती है सहयोग। //t.co/GWYgaj9jfY
— Trello (@trello) 12 अक्टूबर, 2020
Zendesk
मई में भी अधिकृत, Zendesk इनके द्वारा उपयोग किया जाता है:
- ऊर्जा विभाग,
- संघीय आवास वित्त एजेंसी
- महानिरीक्षक का FHFA कार्यालय, और
- सामान्य सेवा प्रशासन।
Zendesk ग्राहक सहायता और सहायता डेस्क प्लेटफ़ॉर्म के पास Li-Saas प्राधिकरण है।
आज से हम सरकारी एजेंसियों के लिए हमारे साथ काम करना बहुत आसान बना सकते हैं क्योंकि @Zendesk अब FedRAMP अधिकृत है। Zendesk के अंदर और बाहर की सभी टीमों को इस प्रयास के लिए बहुत-बहुत धन्यवाद। //t.co/A0HVwjhGsv
— मिकेल स्वेन (@mikkelsvane) 22 मई, 2020
सोशल मीडिया प्रबंधन के लिए FedRAMP
SMMExpert FedRAMP हैअधिकार दिया गया। सरकारी एजेंसियां अब आसानी से सोशल मीडिया प्रबंधन में वैश्विक नेता के साथ काम कर सकती हैं ताकि नागरिकों के साथ जुड़ सकें, संकट संचार का प्रबंधन कर सकें और सोशल मीडिया के माध्यम से सेवाएं और जानकारी प्रदान कर सकें।
एक डेमो का अनुरोध करें
पुराने टीथर्ड सॉफ़्टवेयर समाधानों को बदलना शुरू किया। यह अमेरिकी सरकार की "क्लाउड फर्स्ट" रणनीति से पैदा हुआ था। उस रणनीति के लिए एजेंसियों को क्लाउड-आधारित समाधानों को पहली पसंद के रूप में देखना आवश्यक था।FedRAMP से पहले, क्लाउड सेवा प्रदाताओं को प्रत्येक एजेंसी के लिए एक प्राधिकरण पैकेज तैयार करना पड़ता था, जिसके साथ वे काम करना चाहते थे। आवश्यकताएं सुसंगत नहीं थीं। और प्रदाताओं और एजेंसियों दोनों के लिए बहुत सारे डुप्लिकेट प्रयास थे।
FedRAMP ने निरंतरता पेश की और प्रक्रिया को सुव्यवस्थित किया।
अब, मूल्यांकन और आवश्यकताएं मानकीकृत हैं। कई सरकारी एजेंसियां प्रदाता के FedRAMP प्राधिकरण सुरक्षा पैकेज का पुन: उपयोग कर सकती हैं।
प्रारंभिक FedRAMP अपटेक धीमा था। पहले चार वर्षों में केवल 20 क्लाउड सेवा प्रस्तावों को अधिकृत किया गया था। लेकिन गति वास्तव में 2018 के बाद से बढ़ी है, और अब 204 FedRAMP अधिकृत क्लाउड उत्पाद हैं।
स्रोत: FedRAMP
FedRAMP को एक संयुक्त प्राधिकरण बोर्ड (JAB) द्वारा नियंत्रित किया जाता है। बोर्ड प्रतिनिधियों से बना है:
- होमलैंड सुरक्षा विभाग
- सामान्य सेवा प्रशासन, और
- रक्षा विभाग।
यू.एस. सरकार संघीय मुख्य सूचना अधिकारी परिषद द्वारा कार्यक्रम का समर्थन किया जाता है।
FedRAMP प्रमाणीकरण क्यों महत्वपूर्ण है?
संघीय डेटा रखने वाली सभी क्लाउड सेवाओं के लिए FedRAMP प्राधिकरण की आवश्यकता होती है। तो अगर आप साथ काम करना चाहते हैंसंघीय सरकार, FedRAMP प्राधिकरण आपकी सुरक्षा योजना का एक महत्वपूर्ण हिस्सा है।
FedRAMP महत्वपूर्ण है क्योंकि यह सरकार की क्लाउड सेवाओं की सुरक्षा में निरंतरता सुनिश्चित करता है—और क्योंकि यह उस सुरक्षा के मूल्यांकन और निगरानी में निरंतरता सुनिश्चित करता है। यह सभी सरकारी एजेंसियों और सभी क्लाउड प्रदाताओं के लिए मानकों का एक सेट प्रदान करता है।
क्लाउड सेवा प्रदाता जो FedRAMP अधिकृत हैं, FedRAMP मार्केटप्लेस में सूचीबद्ध हैं। यह मार्केटप्लेस पहली जगह है जब सरकारी एजेंसियां एक नए क्लाउड-आधारित समाधान का स्रोत बनाना चाहती हैं। एक नए विक्रेता के साथ प्राधिकरण प्रक्रिया शुरू करने की तुलना में किसी एजेंसी के लिए पहले से अधिकृत उत्पाद का उपयोग करना बहुत आसान और तेज़ है।
इसलिए, FedRAMP मार्केटप्लेस में एक लिस्टिंग से आपको अतिरिक्त व्यवसाय प्राप्त करने की अधिक संभावना होती है सरकारी संस्थाएं। लेकिन यह निजी क्षेत्र में आपकी प्रोफ़ाइल को भी सुधार सकता है।
ऐसा इसलिए है क्योंकि FedRAMP बाज़ार जनता के लिए दृश्यमान है। कोई भी निजी क्षेत्र की कंपनी FedRAMP अधिकृत समाधानों की सूची में स्क्रॉल कर सकती है।
जब वे एक सुरक्षित क्लाउड उत्पाद या सेवा प्राप्त करना चाह रहे हों तो यह एक बढ़िया संसाधन है।
FedRAMP प्रमाणीकरण किसी भी ग्राहक को बना सकता है सुरक्षा प्रोटोकॉल के बारे में अधिक आश्वस्त। यह उच्चतम सुरक्षा मानकों को पूरा करने के लिए जारी प्रतिबद्धता का प्रतिनिधित्व करता है।
FedRAMP प्राधिकरण आपकी सुरक्षा विश्वसनीयता को महत्वपूर्ण रूप से बढ़ाता हैFedRAMP मार्केटप्लेस से परे भी। आप अपने FedRAMP प्राधिकरण को सोशल मीडिया और अपनी वेबसाइट पर साझा कर सकते हैं।
सच्चाई यह है कि आपके अधिकांश ग्राहक शायद नहीं जानते कि FedRAMP क्या है। उन्हें परवाह नहीं है कि आप अधिकृत हैं या नहीं। लेकिन उन बड़े ग्राहकों के लिए जो FedRAMP को समझते हैं - सार्वजनिक और निजी दोनों क्षेत्रों में - प्राधिकरण की कमी एक डील-ब्रेकर हो सकती है।
FedRAMP प्रमाणित होने में क्या लगता है?
वहां FedRAMP अधिकृत होने के दो अलग-अलग तरीके हैं।
1। संयुक्त प्राधिकरण बोर्ड (जेएबी) अनंतिम प्राधिकरण संचालित करने के लिए
इस प्रक्रिया में, जेएबी एक अनंतिम प्राधिकरण जारी करता है। इससे एजेंसियों को पता चलता है कि जोखिम की समीक्षा की जा चुकी है।
यह एक महत्वपूर्ण पहली स्वीकृति है। लेकिन कोई भी एजेंसी जो सेवा का उपयोग करना चाहती है, उसे अभी भी संचालित करने के लिए अपना प्राधिकरण जारी करना होगा।
यह प्रक्रिया उच्च या मध्यम जोखिम वाले क्लाउड सेवा प्रदाताओं के लिए सबसे उपयुक्त है। (अगले भाग में हम जोखिम के स्तर के बारे में जानेंगे।)
जेएबी प्रक्रिया का विज़ुअल अवलोकन यहां दिया गया है:
स्रोत: FedRAMP
2. संचालित करने के लिए एजेंसी प्राधिकरण
इस प्रक्रिया में, क्लाउड सेवा प्रदाता एक विशिष्ट संघीय एजेंसी के साथ संबंध स्थापित करता है। वह एजेंसी पूरी प्रक्रिया में शामिल है। यदि प्रक्रिया सफल होती है, तो एजेंसी प्राधिकरण पत्र जारी करती है।
स्रोत: FedRAMP
FedRAMP प्राधिकरण के चरण
कोई फर्क नहीं पड़ता कि आप किस प्रकार के प्राधिकरण का अनुसरण करते हैं, FedRAMP प्राधिकरण में चार मुख्य चरण शामिल हैं:
- <10 पैकेज डेवलपमेंट। सबसे पहले, एक प्राधिकरण किक-ऑफ मीटिंग होती है। फिर प्रदाता एक सिस्टम सुरक्षा योजना को पूरा करता है। इसके बाद, एक FedRAMP-अनुमोदित तृतीय-पक्ष मूल्यांकन संगठन एक सुरक्षा मूल्यांकन योजना विकसित करता है।
- आकलन। मूल्यांकन संगठन एक सुरक्षा मूल्यांकन रिपोर्ट प्रस्तुत करता है। प्रदाता कार्य योजना & amp बनाता है; मील के पत्थर।
- प्राधिकरण। JAB या अधिकृत एजेंसी यह तय करती है कि वर्णित जोखिम स्वीकार्य है या नहीं। यदि हां, तो वे FedRAMP परियोजना प्रबंधन कार्यालय को प्रचालन के लिए एक प्राधिकरण पत्र प्रस्तुत करते हैं। इसके बाद प्रदाता को FedRAMP मार्केटप्लेस में सूचीबद्ध किया जाता है।
- निगरानी। प्रदाता सेवा का उपयोग करने वाली प्रत्येक एजेंसी को मासिक सुरक्षा निगरानी डिलिवरेबल्स भेजता है।
FedRAMP प्राधिकरण सर्वोत्तम अभ्यास
FedRAMP प्राधिकरण प्राप्त करने की प्रक्रिया कठिन हो सकती है। लेकिन क्लाउड सेवा प्रदाताओं के प्राधिकरण प्रक्रिया शुरू करने के बाद सफल होने के लिए इसमें शामिल सभी लोगों के सर्वोत्तम हित में है।
मदद के लिए, FedRAMP ने प्राधिकरण के दौरान सीखे गए पाठों के बारे में कई छोटे व्यवसायों और स्टार्ट-अप का साक्षात्कार लिया। प्राधिकरण प्रक्रिया को सफलतापूर्वक नेविगेट करने के लिए उनकी सात सर्वश्रेष्ठ युक्तियां यहां दी गई हैं:
- समझें कि आपकाFedRAMP के लिए उत्पाद मानचित्र - एक अंतर विश्लेषण सहित।
- संगठनात्मक खरीद और प्रतिबद्धता प्राप्त करें - कार्यकारी टीम और तकनीकी टीमों सहित।
- एक एजेंसी भागीदार खोजें - जो आपके उत्पाद का उपयोग कर रहा है या ऐसा करने के लिए प्रतिबद्ध है।
- अपनी सीमा को सटीक रूप से परिभाषित करने में समय व्यतीत करें। इसमें शामिल हैं:
- आंतरिक घटक
- बाहरी सेवाओं से कनेक्शन, और
- सूचना और मेटाडेटा का प्रवाह।
- इस बारे में सोचें FedRAMP एक सतत कार्यक्रम के रूप में, न कि केवल एक प्रारंभ और समाप्ति तिथि वाली परियोजना के रूप में। सेवाओं की लगातार निगरानी की जानी चाहिए।
- अपने प्राधिकरण दृष्टिकोण पर सावधानी से विचार करें। अनेक उत्पादों के लिए अनेक प्राधिकरणों की आवश्यकता हो सकती है।
- FedRAMP PMO एक मूल्यवान संसाधन है। वे तकनीकी प्रश्नों का उत्तर दे सकते हैं और आपकी रणनीति की योजना बनाने में आपकी सहायता कर सकते हैं।
FedRAMP, क्लाउड सेवा प्रदाताओं को FedRAMP अनुपालन के लिए तैयार करने में मदद करने के लिए टेम्प्लेट प्रदान करता है।
श्रेणियां क्या हैं FedRAMP अनुपालन का?
FedRAMP विभिन्न प्रकार के जोखिम वाली सेवाओं के लिए चार प्रभाव स्तर प्रदान करता है। वे तीन अलग-अलग क्षेत्रों में सुरक्षा उल्लंघन के संभावित प्रभावों पर आधारित हैं।
- गोपनीयता: गोपनीयता और मालिकाना जानकारी के लिए सुरक्षा।
- सत्यनिष्ठा: सूचना के संशोधन या विनाश के खिलाफ सुरक्षा।
- उपलब्धता: डेटा तक समय पर और विश्वसनीय पहुंच।
पहले तीनप्रभाव स्तर राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) से संघीय सूचना प्रसंस्करण मानक (FIPS) 199 पर आधारित हैं। चौथा एनआईएसटी विशेष प्रकाशन 800-37 पर आधारित है। प्रभाव के स्तर हैं:
- उच्च, 421 नियंत्रणों पर आधारित। "गोपनीयता, अखंडता, या उपलब्धता के नुकसान से संगठनात्मक पर गंभीर या विनाशकारी प्रतिकूल प्रभाव पड़ने की उम्मीद की जा सकती है संचालन, संगठनात्मक संपत्ति, या व्यक्ति। यह आमतौर पर कानून प्रवर्तन, आपातकालीन सेवाओं, वित्तीय और स्वास्थ्य प्रणालियों पर लागू होता है। संगठनात्मक संचालन, संगठनात्मक संपत्ति, या व्यक्तियों पर गंभीर प्रतिकूल प्रभाव।" स्वीकृत FedRAMP अनुप्रयोगों में से लगभग 80 प्रतिशत मध्यम प्रभाव स्तर पर हैं।
- निम्न, 125 नियंत्रणों पर आधारित। "गोपनीयता, अखंडता, या उपलब्धता की हानि सीमित होने की उम्मीद की जा सकती है संगठनात्मक संचालन, संगठनात्मक संपत्ति, या व्यक्तियों पर प्रतिकूल प्रभाव। "ऐसी प्रणालियाँ जो सहयोग उपकरण, परियोजना प्रबंधन अनुप्रयोगों और ओपन-सोर्स कोड को विकसित करने में मदद करने वाले उपकरणों जैसे उपयोग के लिए कम जोखिम वाली हैं।" इस श्रेणी को FedRAMP टेलर्ड के नाम से भी जाना जाता है।
यह अंतिम श्रेणी 2017 में जोड़ी गई थीएजेंसियों के लिए "कम जोखिम वाले उपयोग के मामलों" को स्वीकृत करना आसान बनाना। FedRAMP टेलर्ड के लिए अर्हता प्राप्त करने के लिए, प्रदाता को छह प्रश्नों के लिए हाँ का उत्तर देना होगा। ये FedRAMP टेलर्ड पॉलिसी पेज पर पोस्ट किए गए हैं:
- क्या क्लाउड वातावरण में सेवा संचालित होती है?
- क्या क्लाउड सेवा पूरी तरह से चालू है?
- क्या क्लाउड है एक सेवा के रूप में एक सॉफ्टवेयर सेवा (सास), जैसा कि एनआईएसटी एसपी 800-145 द्वारा परिभाषित किया गया है, क्लाउड कंप्यूटिंग की एनआईएसटी परिभाषा? एक लॉगिन क्षमता (उपयोगकर्ता नाम, पासवर्ड और ईमेल पता)?
- क्या क्लाउड सेवा कम सुरक्षा-प्रभाव वाली है, जैसा कि FIPS PUB 199 द्वारा परिभाषित किया गया है, संघीय सूचना और सूचना प्रणाली के सुरक्षा वर्गीकरण के लिए मानक?
- क्या क्लाउड सेवा FedRAMP-अधिकृत प्लेटफॉर्म एज ए सर्विस (PaaS) या इंफ्रास्ट्रक्चर एज ए सर्विस (IaaS) के भीतर होस्ट की गई है, या क्या CSP अंतर्निहित क्लाउड इंफ्रास्ट्रक्चर उपलब्ध करा रहा है?
याद रखें कि FedRAMP अनुपालन प्राप्त करना एकबारगी कार्य नहीं है। FedRAMP प्राधिकरण का निगरानी चरण याद रखें? इसका मतलब है कि आपको FedRAMP के अनुरूप रहने सुनिश्चित करने के लिए आपको नियमित सुरक्षा ऑडिट सबमिट करने की आवश्यकता होगी।
बोनस: चरण-दर-चरण सोशल मीडिया रणनीति मार्गदर्शिका पढ़ें, जिसमें आपकी सोशल मीडिया उपस्थिति कैसे बढ़ाई जाए, इसके बारे में प्रो टिप्स दिए गए हैं।
अभी निःशुल्क गाइड प्राप्त करें!FedRAMP प्रमाणित के उदाहरणउत्पाद
FedRAMP अधिकृत उत्पादों और सेवाओं के कई प्रकार हैं। यहां क्लाउड सेवा प्रदाताओं के कुछ उदाहरण दिए गए हैं जिन्हें आप जानते हैं और पहले से ही स्वयं उपयोग कर सकते हैं।
Amazon Web Services
FedRAMP मार्केटप्लेस में दो AWS लिस्टिंग हैं। AWS GovCloud उच्च स्तर पर अधिकृत है। AWS US पूर्व/पश्चिम मॉडरेट स्तर पर अधिकृत है।
क्या आपने सुना? AWS GovCloud (US) ग्राहक मिशन-महत्वपूर्ण फ़ाइल वर्कलोड के लिए #AmazonEFS का उपयोग कर सकते हैं, हाल ही में FedRAMP उच्च प्राधिकरण प्राप्त करने के लिए धन्यवाद। #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O
- सरकार के लिए AWS (@AWS_Gov) 18 अक्टूबर, 2019
AWS GovCloud के पास 292 प्राधिकरण हैं। AWS US पूर्व/पश्चिम में 250 प्राधिकरण हैं। यह FedRAMP मार्केटप्लेस में किसी भी अन्य लिस्टिंग से कहीं अधिक है।
एडोब एनालिटिक्स
एडोब एनालिटिक्स को 2019 में अधिकृत किया गया था। इसका उपयोग रोग नियंत्रण और रोकथाम केंद्र और स्वास्थ्य और विभाग द्वारा किया जाता है। मानवीय सेवाएं। यह LI-SaaS स्तर पर अधिकृत है।
Adobe के पास वास्तव में LI-SaaS स्तर पर कई उत्पाद अधिकृत हैं। (एडोब अभियान और एडोब दस्तावेज़ क्लाउड की तरह।) उनके पास मॉडरेट स्तर पर अधिकृत कुछ उत्पाद भी हैं:
- Adobe Connect प्रबंधित सेवाएँ
- Adobe अनुभव प्रबंधक प्रबंधित सेवाएँ।<11
Adobe वर्तमान में FedRAMP अनुरूप प्राधिकरण से FedRAMP मॉडरेट में जाने की प्रक्रिया में है
