FedRAMP tanúsítás: Mi az, miért fontos, és ki rendelkezik vele?

Kimberly Parker

29-05-2023 Stratégia
  • Ossza Meg Ezt
Kimberly Parker

Hírességek feltört kamerarekordjai, állami kiberkémkedés, és minden, ami a kettő között van. Az adatbiztonságnak rengeteg alkalmazási területe van, és komoly aggodalomra ad okot mindazok számára, akik felhőalapú szolgáltatásokat használnak vagy nyújtanak.

Ha kormányzati adatokról van szó, ezek az aggályok elérhetik a nemzetbiztonsági szintet. Ezért az amerikai kormányzat megköveteli, hogy a szövetségi ügynökségek által használt felhőszolgáltatások megfeleljenek a FedRAMP néven ismert, aprólékos biztonsági szabványoknak.

Mi is az a FedRAMP, és mivel jár? A megfelelő helyen jár, ha szeretné megtudni.

Bónusz: Olvassa el a lépésről-lépésre kidolgozott közösségi média stratégiai útmutatót, amely profi tippeket tartalmaz a közösségi médiajelenlét növeléséhez.

Mi a FedRAMP?

A FedRAMP a "Federal Risk and Authorization Management Program" (szövetségi kockázatkezelési és engedélyezési program) rövidítése, amely az amerikai szövetségi ügynökségek által használt felhőalapú termékek és szolgáltatások biztonsági értékelését és engedélyezését szabványosítja.

A cél az, hogy a szövetségi adatok következetesen magas szintű védelmet élvezzenek a felhőben.

A FedRAMP-engedély megszerzése komoly dolog. A megkövetelt biztonsági szintet törvény írja elő. 14 alkalmazandó törvény és rendelet, valamint 19 szabvány és útmutató dokumentum létezik. Ez az egyik legszigorúbb szoftver-az-a-szolgáltatás minősítés a világon.

Íme egy gyors bevezető:

A FedRAMP 2012 óta létezik, és ekkor kezdték a felhőalapú technológiák valóban felváltani az elavult, kötött szoftvermegoldásokat. Az amerikai kormány "Cloud First" stratégiájának köszönhetően született meg. Ez a stratégia megkövetelte, hogy az ügynökségek a felhőalapú megoldásokat tekintsék elsődleges választásnak.

A FedRAMP előtt a felhőszolgáltatóknak minden egyes ügynökség számára engedélyezési csomagot kellett készíteniük, amellyel együtt akartak működni. A követelmények nem voltak következetesek, és mind a szolgáltatók, mind az ügynökségek számára sok volt a párhuzamos munka.

A FedRAMP bevezette a következetességet és ésszerűsítette a folyamatot.

Mostantól az értékelések és a követelmények szabványosítva vannak. Több kormányzati ügynökség újra felhasználhatja a szolgáltató FedRAMP-engedélyezési biztonsági csomagját.

A FedRAMP bevezetése kezdetben lassú volt. Az első négy évben mindössze 20 felhőszolgáltatási ajánlatot engedélyeztek. 2018 óta azonban a tempó igazán felgyorsult, és jelenleg 204 FedRAMP-engedéllyel rendelkező felhőtermék van.

Forrás: FedRAMP

A FedRAMP-ot egy közös engedélyezési testület (Joint Authorization Board, JAB) ellenőrzi, amely a következő szervezetek képviselőiből áll:

  • a Belbiztonsági Minisztérium
  • az Általános Szolgáltatási Igazgatóság, és
  • a Védelmi Minisztérium.

A programot az Egyesült Államok kormányának Szövetségi Információs Vezetők Tanácsa támogatja.

Miért fontos a FedRAMP tanúsítás?

Minden szövetségi adatokat tároló felhőszolgáltatáshoz FedRAMP-engedélyre van szükség. Ha tehát a szövetségi kormánnyal szeretne együttműködni, a FedRAMP-engedélyezés a biztonsági terv fontos része.

A FedRAMP azért fontos, mert biztosítja a kormányzati felhőszolgáltatások biztonságának egységességét - és mert biztosítja a biztonság értékelésének és nyomon követésének egységességét. Egységes szabványrendszert biztosít minden kormányzati ügynökség és minden felhőszolgáltató számára.

A FedRAMP-engedéllyel rendelkező felhőszolgáltatók a FedRAMP Marketplace-en szerepelnek. Ez a piactér az első hely, ahol a kormányzati ügynökségek keresik, amikor új felhőalapú megoldást szeretnének beszerezni. Egy ügynökség számára sokkal egyszerűbb és gyorsabb egy már engedélyezett terméket használni, mint egy új szállítóval elkezdeni az engedélyezési folyamatot.

A FedRAMP-piactéren való szereplés tehát sokkal valószínűbbé teszi, hogy további megbízásokat kapjon a kormányzati ügynökségektől. De a magánszektorban is javíthatja a profilját.

Ez azért van, mert a FedRAMP piactér a nyilvánosság számára is látható, és bármelyik magánszektorbeli vállalat végiglapozhatja a FedRAMP által engedélyezett megoldások listáját.

Ez egy nagyszerű forrás, amikor biztonságos felhőterméket vagy -szolgáltatást keresnek.

A FedRAMP-engedélyezés minden ügyfelet magabiztosabbá tehet a biztonsági protokollok tekintetében. Ez folyamatos elkötelezettséget jelent a legmagasabb biztonsági előírások betartása mellett.

A FedRAMP-engedélyezés a FedRAMP Marketplace-en kívül is jelentősen növeli az Ön biztonsági hitelességét. FedRAMP-engedélyezését megoszthatja a közösségi médiában és a weboldalán.

Az igazság az, hogy a legtöbb ügyfele valószínűleg nem tudja, mi az a FedRAMP. Nem érdekli őket, hogy Ön rendelkezik-e felhatalmazással vagy sem. De azon nagy ügyfelek számára, akik értik a FedRAMP-ot - mind a köz-, mind a magánszektorban -, az engedélyezés hiánya lehet, hogy megszakítja az üzletet.

Mi kell a FedRAMP tanúsításhoz?

A FedRAMP-engedélyezés kétféle módon érhető el.

1. Közös Engedélyező Testület (JAB) ideiglenes működési engedélye

Ebben az eljárásban a JAB ideiglenes engedélyt ad ki. Ez tudatja az ügynökségekkel, hogy a kockázatot felülvizsgálták.

Ez egy fontos első jóváhagyás, de minden ügynökségnek, amely használni szeretné a szolgáltatást, még ki kell adnia a saját működési engedélyét.

Ez a folyamat leginkább a magas vagy közepes kockázatú felhőszolgáltatók számára alkalmas (a kockázati szinteket a következő részben fogjuk részletezni).

Íme egy vizuális áttekintés a JAB folyamatáról:

Forrás: FedRAMP

2. Az ügynökség működési jogosultsága

Ebben a folyamatban a felhőszolgáltató kapcsolatot létesít egy adott szövetségi ügynökséggel, amely a folyamat során végig részt vesz a folyamatban. Ha a folyamat sikeres, az ügynökség kiadja a működési engedélyt.

Forrás: FedRAMP

A FedRAMP-engedélyezés lépései

Függetlenül attól, hogy melyik típusú engedélyezést választja, a FedRAMP-engedélyezés négy fő lépést foglal magában:

  1. Csomagfejlesztés. Először is van egy engedélyezési indító megbeszélés. Ezután a szolgáltató kitölti a rendszerbiztonsági tervet. Ezután egy FedRAMP által jóváhagyott harmadik fél értékelő szervezet kidolgozza a biztonsági értékelési tervet.
  2. Értékelés. Az értékelő szervezet benyújtja a biztonsági értékelési jelentést. A szolgáltató cselekvési tervet és mérföldköveket készít.
  3. Engedélyezés. A JAB vagy az engedélyező ügynökség eldönti, hogy a leírtak szerinti kockázat elfogadható-e. Ha igen, akkor benyújtja a FedRAMP projektmenedzsment irodának a működési engedélyt (Authority to Operate). A szolgáltató ezután szerepel a FedRAMP Marketplace-en.
  4. Monitoring. A szolgáltató havonta küld biztonsági felügyeleti eredményeket a szolgáltatást igénybe vevő minden egyes ügynökségnek.

FedRAMP engedélyezési legjobb gyakorlatok

A FedRAMP-engedély megszerzésének folyamata nehéz lehet. De minden érintettnek az az érdeke, hogy a felhőszolgáltatók sikerrel járjanak, ha már egyszer megkezdték az engedélyezési folyamatot.

Segítségképpen a FedRAMP több kisvállalkozással és induló vállalkozással készített interjút az engedélyezés során szerzett tapasztalatokról. Íme a hét legjobb tippjük az engedélyezési folyamat sikeres átvészeléséhez:

  1. Értse meg, hogyan illeszkedik a terméke a FedRAMP-hoz - beleértve a hiányosságok elemzését is.
  2. Szerezze meg a szervezeti támogatást és elkötelezettséget - beleértve a vezetői és a műszaki csapatokat is.
  3. Keressen egy ügynökségi partnert - olyat, amelyik használja az Ön termékét, vagy elkötelezett a termék használata mellett.
  4. Töltsön időt azzal, hogy pontosan meghatározza a határait. Ez magában foglalja:
    • belső alkatrészek
    • külső szolgáltatásokhoz való kapcsolódás, és
    • az információ és a metaadatok áramlása.
  5. A FedRAMP-ra úgy kell gondolni, mint egy folyamatos programra, nem pedig mint egy projektre, amelynek van egy kezdő és egy befejező dátuma. A szolgáltatásokat folyamatosan nyomon kell követni.
  6. Gondosan mérlegelje az engedélyezési megközelítést. Több termékhez több engedélyre is szükség lehet.
  7. A FedRAMP PMO értékes erőforrás, amely technikai kérdésekre tud válaszolni, és segít megtervezni a stratégiát.

    A FedRAMP sablonokat kínál a felhőszolgáltatóknak a FedRAMP-megfelelőségre való felkészüléshez.

    Melyek a FedRAMP-megfelelőség kategóriái?

    A FedRAMP négy hatásszintet kínál a különböző kockázatú szolgáltatások számára, amelyek a biztonság megsértésének három különböző területen jelentkező lehetséges hatásain alapulnak.

    • Bizalmasság: A magánélet és a védett információk védelme.
    • Integritás: Védelem az információk módosítása vagy megsemmisítése ellen.
    • Elérhetőség: Időszerű és megbízható hozzáférés az adatokhoz.

    Az első három hatásszint a Nemzeti Szabványügyi és Technológiai Intézet (NIST) FIPS 199. számú szövetségi információfeldolgozási szabványán alapul, a negyedik a NIST 800-37. számú speciális kiadványán. A hatásszintek a következők:

    • Magas, 421 ellenőrzés alapján. "A titkosság, az integritás vagy a rendelkezésre állás elvesztése várhatóan súlyos vagy katasztrofális káros hatással lesz a szervezeti működésre, a szervezeti eszközökre vagy az egyénekre." Ez általában a bűnüldözési, sürgősségi, pénzügyi és egészségügyi rendszerekre vonatkozik.
    • Mérsékelt, 325 ellenőrzés alapján. "A titkosság, az integritás vagy a rendelkezésre állás elvesztése várhatóan súlyos káros hatással lesz a szervezeti működésre, a szervezeti eszközökre vagy az egyénekre." A jóváhagyott FedRAMP-alkalmazások közel 80 százaléka a közepes hatásszintet éri el.
    • Alacsony, 125 ellenőrzés alapján. "A titkosság, az integritás vagy a rendelkezésre állás elvesztése várhatóan korlátozottan káros hatással lesz a szervezeti működésre, a szervezeti eszközökre vagy az egyénekre."
    • Alacsony hatású, 36 ellenőrzésen alapuló szoftver-az-a-szolgáltatás (LI-SaaS) "Olyan rendszerek esetében, amelyek alacsony kockázattal járnak, például együttműködési eszközök, projektmenedzsment-alkalmazások és nyílt forráskódú kód fejlesztését segítő eszközök esetében." Ez a kategória FedRAMP Tailored néven is ismert.

    Ez utóbbi kategóriát 2017-ben adták hozzá, hogy megkönnyítsék az ügynökségek számára az "alacsony kockázatú felhasználási esetek" jóváhagyását. A FedRAMP Tailored minősítéshez a szolgáltatónak hat kérdésre kell igennel válaszolnia. Ezek a FedRAMP Tailored irányelvek oldalán találhatók:

    • A szolgáltatás felhőkörnyezetben működik?
    • Teljesen működőképes a felhőszolgáltatás?
    • A felhőszolgáltatás a NIST SP 800-145, The NIST Definition of Cloud Computing (A felhőalapú számítástechnika NIST-definíciója) meghatározása szerinti szoftver mint szolgáltatás (SaaS)?
    • A felhőszolgáltatás nem tartalmaz személyazonosításra alkalmas adatokat (PII), kivéve, ha ez a bejelentkezési lehetőség biztosításához szükséges (felhasználónév, jelszó és e-mail cím)?
    • A felhőszolgáltatás a FIPS PUB 199 (Szövetségi információk és információs rendszerek biztonsági kategorizálásának szabványai) meghatározása szerint alacsony biztonsági hatású?
    • A felhőszolgáltatás FedRAMP-engedéllyel rendelkező Platform as a Service (PaaS) vagy Infrastructure as a Service (IaaS) keretében működik, vagy a CSP biztosítja az alapul szolgáló felhőinfrastruktúrát?

    Ne feledje, hogy a FedRAMP-megfelelőség elérése nem egyszeri feladat. Emlékszik a FedRAMP-engedélyezés felügyeleti szakaszára? Ez azt jelenti, hogy rendszeres biztonsági ellenőrzéseket kell benyújtania, hogy biztosítsa, hogy maradj FedRAMP-kompatibilis.

    Bónusz: Olvassa el a lépésről-lépésre kidolgozott közösségi média stratégiai útmutatót, amely profi tippeket tartalmaz a közösségi médiajelenlét növeléséhez.

    Szerezd meg az ingyenes útmutatót most!

    Példák a FedRAMP tanúsított termékekre

    A FedRAMP által engedélyezett termékek és szolgáltatások számos típusa létezik. Íme néhány példa a felhőszolgáltatóktól, amelyeket Ön is ismer, és amelyeket talán már Ön is használ.

    Amazon Web Services

    A FedRAMP Marketplace-en két AWS-listát találunk: az AWS GovCloud magas szintű, az AWS US East/West pedig közepes szintű engedélyt kapott.

    Hallottad? Az AWS GovCloud (US) ügyfelei a FedRAMP High authorizáció közelmúltbeli elérésének köszönhetően az #AmazonEFS-t használhatják a kritikus fontosságú fájlmunkaterhelésekhez. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS for Government (@AWS_Gov) október 18, 2019

    Az AWS GovCloudnak 292 engedélye van, az AWS US East/Westnek pedig 250. Ez jóval több, mint a FedRAMP Marketplace bármely más listáján.

    Adobe Analytics

    Az Adobe Analytics 2019-ben kapott engedélyt. A Centers for Disease Control and Prevention és az Egészségügyi és Humán Szolgáltatások Minisztériuma használja. LI-SaaS szinten engedélyezett.

    Az Adobe több termékét is engedélyezték LI-SaaS szinten (mint például az Adobe Campaign és az Adobe Document Cloud), de van néhány mérsékelt szinten engedélyezett termékük is:

    • Adobe Connect felügyelt szolgáltatások
    • Adobe Experience Manager menedzselt szolgáltatások.

    Az Adobe jelenleg a FedRAMP Tailored engedélyezésről a FedRAMP Moderate engedélyezésre való áttérés folyamatában van az Adobe Sign esetében.

    Tudjon meg többet arról, hogyan dolgozik az @Adobe Sign azon, hogy a FedRAMP Tailored-ről a FedRAMP Moderate statútumra lépjen át itt: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) 2020. augusztus 12., augusztus 12.

    Ne feledje, hogy az engedélyt a szolgáltatás kapja, nem a szolgáltató. Az Adobe-hoz hasonlóan előfordulhat, hogy több engedélyt kell kérnie, ha egynél több felhőalapú megoldást kínál.

    Slack

    Az idén májusban engedélyezett Slack 21 FedRAMP-engedéllyel rendelkezik. A termék mérsékelt szintű engedélyt kapott. Többek között olyan ügynökségek használják, mint:

    • a Betegségellenőrzési és Védelmi Központok,
    • a Szövetségi Hírközlési Bizottság, és
    • a Nemzeti Tudományos Alapítvány.

    Az amerikai közszféra mostantól még több munkáját végezheti a Slacken, köszönhetően az új FedRAMP Moderate engedélyünknek. És azáltal, hogy megfelelünk ezeknek a szigorú biztonsági követelményeknek, a Slacket használó összes többi vállalat számára is biztonságban tartjuk a dolgokat. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) 2020. augusztus 13., augusztus 13.

    A Slack eredetileg FedRAMP Tailored engedélyt kapott, majd a Veteránügyi Minisztériummal együttműködve mérsékelt engedélyt kértek.

    A Slack a weboldalán felhívja a figyelmet a magánszektorbeli ügyfelek számára biztosított engedélyezés biztonsági előnyeire:

    "Ez a legújabb engedélyezés biztonságosabb élményt jelent a Slack ügyfelei számára, beleértve a magánszektorbeli vállalkozásokat is, amelyeknek nincs szükségük FedRAMP-engedélyezett környezetre. A Slack kereskedelmi ajánlatait használó összes ügyfél profitálhat a FedRAMP-tanúsítás eléréséhez szükséges fokozott biztonsági intézkedésekből."

    Trello Enterprise Cloud

    A Trello csak szeptemberben kapta meg a Li-SaaS engedélyt. A Trellót eddig csak a General Services Administration használta. De a cég ezen szeretne változtatni, ahogy az új FedRAMP státuszukról szóló közösségi posztjaikból is látszik:

    🏛️A Trello FedRAMP-engedélyével az Ön ügynöksége mostantól használhatja a Trellót a termelékenység növelésére, a csapatok közötti silók lebontására és az együttműködés elősegítésére. //t.co/GWYgaj9jfY

    - Trello (@trello) október 12, 2020

    Zendesk

    A májusban szintén engedélyezett Zendesket a következők használják:

    • az Energiaügyi Minisztérium,
    • a Szövetségi Lakásfinanszírozási Ügynökség
    • az FHFA Főfelügyeleti Hivatala, és
    • az Általános Szolgáltatási Igazgatóság.

    A Zendesk ügyfélszolgálati és ügyfélszolgálati platform Li-Saas-engedéllyel rendelkezik.

    A mai naptól kezdve sokkal könnyebbé tehetjük a kormányzati ügynökségek számára a velünk való együttműködést, mivel a @Zendesk mostantól FedRAMP-engedéllyel rendelkezik. Köszönjük a Zendesk-en belüli és kívüli csapatoknak az ebbe fektetett erőfeszítéseket. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) május 22, 2020

    FedRAMP a közösségi média kezelésére

    Az SMMExpert FedRAMP-engedéllyel rendelkezik. A kormányzati ügynökségek mostantól könnyedén együttműködhetnek a közösségi média menedzsment globális vezető vállalatával a polgárokkal való kapcsolattartás, a válságkommunikáció kezelése, valamint a szolgáltatások és információk közösségi médián keresztül történő nyújtása érdekében.

    Demo kérése

    Előző poszt A tökéletes közösségi média stílus útmutató a márkád számára 2023-ban
    Következő bejegyzés 8 tipp a hibátlan Instagram átvételhez

    Kimberly Parker tapasztalt digitális marketing szakember, több mint 10 éves tapasztalattal az iparágban. Saját közösségimédia-marketing ügynökségének alapítójaként számos vállalkozásnak segített különféle iparágakban, hogy hatékony közösségimédia-stratégiák révén megalapozzák és növeljék online jelenlétüket. Kimberly emellett termékeny író, aki közösségi médiáról és digitális marketingről írt cikkeket több neves kiadványban. Szabadidejében szeret új receptekkel kísérletezni a konyhában, és hosszú sétákat tesz a kutyájával.