Certyfikacja FedRAMP: Co to jest, dlaczego ma znaczenie i kto ją posiada

Kimberly Parker

29-05-2023 Strategia
  • Udostępnij To
Kimberly Parker

Zhakowane zdjęcia celebrytów, państwowe cyberszpiegostwo i wszystko pomiędzy. Bezpieczeństwo danych ma ogromny zakres zastosowań i jest głównym problemem dla każdego, kto korzysta z usług w chmurze lub je dostarcza.

Gdy w grę wchodzą dane rządowe, obawy te mogą osiągnąć poziom bezpieczeństwa narodowego. Dlatego rząd Stanów Zjednoczonych wymaga, aby wszystkie usługi w chmurze, z których korzystają agencje federalne, spełniały drobiazgowy zestaw standardów bezpieczeństwa znany jako FedRAMP.

Więc czym jest FedRAMP i co się z nim wiąże? Jesteś we właściwym miejscu, aby się dowiedzieć.

Bonus: Przeczytaj przewodnik po strategii social media krok po kroku z pro wskazówkami, jak rozwijać swoją obecność w mediach społecznościowych.

Czym jest FedRAMP?

FedRAMP to skrót od "Federal Risk and Authorization Management Program", który standaryzuje ocenę bezpieczeństwa i autoryzację dla produktów i usług chmurowych wykorzystywanych przez amerykańskie agencje federalne.

Celem jest upewnienie się, że dane federalne są konsekwentnie chronione na wysokim poziomie w chmurze.

Uzyskanie autoryzacji FedRAMP to poważna sprawa. Wymagany poziom bezpieczeństwa jest narzucony przez prawo. Istnieje 14 obowiązujących przepisów i regulacji, a także 19 standardów i wytycznych. Jest to jedna z najbardziej rygorystycznych certyfikacji oprogramowania jako usługi na świecie.

Oto krótkie wprowadzenie:

FedRAMP istnieje od 2012 r. Wtedy to technologie chmurowe zaczęły naprawdę wypierać przestarzałe, uwiązane rozwiązania programowe. Powstał on w wyniku strategii rządu USA "Cloud First", która wymagała od agencji, aby w pierwszej kolejności przyjrzały się rozwiązaniom opartym na chmurze.

Przed FedRAMP dostawcy usług w chmurze musieli przygotować pakiet autoryzacyjny dla każdej agencji, z którą chcieli współpracować. Wymagania nie były spójne. I było dużo dublowania wysiłków zarówno dla dostawców, jak i agencji.

FedRAMP wprowadził spójność i usprawnił proces.

Teraz oceny i wymagania są standaryzowane. Wiele agencji rządowych może ponownie wykorzystać pakiet zabezpieczeń autoryzacji FedRAMP dostawcy.

Początkowy uptake FedRAMP był powolny. Tylko 20 ofert usług w chmurze zostało autoryzowanych w pierwszych czterech latach. Ale tempo naprawdę wzrosło od 2018 roku, a obecnie istnieją 204 autoryzowane produkty chmurowe FedRAMP.

Źródło: FedRAMP

FedRAMP jest kontrolowany przez Joint Authorization Board (JAB). W skład rady wchodzą przedstawiciele z:

  • Departament Bezpieczeństwa Wewnętrznego
  • General Services Administration, oraz
  • Departamentu Obrony.

Program jest zatwierdzony przez rząd USA Federal Chief Information Officers Council.

Dlaczego certyfikacja FedRAMP jest ważna?

Wszystkie usługi chmurowe przechowujące dane federalne wymagają autoryzacji FedRAMP. Tak więc, jeśli chcesz pracować z rządem federalnym, autoryzacja FedRAMP jest ważną częścią twojego planu bezpieczeństwa.

FedRAMP jest ważny, ponieważ zapewnia spójność w zakresie bezpieczeństwa rządowych usług w chmurze - i ponieważ zapewnia spójność w ocenie i monitorowaniu tego bezpieczeństwa. Zapewnia jeden zestaw standardów dla wszystkich agencji rządowych i wszystkich dostawców usług w chmurze.

Dostawcy usług w chmurze, którzy posiadają autoryzację FedRAMP, są wymienieni w FedRAMP Marketplace. Rynek ten jest pierwszym miejscem, do którego zaglądają agencje rządowe, gdy chcą pozyskać nowe rozwiązanie oparte na chmurze. Dla agencji znacznie łatwiejsze i szybsze jest korzystanie z produktu, który jest już autoryzowany, niż rozpoczynanie procesu autoryzacji z nowym dostawcą.

Tak więc, wpisanie na rynek FedRAMP zwiększa prawdopodobieństwo uzyskania dodatkowego biznesu od agencji rządowych, ale może również poprawić Twój profil w sektorze prywatnym.

To dlatego, że rynek FedRAMP jest widoczny publicznie. Każda firma z sektora prywatnego może przewijać listę autoryzowanych rozwiązań FedRAMP.

Jest to doskonałe źródło informacji, gdy szukają bezpiecznego produktu lub usługi w chmurze.

Autoryzacja FedRAMP może sprawić, że każdy klient będzie bardziej pewny protokołów bezpieczeństwa. Stanowi ona ciągłe zobowiązanie do spełnienia najwyższych standardów bezpieczeństwa.

Autoryzacja FedRAMP znacznie zwiększa wiarygodność bezpieczeństwa również poza FedRAMP Marketplace. Możesz udostępnić swoją autoryzację FedRAMP w mediach społecznościowych i na swojej stronie internetowej.

Prawda jest taka, że większość Twoich klientów prawdopodobnie nie wie, czym jest FedRAMP. Nie obchodzi ich, czy masz autoryzację, czy nie. Ale dla tych dużych klientów, którzy rozumieją FedRAMP - zarówno w sektorze publicznym, jak i prywatnym - brak autoryzacji może być przeszkodą w transakcji.

Co trzeba zrobić, aby uzyskać certyfikat FedRAMP?

Istnieją dwa różne sposoby na uzyskanie autoryzacji FedRAMP.

1) Wspólna Rada ds. Zezwoleń (JAB) tymczasowe zezwolenie na prowadzenie działalności

W tym procesie JAB wydaje tymczasowe zezwolenie, co daje agencjom informację, że ryzyko zostało poddane przeglądowi.

To ważne pierwsze zatwierdzenie, ale każda agencja, która chce korzystać z usługi, musi jeszcze wydać własne zezwolenie na prowadzenie działalności.

Proces ten najlepiej nadaje się dla dostawców usług w chmurze o wysokim lub umiarkowanym ryzyku (w następnej sekcji zajmiemy się poziomami ryzyka).

Oto wizualny przegląd procesu JAB:

Źródło: FedRAMP

2) Uprawnienia Agencji do prowadzenia działalności

W tym procesie dostawca usług w chmurze nawiązuje relację z konkretną agencją federalną. Agencja ta jest zaangażowana w cały proces. Jeśli proces zakończy się sukcesem, agencja wydaje list upoważniający do działania.

Źródło: FedRAMP

Kroki do autoryzacji FedRAMP

Bez względu na to, który rodzaj autoryzacji realizujesz, autoryzacja FedRAMP obejmuje cztery główne kroki:

  1. Opracowanie pakietu. Najpierw odbywa się spotkanie autoryzacyjne, następnie dostawca wypełnia Plan Bezpieczeństwa Systemu, a następnie zatwierdzona przez FedRAMP zewnętrzna organizacja oceniająca opracowuje Plan Oceny Bezpieczeństwa.
  2. Ocena. Organizacja oceniająca składa raport z oceny bezpieczeństwa. Dostawca tworzy Plan działania & Kamienie milowe.
  3. Upoważnienie. JAB lub agencja autoryzująca decyduje, czy opisane ryzyko jest do zaakceptowania. Jeśli tak, to składa pismo o zezwolenie na prowadzenie działalności do biura zarządzania projektem FedRAMP. Dostawca jest następnie umieszczony na liście FedRAMP Marketplace.
  4. Monitoring. Dostawca wysyła miesięczne wyniki monitorowania bezpieczeństwa do każdej agencji korzystającej z usługi.

Najlepsze praktyki autoryzacji FedRAMP

Proces uzyskiwania autoryzacji FedRAMP może być trudny, ale w najlepszym interesie wszystkich zaangażowanych jest, aby dostawcy usług w chmurze odnieśli sukces po rozpoczęciu procesu autoryzacji.

Aby pomóc, FedRAMP przeprowadził wywiady z kilkoma małymi firmami i start-upami na temat lekcji wyniesionych z procesu autoryzacji. Oto ich siedem najlepszych wskazówek, jak skutecznie poruszać się po procesie autoryzacji:

  1. Zrozumienie, w jaki sposób Twój produkt jest dostosowany do FedRAMP - w tym analiza luk.
  2. Uzyskaj organizacyjne kupno i zaangażowanie - w tym od zespołu wykonawczego i zespołów technicznych.
  3. Znajdź partnera agencyjnego - takiego, który używa Twojego produktu lub jest zdecydowany to robić.
  4. Poświęć czas na dokładne określenie swoich granic, co obejmuje:
    • elementy wewnętrzne
    • połączenia z usługami zewnętrznymi, oraz
    • przepływ informacji i metadanych.
  5. Należy myśleć o FedRAMP jako o ciągłym programie, a nie tylko projekcie z datą rozpoczęcia i zakończenia. Usługi muszą być stale monitorowane.
  6. Należy dokładnie rozważyć sposób autoryzacji. Wiele produktów może wymagać wielu autoryzacji.
  7. FedRAMP PMO jest cennym zasobem. Mogą oni odpowiedzieć na pytania techniczne i pomóc w zaplanowaniu strategii.

    FedRAMP oferuje szablony, aby pomóc dostawcom usług w chmurze przygotować się do uzyskania zgodności z FedRAMP.

    Jakie są kategorie zgodności z FedRAMP?

    FedRAMP oferuje cztery poziomy wpływu dla usług o różnych rodzajach ryzyka. Są one oparte na potencjalnych skutkach naruszenia bezpieczeństwa w trzech różnych obszarach.

    • Poufność: Ochrona prywatności i informacji zastrzeżonych.
    • Integralność: Zabezpieczenia przed modyfikacją lub zniszczeniem informacji.
    • Dostępność: Terminowy i niezawodny dostęp do danych.

    Pierwsze trzy poziomy wpływu są oparte na Federalnym Standardzie Przetwarzania Informacji (FIPS) 199 z Narodowego Instytutu Norm i Technologii (NIST). Czwarty jest oparty na specjalnej publikacji NIST 800-37. Poziomy wpływu to:

    • Wysoki, oparty na 421 kontrolach. "Można oczekiwać, że utrata poufności, integralności lub dostępności może mieć poważny lub katastrofalny negatywny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby". Dotyczy to zwykle systemów egzekwowania prawa, służb ratowniczych, finansowych i zdrowotnych.
    • Umiarkowany, oparty na 325 kontrolach. "Można oczekiwać, że utrata poufności, integralności lub dostępności może mieć poważny negatywny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby". Prawie 80 procent zatwierdzonych aplikacji FedRAMP znajduje się na poziomie umiarkowanego wpływu.
    • Niski, oparty na 125 kontrolach. "Można oczekiwać, że utrata poufności, integralności lub dostępności może mieć ograniczony negatywny wpływ na operacje organizacyjne, aktywa organizacyjne lub osoby."
    • Low-Impact Software-as-a-Service (LI-SaaS), w oparciu o 36 kontroli Dla "systemów, które są niskiego ryzyka dla zastosowań takich jak narzędzia do współpracy, aplikacje do zarządzania projektami i narzędzia, które pomagają rozwijać kod open-source" Ta kategoria jest również znana jako FedRAMP Tailored.

    Ta ostatnia kategoria została dodana w 2017 roku, aby ułatwić agencjom zatwierdzanie "przypadków użycia o niskim ryzyku". Aby zakwalifikować się do FedRAMP Tailored, dostawca musi odpowiedzieć twierdząco na sześć pytań. Są one zamieszczone na stronie polityki FedRAMP Tailored:

    • Czy usługa działa w środowisku chmurowym?
    • Czy usługa chmurowa jest w pełni sprawna?
    • Czy usługa w chmurze to oprogramowanie jako usługa (SaaS), zgodnie z definicją NIST SP 800-145, The NIST Definition of Cloud Computing?
    • Usługa w chmurze nie zawiera informacji umożliwiających identyfikację osoby (PII), z wyjątkiem tych, które są potrzebne do zapewnienia możliwości logowania (nazwa użytkownika, hasło i adres e-mail)?
    • Czy usługa w chmurze ma niski wpływ na bezpieczeństwo, zgodnie z definicją FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems?
    • Czy usługa chmury jest hostowana w ramach autoryzowanej przez FedRAMP Platformy jako usługi (PaaS) lub Infrastruktury jako usługi (IaaS), czy też CSP zapewnia bazową infrastrukturę chmury?

    Pamiętaj, że osiągnięcie zgodności z FedRAMP nie jest jednorazowym zadaniem. Pamiętasz etap monitorowania autoryzacji FedRAMP? Oznacza to, że będziesz musiał poddawać się regularnym audytom bezpieczeństwa, aby upewnić się, że zostań Zgodność z FedRAMP.

    Bonus: Przeczytaj przewodnik po strategii social media krok po kroku z pro wskazówkami, jak rozwijać swoją obecność w mediach społecznościowych.

    Pobierz darmowy przewodnik już teraz!

    Przykłady certyfikowanych produktów FedRAMP

    Istnieje wiele rodzajów produktów i usług autoryzowanych przez FedRAMP. Oto kilka przykładów od dostawców usług w chmurze, których znasz i z których możesz już sam korzystać.

    Amazon Web Services

    W FedRAMP Marketplace znajdują się dwie listy AWS. AWS GovCloud jest autoryzowana na poziomie High, a AWS US East/West na poziomie Moderate.

    Czy słyszałeś? Klienci AWS GovCloud (US) mogą używać #AmazonEFS dla obciążeń plikowych o znaczeniu krytycznym dzięki niedawnemu uzyskaniu autoryzacji FedRAMP High. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS for Government (@AWS_Gov) 18 października 2019 r.

    AWS GovCloud ma aż 292 uprawnienia. AWS US East/West ma 250 uprawnień. To znacznie więcej niż jakakolwiek inna lista w FedRAMP Marketplace.

    Adobe Analytics

    Adobe Analytics został autoryzowany w 2019 roku. Korzystają z niego Centers for Disease Control and Prevention oraz Department of Health and Human Services. Jest on autoryzowany na poziomie LI-SaaS.

    Adobe ma kilka produktów autoryzowanych na poziomie LI-SaaS (np. Adobe Campaign i Adobe Document Cloud), a także kilka produktów autoryzowanych na poziomie Moderate:

    • Usługi zarządzane Adobe Connect
    • Adobe Experience Manager Managed Services.

    Adobe jest obecnie w trakcie przechodzenia z autoryzacji FedRAMP Tailored do autoryzacji FedRAMP Moderate dla Adobe Sign.

    Dowiedz się więcej o tym, jak @Adobe Sign pracuje nad przejściem ze statuetki FedRAMP Tailored do FedRAMP Moderate tutaj: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) 12 sierpnia 2020 r.

    Pamiętaj, że autoryzacji podlega usługa, a nie jej dostawca. Podobnie jak w przypadku firmy Adobe, możesz być zmuszony do uzyskania wielu autoryzacji, jeśli oferujesz więcej niż jedno rozwiązanie oparte na chmurze.

    Slack

    Zezwolony w maju tego roku Slack ma 21 autoryzacji FedRAMP. Produkt jest autoryzowany na poziomie Moderate. Korzystają z niego agencje, w tym:

    • Centra Kontroli i Ochrony Chorób,
    • Federalnej Komisji Łączności, oraz
    • Narodowej Fundacji Nauki.

    Sektor publiczny w USA może teraz wykonywać więcej zadań w Slacku, dzięki naszej nowej autoryzacji FedRAMP Moderate. Spełniając te rygorystyczne wymogi bezpieczeństwa, dbamy o bezpieczeństwo każdej innej firmy korzystającej z Slacka. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) 13 sierpnia 2020 r.

    Slack pierwotnie otrzymał autoryzację FedRAMP Tailored, a następnie dążył do autoryzacji Moderate poprzez współpracę z Departamentem Spraw Weteranów.

    Slack upewnia się, aby zwrócić uwagę na korzyści związane z bezpieczeństwem tego upoważnienia dla klientów z sektora prywatnego na swojej stronie internetowej:

    "Ta najnowsza autoryzacja przekłada się na bardziej bezpieczne doświadczenie dla klientów Slacka, w tym firm z sektora prywatnego, które nie wymagają środowiska autoryzowanego przez FedRAMP. Wszyscy klienci korzystający z komercyjnej oferty Slacka mogą skorzystać z podwyższonych środków bezpieczeństwa wymaganych do uzyskania certyfikatu FedRAMP."

    Trello Enterprise Cloud

    Trello właśnie we wrześniu otrzymało autoryzację Li-SaaS. Trello jest jak na razie używane tylko przez General Services Administration. Ale firma chce to zmienić, co widać w ich postach społecznościowych dotyczących nowego statusu FedRAMP:

    🏛️ Dzięki autoryzacji FedRAMP Twoja agencja może teraz korzystać z Trello, aby zwiększyć produktywność, przełamać silosy w zespołach i wspierać współpracę. //t.co/GWYgaj9jfY

    - Trello (@trello) 12 października 2020 r.

    Zendesk

    Również autoryzowany w maju Zendesk jest używany przez:

    • Departamentu Energii,
    • Federalna Agencja Finansowania Mieszkalnictwa
    • Biuro Inspektora Generalnego FHFA, oraz
    • General Services Administration.

    Platforma wsparcia i pomocy technicznej Zendesk posiada autoryzację Li-Saas.

    Od dziś możemy znacznie ułatwić agencjom rządowym współpracę z nami, ponieważ @Zendesk jest teraz autoryzowany w ramach FedRAMP. Dziękujemy wszystkim zespołom wewnątrz i na zewnątrz Zendesk za wysiłek włożony w ten proces. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) 22 maja 2020 r.

    FedRAMP dla zarządzania mediami społecznościowymi

    SMMExpert jest autoryzowany przez FedRAMP. Agencje rządowe mogą teraz łatwo współpracować z globalnym liderem w zarządzaniu mediami społecznościowymi, aby angażować się w relacje z obywatelami, zarządzać komunikacją kryzysową oraz dostarczać usługi i informacje za pośrednictwem mediów społecznościowych.

    Zamów demonstrację

    Poprzedni post Idealny przewodnik po stylu mediów społecznościowych dla Twojej marki w 2023 r.
    Następny post 8 porad dotyczących bezbłędnego przejęcia Instagrama

    Kimberly Parker jest doświadczoną specjalistką ds. marketingu cyfrowego z ponad 10-letnim doświadczeniem w branży. Jako założycielka własnej agencji marketingu społecznościowego pomogła wielu firmom z różnych branż ustanowić i rozwinąć swoją obecność w Internecie dzięki skutecznym strategiom w mediach społecznościowych. Kimberly jest także płodną pisarką, publikując artykuły na temat mediów społecznościowych i marketingu cyfrowego w kilku renomowanych publikacjach. W wolnym czasie uwielbia eksperymentować w kuchni z nowymi przepisami oraz chodzić na długie spacery z psem.