Na-hack na celebrity camera roll. cyberespionage na nakabase sa estado. At lahat ng nasa pagitan. Ang seguridad ng data ay may malaking hanay ng mga aplikasyon. At isa itong pangunahing alalahanin para sa lahat ng gumagamit o nagsusuplay ng mga serbisyong nakabatay sa cloud.

Kapag may kinalaman ang data ng pamahalaan, maaaring maabot ng mga alalahaning iyon ang antas ng pambansang seguridad. Iyon ang dahilan kung bakit hinihiling ng gobyerno ng U.S. ang lahat ng serbisyo sa cloud na ginagamit ng mga pederal na ahensya upang matugunan ang isang maselang hanay ng mga pamantayan sa seguridad na kilala bilang FedRAMP.

Kung gayon, ano lang ang FedRAMP, at ano ang kasama nito? Nasa tamang lugar ka para malaman.

Bonus: Basahin ang sunud-sunod na gabay sa diskarte sa social media na may mga pro tip sa kung paano palaguin ang iyong presensya sa social media.

Ano ang FedRAMP?

Ang FedRAMP ay nangangahulugang "Federal Risk and Authorization Management Program." Ini-standardize nito ang pagtatasa ng seguridad at awtorisasyon para sa mga produkto at serbisyo ng cloud na ginagamit ng mga pederal na ahensya ng U.S. Ang pahintulot ay seryosong negosyo. Ang antas ng seguridad na kinakailangan ay ipinag-uutos ng batas. Mayroong 14 na naaangkop na batas at regulasyon, kasama ang 19 na pamantayan at mga dokumento ng gabay. Isa ito sa pinakamahigpit na software-as-a-service certifications sa mundo.

Narito ang isang mabilis na panimula:

Ang FedRAMP ay umiral na mula noong 2012. Noon talaga ang mga teknolohiya ng cloudawtorisasyon para sa Adobe Sign.

Matuto nang higit pa tungkol sa kung paano gumagana ang @Adobe Sign upang lumipat mula sa FedRAMP Tailored to FedRAMP Moderate statues dito: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) Agosto 12, 2020

Tandaan na ang serbisyo, hindi ang service provider, ang nakakakuha ng pahintulot. Tulad ng Adobe, maaaring kailanganin mong ituloy ang maraming pahintulot kung nag-aalok ka ng higit sa isang cloud-based na solusyon.

Slack

Awtorisado noong Mayo ng taong ito, ang Slack ay may 21 pahintulot sa FedRAMP. Ang produkto ay pinahintulutan sa Katamtamang antas. Ginagamit ito ng mga ahensya kabilang ang:

• ang Centers for Disease Control and Protection,
• ang Federal Communications Commission, at
• ang National Science Foundation.

Maaari na ngayong patakbuhin ng pampublikong sektor ng U.S. ang higit pa sa kanilang trabaho sa Slack, salamat sa aming bagong FedRAMP Moderate na awtorisasyon. At sa pamamagitan ng pagtugon sa mahigpit na mga kinakailangan sa seguridad, pinapanatili namin ang mga bagay na ligtas para sa bawat iba pang kumpanya na gumagamit din ng Slack. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) Agosto 13, 2020

Ang Slack ay orihinal na nakatanggap ng FedRAMP Tailored authorization. Pagkatapos, itinuloy nila ang Moderate authorization sa pamamagitan ng pakikipagsosyo sa Department of Veterans Affairs.

Slack ay tinitiyak na tatawagin ang pansin sa mga benepisyong panseguridad ng awtorisasyon na ito para sa mga kliyente ng pribadong sektor sa website nito:

“Ito ang pinakabagong awtorisasyon ay isinasalin sa isang mas secure na karanasan para saSlack na mga customer, kabilang ang mga pribadong sektor na negosyo na hindi nangangailangan ng pinapahintulutang kapaligiran ng FedRAMP. Ang lahat ng mga customer na gumagamit ng mga komersyal na alok ng Slack ay maaaring makinabang mula sa pinataas na mga hakbang sa seguridad na kinakailangan upang makamit ang FedRAMP certification.”

Trello Enterprise Cloud

Kakabigay lamang ng Li-SaaS authorization sa Trello noong Setyembre. Sa ngayon, ang Trello ay ginagamit lamang ng General Services Administration. Ngunit hinahanap ng kumpanya na baguhin iyon, tulad ng nakikita sa kanilang mga social post tungkol sa kanilang bagong status ng FedRAMP:

🏛️Sa pamamagitan ng awtorisasyon ng FedRAMP ni Trello, magagamit na ngayon ng iyong ahensya ang Trello upang palakasin ang pagiging produktibo, i-break ang mga silo ng team, at itaguyod ang pakikipagtulungan. //t.co/GWYgaj9jfY

— Trello (@trello) Oktubre 12, 2020

Zendesk

Awtorisado rin noong Mayo, ang Zendesk ay ginagamit ng:

• ang Department of Energy,
• ang Federal Housing Finance Agency
• ang FHFA Office of the Inspector General, at
• ang General Services Administration.

Ang Zendesk Customer Support at Help Desk Platform ay may pahintulot ng Li-Saas.

Mula ngayon, maaari na nating gawing mas madali para sa mga ahensya ng gobyerno na makipagtulungan sa amin dahil ang @Zendesk ay awtorisado na ngayon sa FedRAMP. Maraming salamat sa lahat ng mga koponan sa loob at labas ng Zendesk para sa pagsisikap na inilagay dito. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) Mayo 22, 2020

FedRAMP para sa pamamahala ng social media

Ang SMMExpert ay FedRAMPpinahintulutan. Madali na ngayong makikipagtulungan ang mga ahensya ng gobyerno sa pandaigdigang pinuno sa pamamahala ng social media upang makipag-ugnayan sa mga mamamayan, pamahalaan ang mga komunikasyon sa krisis, at maghatid ng mga serbisyo at impormasyon sa pamamagitan ng social media.

Humiling ng Demo

Bago ang FedRAMP, ang mga cloud service provider ay kailangang maghanda ng package ng pahintulot para sa bawat ahensya na gusto nilang makatrabaho. Ang mga kinakailangan ay hindi pare-pareho. At nagkaroon ng maraming dobleng pagsisikap para sa parehong mga provider at ahensya.

Ipinakilala ng FedRAMP ang pagkakapare-pareho at pinadali ang proseso.

Ngayon, ang mga pagsusuri at mga kinakailangan ay na-standardize. Maaaring muling gamitin ng maraming ahensya ng gobyerno ang pakete ng seguridad ng awtorisasyon ng FedRAMP ng provider.

Mabagal ang paunang paggamit ng FedRAMP. 20 cloud service offering lang ang pinahintulutan sa unang apat na taon. Ngunit talagang bumilis ang takbo mula noong 2018, at mayroon na ngayong 204 na pinapahintulutang produkto ng cloud ng FedRAMP.

Source: FedRAMP

Ang FedRAMP ay kinokontrol ng Joint Authorization Board (JAB). Ang board ay binubuo ng mga kinatawan mula sa:

• Departamento ng Homeland Security
• ang Pangkalahatang Serbisyo ng Administrasyon, at
• Departamento ng Depensa.

Ang programa ay ineendorso ng gobyerno ng U.S. Federal Chief Information Officers Council.

Bakit mahalaga ang FedRAMP certification?

Ang lahat ng mga serbisyo ng cloud na may hawak na federal data ay nangangailangan ng pahintulot ng FedRAMP. Kaya, kung gusto mong magtrabaho kasamasa pederal na pamahalaan, ang awtorisasyon ng FedRAMP ay isang mahalagang bahagi ng iyong plano sa seguridad.

Mahalaga ang FedRAMP dahil tinitiyak nito ang pagkakapare-pareho sa seguridad ng mga serbisyo sa cloud ng pamahalaan—at dahil tinitiyak nito ang pagiging pare-pareho sa pagsusuri at pagsubaybay sa seguridad na iyon. Nagbibigay ito ng isang hanay ng mga pamantayan para sa lahat ng ahensya ng gobyerno at lahat ng cloud provider.

Ang mga cloud service provider na pinapahintulutan ng FedRAMP ay nakalista sa FedRAMP Marketplace. Ang marketplace na ito ang unang tinitingnan ng mga ahensya ng gobyerno kapag gusto nilang kumuha ng bagong cloud-based na solusyon. Mas madali at mas mabilis para sa isang ahensya na gumamit ng isang produkto na awtorisado na kaysa simulan ang proseso ng awtorisasyon sa isang bagong vendor.

Kaya, ang isang listahan sa FedRAMP marketplace ay nagiging mas malamang na makakuha ng karagdagang negosyo mula sa mga ahensya ng gobyerno. Ngunit mapapabuti rin nito ang iyong profile sa pribadong sektor.

Iyon ay dahil nakikita ng publiko ang marketplace ng FedRAMP. Anumang kumpanya ng pribadong sektor ay maaaring mag-scroll sa listahan ng mga awtorisadong solusyon ng FedRAMP.

Ito ay isang mahusay na mapagkukunan kapag naghahanap sila ng isang secure na produkto o serbisyo sa cloud.

Ang awtorisasyon ng FedRAMP ay maaaring gumawa ng sinumang kliyente mas kumpiyansa tungkol sa mga protocol ng seguridad. Kinakatawan nito ang patuloy na pangako na matugunan ang pinakamataas na pamantayan ng seguridad.

Ang awtorisasyon ng FedRAMP ay lubos na nagpapalakas ng iyong kredibilidad sa seguridadlampas din sa FedRAMP Marketplace. Maaari mong ibahagi ang iyong awtorisasyon sa FedRAMP sa social media at sa iyong website.

Ang totoo ay malamang na hindi alam ng karamihan sa iyong mga kliyente kung ano ang FedRAMP. Wala silang pakialam kung awtorisado ka o hindi. Ngunit para sa malalaking kliyenteng iyon na nakakaunawa sa FedRAMP – sa parehong pampubliko at pribadong sektor – ang kawalan ng pahintulot ay maaaring isang deal-breaker.

Ano ang kinakailangan upang maging sertipikado ng FedRAMP?

Doon ay dalawang magkaibang paraan para maging awtorisado ng FedRAMP.

1. Joint Authorization Board (JAB) Provisional Authority to Operate

Sa prosesong ito, nag-isyu ang JAB ng pansamantalang awtorisasyon. Iyon ay nagpapaalam sa mga ahensya na nasuri na ang panganib.

Isa itong mahalagang unang pag-apruba. Ngunit anumang ahensya na gustong gumamit ng serbisyo ay kailangan pa ring mag-isyu ng sarili nilang Awtoridad na Mag-operate.

Ang prosesong ito ay pinakaangkop para sa mga cloud service provider na may mataas o katamtamang panganib. (Sumisid tayo sa mga antas ng panganib sa susunod na seksyon.)

Narito ang isang visual na pangkalahatang-ideya ng proseso ng JAB:

Pinagmulan: FedRAMP

2. Awtoridad ng Ahensya na Magpapatakbo

Sa prosesong ito, nagtatatag ang provider ng mga serbisyo ng cloud ng isang relasyon sa isang partikular na ahensyang pederal. Kasangkot ang ahensyang iyon sa buong proseso. Kung matagumpay ang proseso, maglalabas ang ahensya ng Authority to Operate letter.

Source: FedRAMP

Mga Hakbang patungo sa awtorisasyon ng FedRAMP

Alinman ang uri ng awtorisasyon na iyong gagawin, ang awtorisasyon ng FedRAMP ay may kasamang apat na pangunahing hakbang:

1. Pagbuo ng package. Una, mayroong kick-off na pulong ng awtorisasyon. Pagkatapos ay kinukumpleto ng provider ang isang System Security Plan. Susunod, ang isang organisasyon ng pagtatasa ng third-party na naaprubahan ng FedRAMP ay bubuo ng Plano sa Pagtatasa ng Seguridad.
2. Pagsusuri. Nagsusumite ang organisasyon ng pagtatasa ng ulat sa Pagtatasa ng Seguridad. Lumilikha ang provider ng Plano ng Aksyon & Mga Milestone.
3. Awtorisasyon. Ang JAB o ahensyang nagpapahintulot ay magpapasya kung ang panganib gaya ng inilarawan ay katanggap-tanggap. Kung oo, nagsusumite sila ng Authority to Operate letter sa FedRAMP project management office. Ang provider ay pagkatapos ay nakalista sa FedRAMP Marketplace.
4. Pagsubaybay. Ang provider ay nagpapadala ng buwanang seguridad sa pagsubaybay sa mga inihahatid sa bawat ahensya gamit ang serbisyo.

FedRAMP authorization pinakamahusay mga kasanayan

Ang proseso ng pagkamit ng awtorisasyon ng FedRAMP ay maaaring maging mahirap. Ngunit ito ay para sa pinakamahusay na interes ng lahat ng kasangkot para sa mga cloud service provider na magtagumpay sa sandaling simulan nila ang proseso ng awtorisasyon.

Upang makatulong, kinapanayam ng FedRAMP ang ilang maliliit na negosyo at mga start-up tungkol sa mga aral na natutunan sa panahon ng awtorisasyon. Narito ang kanilang pitong pinakamahusay na tip para sa matagumpay na pag-navigate sa proseso ng awtorisasyon:

1. Unawain kung paano ang iyongmga mapa ng produkto sa FedRAMP – kabilang ang pagsusuri ng agwat.
2. Kumuha ng organisasyonal na pagbili at pangako – kabilang ang mula sa executive team at mga teknikal na team.
3. Maghanap ng kasosyo sa ahensya – isa na gumagamit ng iyong produkto o nakatuon sa paggawa nito.
4. Gumugol ng oras sa tumpak na pagtukoy sa iyong hangganan. Kasama rito ang:
   • mga panloob na bahagi
   • mga koneksyon sa mga panlabas na serbisyo, at
   • ang daloy ng impormasyon at metadata.
5. Pag-isipan ang Ang FedRAMP bilang tuluy-tuloy na programa, sa halip na isang proyekto lamang na may petsa ng pagsisimula at pagtatapos. Dapat na patuloy na subaybayan ang mga serbisyo.
6. Maingat na isaalang-alang ang iyong diskarte sa pagpapahintulot. Maaaring mangailangan ng maraming pahintulot ang maraming produkto.
7. Ang FedRAMP PMO ay isang mahalagang mapagkukunan. Masasagot nila ang mga teknikal na tanong at tulungan kang planuhin ang iyong diskarte.

Nag-aalok ang FedRAMP ng mga template upang matulungan ang mga cloud service provider na maghanda para sa pagsunod sa FedRAMP.

Ano ang mga kategorya ng pagsunod sa FedRAMP?

Nag-aalok ang FedRAMP ng apat na antas ng epekto para sa mga serbisyong may iba't ibang uri ng panganib. Nakabatay ang mga ito sa mga potensyal na epekto ng paglabag sa seguridad sa tatlong magkakaibang lugar.

• Pagiging Kumpidensyal: Mga proteksyon para sa privacy at pagmamay-ari na impormasyon.
• Integridad: Mga proteksyon laban sa pagbabago o pagkasira ng impormasyon.
• Availability: Napapanahon at maaasahang pag-access sa data.

Ang unang tatloang mga antas ng epekto ay batay sa Federal Information Processing Standard (FIPS) 199 mula sa National Institute of Standards and Technology (NIST). Ang ikaapat ay batay sa NIST Special Publication 800-37. Ang mga antas ng epekto ay:

• Mataas, batay sa 421 na mga kontrol. “Ang pagkawala ng pagiging kumpidensyal, integridad, o kakayahang magamit ay maaaring asahan na magkaroon ng malubha o sakuna na masamang epekto sa organisasyon mga operasyon, mga asset ng organisasyon, o mga indibidwal.” Karaniwang nalalapat ito sa pagpapatupad ng batas, mga serbisyong pang-emergency, pampinansyal, at mga sistemang pangkalusugan.
• Katamtaman, batay sa 325 na mga kontrol. “Ang pagkawala ng pagiging kumpidensyal, integridad, o kakayahang magamit ay maaaring asahan na magkaroon isang malubhang masamang epekto sa mga operasyon ng organisasyon, mga asset ng organisasyon, o mga indibidwal." Halos 80 porsiyento ng mga naaprubahang aplikasyon ng FedRAMP ay nasa katamtamang antas ng epekto.
• Mababa, batay sa 125 na kontrol. “Ang pagkawala ng pagiging kumpidensyal, integridad, o kakayahang magamit ay maaaring asahan na magkaroon ng limitadong masamang epekto sa mga pagpapatakbo ng organisasyon, mga asset ng organisasyon, o mga indibidwal.”
• Low-Impact Software-as-a-Service (LI-SaaS), batay sa 36 na kontrol . Para sa "mga system na mababa ang panganib para sa paggamit tulad ng mga tool sa pakikipagtulungan, mga application sa pamamahala ng proyekto, at mga tool na tumutulong sa pagbuo ng open-source code." Ang kategoryang ito ay kilala rin bilang FedRAMP Tailored.

Idinagdag ang huling kategorya noong 2017upang gawing mas madali para sa mga ahensya na aprubahan ang "mga kaso ng mababang panganib na paggamit." Upang maging kwalipikado para sa FedRAMP Tailored, ang provider ay dapat sumagot ng oo sa anim na tanong. Ang mga ito ay nai-post sa FedRAMP Tailored policy page:

• Gumagana ba ang serbisyo sa isang cloud environment?
• Ang cloud service ba ay ganap na gumagana?
• Ang cloud ba ay serbisyo ng Software bilang Serbisyo (SaaS), gaya ng tinukoy ng NIST SP 800-145, Ang NIST Definition ng Cloud Computing?
• Ang cloud service ay hindi naglalaman ng personally identifiable information (PII), maliban kung kinakailangan upang magbigay isang kakayahan sa pag-login (username, password at email address)?
• Ang serbisyo ba ng cloud ay mababa ang epekto sa seguridad, gaya ng tinukoy ng FIPS PUB 199, Mga Pamantayan para sa Kategorya ng Seguridad ng Pederal na Impormasyon at Sistema ng Impormasyon?
• Ang cloud service ba ay naka-host sa loob ng FedRAMP-authorized Platform as a Service (PaaS) o Infrastructure as a Service (IaaS), o ang CSP ba ay nagbibigay ng pinagbabatayan na cloud infrastructure?

Tandaan na ang pagkamit ng pagsunod sa FedRAMP ay hindi isang one-off na gawain. Tandaan ang yugto ng Pagsubaybay ng awtorisasyon ng FedRAMP? Ibig sabihin, kakailanganin mong magsumite ng mga regular na pag-audit sa seguridad para matiyak na manatili ka sa FedRAMP.

Bonus: Basahin ang sunud-sunod na gabay sa diskarte sa social media na may mga pro tip sa kung paano palaguin ang iyong presensya sa social media.

Mga halimbawa ng FedRAMP certifiedmga produkto

Maraming uri ng pinapahintulutang produkto at serbisyo ng FedRAMP. Narito ang ilang halimbawa mula sa mga cloud service provider na kilala mo at maaaring ginagamit mo na ang iyong sarili.

Amazon Web Services

May dalawang listahan ng AWS sa FedRAMP Marketplace. Ang AWS GovCloud ay awtorisado sa Mataas na antas. Ang AWS US East/West ay awtorisado sa Moderate level.

Narinig mo ba? Maaaring gamitin ng mga customer ng AWS GovCloud (US) ang #AmazonEFS para sa mga mission-critical na file workload salamat sa kamakailang pagkamit ng FedRAMP High authorization. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

— AWS for Government (@AWS_Gov) Oktubre 18, 2019

Ang AWS GovCloud ay may napakalaking 292 na pahintulot. Ang AWS US East/West ay may 250 na pahintulot. Higit pa iyon kaysa sa alinmang listahan sa FedRAMP Marketplace.

Adobe Analytics

Adobe Analytics ay pinahintulutan noong 2019. Ginagamit ito ng Centers for Disease Control and Prevention at ng Department of Health at Mga serbisyo ng tao. Pinahintulutan ito sa antas ng LI-SaaS.

Talagang may ilang produkto ang Adobe na pinahintulutan sa antas ng LI-SaaS. (Tulad ng Adobe Campaign at Adobe Document Cloud.) Mayroon din silang dalawang produkto na pinapahintulutan sa Moderate level:

• Adobe Connect Managed Services
• Adobe Experience Manager Managed Services.

Ang Adobe ay kasalukuyang nasa proseso ng paglipat mula sa FedRAMP Tailored authorization patungo sa FedRAMP Moderate