Chứng nhận FedRAMP: Nó là gì, tại sao nó lại quan trọng và ai có nó

Kimberly Parker

29-05-2023 Chiến lược
  • Chia Sẻ Cái Này
Kimberly Parker

Cuộn camera của người nổi tiếng bị hack. Hoạt động gián điệp mạng dựa trên nhà nước. Và mọi thứ ở giữa. Bảo mật dữ liệu có rất nhiều ứng dụng. Và đó là mối quan tâm lớn đối với tất cả những người sử dụng hoặc cung cấp dịch vụ dựa trên đám mây.

Khi có liên quan đến dữ liệu của chính phủ, những mối lo ngại đó có thể đạt đến cấp độ an ninh quốc gia. Đó là lý do tại sao chính phủ Hoa Kỳ yêu cầu tất cả các dịch vụ đám mây được sử dụng bởi các cơ quan liên bang phải đáp ứng một bộ tiêu chuẩn bảo mật tỉ mỉ được gọi là FedRAMP.

Vậy FedRAMP là gì và nó đòi hỏi những gì? Bạn đang ở đúng nơi để tìm hiểu.

Phần thưởng: Đọc hướng dẫn chiến lược truyền thông xã hội từng bước với các mẹo chuyên nghiệp về cách phát triển sự hiện diện của bạn trên mạng xã hội.

FedRAMP là gì?

FedRAMP là viết tắt của “Chương trình quản lý ủy quyền và rủi ro liên bang”. Nó tiêu chuẩn hóa đánh giá bảo mật và ủy quyền cho các sản phẩm và dịch vụ đám mây được sử dụng bởi các cơ quan liên bang của Hoa Kỳ.

Mục tiêu là đảm bảo dữ liệu liên bang được bảo vệ nhất quán ở mức cao trong đám mây.

Nhận FedRAMP ủy quyền là công việc nghiêm túc. Mức độ bảo mật cần thiết được quy định bởi luật pháp. Có 14 luật và quy định hiện hành, cùng với 19 tiêu chuẩn và tài liệu hướng dẫn. Đây là một trong những chứng chỉ phần mềm dưới dạng dịch vụ khắt khe nhất trên thế giới.

Dưới đây là phần giới thiệu nhanh:

FedRAMP đã xuất hiện từ năm 2012. Đó là lúc công nghệ đám mây thực sựủy quyền cho Adobe Sign.

Tìm hiểu thêm về cách @Adobe Sign đang hoạt động để chuyển từ tượng FedRAMP Được thiết kế riêng sang FedRAMP Kiểm duyệt tại đây: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) Ngày 12 tháng 8 năm 2020

Hãy nhớ rằng chính dịch vụ chứ không phải nhà cung cấp dịch vụ mới được cấp phép. Giống như Adobe, bạn có thể phải theo đuổi nhiều ủy quyền nếu bạn cung cấp nhiều hơn một giải pháp dựa trên đám mây.

Slack

Được ủy quyền vào tháng 5 năm nay, Slack có 21 ủy quyền FedRAMP. Sản phẩm được ủy quyền ở mức Trung bình. Nó được sử dụng bởi các cơ quan bao gồm:

  • Trung tâm Kiểm soát và Bảo vệ Dịch bệnh,
  • Ủy ban Truyền thông Liên bang và
  • Quỹ Khoa học Quốc gia.

Khu vực công của Hoa Kỳ hiện có thể thực hiện nhiều công việc hơn trong Slack, nhờ có ủy quyền Trung bình FedRAMP mới của chúng tôi. Và bằng cách đáp ứng các yêu cầu bảo mật nghiêm ngặt đó, chúng tôi cũng đang giữ mọi thứ an toàn cho mọi công ty khác sử dụng Slack. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) ngày 13 tháng 8 năm 2020

Slack ban đầu nhận được ủy quyền FedRAMP Tailored. Sau đó, họ theo đuổi ủy quyền Trung bình bằng cách hợp tác với Bộ Cựu chiến binh.

Slack đảm bảo thu hút sự chú ý đến các lợi ích bảo mật của ủy quyền này đối với các khách hàng thuộc khu vực tư nhân trên trang web của mình:

“Điều này ủy quyền mới nhất chuyển thành trải nghiệm an toàn hơn choKhách hàng của Slack, bao gồm cả các doanh nghiệp thuộc khu vực tư nhân không yêu cầu môi trường được FedRAMP ủy quyền. Tất cả khách hàng sử dụng dịch vụ thương mại của Slack đều có thể hưởng lợi từ các biện pháp bảo mật nâng cao cần thiết để đạt được chứng nhận FedRAMP.”

Trello Enterprise Cloud

Trello vừa được cấp phép Li-SaaS vào tháng 9. Trello cho đến nay chỉ được sử dụng bởi Cơ quan quản lý dịch vụ chung. Nhưng công ty đang tìm cách thay đổi điều đó, như đã thấy trong các bài đăng trên mạng xã hội về trạng thái FedRAMP mới của họ:

🏛️Với sự cho phép của FedRAMP của Trello, đại lý của bạn giờ đây có thể sử dụng Trello để tăng năng suất, phá vỡ các rào cản của nhóm và thúc đẩy sự hợp tác. //t.co/GWYgaj9jfY

— Trello (@trello) ngày 12 tháng 10 năm 2020

Zendesk

Cũng được ủy quyền vào tháng 5, Zendesk được sử dụng bởi:

  • Bộ Năng lượng,
  • Cơ quan Tài chính Nhà ở Liên bang
  • Văn phòng FHFA của Tổng Thanh tra và
  • Cục Quản lý Dịch vụ Tổng hợp.

Nền tảng bộ phận trợ giúp và hỗ trợ khách hàng của Zendesk được Li-Saas ủy quyền.

Từ hôm nay, chúng tôi có thể giúp các cơ quan chính phủ làm việc với chúng tôi dễ dàng hơn rất nhiều vì @Zendesk hiện đã được FedRAMP ủy quyền. Xin chân thành cảm ơn tất cả các đội trong và ngoài Zendesk đã nỗ lực cho việc này. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) ngày 22 tháng 5 năm 2020

FedRAMP dành cho quản lý mạng xã hội

SMMExpert chính là FedRAMPủy quyền. Giờ đây, các cơ quan chính phủ có thể dễ dàng làm việc với công ty hàng đầu thế giới về quản lý phương tiện truyền thông xã hội để tương tác với công dân, quản lý thông tin liên lạc trong khủng hoảng cũng như cung cấp dịch vụ và thông tin qua phương tiện truyền thông xã hội.

Yêu cầu Bản trình diễn

bắt đầu thay thế các giải pháp phần mềm kết nối đã lỗi thời. Nó ra đời từ chiến lược “Cloud First” của chính phủ Hoa Kỳ. Chiến lược đó yêu cầu các đại lý phải xem các giải pháp dựa trên đám mây là lựa chọn đầu tiên.

Trước FedRAMP, các nhà cung cấp dịch vụ đám mây phải chuẩn bị gói ủy quyền cho từng đại lý mà họ muốn hợp tác. Các yêu cầu không nhất quán. Và có rất nhiều nỗ lực trùng lặp cho cả nhà cung cấp và đại lý.

FedRAMP đã giới thiệu tính nhất quán và hợp lý hóa quy trình.

Giờ đây, các đánh giá và yêu cầu đã được chuẩn hóa. Nhiều cơ quan chính phủ có thể sử dụng lại gói bảo mật ủy quyền FedRAMP của nhà cung cấp.

Việc sử dụng FedRAMP ban đầu chậm. Chỉ có 20 dịch vụ đám mây được cấp phép trong bốn năm đầu tiên. Tuy nhiên, tốc độ đã thực sự tăng lên kể từ năm 2018 và hiện có 204 sản phẩm đám mây được FedRAMP ủy quyền.

Nguồn: FedRAMP

FedRAMP được kiểm soát bởi Hội đồng ủy quyền chung (JAB). Hội đồng bao gồm các đại diện từ:

  • Bộ An ninh Nội địa
  • Cục Quản lý Dịch vụ Tổng hợp và
  • Bộ Quốc phòng.

Chương trình được Hội đồng giám đốc thông tin liên bang của chính phủ Hoa Kỳ xác nhận.

Tại sao chứng nhận FedRAMP lại quan trọng?

Tất cả các dịch vụ đám mây chứa dữ liệu liên bang đều cần có sự cho phép của FedRAMP. Vì vậy, nếu bạn muốn làm việc vớichính phủ liên bang, ủy quyền FedRAMP là một phần quan trọng trong kế hoạch bảo mật của bạn.

FedRAMP rất quan trọng vì nó đảm bảo tính nhất quán trong bảo mật của các dịch vụ đám mây của chính phủ—và vì nó đảm bảo tính nhất quán trong việc đánh giá và giám sát tính bảo mật đó. Nó cung cấp một bộ tiêu chuẩn cho tất cả các cơ quan chính phủ và tất cả các nhà cung cấp dịch vụ đám mây.

Các nhà cung cấp dịch vụ đám mây được FedRAMP ủy quyền được liệt kê trong Thị trường FedRAMP. Thị trường này là nơi đầu tiên các cơ quan chính phủ tìm đến khi họ muốn tìm kiếm một giải pháp dựa trên đám mây mới. Việc đại lý sử dụng một sản phẩm đã được cấp phép sẽ dễ dàng và nhanh hơn nhiều so với việc bắt đầu quy trình cấp phép với nhà cung cấp mới.

Vì vậy, danh sách trên thị trường FedRAMP giúp bạn có nhiều khả năng nhận được thêm doanh nghiệp từ cơ quan chính phủ. Nhưng nó cũng có thể cải thiện hồ sơ của bạn trong khu vực tư nhân.

Đó là vì thị trường FedRAMP hiển thị công khai. Bất kỳ công ty thuộc khu vực tư nhân nào cũng có thể cuộn qua danh sách các giải pháp được ủy quyền của FedRAMP.

Đó là một nguồn tài nguyên tuyệt vời khi họ đang tìm kiếm nguồn sản phẩm hoặc dịch vụ đám mây an toàn.

Việc ủy ​​quyền của FedRAMP có thể tạo ra bất kỳ khách hàng nào tự tin hơn về các giao thức bảo mật. Nó thể hiện cam kết liên tục đáp ứng các tiêu chuẩn bảo mật cao nhất.

Việc ủy ​​quyền FedRAMP giúp tăng đáng kể độ tin cậy về bảo mật của bạnngoài FedRAMP Marketplace. Bạn có thể chia sẻ ủy quyền FedRAMP của mình trên mạng xã hội và trên trang web của mình.

Sự thật là hầu hết khách hàng của bạn có thể không biết FedRAMP là gì. Họ không quan tâm bạn có được ủy quyền hay không. Nhưng đối với những khách hàng lớn hiểu rõ về FedRAMP – trong cả khu vực công và tư nhân – việc thiếu ủy quyền có thể là một yếu tố phá vỡ thỏa thuận.

Bạn cần làm gì để được chứng nhận FedRAMP?

Có có hai cách khác nhau để được FedRAMP ủy quyền.

1. Ủy ban ủy quyền chung (JAB) Cơ quan điều hành tạm thời

Trong quá trình này, JAB cấp giấy phép tạm thời. Điều đó cho phép các đại lý biết rủi ro đã được xem xét.

Đây là lần phê duyệt đầu tiên quan trọng. Tuy nhiên, bất kỳ đại lý nào muốn sử dụng dịch vụ vẫn phải cấp Giấy phép vận hành của riêng họ.

Quy trình này phù hợp nhất với các nhà cung cấp dịch vụ đám mây có rủi ro cao hoặc trung bình. (Chúng ta sẽ đi sâu vào các mức độ rủi ro trong phần tiếp theo.)

Dưới đây là tổng quan trực quan về quy trình JAB:

Nguồn: FedRAMP

2. Cơ quan có thẩm quyền vận hành

Trong quá trình này, nhà cung cấp dịch vụ đám mây thiết lập mối quan hệ với một cơ quan liên bang cụ thể. Cơ quan đó có liên quan trong suốt quá trình. Nếu quá trình này thành công, cơ quan sẽ đưa ra một lá thư về Cơ quan Hoạt động.

Nguồn: FedRAMP

Các bước để ủy quyền FedRAMP

Bất kể bạn theo đuổi loại ủy quyền nào, việc ủy ​​quyền FedRAMP bao gồm bốn bước chính:

  1. Phát triển gói. Đầu tiên, có một cuộc họp khởi động ủy quyền. Sau đó, nhà cung cấp hoàn thành Kế hoạch bảo mật hệ thống. Tiếp theo, tổ chức đánh giá bên thứ ba được FedRAMP phê duyệt phát triển Kế hoạch đánh giá bảo mật.
  2. Đánh giá. Tổ chức đánh giá gửi báo cáo Đánh giá bảo mật. Nhà cung cấp tạo Kế hoạch Hành động & Các mốc quan trọng.
  3. Ủy quyền. JAB hoặc cơ quan có thẩm quyền quyết định xem rủi ro như mô tả có được chấp nhận hay không. Nếu có, họ gửi thư Ủy quyền Vận hành cho văn phòng quản lý dự án FedRAMP. Sau đó, nhà cung cấp được liệt kê trong Thị trường FedRAMP.
  4. Giám sát. Nhà cung cấp gửi các sản phẩm giám sát bảo mật hàng tháng cho từng đại lý sử dụng dịch vụ.

Ủy quyền FedRAMP tốt nhất thực tiễn

Quá trình đạt được sự cho phép của FedRAMP có thể khó khăn. Tuy nhiên, lợi ích tốt nhất của tất cả những người có liên quan là các nhà cung cấp dịch vụ đám mây phải thành công sau khi họ bắt đầu quy trình ủy quyền.

Để trợ giúp, FedRAMP đã phỏng vấn một số doanh nghiệp nhỏ và công ty mới thành lập về các bài học rút ra trong quá trình ủy quyền. Dưới đây là bảy mẹo hay nhất của họ để điều hướng thành công quy trình ủy quyền:

  1. Hiểu cách thức hoạt động của bạnánh xạ sản phẩm tới FedRAMP – bao gồm cả phân tích lỗ hổng.
  2. Nhận được sự ủng hộ và cam kết của tổ chức – bao gồm từ nhóm điều hành và nhóm kỹ thuật.
  3. Tìm đối tác đại lý – đối tác đang sử dụng sản phẩm của bạn hoặc cam kết thực hiện.
  4. Dành thời gian xác định chính xác ranh giới của bạn. Điều đó bao gồm:
    • các thành phần bên trong
    • kết nối với các dịch vụ bên ngoài và
    • luồng thông tin và siêu dữ liệu.
  5. Hãy nghĩ về FedRAMP là một chương trình liên tục, thay vì chỉ là một dự án có ngày bắt đầu và ngày kết thúc. Các dịch vụ phải được giám sát liên tục.
  6. Cân nhắc cẩn thận phương pháp ủy quyền của bạn. Nhiều sản phẩm có thể yêu cầu nhiều ủy quyền.
  7. FedRAMP PMO là một tài nguyên quý giá. Họ có thể trả lời các câu hỏi kỹ thuật và giúp bạn lập kế hoạch cho chiến lược của mình.

    FedRAMP cung cấp các mẫu để giúp các nhà cung cấp dịch vụ đám mây chuẩn bị cho việc tuân thủ FedRAMP.

    Các danh mục là gì về việc tuân thủ FedRAMP?

    FedRAMP cung cấp bốn cấp độ tác động cho các dịch vụ với các loại rủi ro khác nhau. Chúng dựa trên các tác động tiềm ẩn của vi phạm bảo mật trong ba lĩnh vực khác nhau.

    • Bảo mật: Các biện pháp bảo vệ quyền riêng tư và thông tin độc quyền.
    • Tính toàn vẹn: Bảo vệ chống sửa đổi hoặc phá hủy thông tin.
    • Tính khả dụng: Truy cập dữ liệu kịp thời và đáng tin cậy.

    Ba điều đầu tiênmức độ tác động dựa trên Tiêu chuẩn Xử lý Thông tin Liên bang (FIPS) 199 từ Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST). Thứ tư dựa trên NIST Special Publication 800-37. Các mức độ tác động là:

    • Cao, dựa trên các biện pháp kiểm soát 421. “Việc mất tính bảo mật, tính toàn vẹn hoặc tính sẵn sàng có thể gây ra tác động bất lợi nghiêm trọng hoặc thảm khốc đối với tổ chức hoạt động, tài sản của tổ chức hoặc cá nhân.” Điều này thường áp dụng cho các hệ thống thực thi pháp luật, dịch vụ khẩn cấp, tài chính và y tế.
    • Trung bình, dựa trên các biện pháp kiểm soát 325. “Việc mất tính bảo mật, tính toàn vẹn hoặc tính khả dụng có thể xảy ra một tác động bất lợi nghiêm trọng đối với hoạt động của tổ chức, tài sản của tổ chức hoặc cá nhân.” Gần 80 phần trăm các ứng dụng FedRAMP được phê duyệt ở mức tác động vừa phải.
    • Thấp, dựa trên 125 biện pháp kiểm soát. “Việc mất tính bảo mật, tính toàn vẹn hoặc tính khả dụng có thể được cho là có giới hạn ảnh hưởng xấu đến hoạt động của tổ chức, tài sản của tổ chức hoặc cá nhân.”
    • Phần mềm dưới dạng dịch vụ có tác động thấp (LI-SaaS), dựa trên 36 biện pháp kiểm soát . Đối với “các hệ thống có rủi ro sử dụng thấp như công cụ cộng tác, ứng dụng quản lý dự án và công cụ giúp phát triển mã nguồn mở”. Danh mục này còn được gọi là FedRAMP Tailored.

    Danh mục cuối cùng này đã được thêm vào năm 2017để giúp các cơ quan phê duyệt “các trường hợp sử dụng rủi ro thấp” dễ dàng hơn. Để đủ điều kiện tham gia FedRAMP Tailored, nhà cung cấp phải trả lời có cho sáu câu hỏi. Những điều này được đăng trên trang chính sách FedRAMP Tailored:

    • Dịch vụ có hoạt động trong môi trường đám mây không?
    • Dịch vụ đám mây có hoạt động đầy đủ không?
    • Có phải đám mây không dịch vụ Phần mềm dưới dạng Dịch vụ (SaaS), theo định nghĩa của NIST SP 800-145, Định nghĩa NIST về Điện toán đám mây?
    • Dịch vụ đám mây không chứa thông tin nhận dạng cá nhân (PII), trừ khi cần cung cấp khả năng đăng nhập (tên người dùng, mật khẩu và địa chỉ email)?
    • Dịch vụ đám mây có tác động bảo mật thấp, như được định nghĩa bởi FIPS PUB 199, Tiêu chuẩn phân loại bảo mật của thông tin liên bang và hệ thống thông tin không?
    • Dịch vụ đám mây có được lưu trữ trong Nền tảng dưới dạng Dịch vụ (PaaS) hoặc Cơ sở hạ tầng dưới dạng Dịch vụ (IaaS) được FedRAMP ủy quyền hay CSP cung cấp cơ sở hạ tầng đám mây cơ bản không?

    Hãy ghi nhớ việc đạt được sự tuân thủ của FedRAMP không phải là nhiệm vụ một lần. Bạn có nhớ giai đoạn Giám sát ủy quyền FedRAMP không? Điều đó có nghĩa là bạn sẽ cần gửi kiểm tra bảo mật thường xuyên để đảm bảo bạn luôn tuân thủ FedRAMP.

    Phần thưởng: Đọc hướng dẫn chiến lược truyền thông xã hội từng bước với các mẹo chuyên nghiệp về cách phát triển sự hiện diện của bạn trên mạng xã hội.

    Nhận hướng dẫn miễn phí ngay bây giờ!

    Ví dụ về FedRAMP được chứng nhậnsản phẩm

    Có nhiều loại sản phẩm và dịch vụ được ủy quyền của FedRAMP. Dưới đây là một số ví dụ về các nhà cung cấp dịch vụ đám mây mà bạn biết và có thể đã sử dụng.

    Dịch vụ web của Amazon

    Có hai danh sách AWS trong FedRAMP Marketplace. AWS GovCloud được ủy quyền ở cấp Cao. AWS Miền Đông/Miền Tây Hoa Kỳ được ủy quyền ở cấp độ Trung bình.

    Bạn có nghe thấy gì không? Khách hàng của AWS GovCloud (US) có thể sử dụng #AmazonEFS cho khối lượng công việc tệp tối quan trọng nhờ đạt được Ủy quyền cao FedRAMP gần đây. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — AWS dành cho Chính phủ (@AWS_Gov) ngày 18 tháng 10 năm 2019

    AWS GovCloud có số lượng ủy quyền khổng lồ là 292. AWS Miền Đông/Miền Tây Hoa Kỳ có 250 ủy quyền. Con số đó nhiều hơn bất kỳ danh sách nào khác trong Thị trường FedRAMP.

    Adobe Analytics

    Adobe Analytics đã được cấp phép vào năm 2019. Nó được sử dụng bởi Trung tâm kiểm soát và phòng ngừa dịch bệnh và Bộ Y tế và Dịch vụ Nhân sinh. Nó được ủy quyền ở cấp độ LI-SaaS.

    Adobe thực sự có một số sản phẩm được ủy quyền ở cấp độ LI-SaaS. (Giống như Adobe Campaign và Adobe Document Cloud.) Họ cũng có một vài sản phẩm được ủy quyền ở cấp Trung bình:

    • Dịch vụ được quản lý của Adobe Connect
    • Dịch vụ được quản lý của Adobe Experience Manager.

    Adobe hiện đang trong quá trình chuyển từ ủy quyền FedRAMP Phù hợp sang FedRAMP Trung bình

    Bài trước Hướng dẫn Phong cách Truyền thông Xã hội Hoàn hảo cho Thương hiệu của Bạn vào năm 2023
    Bài tiếp theo 8 mẹo để tiếp quản Instagram hoàn hảo

    Kimberly Parker là một chuyên gia tiếp thị kỹ thuật số dày dạn kinh nghiệm với hơn 10 năm kinh nghiệm trong ngành. Là người sáng lập công ty tiếp thị truyền thông xã hội của riêng mình, cô ấy đã giúp nhiều doanh nghiệp trong nhiều ngành khác nhau thiết lập và phát triển sự hiện diện trực tuyến của họ thông qua các chiến lược truyền thông xã hội hiệu quả. Kimberly cũng là một nhà văn viết nhiều, đã đóng góp các bài báo trên mạng xã hội và tiếp thị kỹ thuật số cho một số ấn phẩm có uy tín. Khi rảnh rỗi, cô ấy thích thử nghiệm các công thức nấu ăn mới trong bếp và đi dạo cùng chú chó của mình.