FedRAMP认证:它是什么,为什么它很重要,以及谁拥有它

Kimberly Parker

29-05-2023 战略
  • Share This
Kimberly Parker

被黑客攻击的名人相机卷,基于国家的网络间谍活动,以及两者之间的一切。 数据安全有一个巨大的应用范围。 它是每个使用或提供基于云的服务的人的主要关切。

这就是为什么美国政府要求联邦机构使用的所有云服务必须符合一套细致的安全标准,即FedRAMP。

那么,什么是FedRAMP,它需要什么呢? 你在正确的地方可以找到答案。

奖金。 阅读分步骤的社交媒体战略指南,其中有关于如何发展你的社交媒体的专业提示。

什么是FedRAMP?

FedRAMP是 "联邦风险和授权管理计划 "的缩写。 它对美国联邦机构使用的云产品和服务的安全评估和授权进行了标准化。

其目的是确保联邦数据在云中得到持续的高水平保护。

获得FedRAMP授权是一件严肃的事情。 所要求的安全水平是由法律规定的。 有14项适用的法律和法规,以及19项标准和指导文件。 这是世界上最严格的软件即服务认证之一。

这里有一个简单的介绍。

FedRAMP从2012年开始出现,那时候云技术才真正开始取代过时的固定软件解决方案。 它诞生于美国政府的 "云优先 "战略。 该战略要求各机构将基于云的解决方案作为首选。

在FedRAMP之前,云服务提供商必须为他们想要合作的每个机构准备一个授权包。 要求并不一致,而且对提供商和机构来说都有很多重复的工作。

FedRAMP引入了一致性并简化了程序。

现在,评估和要求是标准化的。 多个政府机构可以重复使用供应商的FedRAMP授权安全包。

最初FedRAMP的吸收速度很慢。 前四年只有20个云服务产品获得授权。 但自2018年以来,步伐确实加快了,现在有204个FedRAMP授权的云产品。

资料来源。 FedRAMP

FedRAMP由一个联合授权委员会(JAB)控制。 该委员会由来自以下方面的代表组成。

  • 国土安全部
  • 总务管理局,以及
  • 国防部。

该计划得到了美国政府联邦首席信息官委员会的认可。

为什么FedRAMP认证很重要?

所有持有联邦数据的云服务都需要FedRAMP授权。 因此,如果你想与联邦政府合作,FedRAMP授权是你安全计划的一个重要部分。

FedRAMP很重要,因为它确保了政府云服务安全的一致性,也因为它确保了评估和监测安全的一致性。 它为所有政府机构和所有云供应商提供一套标准。

获得FedRAMP授权的云服务提供商被列在FedRAMP市场中。 当政府机构想要采购新的基于云的解决方案时,这个市场是他们首先要寻找的地方。 对于一个机构来说,使用一个已经授权的产品比向一个新的供应商开始授权程序要容易得多,也快得多。

因此,在FedRAMP市场上的列表使你更有可能从政府机构获得更多的业务。 但它也可以提高你在私营部门的形象。

这是因为FedRAMP市场对公众是可见的。 任何私营部门的公司都可以滚动浏览FedRAMP授权解决方案的列表。

当他们正在寻找安全的云产品或服务的来源时,这是一个很好的资源。

FedRAMP授权可以使任何客户对安全协议更有信心。 它代表了对满足最高安全标准的持续承诺。

在FedRAMP市场之外,FedRAMP授权也大大提升了你的安全可信度。 你可以在社交媒体和网站上分享你的FedRAMP授权。

事实是,你的大多数客户可能不知道FedRAMP是什么。 他们不关心你是否被授权。 但对于那些了解FedRAMP的大客户--包括公共和私营部门--缺乏授权可能是一个交易障碍。

要想获得FedRAMP认证需要什么?

有两种不同的方式来成为FedRAMP的授权。

1.联合授权委员会(JAB)临时经营权

在这个过程中,联合申诉委员会发出临时授权。 这让各机构知道风险已被审查。

但任何想使用该服务的机构仍需发布自己的运营授权。

这个过程最适合于具有高风险或中度风险的云服务提供商(我们将在下一节深入探讨风险等级)。

以下是JAB过程的直观概述。

资料来源。 FedRAMP

2.机构的经营权

在这个过程中,云服务提供商与特定的联邦机构建立关系。 该机构参与整个过程。 如果过程成功,该机构就会发出授权经营函。

资料来源。 联邦安全项目(FedRAMP

获得FedRAMP授权的步骤

无论你追求哪种类型的授权,FedRAMP授权包括四个主要步骤。

  1. 套餐开发。 首先,有一个授权启动会议。 然后,供应商完成一个系统安全计划。 接下来,一个FedRAMP批准的第三方评估组织制定一个安全评估计划。
  2. 评估。 评估机构提交安全评估报告。 提供方制定行动计划& 里程碑。
  3. 授权。 联合委员会或授权机构决定所描述的风险是否可以接受。 如果可以,他们会向FedRAMP项目管理办公室提交一份授权操作函。 然后,供应商被列入FedRAMP市场。
  4. 监测。 供应商每月向每个使用该服务的机构发送安全监测的成果。

FedRAMP授权的最佳实践

实现FedRAMP授权的过程可能很艰难。 但是,一旦云服务提供商开始授权过程,他们的成功是符合每个人的最佳利益的。

为了提供帮助,FedRAMP采访了一些小型企业和初创企业,了解他们在授权过程中的经验教训。 以下是他们成功驾驭授权过程的七个最佳提示。

  1. 了解你的产品如何与FedRAMP相匹配 - 包括差距分析。
  2. 获得组织的认同和承诺--包括来自执行团队和技术团队。
  3. 找到一个机构合作伙伴--一个正在使用你的产品或致力于这样做的机构。
  4. 花时间准确定义你的边界。 这包括。
    • 内部组件
    • 与外部服务的连接,以及
    • 信息和元数据的流动。
  5. 将FedRAMP视为一个持续的项目,而不仅仅是一个有开始和结束日期的项目。 服务必须被持续监测。
  6. 仔细考虑你的授权方式。 多个产品可能需要多个授权。
  7. FedRAMP项目管理办公室是一个宝贵的资源。 他们可以回答技术问题并帮助你规划你的战略。

    FedRAMP提供模板,帮助云服务提供商为FedRAMP合规性做准备。

    FedRAMP的合规性有哪些类别?

    FedRAMP为具有不同风险的服务提供了四个影响级别。 它们是基于安全漏洞在三个不同领域的潜在影响。

    • 保密性。 对隐私和专有信息的保护。
    • 诚信。 防止信息被修改或破坏的保护措施。
    • 可用性。 及时和可靠地获取数据。

    前三个影响级别是基于美国国家标准与技术研究所(NIST)的联邦信息处理标准(FIPS)199。 第四个是基于NIST特别出版物800-37。 影响级别是:。

    • 高,基于421个对照组。 "保密性、完整性或可用性的丧失可望对组织运作、组织资产或个人产生严重或灾难性的不利影响。" 这通常适用于执法、应急服务、金融和卫生系统。
    • 中等,基于325项控制。 "机密性、完整性或可用性的丧失可望对组织运作、组织资产或个人产生严重的不利影响。" 近80%获批的FedRAMP应用处于中等影响水平。
    • 低,基于125项控制。 "保密性、完整性或可用性的丧失可望对组织运作、组织资产或个人产生有限的不利影响。"
    • 低影响的软件即服务(LI-SaaS),基于36项控制措施 对于 "低风险的系统,如协作工具、项目管理应用程序和帮助开发开放源代码的工具。"这一类别也被称为FedRAMP定制的。

    最后一个类别是在2017年增加的,以使各机构更容易批准 "低风险用例"。 要获得FedRAMP定制的资格,供应商必须对六个问题回答 "是"。 这些问题公布在FedRAMP定制政策页面上。

    • 该服务是否在云环境中运行?
    • 云服务是否完全运行?
    • 根据NIST SP 800-145《NIST云计算定义》的定义,云服务是否属于软件即服务(SaaS)?
    • 云服务不包含个人身份信息(PII),但提供登录功能(用户名、密码和电子邮件地址)所需的除外?
    • 根据FIPS PUB 199《联邦信息和信息系统安全分类标准》的定义,云服务是否具有低安全影响?
    • 云服务是否托管在FedRAMP授权的平台即服务(PaaS)或基础设施即服务(IaaS)中,或者CSP是否提供底层云基础设施?

    请记住,实现FedRAMP的合规性不是一个一次性的任务。 还记得FedRAMP授权的监控阶段吗? 这意味着你需要定期提交安全审计,以确保你 逗留 符合FedRAMP标准。

    奖金。 阅读分步骤的社交媒体战略指南,其中有关于如何发展你的社交媒体的专业提示。

    现在就获取免费指南吧

    FedRAMP认证产品的例子

    有许多类型的FedRAMP授权的产品和服务。 这里有几个例子,来自你知道的和你自己可能已经使用的云服务提供商。

    亚马逊网络服务

    在FedRAMP市场中,有两个AWS列表。 AWS GovCloud的授权级别为高级,AWS US East/West的授权级别为中级。

    你听说了吗? AWS GovCloud(美国)的客户可以使用#AmazonEFS进行关键任务的文件工作负载,这要归功于最近获得的FedRAMP高度授权。 #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS for Government(@AWS_Gov) 2019年10月18日

    AWS GovCloud有高达292项授权。 AWS US East/West有250项授权。 这远远多于FedRAMP市场中的任何其他列表。

    Adobe分析

    Adobe Analytics在2019年获得授权。 它被疾病控制和预防中心以及卫生和人类服务部使用。 它被授权在LI-SaaS级别。

    Adobe实际上有几个产品在LI-SaaS级别授权。 (如Adobe Campaign和Adobe Document Cloud。) 他们也有几个产品在中等级别授权。

    • Adobe Connect管理服务
    • Adobe Experience Manager管理服务。

    Adobe目前正在为Adobe Sign从FedRAMP定制授权转向FedRAMP适度授权。

    了解更多关于@Adobe Sign如何努力从FedRAMP量身定制到FedRAMP适度规约的信息://t.co/cYjihF9KkP

    - AdobeSecurity(@AdobeSecurity)2020年8月12日

    请记住,获得授权的是服务,而不是服务提供商。 像Adobe一样,如果你提供一个以上的基于云的解决方案,你可能不得不寻求多个授权。

    懒惰

    今年5月授权,Slack有21个FedRAMP授权。 该产品被授权为中等水平。 它被包括以下机构使用。

    • 美国疾病控制和保护中心。
    • 联邦通信委员会,以及
    • 国家科学基金会。

    由于我们新的FedRAMP适度授权,美国公共部门现在可以在Slack中运行更多的工作。 通过满足这些严格的安全要求,我们也在为其他使用Slack的公司保持安全。 //t.co/dlra7qVQ9F

    - Slack(@SlackHQ)2020年8月13日

    Slack最初获得了FedRAMP定制的授权。 然后,他们通过与退伍军人事务部合作,寻求温和的授权。

    Slack确保在其网站上呼吁注意这一授权对私营部门客户的安全好处。

    "这一最新授权为Slack的客户带来了更安全的体验,包括不需要FedRAMP授权环境的私营部门企业。 所有使用Slack商业产品的客户都可以从获得FedRAMP认证所需的高度安全措施中受益。"

    Trello企业云

    Trello在9月份刚刚获得Li-SaaS授权。 到目前为止,Trello只被总务管理局使用。 但该公司希望改变这种情况,从他们关于新的FedRAMP地位的社交帖子中可以看出。

    🏛️有了Trello的FedRAMP授权,你的机构现在可以使用Trello来提高生产力,打破团队孤岛,并促进合作。 //t.co/GWYgaj9jfY

    - Trello (@trello) 2020年10月12日

    Zendesk

    同样在5月获得授权的还有Zendesk,其使用对象是。

    • 能源部。
    • 联邦住房金融局
    • FHFA监察长办公室,以及
    • 总务管理局。

    Zendesk客户支持和帮助台平台拥有Li-Saas授权。

    从今天起,我们可以让政府机构更容易地与我们合作,因为@Zendesk现在已经获得FedRAMP授权。 非常感谢Zendesk内外的所有团队为此付出的努力。//t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) 2020年5月22日

    社交媒体管理的FedRAMP

    SMMExpert已获得FedRAMP授权。 政府机构现在可以轻松地与社交媒体管理的全球领导者合作,通过社交媒体与公民接触,管理危机通信,并提供服务和信息。

    要求演示

    Previous post 2023年你的品牌的完美社交媒体风格指南
    Next post 8个完美的Instagram接管的技巧

    Kimberly Parker is a seasoned digital marketing professional with over 10 years of experience in the industry. As the founder of her own social media marketing agency, she has helped numerous businesses across various industries establish and grow their online presence through effective social media strategies. Kimberly is also a prolific writer, having contributed articles on social media and digital marketing to several reputable publications. In her free time, she loves to experiment with new recipes in the kitchen and go on long walks with her dog.