FedRAMP: Что это такое, почему это важно и у кого это есть
Взломанные фотоаппараты знаменитостей. Государственный кибершпионаж. И все, что между ними. Безопасность данных имеет огромное количество приложений. И это серьезная проблема для всех, кто использует или поставляет облачные сервисы.
Когда речь идет о государственных данных, эти опасения могут достигать уровня национальной безопасности. Вот почему правительство США требует, чтобы все облачные сервисы, используемые федеральными агентствами, соответствовали тщательному набору стандартов безопасности, известному как FedRAMP.
Итак, что же такое FedRAMP и что оно влечет за собой? Вы находитесь в нужном месте, чтобы узнать.
Что такое FedRAMP?
FedRAMP означает «Федеральная программа управления рисками и авторизацией». Он стандартизирует оценку безопасности и авторизацию для облачных продуктов и сервисов, используемых федеральными агентствами США.
Цель состоит в том, чтобы обеспечить постоянную защиту федеральных данных на высоком уровне в облаке.
Получение авторизации FedRAMP — серьезное дело. Требуемый уровень безопасности установлен законом. Существует 14 применимых законов и правил, а также 19 стандартов и руководящих документов. Это одна из самых строгих в мире сертификаций программного обеспечения как услуги.
Вот краткое введение:
FedRAMP существует с 2012 года. начали заменять устаревшие привязанные программные решения. Он родился из стратегии правительства США «Сначала облако». Эта стратегия требовала, чтобы агентства смотрели на облачные решения в качестве первого выбора.
До FedRAMP поставщики облачных услуг должны были подготовить пакет авторизации для каждого агентства, с которым они хотели работать. Требования не согласовывались. И для провайдеров, и для агентств было много дублирования усилий.
FedRAMP ввел согласованность и оптимизировал процесс.
Теперь оценки и требования стандартизированы. Несколько правительственных агентств могут повторно использовать пакет безопасности авторизации FedRAMP поставщика.
Первоначальное внедрение FedRAMP было медленным. За первые четыре года было одобрено только 20 предложений облачных услуг. Но с 2018 года темпы роста действительно увеличились, и сейчас существует 204 авторизованных облачных продукта FedRAMP.
Источник: FedRAMP
FedRAMP контролируется Объединенным советом по авторизации (JAB). Правление состоит из представителей:
- Министерства внутренней безопасности
- Управления общих служб и
- Министерства обороны.
Программа одобрена Федеральным советом директоров по информационным технологиям правительства США. .
Почему важна сертификация FedRAMP?
Все облачные сервисы, содержащие федеральные данные, требуют авторизации FedRAMP. Итак, если вы хотите работать с федеральным правительством, авторизация FedRAMP является важной частью вашего плана безопасности.
FedRAMP важен, потому что он обеспечивает согласованность в безопасности государственных облачных сервисов, а также потому, что он обеспечивает согласованность в оценке и мониторинг этой безопасности. Он предоставляет единый набор стандартов для всех государственных учреждений и всех поставщиков облачных услуг.
Поставщики облачных услуг, авторизованные FedRAMP, перечислены на FedRAMP Marketplace. Эта торговая площадка — первое место, куда обращаются правительственные учреждения, когда хотят найти новое облачное решение. Для агентства намного проще и быстрее использовать продукт, который уже авторизован, чем начинать процесс авторизации с новым поставщиком.
Таким образом, листинг на торговой площадке FedRAMP увеличивает вероятность получения дополнительных заказов от государственных органов. Но это также может улучшить ваш профиль в частном секторе.
Это потому, что рынок FedRAMP виден широкой публике. Любая компания частного сектора может просмотреть список авторизованных решений FedRAMP.
Это отличный ресурс, когда они хотят получить безопасный облачный продукт или услугу.
Авторизация FedRAMP может повысить уверенность любого клиента в протоколах безопасности. . Это означает постоянное стремление к соблюдению высочайших стандартов безопасности.
Разрешение FedRAMP также значительно повышает надежность вашей системы безопасности за пределами FedRAMP Marketplace. Вы можете поделиться своей авторизацией в социальных сетях и на своем веб-сайте.
На самом деле большинство ваших клиентов, вероятно, не знают, что такое FedRAMP. Им все равно, авторизованы вы или нет. Но для тех крупных клиентов, которые понимают FedRAMP — как в государственном, так и в частном секторе — отсутствие авторизации может стать преградой.
Что нужно для получения сертификата FedRAMP?
Есть два разных способа стать Утверждено FedRAMP.
1. Совместная комиссия по авторизации (JAB) Временные полномочия для работы
В этом процессе JAB выдает временную авторизацию. Это позволяет агентствам знать, что риск был рассмотрен.
Это важное первое одобрение. Но любое агентство, которое хочет использовать сервис, все равно должно выдать собственное разрешение на работу.
Этот процесс лучше всего подходит для поставщиков облачных услуг с высоким или умеренным риском. (Уровни риска мы рассмотрим в следующем разделе.)
Вот визуальный обзор процесса JAB:
Источник: FedRAMP
2. Полномочия агентства на работу
В этом процессе поставщик облачных услуг устанавливает отношения с определенным федеральным агентством. Это агентство участвует на протяжении всего процесса. Если процесс проходит успешно, агентство выдает письмо о разрешении на работу.
Источник: FedRAMP
Шаги к авторизации FedRAMP [19659009] Независимо от типа авторизации, авторизация FedRAMP включает четыре основных этапа:
- Разработка пакета. Во-первых, начальное совещание по вопросам авторизации. Затем провайдер составляет план безопасности системы. Затем одобренная FedRAMP сторонняя организация по оценке разрабатывает план оценки безопасности.
- Оценка. Организация, проводящая оценку, представляет отчет об оценке безопасности. Поставщик создает План действий и вехи.
- Авторизация. ОАС или уполномоченное агентство решает, является ли описанный риск приемлемым. Если да, они отправляют письмо о разрешении на эксплуатацию в офис управления проектом FedRAMP. После этого поставщик будет указан в FedRAMP Marketplace.
- Мониторинг. Провайдер ежемесячно отправляет результаты мониторинга безопасности каждому агентству, использующему службу.
Лучшие практики авторизации FedRAMP
Процесс авторизации FedRAMP может быть трудным. Но в интересах всех участников добиться успеха, когда поставщики облачных услуг начнут процесс авторизации.
Чтобы помочь, FedRAMP опросил несколько малых предприятий и стартапов об уроках, извлеченных во время авторизации. Вот семь их лучших советов по успешной навигации в процессе авторизации:
- Поймите, как ваш продукт соотносится с FedRAMP, включая анализ пробелов.
- Получите поддержку и приверженность организации, в том числе со стороны исполнительной команды и технических групп. [19659023] Найдите агентство-партнера, которое использует ваш продукт или намерено его использовать.
- Уделите время точному определению своих границ. Это включает:
- внутренние компоненты
- подключения к внешним сервисам и
- поток информации и метаданных.
- Думайте о FedRAMP как о непрерывной программе, а не просто о проекте с датой начала и окончания. Услуги должны постоянно контролироваться.
- Тщательно продумайте свой подход к авторизации. Для нескольких продуктов может потребоваться несколько разрешений.
- FedRAMP PMO — ценный ресурс. Они могут ответить на технические вопросы и помочь вам спланировать вашу стратегию.
FedRAMP предлагает шаблоны, которые помогут поставщикам облачных услуг подготовиться к соответствию FedRAMP.
Каковы категории соответствия FedRAMP?
FedRAMP предлагает четыре уровня воздействия для служб с различные виды риска. Они основаны на потенциальных последствиях нарушения безопасности в трех различных областях.
- Конфиденциальность: Защита конфиденциальности и служебной информации.
- Целостность: Защита от модификации или уничтожение информации.
- Доступность: Своевременный и надежный доступ к данным.
Первые три уровня воздействия основаны на Федеральном стандарте обработки информации (FIPS) 199 Национального института стандартов и технологий ( NIST). Четвертый основан на специальной публикации NIST 800-37. Уровни воздействия следующие:
- Высокий, на основе 421 контроля. «Можно ожидать, что потеря конфиденциальности, целостности или доступности окажет серьезное или катастрофическое неблагоприятное воздействие на деятельность организации, активы организации или отдельных лиц». Обычно это относится к правоохранительным органам, службам экстренной помощи, финансовым службам и системам здравоохранения.
- Умеренное, на основе 325 контрольных показателей. «Можно ожидать, что потеря конфиденциальности, целостности или доступности окажет серьезное неблагоприятное воздействие на деятельность организации, активы организации или отдельных лиц». Почти 80 процентов утвержденных приложений FedRAMP находятся на умеренном уровне воздействия.
- Низкий, на основе 125 элементов управления. «Можно ожидать, что потеря конфиденциальности, целостности или доступности окажет ограниченное неблагоприятное воздействие на деятельность организации, активы организации или отдельных лиц».
- Низкое влияние на программное обеспечение как услугу (LI-SaaS) ) на основе 36 контролей . Для «систем с низким риском использования, таких как инструменты для совместной работы, приложения для управления проектами и инструменты, помогающие разрабатывать открытый исходный код». Эта категория также известна как FedRAMP Tailored.
Эта последняя категория была добавлена в 2017 году, чтобы облегчить для агентств утверждение «вариантов использования с низким уровнем риска». Чтобы получить право на участие в FedRAMP Tailored, провайдер должен ответить утвердительно на шесть вопросов. Они размещены на странице политики FedRAMP Tailored:
- Работает ли служба в облачной среде?
- Является ли облачная служба полностью работоспособной?
- Является ли облачная служба программным обеспечением как услугой (SaaS) в соответствии с определением от NIST SP 800-145, Определение облачных вычислений NIST?
- Облачный сервис не содержит информации, позволяющей установить личность (PII), за исключением случаев, когда это необходимо для обеспечения возможности входа в систему (имя пользователя, пароль и адрес электронной почты)?
- Является ли облачный сервис низким уровнем безопасности согласно определению FIPS PUB 199, Стандарты категоризации безопасности федеральных информационных и информационных систем?
- Размещается ли облачный сервис на авторизованной FedRAMP Платформе как Сервис (PaaS) или Инфраструктуре как услуга (IaaS), или CSP предоставляет базовую облачную инфраструктуру?
Имейте в виду, что достижение соответствия FedRAMP не является одноразовой задачей. Помните этап мониторинга авторизации FedRAMP? Это означает, что вам нужно будет регулярно проводить аудиты безопасности, чтобы убедиться, что вы соблюдаете FedRAMP.
Примеры продуктов и услуг, сертифицированных FedRAMP
Существует много типов продуктов и услуг, разрешенных FedRAMP. Вот несколько примеров от поставщиков облачных услуг, которых вы знаете и, возможно, уже используете.
Amazon Web Services
В FedRAMP Marketplace есть два списка AWS. AWS GovCloud авторизован на высоком уровне. AWS Восток / Запад США авторизован на среднем уровне.
Вы слышали? Клиенты AWS GovCloud (США) могут использовать #AmazonEFS для критически важных файловых рабочих нагрузок благодаря недавно полученной авторизации FedRAMP High.
— AWS для правительства (@AWS_Gov) 18 октября 2019 г. [19659094] AWS GovCloud имеет 292 авторизации. AWS US East / West имеет 250 авторизаций. Это намного больше, чем в любом другом списке на FedRAMP Marketplace.
Adobe Analytics
Adobe Analytics был авторизован в 2019 году. Он используется Центрами по контролю и профилактике заболеваний и Министерством здравоохранения и социальных служб. Он авторизован на уровне LI-SaaS.
Adobe фактически имеет несколько продуктов, авторизованных на уровне LI-SaaS. (Например, Adobe Campaign и Adobe Document Cloud.) У них также есть несколько продуктов, авторизованных на среднем уровне:
- Управляемые службы Adobe Connect
- Управляемые службы Adobe Experience Manager.
Adobe в настоящее время находится в процессе перехода из авторизации FedRAMP Tailored в FedRAMP Moderate авторизации для Adobe Sign.
Подробнее о том, как @Adobe Sign работает над переходом из FedRAMP Tailored в FedRAMP Moderate, можно узнать здесь: https://t.co/cYjihF9KkP
— AdobeSecurity (@AdobeSecurity) 12 августа 2020 г.
Помните, что авторизацию получает служба, а не поставщик услуг. Как и Adobe, вам может потребоваться несколько разрешений, если вы предлагаете более одного облачного решения.
Slack
Авторизованный в мае этого года, Slack имеет 21 авторизацию FedRAMP. Продукт авторизован на среднем уровне. Он используется такими агентствами, как:
- Центры по контролю и защите заболеваний,
- Федеральная комиссия по связи и
- Национальный научный фонд.
Государственный сектор США теперь может выполнять большую часть своей работы в Slack , благодаря нашей новой авторизации FedRAMP Moderate. И, соблюдая эти строгие требования безопасности, мы обеспечиваем безопасность и для всех остальных компаний, использующих Slack.
— Slack (@SlackHQ) 13 августа 2020 г.
Slack изначально получил авторизацию FedRAMP Tailored. Затем они добились умеренной авторизации, сотрудничая с Департаментом по делам ветеранов.
Slack обязательно обращает внимание на преимущества безопасности этой авторизации для клиентов из частного сектора на своем веб-сайте:
«Эта последняя авторизация означает больше безопасный опыт для клиентов Slack, включая частный сектор, которым не требуется среда, авторизованная FedRAMP. Все клиенты, использующие коммерческие предложения Slack, могут воспользоваться усиленными мерами безопасности, необходимыми для получения сертификата FedRAMP ».
Trello Enterprise Cloud
Trello только что получил авторизацию Li-SaaS в сентябре. Trello пока используется только Администрацией общих служб. Но компания хочет изменить это, как видно из их сообщений в социальных сетях об их новом статусе FedRAMP:
🏛️ С авторизацией Trello FedRAMP ваше агентство теперь может использовать Trello для повышения производительности, устранения разрозненности команды и развития сотрудничества.
Trello (@trello) 12 октября 2020 г.
Zendesk
Также авторизованный в мае Zendesk используется:
- Министерством энергетики,
- Федеральное агентство жилищного финансирования
- Управление Генерального инспектора FHFA и
- Управление общих служб.
Платформа поддержки клиентов и службы поддержки Zendesk авторизована Ли-Саасом.
С сегодняшнего дня мы можем значительно упростить государственным учреждениям работу с нами, поскольку @Zendesk теперь авторизован FedRAMP. Большое спасибо всем командам внутри и за пределами Zendesk за приложенные усилия. https://t.co/A0HVwjhGsv
— Миккель Сване (@mikkelsvane) 22 мая 2020 г.