编者按: 以下是a - lign赞助的博客文章.
联邦风险和授权管理计划(FedRAMP)是美国政府范围内的一个计划,它提供了一种标准化的安全评估方法, 授权, 并持续监控云产品和服务.
联邦政府机构必须使用fedramp授权的产品和服务来维护政府内部云安全的完整性. 通过FedRAMP授权的服务包括Adobe等, 黑莓, 盒子, 以及DocuSign——这意味着联邦机构可以自由使用这些产品,因为它们被认为是安全的.
虽然它看起来像一个简单的程序, 某些软件供应商不属于FedRAMP的范围,因此不能通过传统的FedRAMP流程获得授权. 这对联邦机构和软件供应商都是一个问题. 联邦机构无法获得市场上一些最好的工具, 是什么限制了创新和生产力, 软件供应商不能在联邦政府内部扩展业务.
为了解决这些问题, 范围之外的组织必须寻求另一种途径来证明联邦法规遵从性.
isv面临的挑战
独立软件供应商(isv)是云软件不能成为fedramp授权的一个例子,因为 FedRAMP不适用于传统意义上的isv.
FedRAMP是为软件即服务(SaaS)而设计的。, 平台即服务(PaaS), 以及基础设施即服务(IaaS)提供商. 但是isv没有基于云的“即服务”产品. isv构建在第三方平台(如Oracle、Salesforce或ServiceNow)上运行的软件.
尽管ISV没有实现FedRAMP操作权限(ATO)的传统途径。, 如果isv属于云服务产品(CSO)的授权边界,那么它们仍然受FedRAMP要求的约束.
因为联邦机构本身缺乏教育和理解, 许多人期望isv能够获得FedRAMP授权,以便竞标他们的合同. 不幸的是, 现有的FedRAMP备忘录在解决这种混乱方面做得很少, 因为他们都专注于 in 范围,而不是什么 出 的范围.
正因为如此, isv经常错过封闭投标的机会,或者必须参加冗长的会议和电话来教育代理机构, 最终导致资源紧张, 延长购买周期, 并在销售过程中产生摩擦.
证明联邦合规的替代解决方案
代替正式的FedRAMP授权,isv应该与一个 FedRAMP 3 pao (第三方评估组织)来评估公司的过程和控制如何与适用的FedRAMP要求相匹配.
第一步是评估FedRAMP需求列表(3PAO将非常精通),并确定哪些控制适用于特定的ISV,哪些不适用. 例如, ISV可能能够满足FedRAMP的安全控制和产品开发人员的背景调查需求, 但无法影响或控制任何与基础设施相关的FedRAMP控制——因为根本没有基础设施可言.
一旦适用的控制列表完成, 3PAO可以评估ISV的流程,并以与评估追求传统FedRAMP授权的组织相同的严格性审查证据. 从那里,3PAO可以证明ISV提供的安全控制实现.
在A-LIGN, 通过生成“FedRAMP ISV报告”,我们已经为ISV形式化了这个过程——一个概述ISV的过程和控制如何与适用的FedRAMP需求相比较的文档. 该报告详细说明了我们的评估结果,并可以记录ISV针对任何确定的控制差距所采取的任何补救措施.
isv然后使用这份报告来验证他们的立场,因为它与云安全有关,并向联邦机构提供保证. 根据我们的经验, 拥有“FedRAMP ISV报告”已经帮助我们的ISV客户增加了他们与联邦机构的潜在联系,并克服了他们之前在与联邦机构交谈时面临的知识差距.
联邦法规的未来
虽然没有正式接受的FedRAMP授权的替代品, 为范围之外的组织提供一种替代方法来证明遵从性,这对于促进联邦政府内部的创新至关重要,并且有助于软件公司扩展其业务. 随着技术的不断发展, 以及云软件市场, 产品, 服务业也在增长, 联邦政府需要审查和更新安全标准,以确保没有必要的资源被禁止使用,并且所有资源的安全性都可以得到适当的评估.
