Google Ads

Chứng nhận FedRAMP: Nó là gì, Tại sao Nó lại Quan trọng và Ai Có Nó

Cuộn camera của người nổi tiếng bị tấn công. Hoạt động gián điệp mạng dựa trên nhà nước. Và mọi thứ ở giữa. Bảo mật dữ liệu có một loạt các ứng dụng. Và đó là mối quan tâm lớn đối với tất cả những ai sử dụng hoặc cung cấp các dịch vụ dựa trên đám mây. Khi dữ liệu của chính phủ có liên quan, những lo ngại đó có thể đạt đến mức độ an ninh quốc gia. Đó là lý do tại sao chính phủ Hoa Kỳ yêu cầu tất cả các dịch vụ đám mây được các cơ quan liên bang sử dụng phải đáp ứng một bộ tiêu chuẩn bảo mật tỉ mỉ được gọi là FedRAMP. Vậy FedRAMP là gì và nó đòi hỏi những gì? Bạn đang ở đúng nơi để tìm hiểu. Phần thưởng: Đọc hướng dẫn chiến lược truyền thông xã hội từng bước với các mẹo chuyên nghiệp về cách phát triển sự hiện diện trên mạng xã hội của bạn. FedRAMP là gì? FedRAMP là viết tắt của “Chương trình Quản lý Ủy quyền và Rủi ro Liên bang.” Nó tiêu chuẩn hóa việc đánh giá và ủy quyền bảo mật cho các sản phẩm và dịch vụ đám mây được sử dụng bởi các cơ quan liên bang của Hoa Kỳ. Mục tiêu là đảm bảo dữ liệu liên bang được bảo vệ nhất quán ở mức cao trên đám mây. Nhận được sự ủy quyền của FedRAMP là một công việc nghiêm túc. Mức độ bảo mật được yêu cầu theo quy định của pháp luật. Có 14 luật và quy định hiện hành, cùng với 19 các tiêu chuẩn và tài liệu hướng dẫn. Đây là một trong những chứng chỉ phần mềm như một dịch vụ nghiêm ngặt nhất trên thế giới. Đây là phần giới thiệu nhanh: FedRAMP đã có từ 2012. Đó là khi công nghệ đám mây thực sự bắt đầu thay thế các giải pháp phần mềm kết nối lỗi thời. Nó ra đời từ chiến lược “Cloud First” của chính phủ Hoa Kỳ. Chiến lược đó yêu cầu các đại lý xem xét các giải pháp dựa trên đám mây như một lựa chọn đầu tiên. Trước FedRAMP, các nhà cung cấp dịch vụ đám mây phải chuẩn bị một gói ủy quyền cho từng cơ quan mà họ muốn làm việc. Các yêu cầu không nhất quán. Và có rất nhiều nỗ lực trùng lặp cho cả nhà cung cấp và đại lý. FedRAMP đã đưa ra tính nhất quán và hợp lý hóa quy trình. Giờ đây, các đánh giá và yêu cầu đã được tiêu chuẩn hóa. Nhiều cơ quan chính phủ có thể sử dụng lại gói bảo mật ủy quyền FedRAMP của nhà cung cấp. Việc hấp thụ FedRAMP ban đầu rất chậm. Chỉ 20 các dịch vụ cung cấp dịch vụ đám mây được ủy quyền trong bốn năm đầu tiên. Nhưng tốc độ đã thực sự tăng lên kể từ 2018 và bây giờ là 204 Các sản phẩm đám mây được ủy quyền của FedRAMP. Nguồn: FedRAMP FedRAMP được kiểm soát bởi Hội đồng ủy quyền chung (JAB). Hội đồng bao gồm các đại diện từ: Bộ An ninh Nội địa, Cục Quản lý Dịch vụ Tổng hợp và Bộ Quốc phòng. Chương trình được xác nhận bởi Hội đồng Giám đốc Thông tin Liên bang của chính phủ Hoa Kỳ. Tại sao chứng nhận FedRAMP lại quan trọng? Tất cả các dịch vụ đám mây nắm giữ dữ liệu liên bang đều yêu cầu sự cho phép của FedRAMP. Vì vậy, nếu bạn muốn làm việc với chính phủ liên bang, ủy quyền FedRAMP là một phần quan trọng trong kế hoạch bảo mật của bạn. FedRAMP rất quan trọng vì nó đảm bảo tính nhất quán trong bảo mật của các dịch vụ đám mây của chính phủ — và vì nó đảm bảo tính nhất quán trong việc đánh giá và giám sát bảo mật đó. Nó cung cấp một bộ tiêu chuẩn cho tất cả các cơ quan chính phủ và tất cả các nhà cung cấp đám mây. Các nhà cung cấp dịch vụ đám mây được FedRAMP ủy quyền được liệt kê trong Thị trường FedRAMP. Thị trường này là nơi đầu tiên các cơ quan chính phủ tìm đến khi họ muốn tìm kiếm một giải pháp dựa trên đám mây mới. Việc một đại lý sử dụng sản phẩm đã được ủy quyền sẽ dễ dàng và nhanh chóng hơn nhiều so với việc bắt đầu quy trình ủy quyền với một nhà cung cấp mới. Vì vậy, việc niêm yết trên thị trường FedRAMP khiến bạn có nhiều khả năng nhận được thêm hoạt động kinh doanh từ các cơ quan chính phủ. Nhưng nó cũng có thể cải thiện hồ sơ của bạn trong khu vực tư nhân. Đó là bởi vì thị trường FedRAMP được hiển thị cho công chúng. Bất kỳ công ty tư nhân nào cũng có thể cuộn qua danh sách các giải pháp được FedRAMP ủy quyền. Đó là một nguồn tài nguyên tuyệt vời khi họ đang tìm kiếm nguồn sản phẩm hoặc dịch vụ đám mây an toàn. Ủy quyền FedRAMP có thể khiến bất kỳ khách hàng nào tin tưởng hơn về các giao thức bảo mật. Nó thể hiện cam kết liên tục đáp ứng các tiêu chuẩn bảo mật cao nhất. Ủy quyền FedRAMP cũng nâng cao đáng kể uy tín bảo mật của bạn ngoài Thị trường FedRAMP. Bạn có thể chia sẻ ủy quyền FedRAMP của mình trên mạng xã hội và trên trang web của bạn. Sự thật là hầu hết khách hàng của bạn có thể không biết FedRAMP là gì. Họ không quan tâm đến việc bạn có được ủy quyền hay không. Nhưng đối với những khách hàng lớn hiểu FedRAMP – trong cả khu vực công và tư – việc thiếu ủy quyền có thể là một yếu tố phá vỡ thỏa thuận. Cần gì để được chứng nhận FedRAMP? Có hai cách khác nhau để trở thành FedRAMP được ủy quyền. 1. Cơ quan Hoạt động Tạm thời của Ban Ủy quyền Chung (JAB) Trong quá trình này, JAB cấp một ủy quyền tạm thời. Điều đó cho phép các cơ quan biết rủi ro đã được xem xét. Đó là sự chấp thuận đầu tiên quan trọng. Nhưng bất kỳ cơ quan nào muốn sử dụng dịch vụ vẫn phải cấp Quyền hoạt động của riêng họ. Quy trình này phù hợp nhất cho các nhà cung cấp dịch vụ đám mây có rủi ro cao hoặc trung bình. (Chúng ta sẽ đi sâu vào các mức độ rủi ro trong phần tiếp theo.) Dưới đây là tổng quan trực quan về quy trình JAB: Nguồn: FedRAMP 2. Cơ quan có thẩm quyền hoạt động Trong quá trình này, nhà cung cấp dịch vụ đám mây thiết lập mối quan hệ với một cơ quan liên bang cụ thể. Cơ quan đó có liên quan trong suốt quá trình. Nếu quá trình thành công, cơ quan sẽ cấp một thư Cấp phép hoạt động. Nguồn: FedRAMP Các bước để ủy quyền FedRAMP Bất kể bạn theo đuổi loại ủy quyền nào, ủy quyền FedRAMP bao gồm bốn bước chính: Phát triển gói. Đầu tiên, có một cuộc họp khởi động ủy quyền. Sau đó, nhà cung cấp hoàn thành Kế hoạch bảo mật hệ thống. Tiếp theo, tổ chức đánh giá bên thứ ba được FedRAMP phê duyệt sẽ phát triển Kế hoạch đánh giá bảo mật. Đánh giá. Tổ chức đánh giá đệ trình báo cáo Đánh giá an ninh. Nhà cung cấp tạo ra một Kế hoạch Hành động & Các mốc quan trọng. Ủy quyền. JAB hoặc cơ quan ủy quyền quyết định xem rủi ro như mô tả có thể chấp nhận được hay không. Nếu có, họ sẽ gửi thư Ủy quyền hoạt động đến văn phòng quản lý dự án FedRAMP. Sau đó, nhà cung cấp được liệt kê trong Thị trường FedRAMP. Giám sát. Nhà cung cấp gửi các phân phối giám sát an ninh hàng tháng đến từng cơ quan sử dụng dịch vụ. Các phương pháp hay nhất về ủy quyền FedRAMP Quá trình đạt được ủy quyền FedRAMP có thể rất khó khăn. Nhưng vì lợi ích tốt nhất của tất cả mọi người liên quan để các nhà cung cấp dịch vụ đám mây thành công khi họ bắt đầu quy trình ủy quyền. Để giúp đỡ, FedRAMP đã phỏng vấn một số doanh nghiệp nhỏ và công ty mới thành lập về các bài học kinh nghiệm trong quá trình ủy quyền. Dưới đây là bảy mẹo hay nhất của họ để điều hướng thành công quy trình ủy quyền: Hiểu cách sản phẩm của bạn ánh xạ tới FedRAMP – bao gồm cả phân tích lỗ hổng. Nhận được sự ủng hộ và cam kết của tổ chức – bao gồm cả từ nhóm điều hành và nhóm kỹ thuật. Tìm đối tác đại lý – đối tác đang sử dụng sản phẩm của bạn hoặc cam kết làm như vậy. Dành thời gian xác định chính xác ranh giới của bạn. Điều đó bao gồm: kết nối các thành phần bên trong với các dịch vụ bên ngoài, luồng thông tin và siêu dữ liệu. Hãy nghĩ về FedRAMP như một chương trình liên tục, thay vì chỉ là một dự án có ngày bắt đầu và ngày kết thúc. Các dịch vụ phải được giám sát liên tục. Hãy xem xét cẩn thận cách tiếp cận ủy quyền của bạn. Nhiều sản phẩm có thể yêu cầu nhiều ủy quyền. FedRAMP PMO là một nguồn tài nguyên có giá trị. Họ có thể trả lời các câu hỏi kỹ thuật và giúp bạn hoạch định chiến lược của mình. FedRAMP cung cấp các mẫu để giúp các nhà cung cấp dịch vụ đám mây chuẩn bị cho việc tuân thủ FedRAMP. Các loại tuân thủ FedRAMP là gì? FedRAMP đưa ra bốn mức tác động cho các dịch vụ có các loại rủi ro khác nhau. Chúng dựa trên các tác động tiềm ẩn của một vi phạm an ninh trong ba lĩnh vực khác nhau. Bảo mật: Bảo vệ quyền riêng tư và thông tin độc quyền. Tính toàn vẹn: Bảo vệ chống lại việc sửa đổi hoặc phá hủy thông tin. Tính khả dụng: Truy cập dữ liệu kịp thời và đáng tin cậy. Ba mức tác động đầu tiên dựa trên Tiêu chuẩn Xử lý Thông tin Liên bang (FIPS) 199 từ Viện Tiêu chuẩn Quốc gia và Công nghệ (NIST). Thứ tư dựa trên Ấn phẩm Đặc biệt của NIST 800 – 37. Mức độ tác động là: Cao, dựa trên 421 điều khiển. “Việc mất tính bảo mật, tính toàn vẹn hoặc tính khả dụng có thể gây ra tác động bất lợi nghiêm trọng hoặc nghiêm trọng đến hoạt động của tổ chức, tài sản của tổ chức hoặc cá nhân”. Điều này thường áp dụng cho các hệ thống thực thi pháp luật, dịch vụ khẩn cấp, tài chính và y tế. Kiểm soát vừa phải, dựa trên 325. “Việc mất tính bảo mật, tính toàn vẹn hoặc tính khả dụng có thể gây ra ảnh hưởng bất lợi nghiêm trọng đến hoạt động của tổ chức, tài sản của tổ chức hoặc cá nhân.” Gần 80 phần trăm ứng dụng FedRAMP đã được phê duyệt ở mức tác động vừa phải. Thấp, dựa trên 125 điều khiển. “Việc mất tính bảo mật, tính toàn vẹn hoặc tính khả dụng có thể được cho là sẽ có tác động bất lợi hạn chế đến hoạt động của tổ chức, tài sản của tổ chức hoặc cá nhân”. Phần mềm tác động thấp dưới dạng dịch vụ (LI-SaaS), dựa trên 36 điều khiển. Đối với “các hệ thống có nguy cơ sử dụng thấp như công cụ cộng tác, ứng dụng quản lý dự án và công cụ giúp phát triển mã nguồn mở”. Danh mục này còn được gọi là FedRAMP được thiết kế riêng. Danh mục cuối cùng này đã được thêm vào 2017 để giúp các cơ quan dễ dàng phê duyệt “các trường hợp sử dụng rủi ro thấp”. Để đủ điều kiện cho FedRAMP Được điều chỉnh, nhà cung cấp phải trả lời có cho sáu câu hỏi. Những thông tin này được đăng trên trang Chính sách phù hợp của FedRAMP: Dịch vụ có hoạt động trong môi trường đám mây không? Dịch vụ đám mây có hoạt động đầy đủ không? Dịch vụ đám mây có phải là Phần mềm dưới dạng Dịch vụ (SaaS) hay không, như được định nghĩa bởi NIST SP 800 – 145, Định nghĩa NIST của Điện toán đám mây? Dịch vụ đám mây không chứa thông tin nhận dạng cá nhân (PII), ngoại trừ trường hợp cần thiết để cung cấp khả năng đăng nhập (tên người dùng, mật khẩu và địa chỉ email)? Dịch vụ đám mây có tác động đến bảo mật thấp không, theo định nghĩa của FIPS PUB 199, Tiêu chuẩn phân loại bảo mật của Hệ thống Thông tin và Thông tin Liên bang? Dịch vụ đám mây được lưu trữ trong Nền tảng được FedRAMP ủy quyền dưới dạng Dịch vụ (PaaS) hoặc Cơ sở hạ tầng dưới dạng Dịch vụ (IaaS) hay CSP đang cung cấp cơ sở hạ tầng đám mây cơ bản? Hãy nhớ rằng việc tuân thủ FedRAMP không phải là nhiệm vụ một sớm một chiều. Hãy nhớ giai đoạn Giám sát của ủy quyền FedRAMP? Điều đó có nghĩa là bạn sẽ cần gửi kiểm tra bảo mật thường xuyên để đảm bảo bạn luôn tuân thủ FedRAMP. Ví dụ về các sản phẩm được chứng nhận FedRAMP Có nhiều loại sản phẩm và dịch vụ được FedRAMP ủy quyền. Dưới đây là một vài ví dụ từ các nhà cung cấp dịch vụ đám mây mà bạn biết và có thể đã tự sử dụng. Dịch vụ Web của Amazon Có hai danh sách AWS trong Thị trường FedRAMP. AWS GovCloud được ủy quyền ở Cấp cao. AWS US East / West được ủy quyền ở mức Trung bình. Bạn đã nghe? Khách hàng của AWS GovCloud (Hoa Kỳ) có thể sử dụng #AmazonEFS cho khối lượng công việc tệp quan trọng nhờ gần đây đã đạt được Ủy quyền cao của FedRAMP. #GovCloud https://t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O – AWS for Government (@AWS_Gov) Tháng 10 18, 2019 AWS GovCloud có một con số khổng lồ 292 ủy quyền. AWS US East / West có 250 ủy quyền. Đó là nhiều hơn bất kỳ danh sách nào khác trên Thị trường FedRAMP. Adobe Analytics Adobe Analytics đã được cấp phép tại 2019. Nó được sử dụng bởi Trung tâm Kiểm soát và Phòng ngừa Dịch bệnh và Bộ Y tế và Dịch vụ Nhân sinh. Nó được ủy quyền ở cấp LI-SaaS. Adobe thực sự có một số sản phẩm được ủy quyền ở cấp LI-SaaS. (Giống như Adobe Campaign và Adobe Document Cloud.) Họ cũng có một số sản phẩm được ủy quyền ở mức Trung bình: Adobe Connect Managed Services Adobe Experience Manager Managed Services. Adobe hiện đang trong quá trình chuyển từ FedRAMP Ủy quyền phù hợp sang FedRAMP Ủy quyền vừa phải cho Adobe Sign. Tìm hiểu thêm về cách @Adobe Sign đang hoạt động để chuyển từ FedRAMP Được điều chỉnh sang FedRAMP Các bức tượng vừa phải tại đây: https://t.co/cYjihF9KkP – AdobeSecurity (@AdobeSecurity) Tháng 8 12, 2020 Hãy nhớ rằng nó dịch vụ, không phải nhà cung cấp dịch vụ, được ủy quyền. Giống như Adobe, bạn có thể phải theo đuổi nhiều ủy quyền nếu bạn cung cấp nhiều giải pháp dựa trên đám mây. Slack được ủy quyền vào tháng 5 năm nay, Slack đã 21 Các ủy quyền của FedRAMP. Sản phẩm được ủy quyền ở mức Trung bình. Nó được sử dụng bởi các cơ quan bao gồm: Trung tâm Kiểm soát và Bảo vệ Dịch bệnh, Ủy ban Truyền thông Liên bang và Quỹ Khoa học Quốc gia. Khu vực công của Hoa Kỳ hiện có thể điều hành nhiều công việc hơn của họ trong Slack, nhờ vào ủy quyền Kiểm duyệt FedRAMP mới của chúng tôi. Và bằng cách đáp ứng các yêu cầu bảo mật nghiêm ngặt đó, chúng tôi cũng đang giữ mọi thứ an toàn cho mọi công ty khác sử dụng Slack. https://t.co/dlra7qVQ9F – Slack (@SlackHQ) Tháng 8 13, 2020 Slack ban đầu đã nhận được ủy quyền FedRAMP Tailored. Sau đó, họ theo đuổi ủy quyền Trung bình bằng cách hợp tác với Bộ Cựu chiến binh. Slack đảm bảo thu hút sự chú ý đến các lợi ích bảo mật của ủy quyền này cho khách hàng khu vực tư nhân trên trang web của mình: “Ủy quyền mới nhất này mang lại trải nghiệm an toàn hơn cho khách hàng của Slack, bao gồm cả các doanh nghiệp khu vực tư nhân không yêu cầu môi trường được FedRAMP ủy quyền . Tất cả khách hàng sử dụng các dịch vụ thương mại của Slack có thể được hưởng lợi từ các biện pháp bảo mật nâng cao cần thiết để đạt được chứng nhận FedRAMP. ” Trello Enterprise Cloud Trello vừa được cấp quyền Li-SaaS vào tháng 9. Trello cho đến nay chỉ được sử dụng bởi Cơ quan Quản lý Dịch vụ Chung. Nhưng công ty đang tìm cách thay đổi điều đó, như đã thấy trong các bài đăng trên mạng xã hội về trạng thái FedRAMP mới của họ: 🏛️Với sự ủy quyền FedRAMP của Trello, đại lý của bạn giờ đây có thể sử dụng Trello để tăng năng suất, chia nhỏ nhóm và thúc đẩy cộng tác. https://t.co/GWYgaj9jfY – Trello (@trello) Tháng 10 12, 2020 Zendesk Cũng được ủy quyền vào tháng 5, Zendesk được sử dụng bởi: Bộ Năng lượng, Cơ quan Tài chính Nhà ở Liên bang FHFA Văn phòng Tổng Thanh tra và Cục Quản lý Dịch vụ Tổng hợp. Nền tảng hỗ trợ khách hàng và bàn trợ giúp Zendesk có ủy quyền của Li-Saas. Từ hôm nay, chúng tôi có thể giúp các cơ quan chính phủ làm việc với chúng tôi dễ dàng hơn rất nhiều vì @Zendesk hiện đã được FedRAMP ủy quyền. Rất cảm ơn tất cả các đội trong và ngoài Zendesk vì đã nỗ lực hết mình cho việc này. https://t.co/A0HVwjhGsv – Mikkel Svane (@mikkelsvane) Có thể 22, 2020 FedRAMP để quản lý mạng xã hội Hootsuite được FedRAMP ủy quyền. Các cơ quan chính phủ hiện có thể dễ dàng làm việc với nhà lãnh đạo toàn cầu về quản lý mạng xã hội để tương tác với người dân, quản lý thông tin liên lạc về khủng hoảng và cung cấp dịch vụ và thông tin qua mạng xã hội. Yêu cầu Demo

  • Trang chủ
  • CRM
  • Email doanh nghiệp
  • Email marketing
  • Marketing News
  • Marketing tổng thể
  • SEO
  • Thiết kế Website
  • Web Hosting
  • Chatbot
  • Back to top button