Editor’s note: The following is a sponsored blog post from A-LIGN.
联邦风险和授权管理计划(FedRAMP)是美国政府范围内的一个计划,它提供了一种标准化的安全评估方法, authorization, 并持续监控云产品和服务.
联邦政府机构必须使用fedramp授权的产品和服务来维护政府内部云安全的完整性. 通过FedRAMP授权的服务包括Adobe等, Blackberry, Box, 以及DocuSign——这意味着联邦机构可以自由使用这些产品,因为它们被认为是安全的.
Although it seems like a straightforward program, 某些软件供应商不属于FedRAMP的范围,因此不能通过传统的FedRAMP流程获得授权. 这对联邦机构和软件供应商都是一个问题. 联邦机构无法获得市场上一些最好的工具, which limits innovation and productivity, 软件供应商不能在联邦政府内部扩展业务.
To solve these issues, 范围之外的组织必须寻求另一种途径来证明联邦法规遵从性.
The Challenge for ISVs
独立软件供应商(isv)是云软件不能成为fedramp授权的一个例子,因为 FedRAMP不适用于传统意义上的isv.
FedRAMP was designed for Software as a Service (SaaS), Platform as a Service (PaaS), and Infrastructure as a Service (IaaS) providers. 但是isv没有基于云的“即服务”产品. isv构建在第三方平台(如Oracle、Salesforce或ServiceNow)上运行的软件.
尽管ISV没有实现FedRAMP操作权限(ATO)的传统途径。, 如果isv属于云服务产品(CSO)的授权边界,那么它们仍然受FedRAMP要求的约束.
因为联邦机构本身缺乏教育和理解, 许多人期望isv能够获得FedRAMP授权,以便竞标他们的合同. Unfortunately, 现有的FedRAMP备忘录在解决这种混乱方面做得很少, as they all focus on what’s in scope, not what’s out of scope.
Because of this, isv经常错过封闭投标的机会,或者必须参加冗长的会议和电话来教育代理机构, which ultimately strains resources, extends the buying cycle, and creates friction in the sales process.
证明联邦合规的替代解决方案
代替正式的FedRAMP授权,isv应该与一个 FedRAMP 3PAO (第三方评估组织)来评估公司的过程和控制如何与适用的FedRAMP要求相匹配.
第一步是评估FedRAMP需求列表(3PAO将非常精通),并确定哪些控制适用于特定的ISV,哪些不适用. For example, ISV可能能够满足FedRAMP的安全控制和产品开发人员的背景调查需求, 但无法影响或控制任何与基础设施相关的FedRAMP控制——因为根本没有基础设施可言.
Once the list of applicable controls is complete, 3PAO可以评估ISV的流程,并以与评估追求传统FedRAMP授权的组织相同的严格性审查证据. 从那里,3PAO可以证明ISV提供的安全控制实现.
At A-LIGN, 通过生成“FedRAMP ISV报告”,我们已经为ISV形式化了这个过程——一个概述ISV的过程和控制如何与适用的FedRAMP需求相比较的文档. 该报告详细说明了我们的评估结果,并可以记录ISV针对任何确定的控制差距所采取的任何补救措施.
isv然后使用这份报告来验证他们的立场,因为它与云安全有关,并向联邦机构提供保证. In our experience, 拥有“FedRAMP ISV报告”已经帮助我们的ISV客户增加了他们与联邦机构的潜在联系,并克服了他们之前在与联邦机构交谈时面临的知识差距.
The Future of Federal Compliance
虽然没有正式接受的FedRAMP授权的替代品, 为范围之外的组织提供一种替代方法来证明遵从性,这对于促进联邦政府内部的创新至关重要,并且有助于软件公司扩展其业务. As technology continues to evolve, and the market of cloud software, products, and services grows, 联邦政府需要审查和更新安全标准,以确保没有必要的资源被禁止使用,并且所有资源的安全性都可以得到适当的评估.
