联邦风险和授权管理计划 (FedRAMP) 是一项政府级别的网络安全计划,规定了服务于联邦机构的云提供商需达到的安全要求标准。
数据泄露频频发生,客户自然会对易受攻击的企业持谨慎态度。没有人愿意与易遭到黑客攻击的企业建立业务往来。对于政府机构来说也是如此。
有人可能认为政府机构固若金汤,但数据表明情况并非如此。它们与其他组织机构一样存在漏洞,而且常常是黑客的首选目标。
据记载,2018 年是美国政府遭到网络攻击最多的一年。在这一年,联邦机构共报告了 13,107 起数据泄露事件,造成的损失高达 137 亿美元。
由于联邦机构手握国家及公民的敏感信息,民众对此类威胁也是倍加担忧。
鉴于这种情况,联邦政府不断颁布网络安全指导方针并要求所有合作伙伴都必须遵守,以确保其具有较高的网络安全水平,并实施严格的授权管理,最终缓解政府机构自身面临的风险。
联邦风险和授权管理计划 (FedRAMP) 是政府帮助企业交付安全的云服务和产品而制定的指导方针之一。
在本文中,您将全面了解 FedRAMP,包括它的定义、目标、制定时间、适用对象、重要性、如何获得认证以及 FedRAMP 的授权步骤等。
联邦风险和授权管理计划 (FedRAMP) 是美国政府推出的一项计划,旨在为云产品和服务的安全评估、授权及持续监控提供标准化指导方针。
FedRAMP 中规定了云产品和服务需满足的最低安全要求,以此降低数据泄露风险并保护敏感信息。
在过去十年中,云技术异军突起,发展迅猛,原因是它可以轻松、快速地扩展服务。
但更快的服务也带来了更高的风险,尤其是客户数据的安全性得不到保证。
FedRAMP 规定了一套安全标准和流程,可确保云服务和产品安全可靠并得到保护。
联邦风险与授权管理计划 (FedRAMP) 在 2011 年正式颁布。它简化了云产品和服务的安全评估、授权和持续监控,使联邦机构可以轻松安全地保存、处理或共享数据。
FedRAMP 的目标总结如下:
为了实现这些目标,FedRAMP 要解决以下几个重点领域的挑战,包括:
尽管 FedRAMP 是在十多年前推出的,但追根溯源,它的历史可以追溯到更久以前。2002 年,国会为了改善电子政务服务水平,通过了 《电子政务法》。在该法案的推动下,政府管理和预算办公室 (OMB) 内设立了联邦首席信息官一职。
FedRAMP 借鉴了 2002 年《联邦信息安全管理法》(FISMA) 的主要内容,主张通过建立网络安全框架来防御威胁。在那时,云技术已经崭露头角,成为改变联邦机构数据交互方式的新技术之一。
云技术的出现提高了工作效率并显著降低了运营和采购成本,每年为联邦政府节省高达数十亿美元的开销。但是,它也增加了网络风险。
2011 年,美国政府正式颁布 FedRAMP,用于管理向联邦机构提供产品和服务的云服务提供商。管理和预算办公室 (OMB) 的联邦首席信息官 Steve VanRockel 在此前曾向美国联邦机构递交备忘录,阐述对云安全框架的需求。
备忘录提议制定 FedRAMP 计划,用于管理云服务安全风险。2012 年 FedRAMP 计划正式启动,同年美国政府批准该计划的授权机构开始运营,并着手对云服务提供商进行认证。
从那时起,FedRAMP 不断发展演变,成为如今的云安全评估联邦标准,以确保联邦机构安全地使用云服务。
FedRAMP 适用于联邦政府使用的任何云服务或产品,包括 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform 等。它也适用于代表政府提供服务的承包商和供应商。
FedRAMP 计划要求云服务提供商设计并实施可满足安全控制需求的有效保护环境。
如今,政府机构比以往任何时候都更加依赖安全的云服务。移动技术的普及迫使企业不得不拥抱云计算、基础架构即服务 (IaaS) 和软件即服务 (SaaS) 等新技术来保持竞争力。
FedRAMP 之所以重要,是因为它可以确保联邦政府使用的云服务符合安全标准,并保护政府数据、降低办公成本、提高工作效率。FedRAMP 规定了一套行之有效的方法,简化联邦机构识别、评估和授权使用云服务的流程,帮助各机构轻松评估和管理云服务的风险。(有关更多信息,请参阅监管合规)
要获得 FedRAMP 认证,云服务提供商必须经过严格的授权评估。首先,提供商要完成云服务或产品的自我评估问卷 (SAQ)。完成问卷并通过审批后,还需提交影响程度评估简报 (IAB) 和行动计划及里程碑 (POA&M)。
IAB 中要概述提供商的系统架构和安全控制措施,而 POA&M 中要列出企业必须满足的安全要求。
一旦 IAB 和 POA&M 通过审核,云服务提供商就可以开启正式的 FedRAMP 认证流程。
FedRAMP 授权有两种方式:
联合授权委员会在此过程中签发临时许可,让各机构得知环境风险已通过审查。JAB 授权是极为重要的首要批准手续,云服务提供商需将其提交给机构,以准备后续的全面审查。
高或中等环境风险的云服务提供商会发现此流程对其最为有利。
各机构负责授权达到 FedRAMP 标准的云服务和产品。这些云服务和产品须经总体风险评估,以确定系统是否符合所有安全要求,然后才能获得认证授权。
美国政府制定了几种 FedRAMP 合规类别,分别是:低、中、高和未授权。每个类别都有各自的安全要求,提供商必须基于所涉信息的敏感性满足这些要求。
此外,分类还参考了系统安全漏洞对以下三个关键领域可能产生的影响:
低影响级别安全性是云系统和数据安全的基础。它风险低,可支持公用事业的服务和产品。这个级别的系统和信息对机构的使命、运营、财务、声誉或人员不构成威胁。因此,保密性或可用性的缺失不会产生重大影响。
保护这个级别系统安全的控制措施有 125 项。云服务提供商可使用这些技术和流程来保护存储在云中的政府数据。
在此影响级别上,相关数据被称为受控非加密信息。由于可能包含个人身份信息,所以这些数据并不公开。对于这类数据,FedRAMP 规定了 325 个中等影响级别的控制措施。
如果这些控制措施执行不到位,可能给机构的主要工作带来直接影响。比如,日常工作受阻、资源丢失、个人信息被泄露等。
在 2016 年 6 月 FedRAMP 发布高级别安全标准之前,政府机构只能与云服务提供商签订基本和中等影响级别的运营合同。但是,推出高级别的安全标准后,各机构可以在更敏感的领域与云服务提供商签订运营合同。
FedRAMP 有 421 项控制措施针对高风险系统,旨在保护高价值资产的数据。这些数据可能包括机构所掌握的国家安全信息、商业秘密和财务记录等。
这 421 项控制措施非常全面,可为存储在云端的敏感政府数据提供最高级别的保护。
高影响级别适用于联邦政府最敏感的未分类信息,数据的泄露可能造成灾难性后果,例如机构被破坏、财务崩溃或生命损失。涉及的领域有:执法机构、应急处理部门、金融服务和卫生系统等。
FedRAMP 计划由联邦机构与政府行政部门共同制定、管理和操作,并由行政实体监督执行。以下是 FedRAMP 的治理机构:
联邦风险和授权管理计划已认证了多项云服务,包括:
这些云服务符合 FedRAMP 的安全要求,并获得了必要的授权。因此,联邦机构可以使用任何一项服务,将敏感的政府数据存储在云中,安全性丝毫不受影响。
要通过认证,云服务提供商必须满足 FedRAMP 框架中列出的安全要求。这包括,风险评估报告 (RAR)(列出拟定服务相关的风险)、概述如何缓解风险的安全评估计划 (SAP) 和证明其遵守控制要求的各项授权。
一旦云服务提供商满足所有这些要求,就可以申请在政府环境中运营其服务的授权许可。如果审批通过,他们将获得联合授权委员会颁发的临时运营许可 (P-ATO),有效期为三年。
无论您申请哪种类型的授权,FedRAMP 授权流程一般都分为四个步骤。
获得 FedRAMP 授权并非易事,一旦云服务提供商启动授权申请流程,成功与否对所有相关方而言都关系重大。
FedRAMP 调查了几家小型企业和初创公司,了解他们在申请授权期间有哪些宝贵经验可分享给后来人。以下是这些公司成功完成授权流程的七个最佳实践技巧:
虽然遵守 FedRAMP 是必须的,但您不应将其视为一项义务,而应将其视为一项投资。因为通过 FedRAMP 认证有很多好处,包括:
对于政府机构和云服务提供商而言,FedRAMP 计划是确保网络安全的重要措施。它能保证敏感数据的安全性,促进企业和机构大客户签约,拓展市场份额。
立即联系我们,我们将竭诚帮助您实现 FedRAMP 合规,确保数据安全无虞。
联邦风险和授权管理计划 (FedRAMP) 是一项政府级别的网络安全计划,规定了服务于联邦机构的云提供商需达到的安全要求标准。
FedRAMP 适用于所有联邦机构和向其提供服务的云服务提供商。
要通过 FedRAMP 认证,云服务提供商必须满足严格的安全要求并证明其合规性。这包括漏洞扫描、配置审查、政策制定和其他步骤。
FedRAMP 是保护敏感数据,确保遵守政府法规要求以及拓展市场份额的重要一步。