信息化觀察網(wǎng)

FedRAMP為整個(gè)美國(guó)聯(lián)邦政府的云安全提供了一種標(biāo)準(zhǔn)化方法，但它也可以作為公司尋求更好實(shí)踐的指南。

在有關(guān)數(shù)據(jù)泄露的新聞不斷涌現(xiàn)的情況下，合規(guī)性和安全性是許多IT專業(yè)人員的首要考慮因素。因此，F(xiàn)edRAMP可能會(huì)嚴(yán)重影響云安全性和自動(dòng)化的未來(lái)，尤其是在處理敏感數(shù)據(jù)的行業(yè)中。

在醫(yī)療保健或銀行業(yè)等受到嚴(yán)格監(jiān)管的行業(yè)中工作的公司可以將聯(lián)邦風(fēng)險(xiǎn)與授權(quán)管理計(jì)劃（FedRAMP）用作對(duì)云和SaaS產(chǎn)品進(jìn)行安全評(píng)估，授權(quán)和持續(xù)監(jiān)控的標(biāo)準(zhǔn)化方法的模型。

FedRAMP的可重復(fù)使用的安全評(píng)估可以使大型企業(yè)受益，因?yàn)樗鼮檎麄€(gè)企業(yè)的風(fēng)險(xiǎn)管理提供了統(tǒng)一的方法。評(píng)估模型還可以應(yīng)用于越來(lái)越普遍的多云環(huán)境。

FedRAMP基礎(chǔ)

在我們深入了解FedRAMP如何影響公共云市場(chǎng)之前，讓我們首先從高層次上準(zhǔn)確地了解它的含義。

FedRAMP是一個(gè)“一次執(zhí)行，多次使用”的框架，旨在節(jié)省成本并從冗余的安全評(píng)估中解放人員。該框架控制著所有美國(guó)聯(lián)邦機(jī)構(gòu)對(duì)云服務(wù)的使用，但在單個(gè)機(jī)構(gòu)的設(shè)施內(nèi)完全實(shí)施的私有云部署除外。每個(gè)代理商都必須提交有關(guān)不符合FedRAMP的云服務(wù)的季度報(bào)告，并提供適當(dāng)?shù)睦碛珊徒鉀Q方案以使這些應(yīng)用程序合規(guī)。

該框架針對(duì)應(yīng)用程序和數(shù)據(jù)合規(guī)性分為三個(gè)安全級(jí)別：

低影響級(jí)別：當(dāng)失去機(jī)密性和可用性只會(huì)對(duì)任何組織的運(yùn)營(yíng)，資產(chǎn)或員工產(chǎn)生有限的不利影響時(shí)（例如對(duì)業(yè)務(wù)不重要的應(yīng)用程序），低影響級(jí)別是適當(dāng)?shù)摹?/p>

中等影響級(jí)別：適用于機(jī)密性喪失會(huì)對(duì)代理機(jī)構(gòu)的運(yùn)營(yíng)產(chǎn)生不利影響的系統(tǒng)。這可能包括重大的運(yùn)營(yíng)損失，經(jīng)濟(jì)損失或個(gè)人傷害，而不是人身傷害或生命損失。

高影響級(jí)別：適用于丟失時(shí)會(huì)對(duì)代理機(jī)構(gòu)造成嚴(yán)重或?yàn)?zāi)難性影響的數(shù)據(jù)。這說(shuō)明了政府在云中最敏感的數(shù)據(jù)，包括經(jīng)過(guò)保護(hù)以保護(hù)生命或防止財(cái)務(wù)崩潰的數(shù)據(jù)。

云提供商和聯(lián)邦機(jī)構(gòu)要經(jīng)過(guò)正式批準(zhǔn)程序，才能獲得FedRAMP認(rèn)證。FedRAMP通過(guò)讓提供商的代表參與FedRAMP流程來(lái)提高透明度，并且由聯(lián)邦機(jī)構(gòu)CIO董事會(huì)及其代表授予臨時(shí)授權(quán)。

代理發(fā)起人審核云服務(wù)的安全軟件包，然后由獨(dú)立的第三方執(zhí)行安全評(píng)估。然后，根據(jù)結(jié)果，代理商負(fù)責(zé)人或指定人可以授予操作權(quán)限，這意味著云服務(wù)是安全且合規(guī)的。

作為認(rèn)證過(guò)程的一部分，云供應(yīng)商必須根據(jù)FIPS 199分類實(shí)施控制，并補(bǔ)救來(lái)自第三方審核的任何評(píng)估結(jié)果，例如體系結(jié)構(gòu)和安全問(wèn)題。他們必須制定糾正措施計(jì)劃，以跟蹤和計(jì)劃解決信息安全漏洞的方法。而且，他們必須實(shí)施一個(gè)連續(xù)的監(jiān)視程序，以包括對(duì)FedRAMP兼容服務(wù)的每月漏洞掃描。

聯(lián)邦機(jī)構(gòu)通過(guò)在經(jīng)過(guò)FedRAMP認(rèn)證的云平臺(tái)上構(gòu)建應(yīng)用程序來(lái)獲得合規(guī)優(yōu)勢(shì)。

適用于AWS，Microsoft和Google的FedRAMP合規(guī)性

AWS已在其GovCloud區(qū)域進(jìn)行了FedRAMP的重大投資，這些區(qū)域已獲得臨時(shí)批準(zhǔn)并獲得了較高的影響力，并在這些區(qū)域提供了70種云服務(wù)。AWS的東西方公共云區(qū)域也符合FedRAMP，但影響程度中等。

另一方面，自2019年5月起，所有Microsoft Azure區(qū)域均已獲得FedRAMP高影響力級(jí)別的批準(zhǔn)。這種合規(guī)性可能對(duì)微軟贏得大規(guī)模JEDI合同起到了作用。

Google Cloud Platform是FedRAMP法規(guī)遵從性的后來(lái)者，于2019年獲得了五個(gè)地區(qū)的17種產(chǎn)品的FedRAMP高級(jí)授權(quán)。Google還將其現(xiàn)有的FedRAMP中級(jí)權(quán)限擴(kuò)展到17個(gè)云端區(qū)域的64種產(chǎn)品。

從FedRAMP學(xué)習(xí)的經(jīng)驗(yàn)教訓(xùn)

組織可以從FedRAMP中學(xué)習(xí)有關(guān)安全性和合規(guī)性的幾課，即使他們不參與任何聯(lián)邦政府的工作量也是如此。

FedRAMP是一種有據(jù)可查的簡(jiǎn)單方法，它誕生于西方世界上最龐大的官僚機(jī)構(gòu)之一。它正迅速成為金融服務(wù)，健康和制造業(yè)的安全基準(zhǔn)，并且也可以用作其他組織的藍(lán)圖。

FedRAMP不是一個(gè)孤立的合規(guī)過(guò)程。它需要應(yīng)用程序開(kāi)發(fā)人員，云團(tuán)隊(duì)，組織所有者，利益相關(guān)方和服務(wù)提供商的參與。每個(gè)合規(guī)工作都可以從這種參與水平中學(xué)習(xí)。

進(jìn)行FedRAMP審核需要有條不紊的方法，這對(duì)于某些組織可能是很多要求。審計(jì)是云團(tuán)隊(duì)清理文檔和內(nèi)部流程的絕好機(jī)會(huì)。

FedRAMP審核也是時(shí)候教育客戶有關(guān)云的知識(shí)。它們使用共享責(zé)任模型為組織與提供者的合作提供了更高的透明度。通過(guò)正式和非正式的培訓(xùn)課程，這也是為企業(yè)和云團(tuán)隊(duì)深入研究云安全性的機(jī)會(huì)。

FedRAMP最佳實(shí)踐

FedRAMP還展示了許多技術(shù)和安全性最佳實(shí)踐。以下是組織可以用來(lái)改善其安全狀況的一些受支持技術(shù)的示例：

使用以JSON和XML創(chuàng)建的機(jī)器可讀系統(tǒng)安全計(jì)劃，這些計(jì)劃可以通過(guò)提高自動(dòng)化程度來(lái)支持代理商及其合規(guī)性。FedRAMP信息需求還要求建立一個(gè)云管理平臺(tái)，以向利益相關(guān)者和審計(jì)師提供自動(dòng)化和必要的報(bào)告。

從跨云環(huán)境的持續(xù)安全監(jiān)控開(kāi)始。云提供商必須作為FedRAMP的一部分來(lái)監(jiān)視其云環(huán)境，但是由客戶來(lái)監(jiān)視跨云環(huán)境，包括任何混合和多云架構(gòu)。

擁有處理電子發(fā)現(xiàn)和訴訟保留的工具，并能夠清楚地定義和描述組織與云提供商之間的系統(tǒng)邊界。

利用身份和訪問(wèn)管理最佳實(shí)踐以及兩因素身份驗(yàn)證。

采取適當(dāng)?shù)拿艽a保護(hù)措施，以在傳輸過(guò)程中保持?jǐn)?shù)據(jù)的機(jī)密性和完整性，并防止通過(guò)共享資源（例如可移動(dòng)媒體或未經(jīng)批準(zhǔn)的云存儲(chǔ)）進(jìn)行未經(jīng)授權(quán)的數(shù)據(jù)傳輸。

潛在的缺點(diǎn)和局限性

盡管FedRAMP會(huì)檢查所有復(fù)選框的安全性和合規(guī)性，但其有效性在商業(yè)市場(chǎng)上有限。首先，如果沒(méi)有業(yè)務(wù)案例，公司不太可能實(shí)現(xiàn)FedRAMP級(jí)別的合規(guī)性以實(shí)現(xiàn)另一層安全性。

更重要的是，F(xiàn)edRAMP在聯(lián)邦政府中只有一席之地。即使商業(yè)組織要適應(yīng)FedRAMP的做法，如果其應(yīng)用程序不符合規(guī)定，也不會(huì)受到任何懲罰。

除了組成公共部門客戶群的代理商和系統(tǒng)集成商之外，主要的云提供商尚未真正實(shí)現(xiàn)其FedRAMP工作的商業(yè)化。云提供商及其客戶之間需要更多的信息共享，以確定將這些框架擴(kuò)展到私有部門的方式，并希望減少已經(jīng)非常普遍的數(shù)據(jù)泄露。