许多此类应用程序都可通过互联网轻松访问,而且通常成本低廉甚至免费。但当员工暗中使用这些应用程序时,它们会给 IT 人员带来巨大麻烦,并因此被称为影子 IT,因为机构不知道这些应用程序的所有者、驻扎在哪里、谁在使用它们以及如何支付这些资源的费用。
机构面临的挑战之一是,为保护这些和其他云服务而制定的联邦计划FedRAMP迫使机构采用一刀切的方法来保护各种应用程序。当然,FedRAMP 已经有三个不同级别的要求来保护低影响、中影响和高影响的云系统,但对于超低风险的应用程序呢?
事实上,机构已经在使用各种低成本、低风险的软件即服务应用程序来满足其业务需求,例如协作、项目管理、开源代码开发和系统性能监控。
但根据联邦云安全标准,他们需要采取适当的安全措施来保护这些低风 阿根廷手机号码 险应用程序。想想看,你会花同样的钱、精力和努力来保护你的全新凯迪拉克凯雷德,就像保护一辆便宜的自行车一样吗?我认为不会。
为了帮助各机构满足不断变化的安全需求,FedRAMP(联邦风险与授权管理计划)正在努力推出一种新基准,以标准方式保护这些低风险的 SaaS 应用。这种新基准称为FedRAMP Tailored,它基于已用于保护政府高风险系统的安全要求子集。
新基准目前处于草案阶段,但目标是在 8 月初发布最终版本。在此之前,还将进行另一轮较短时间的公众评论。
FedRAMP 主任马特·古德里奇 (Matt Goodrich) 在最近的一次网络研讨会上表示:“我们与政府机构、选民甚至我们的供应商进行了交谈,意识到美国政府已经大量使用此类服务,因此我们希望确保创建一个框架,使 FedRAMP 能够正确使用这些服务,并将影子 IT 转化为真正合规使用的服务。”
FedRAMP 计划办公室认为,FedRAMP Tailored 流程只需四周即可完成,确保供应商满足要求并完成相应的文档。由于 FedRAMP Tailored 确保安全级别与 SaaS 应用程序对政府构成的风险级别相一致,因此供应商需要满足的安全措施更少,这意味着节省时间和成本。
Goodrich 预计,这项新的 FedRAMP 产品将为部分服务不足且无法安全地向联邦政府提供服务的云服务提供商市场开辟新的机遇。
FedRAMP Tailored 基线草案将开放公众评论,截止日期为 4 月 24 日。该项目办公室还将于 4 月 18 日在华盛顿特区举办评论马拉松,与会者可以提供反馈意见并参与小组讨论。将为虚拟与会者提供住宿。
古德里奇强调,项目办公室希望听到关于哪些措施行之有效的积极评论,以及关于基准草案不足之处的反馈。他的团队正在使用开源开发平台 GitHub 创建一个可以讨论反馈的对话。
以下是一些起草的标准,可帮助机构确定哪些云服务可能符合 FedRAMP Tailored 的要求。机构必须对以下问题回答“是”:
1. 该服务是否在云端运行?
2. 云服务是否完全可以运行(例如,尚未开发)?
3. 云服务是软件应用程序(SaaS),而不是基础设施(IaaS)或平台(PaaS)?
4. 云服务是否可以在不收集个人身份信息(PII)的情况下提供服务?
5. 根据 FIPS 199 定义,云服务是否具有低安全影响?
6. 云服务是否托管在现有的 FedRAMP 授权基础设施内?
一些供应商已经表达了对 FedRAMP 定制指南草案的要求的担忧,该指南要求 SaaS 解决方案必须托管在 FedRAMP 批准的基础设施上。Goodrich 表示,其目的是确保底层基础设施安全且不易受到攻击。但他的团队愿意听取实现相同结果的其他方法。Goodrich 说,这就是为什么需要反馈。
“我们的目的并不是将所有提供商都推向 FedRAMP 授权的基础设施或平台,”他说。“我们的目的是将其托管在安全的基础设施中,而不是托管在赫恩登的 Bob 地下室中。”
