FedRAMP 20x试点计划:加速云服务授权的革新方案

本文详细介绍了FedRAMP 20x试点计划第一阶段,该计划通过引入关键安全指标和自动化流程,将云服务低基线授权的获取时间从12-18个月缩短至3个月,显著提升了合规效率。

FedRAMP 20x第一阶段:全新试点计划解析

什么是FedRAMP 20x试点计划?

获得完整的FedRAMP运营授权是一个漫长、耗时且极其详细的过程。即使是安全控制要求最少的低影响级别,云服务提供商也需要投入12-18个月的专注工作才能达成目标。

这一重大障碍对企业和政府都构成了阻碍,因此政府一直在采取措施改进流程,包括简化整体授权流程、调整安全控制措施及其描述语言以使其更易理解,或将计划各部分整合以减少混淆。

20x试点计划正是实现FedRAMP简化和现代化目标的一部分。

该试点计划的目标是双重的:

  • 首先,旨在为FedRAMP授权提供更快速、简化的流程。第一阶段试点计划特别针对希望实现FedRAMP低基线影响级别的云服务提供商。
  • 其次,它作为通过自动化、改变文档和证明方式以及消除授权障碍来现代化FedRAMP流程的实验。

引入KSIs

标准FedRAMP低基线授权流程与新的20x试点计划之间的主要区别之一是云服务提供商需要完成的工作内容发生了变化。

FedRAMP依赖NIST SP 800-53,这是所有FedRAMP影响级别都采用的传统安全控制和实施指南清单。影响级别之间的主要区别在于CSP必须实施和验证的控制数量。

20x试点计划在某种意义上取代了NIST SP 800-53,用于低基线运营授权。它通过使用关键安全指标来实现这一目标。

KSIs是具体且可衡量的任务和结果,而不是更广泛或更通用的安全控制。从某种意义上说,它更像是一个任务清单,而不是目标清单。

KSIs仍然与安全控制相关。许多KSIs都有它们引用的"相关控制",供希望了解更多实施背景信息的组织参考。

此外,KSIs省略了一整套安全控制。虽然这些控制可能仍然重要,但在20x计划中授权不需要它们。具体省略的控制包括:

  • 访问控制AC-8、AC-18和AC-19
  • 意识和培训AT-1、AT2-(2)和AT-4
  • 审计和责任AU-5和AU-6
  • 安全评估和授权CA-2、CA-2(1)、CA-5、CA-6、CA-7、CA-7(4)和CA-8
  • 配置管理CM-5
  • 应急计划CP-3
  • 事件响应IR-2
  • 计划PL-4、PL-4(1)、PL-8、PL-10和PL-11
  • 人员安全PS-6
  • 风险评估RA-2
  • 系统和服务获取SA-4(10)
  • 系统和通信保护SC-15、SC-20、SC-21和SC-22
  • 系统和信息完整性SI-12
  • 供应链风险管理SR-11(1)

此外,维护、媒体保护以及物理和环境保护下的所有控制都被排除在外。

加速授权

简化需要实施的内容、允许更多自动化以及减少监督都有助于通过20x试点计划加速授权流程。

20x授权流程如下:

  1. 初始提交:公司提交符合提交要求的包,包括C3PAO评估
  2. 初始审查:FedRAMP组织审查提交内容并联系后续步骤或反馈
  3. 协作审查:FedRAMP与您和您的C3PAO举办讨论,深入探讨您的包,讨论细节,确定整体方法,并就流程提供反馈
  4. 授予处理中状态:除非存在重大问题,否则您将在市场上获得"处理中"列表
  5. 最终提交:任务列表完成后,您提交映射到KSIs的最终包以供最终审查
  6. 全面审查:FedRAMP再次审查和讨论您的包,并执行一些测试和练习以验证您的状态
  7. 授权:再次,除非存在重大问题,您将在市场上获得为期12个月的完整20x低授权
  8. 监控:与往常一样,需要持续监控和定期报告以维持状态

20xP1的好处

试点提供更快速和更简化的流程

最大的好处是更快的授权周转时间。相比之下,在20xP1试点计划的前三个月,已有七家公司获得完整的FedRAMP授权,另外两家正在处理中。三个月内获得完全授权,而不是18个月!

试点允许在正常流程下不被接受的自动化

整个过程更快、更简化的一个重要原因是大部分工作可以通过自动化完成。经过验证的自动化平台允许机器可读的实施和报告,这消除了大量耗时的工作。

试点鼓励透明度以帮助他人效仿

几家通过20x试点计划获得授权的公司已在FedRAMP项目管理办公室的鼓励下公开发布了他们的提交内容。这使其他云服务提供商能够了解整个过程是如何完成的。

试点承诺通往中等授权的快速通道流程

试点计划的目标之一是了解简化授权流程的效果,并为中等(最终是高)基线级别的类似变化奠定基础。能够将其使用的信息限制在20x低级别安全范围内的CSP可以通过试点计划获得授权,并被列入试点计划下一阶段(支持中等级别)的优先授权名单。

如何加入20x试点计划

如果您已准备好并能够申请试点计划,请按以下步骤操作:

  1. 奠定基础:审查KSIs列表(使用最新版本,当前为5月正式文件)并实施它们,开发报告包,并与C3PAO合作进行初步评估。将所有内容编译到您的初始包中。
  2. 发送电子邮件至20x@fedramp.gov:您的电子邮件应包括您的CSP和服务产品的摘要、您和您的C3PAO的联系点,以及如何访问您的初始包的说明。不要直接通过电子邮件发送初始包。
  3. 等待进一步说明

您的初始包需要包含FedRAMP将审查的大量信息。这也不是您典型的证据包。您需要一份摘要和您用于生成提交内容的方法的基本原理,例如您使用哪些工具进行自动化以及原因。您还需要从C3PAO获得此方法的验证。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次