Fedramp Director和Ashley Mahan,Fedramp Evangelist的Matt Goodrich和Ashley Mahan,在今天的网络研讨会期间涉及到Fedramp最近发布的授权边界指南的行业反馈。

今年5月,FEDRAMP项目管理办公室(PMO)发布 指导 对于云服务提供商(CSP),以考虑为其云服务产品开发Fedramp授权边界,用于“立即使用”。随着云服务的发展,它们变得更加复杂。随着复杂性的增加,Fedramp注意到定义授权边界的问题。根据FEDRAMP的说法,授权边界提供CSP内部服务,组件和其他设备的示意图以及与外部服务和系统的连接。

在5月份发布的指导下,Fedramp提供了四个“拇指规则”,CSP应该牢记。首先,在任何媒体或形式中由联邦政府处理,储存或传送的联邦信息,或者在任何媒体或形式下都属于授权边界。其次,影响联邦信息的机密性,完整性或可用性(CIA)的外部服务包括在授权边界内。第三,企业服务不影响联邦信息中央情报局落后于授权边界。第四,不处理,存储或传输联邦信息的开发环境也在授权边界之外。

Goodrich通过承认定义授权边界并不容易任务,踢掉了网络研讨会。 “我们认识到这是安全包的最难的非本质组成部分,”他说。

在简要审查可能的指导之后,Goodrich和Mahan Dove分为三个担忧,他们在上个月最常见地听到。

  1. FEDRAMP正在扩大授权边界的范围并通过包括元数据来稀释现有的安全控制环境。
  2. 目前尚不清楚如何根据释放的指导治疗某些常见类型的互连。
  3. 目前尚不清楚行业采用指导的直接用途。

关于扩大授权边界范围的担忧包括元数据,玛哈说,Fedramp的真实目标是透明度。

“我们正试图了解特定的联邦数据元素可以进入外部服务或在边境之外的任何这些应用程序或工具中的任何一个,”她解释说明。 “因此,如果有可能影响联邦信息的机密性,完整性或可用性的真正联邦信息数据元素,我们需要确保正在满足适当的安全措施以保护该数据。”

Goodrich表示,他看到了一些将这一点视为扩大授权边界范围的FEDRAMP,这并不一定是这种情况。相反,Fedramp PMO只是提出更好,更直接的CSP。

随着下一个问题 - 关于如何治疗常见类型的互连 - 玛哈和古德里奇都开辟了透明度的重要性。

“此刻的话语是透明度,透明度,透明度,”Goodrich说。 “我们要求了解系统如何在功能上运行和处理联邦信息。授权官员有能力使基于风险的决定有关互连,但他们需要透明度来做到这一点。“

Goodrich强调,Fedramp是代理商和CSP之间的伙伴关系,透明度是透明度的重要组成部分。 “没有透明度进入云提供商系统如何构建以及与之相关的风险,没有能力真正成为合作伙伴。”

最后,Goodrich和Mahan解决了对CSP的“立即使用”的担忧。

“我们认识到,我们不能让每个卖方达到我们的指导,”古德里奇说。他解释说,对于Fedramp立即使用意味着“这是我们开始分析的方式,并将有一种常见的方式,我们在进入时看待系统。”此外,Goodrich称为指导“一个生活文件”,并说:“它将随着行业和云服务的变化而发展。”

对于那些无法参加今天的网络研讨会的人来说,Fedramp正在举行另一个 星期三,7月25日下午3点。 与会者将能够在演示后提出问题。

阅读更多信息
关于
凯特PORIT.
凯特PORIT.
凯特PORIT.是Meritalk的助手副本&生产编辑涵盖政府和技术的交汇处。
标签