今天的联邦IT行业倡导小组发表了六步改革政府计划’S云安全认证过程称为联邦风险和授权管理计划(FEDRAMP)-A的过程,许多人说从根本上破裂。

“尽管云彩诱惑,但政府收购云计算服务的过程需要一个主要的整容,”根据Fedramp快速前锋行业倡导组的职位文件,标题为Fix Fedramp:6分计划。“这更明显,而不是在评估和认证云服务提供商(CSP)产品和安全服务的过程中。”

该位置文件是Fedramp快速前进行业集团成员七个月合作的结果,包括云服务提供商(CSP),第三方评估组织(3七七届),联邦机构和国会山的官员。 Menitalk已经参加了这些会议。

在2011年推出,Fedramp的目标是将政府对云服务进行安全评估,授权和持续监测的方法进行标准化。但政府机构和CSP近年来关于该计划的效率,以及缺乏有效性和透明度的缺乏问题。“FEDRAMP的实际承诺 - 体现在“证明一次,使用许多次”框架 - 因缺乏透明度和问责制的成本和耗时的过程而受到危害。” the paper states.

两年前,盛行的智慧认为,行业的时间和成本获得恐冲交机司令部(ATO)是九个月和250,000美元。根据云计算核心的年度报告,今天,这些数字可以达到高达两年和400万美元至500万美元。增加成本和缺乏透明度为什么有些成功获得ATO和其他人的失败导致Fedramp计划可能对整个联邦政府的云采纳产生负面影响的重要担忧。

“两国代理商和供应商缺乏他们需要做出受过教育决策的信息。 CSP对其在批准过程中的状态视而不见,他们需要做些什么来向前迈进,而机构缺乏诊断云解决方案运作的洞察力,” the paper states. “CSP已经表达了关于计划和文件要求的混淆,这指出了需要使PMO澄清指导,改善反馈机制和扩展培训。事实上,政府中有很多困惑等级,即许多机构根本不接受其他机构授予的atos。”

Meritalk的创始人Steve O'Keeffe表示,Fedramp的问题很多。 “它的成本太多了,需要太长。过程中的CSP唐’T知道他们的状态和CSP试图进入,唐’t know how,” he said, 博客文章 Monday. “There’对Fedramp Ato - jab,机构和自我认证的三条路径的优点的群众困惑。 CSP害怕公开提出问题,以担心从事员工的报复。该程序’S不可规定 - PMO在持续监控当前批准的CSP时,在管理所有新应用程序时,这些PMO在持续监控时花费。修复程序或它会在自己的重量下落下。我们不能等待 - 现在是FEDRAMP 2.0的行动的时候。“

为此,修复Fedramp计划要求以下内容:

  • 正常化认证过程。 CSP可以将几条路线带到ATO,并且并非所有路线都被视为平等,从根本上破坏了FEDRAMP计划的价值主张
  • 提高关于批准过程的透明度,获得批准需要的时间以及所涉及的时间和成本
  • 协调安全标准,使CSP能够通过遵守现有的国际和隐私标准来满足一些FEDRAMP要求
  • 降低达到ATO的CSP的连续监测成本
  • 使能CSP升级其云环境,同时符合FEDRAMP要求符合符合要求
  • 帮助CSP地图他们的FEDRAMP遵守国防部(DOD)安全要求,而不是强迫他们重新开始,以获得向国防部提供云服务的能力

Fedramp回应

在私下向Fix Fedramp纸的内容私下介绍两周后,Fedramp主任Matt Goodrich发布了一个博客1月20日,他承诺对各种行业担忧的行动。

“我们将您的反馈视为核心。在未来几周和几个月内,我们将根据您的反馈进行一些重大变化,” Goodrich wrote. “事情会很快发生,” he said.

根据Goodrich的说法,Fedramp计划管理局将关注四个关键改进:

  1. 增加速度授权
  2. 增加透明度
  3. 驾驶高基线
  4. 促进FEDRAMP重复使用

“似乎Matt Goodrich和他的团队听了,” O’Keeffe 回应 to Goodrich’s post. “让我们听到改变 - 如果Fedramp PMO的变化 - 我们很高兴与他们合作。如果这只是窗户打扮以抵御批评,我们将确保将脚握住火。”

在此下载Fix Fedramp位置纸。

Fedramp快速前锋行业咨询小组附属公司。
Fedramp快速前锋行业咨询小组附属公司。
阅读更多信息