信息化观察网

FedRAMP为整个美国联邦政府的云安全提供了一种标准化方法，但它也可以作为公司寻求更好实践的指南。

在有关数据泄露的新闻不断涌现的情况下，合规性和安全性是许多IT专业人员的首要考虑因素。因此，FedRAMP可能会严重影响云安全性和自动化的未来，尤其是在处理敏感数据的行业中。

在医疗保健或银行业等受到严格监管的行业中工作的公司可以将联邦风险与授权管理计划（FedRAMP）用作对云和SaaS产品进行安全评估，授权和持续监控的标准化方法的模型。

FedRAMP的可重复使用的安全评估可以使大型企业受益，因为它为整个企业的风险管理提供了统一的方法。评估模型还可以应用于越来越普遍的多云环境。

FedRAMP基础

在我们深入了解FedRAMP如何影响公共云市场之前，让我们首先从高层次上准确地了解它的含义。

FedRAMP是一个“一次执行，多次使用”的框架，旨在节省成本并从冗余的安全评估中解放人员。该框架控制着所有美国联邦机构对云服务的使用，但在单个机构的设施内完全实施的私有云部署除外。每个代理商都必须提交有关不符合FedRAMP的云服务的季度报告，并提供适当的理由和解决方案以使这些应用程序合规。

该框架针对应用程序和数据合规性分为三个安全级别：

低影响级别：当失去机密性和可用性只会对任何组织的运营，资产或员工产生有限的不利影响时（例如对业务不重要的应用程序），低影响级别是适当的。

中等影响级别：适用于机密性丧失会对代理机构的运营产生不利影响的系统。这可能包括重大的运营损失，经济损失或个人伤害，而不是人身伤害或生命损失。

高影响级别：适用于丢失时会对代理机构造成严重或灾难性影响的数据。这说明了政府在云中最敏感的数据，包括经过保护以保护生命或防止财务崩溃的数据。

云提供商和联邦机构要经过正式批准程序，才能获得FedRAMP认证。FedRAMP通过让提供商的代表参与FedRAMP流程来提高透明度，并且由联邦机构CIO董事会及其代表授予临时授权。

代理发起人审核云服务的安全软件包，然后由独立的第三方执行安全评估。然后，根据结果，代理商负责人或指定人可以授予操作权限，这意味着云服务是安全且合规的。

作为认证过程的一部分，云供应商必须根据FIPS 199分类实施控制，并补救来自第三方审核的任何评估结果，例如体系结构和安全问题。他们必须制定纠正措施计划，以跟踪和计划解决信息安全漏洞的方法。而且，他们必须实施一个连续的监视程序，以包括对FedRAMP兼容服务的每月漏洞扫描。

联邦机构通过在经过FedRAMP认证的云平台上构建应用程序来获得合规优势。

适用于AWS，Microsoft和Google的FedRAMP合规性

AWS已在其GovCloud区域进行了FedRAMP的重大投资，这些区域已获得临时批准并获得了较高的影响力，并在这些区域提供了70种云服务。AWS的东西方公共云区域也符合FedRAMP，但影响程度中等。

另一方面，自2019年5月起，所有Microsoft Azure区域均已获得FedRAMP高影响力级别的批准。这种合规性可能对微软赢得大规模JEDI合同起到了作用。

Google Cloud Platform是FedRAMP法规遵从性的后来者，于2019年获得了五个地区的17种产品的FedRAMP高级授权。Google还将其现有的FedRAMP中级权限扩展到17个云端区域的64种产品。

从FedRAMP学习的经验教训

组织可以从FedRAMP中学习有关安全性和合规性的几课，即使他们不参与任何联邦政府的工作量也是如此。

FedRAMP是一种有据可查的简单方法，它诞生于西方世界上最庞大的官僚机构之一。它正迅速成为金融服务，健康和制造业的安全基准，并且也可以用作其他组织的蓝图。

FedRAMP不是一个孤立的合规过程。它需要应用程序开发人员，云团队，组织所有者，利益相关方和服务提供商的参与。每个合规工作都可以从这种参与水平中学习。

进行FedRAMP审核需要有条不紊的方法，这对于某些组织可能是很多要求。审计是云团队清理文档和内部流程的绝好机会。

FedRAMP审核也是时候教育客户有关云的知识。它们使用共享责任模型为组织与提供者的合作提供了更高的透明度。通过正式和非正式的培训课程，这也是为企业和云团队深入研究云安全性的机会。

FedRAMP最佳实践

FedRAMP还展示了许多技术和安全性最佳实践。以下是组织可以用来改善其安全状况的一些受支持技术的示例：

使用以JSON和XML创建的机器可读系统安全计划，这些计划可以通过提高自动化程度来支持代理商及其合规性。FedRAMP信息需求还要求建立一个云管理平台，以向利益相关者和审计师提供自动化和必要的报告。

从跨云环境的持续安全监控开始。云提供商必须作为FedRAMP的一部分来监视其云环境，但是由客户来监视跨云环境，包括任何混合和多云架构。

拥有处理电子发现和诉讼保留的工具，并能够清楚地定义和描述组织与云提供商之间的系统边界。

利用身份和访问管理最佳实践以及两因素身份验证。

采取适当的密码保护措施，以在传输过程中保持数据的机密性和完整性，并防止通过共享资源（例如可移动媒体或未经批准的云存储）进行未经授权的数据传输。

潜在的缺点和局限性

尽管FedRAMP会检查所有复选框的安全性和合规性，但其有效性在商业市场上有限。首先，如果没有业务案例，公司不太可能实现FedRAMP级别的合规性以实现另一层安全性。

更重要的是，FedRAMP在联邦政府中只有一席之地。即使商业组织要适应FedRAMP的做法，如果其应用程序不符合规定，也不会受到任何惩罚。

除了组成公共部门客户群的代理商和系统集成商之外，主要的云提供商尚未真正实现其FedRAMP工作的商业化。云提供商及其客户之间需要更多的信息共享，以确定将这些框架扩展到私有部门的方式，并希望减少已经非常普遍的数据泄露。