เนื้อหานี้ได้รับการสนับสนุนโดย ZscalerFederal Risk Authorization and Management Program (FedRAMP) เป็นมาตรฐานทองคำสำหรับผลิตภัณฑ์และบริการคลาวด์สำหรับหน่วยงานของรัฐบาลกลาง และเป็นเวลาหลายปีแล้ว วิธีการ “ประเมินครั้งเดียวและใช้บ่อยๆ” บังคับใช้การติดตามและประเมินผลอย่างต่อเนื่อง เช่นเดียวกับข้อกำหนดในการรายงานที่จำเป็นต่อภาพรวมของภัยคุกคามในปัจจุบัน ผู้ให้บริการคลาวด์ที่ต้องการทำธุรกิจกับรัฐบาลกลางจำเป็นต้องได้รับการรับรองจาก FedRAMP ก่อน แต่บริษัทที่ต้องการทำธุรกิจกับกระทรวงกลาโหมต้องก้าวไปอีกขั้น นั่นคือที่มาของการรับรองระดับผลกระทบของหน่วยงานระบบข้อมูลกลาโหม
FedRAMP Moderate สอดคล้องกับ DoD Impact ระดับ 2
และ FedRAMP High ครอบคลุม 521 ของการควบคุมความปลอดภัยและความเป็นส่วนตัว 800-53 ของ National Institute of Standards and Technology แต่ IL 4 และ 5 ก้าวไปไกลกว่านั้นเพื่อให้เป็นไปตามข้อกำหนดด้านความปลอดภัยเฉพาะของ DoD IL 5 มีข้อกำหนดเพิ่มเติม 11 ข้อโดยเฉพาะจาก NIST 800-53 ที่เหนือกว่าและเหนือกว่า FedRAMP High รวมถึงข้อกำหนดทั่วไป 18 DoD
“เหตุผลคือผลกระทบระดับ 5 อนุญาตให้บริการคลาวด์จัดเก็บและประมวลผลข้อมูลซึ่งได้รับการพิจารณาในระดับสูงสุดที่ไม่เป็นความลับแต่มีการควบคุม” แพทริก เพอร์รี ผู้อำนวยการฝ่ายโซลูชันทางเทคนิคที่เกิดขึ้นใหม่ของรัฐบาลกลางที่ Zscaler ผู้ให้บริการคลาวด์ที่เพิ่งประสบความสำเร็จกล่าว การรับรอง IL 5 “ผู้คนจำนวนมากจะพูดถึงคำว่า CUI ซึ่งเป็นข้อมูลที่ไม่เป็นความลับที่ถูกควบคุม นี่คือระดับที่เหนือกว่าสิ่งต่างๆ เช่น ข้อมูลระบุตัวบุคคลและข้อมูลอื่นๆ ที่ไม่เป็นความลับแต่ปิดเป็นความลับ ผลกระทบระดับห้าช่วยให้บริการคลาวด์สามารถประมวลผลข้อมูลที่รวมถึงข้อมูลสนับสนุนภารกิจ ข้อมูลบริการความมั่นคงแห่งชาติ และข้อมูลที่ไม่เป็นความลับที่มีการควบคุมสูงอื่น ๆ แต่ไม่ถูกจัดประเภท”
Perry กล่าวว่ามีสองสถานการณ์ในการได้รับการรับรอง IL 5 ครั้งแรกเกิดขึ้นเมื่อบริษัทได้รับการอนุมัติในระดับสูงของ FedRAMP โดยคณะกรรมการอนุญาตร่วม ซึ่งประกอบด้วย General Services Administration และแผนก Defense and Homeland Security หากบริษัทดังกล่าวต้องการได้รับการรับรอง IL 5 นอกเหนือจากนั้น บริษัทจะต้องผ่านสิ่งที่เรียกว่าการยกระดับ นั่นหมายความว่า DoD ดำเนินการประเมินของตนเอง ณ จุดนั้น และผู้ให้บริการระบบคลาวด์อาจต้องปรับแผนปฏิบัติการและเหตุการณ์สำคัญ (Plan of Action and Milestones – POAM) ซึ่งเป็นแผนปฏิบัติการแก้ไขสำหรับการติดตามและวางแผนการแก้ปัญหาจุดอ่อนด้านความปลอดภัยข้อมูล ตามความพร้อมของ DoD รายงานการประเมิน (RAR)
และนั่นอาจเป็นกระบวนการที่ยาว ขึ้นอยู่กับงานในมือของ DoD
เพอร์รีกล่าวว่าไม่ใช่เรื่องปกติที่จะใช้เวลาประมาณหนึ่งปี แม้ว่าองค์กรจะได้รับการรับรองจาก FedRAMP High แล้วก็ตาม
“อันที่จริงแล้วสิ่งนี้คล้ายกับระบบ FedRAMP มากในตอนนี้ เนื่องจากอัตราความอิ่มตัวของมัน เห็นได้ชัดว่าระหว่างการแพร่ระบาดและการผลักดันครั้งใหญ่สำหรับทุกบริการคลาวด์เพื่อพยายามเข้าสู่ DoD” เขากล่าว “DISA กำลังทำอย่างดีที่สุดเท่าที่จะทำได้ แต่มีคนจำนวนมากเท่านั้นที่สามารถทำงานได้ และยังมีงานอีกมากมายที่ต้องทำให้เสร็จ ตัวอย่างเช่น เดิมทีเรามีชื่ออยู่ในรายชื่อและมีการประชุมเริ่มต้นในเดือนสิงหาคม 2020 เราไม่ได้เริ่มดำเนินการอะไรเลยจนกระทั่งเดือนมกราคม 2021 และเราไม่ได้สรุปอะไรเลยจนกว่าจะถึงวันที่ 1 พฤศจิกายน 2021 ”
ในสถานการณ์ที่สอง บริษัทที่ยังไม่ได้รับการรับรองจาก FedRAMP จะต้องผ่านกระบวนการดังกล่าวเช่นกัน มันจะต้องสร้างสภาพแวดล้อมของมัน ตรวจสอบโดย Certified Third Party Assessment Organization (C3PAO) และดำเนินการตามข้อกำหนดด้านความปลอดภัยทั้งหมด นอกจากนั้น จะต้องผ่านการตรวจสอบความปลอดภัย 90 ถึง 180 วัน อาจใช้เวลาถึง 18 ถึง 24 เดือนก่อนที่ DoD จะเริ่มขั้นตอนเพิ่มเติมได้
และเพอร์รีย้ำว่านี่เป็นการลงทุนของผู้ให้บริการระบบคลาวด์ทั้งหมดโดยไม่มีการรับประกันว่าจะได้ผลตอบแทนในตอนท้าย การรับรอง IL 5 แสดงถึงการลงทุนเชิงกลยุทธ์ที่สำคัญเพียงเพื่อให้ได้ประตู
“นี่ไม่ใช่แค่การเซ็นชื่อในกระดาษสองสามแผ่น ตั้งค่าเซิร์ฟเวอร์หนึ่งเครื่องและบอกว่า DoD เป็นเซิร์ฟเวอร์เดียวที่เชื่อมต่อกับมัน กระบวนการทั้งหมดนี้ในฐานะการลงทุนของบริษัทใช้เวลาและทรัพยากรเชิงกลยุทธ์จำนวนมาก” เขากล่าว “ไม่เหมือนกับสัญญาอื่นๆ ของ DoD ซึ่งอาคาร การสนับสนุน และองค์ประกอบอื่นๆ จะได้รับก่อนการลงทุน นี่คือแนวทาง ‘สร้างมันขึ้นมา และหวังว่าจะได้มา’ ดังนั้นบริษัทของเราจึงต้องลงทุนหลายล้านดอลลาร์ ระยะเวลาสองถึงสามปีและผู้คนเพื่อมาถึงจุดนี้ ตอนนี้เพียงเพื่อสร้างโอกาสให้เจ้าของภารกิจของ DOD ได้ใช้มัน และฉันไม่คิดว่าทุกคนจะตระหนักถึงการลงทุนระดับนั้นอย่างเต็มที่ตั้งแต่ภาคอุตสาหกรรมไปจนถึงกระบวนการนี้”
เหตุใดผู้ให้บริการคลาวด์จึงลงทุนนี้
“ตั้งแต่คำสั่งของผู้บริหารไปจนถึงผู้บัญชาการภารกิจ มีการเน้นย้ำว่าความร่วมมือระหว่างภาคอุตสาหกรรม สถาบันการศึกษา และรัฐบาลมีความสำคัญต่อนวัตกรรม นี่คือการลงทุนของเราในความเชื่อนั้น การรับรองระดับนี้เป็นการยืนยันว่าเรามุ่งมั่นที่จะปฏิบัติตามข้อกำหนดของรัฐบาลในการจัดการข้อมูลในสภาพแวดล้อมที่ไม่เป็นความลับโดยมีการควบคุมความปลอดภัยที่เข้มงวดที่สุด” เพอร์รีกล่าว “เราได้รับความสามารถที่น่าเชื่อถือที่สุดในฐานะผู้ให้บริการระบบคลาวด์”
Credit : สล็อตเว็บแท้ / 20รับ100 / เว็บสล็อตออนไลน์
