令人兴奋的消息是,新遗迹获得了联邦风险和授权管理计划(FEDRAMP)经营权(ATO)与美国管理和预算办公室(OMB)。FEDRAMP ATO使新的遗物能够作为运行的系统作为云服务提供商(CSP)操作FIPS 199“中等”影响水平。阅读本文中关于认证的更多信息帖子。
在这个问答中,我们与Shaun Gordon聊天,他是New Relic的高级副总裁和首席安全办公室。Shaun在New Relic负责所有方面的安全工作,包括应用程序、基础设施、网络,甚至物理安全。
在这篇文章中,我们与Shaun交谈了关于Fedramp是什么,为什么重要的是,这对客户的意义是什么,无论他们是否在公共部门工作。
关于Fedramp Ato
New Relic的:FedRAMP到底是什么,操作授权是什么?
肖恩:经营或ATO的授权意味着我们已被授权在联邦政府机构内经营或使用。
所以,在这种情况下,对我们来说,它刚好在OMB。在更广泛的级别,基本上它的意义是它是一个过程,云服务提供商已被授权在一个机构内运行。
提供商需要实现一组安全控制,大约325个控制。他们实施;他们被审计;然后该机构审查这些。最后,如果他们认为自己看起来不错,你就会得到认可。
一旦您获得批准,该机构可以尽可能多地使用该产品。此外,其他机构可以看出这一批准过程,并决定他们是否想要经历同样的事情并利用很多不同的方式。
New Relic的:然后他们必须经历同一批准过程,还是他们使用现有的ATO?
肖恩:他们实际上无法使用现有的ATO,但它们可以利用这一点。在过去,如果一个机构想要基本上使用一块软件,或者使用云服务提供商,他们将不得不弄清楚如何做出安全审查,决定是否合适,记录了它,如果他们接受了风险,他们可以使用它。
现在可能发生的是,一个机构通过这个Fedramp过程,然后,如果另一个机构想要使用那个产品,他们可以看出那个并说“好的,这就是该机构所做的。”他们可以看一下第一个ATO和与之提交的评估,如果满意,他们可以提交自己的ato并获得批准。
FedRAMP需要很多过程,但这是值得的
New Relic的:那么,New Relic到底是在什么地方获得了FedRAMP ATO呢?
肖恩:嗯,我们的赞助机构是OMB,我们在适度的水平授权。人们可以获得三个级别。有一个低水平,这基本上意味着您正在在只有公共信息,其他地方提供的信息的环境中使用。
New Relic的:在这种情况下,这些安全要求对繁重的要求较少。
肖恩:他们将要低得多,是的。我们确实适度,这意味着我们使用的数据,我们所看到的数据可能导致严重影响,如果违反或损害,它包括PII。
New Relic的:PII是个人身份信息。
肖恩:谢谢你,你去了。我们作为公司通常不会收集PII。我们不需要它为我们的产品运营。但是,我们没有公开信息。所以这让我们进入了那个中等的类别。
New Relic的:明白了。
肖恩:还有一个很高的类别,这基本上意味着如果这些数据泄露到经济中,可能会有非常重要的后果,诸如此类的事情。我们通常不会在这些环境中使用。对于政府来说,这将是一些,你知道的,相当安全的东西,比如国防承包商。
New Relic的:正确的。是否有不同类型的软件或不同种类的云服务授权。例如,是否有特殊的APM ATO?或者在任何类型的软件或服务中都会是一般吗?
肖恩:对于这个特定的级别,它将适用于任何类型的服务。每个人都会经历同样的过程。
现在,发生的一件事是这个过程的审计,就像任何其他类型的安全审计一样,公司总是会有一些不同的做法。
在某些时候,原子能机构的某个人将会看看你正在做的事情,你是如何满足该要求的,并根据他们如何使用你和你拥有的类型的产品做出决定,至于在此用例中是否可以接受。
因此,虽然该过程是相同的,但对于一些云服务提供商,可能具有不同的标准或不同的标准水平,而不是其他代理。
325支票
New Relic的:告诉我关于我们必须检查的325件事,我们是否必须在我们最后改变事情以满足要求?
肖恩:我们绝对不得不做出一些改变。我的意思是,你不能经过这样的过程,不必做一些事情。但我们不想围绕合规性推动我们的安全计划。我们不想只是因为我们需要符合要求而做的事情。我们总是说,“让我们做正确的事情让我们安全,让客户的数据安全。”我们知道,如果我们正在做正确的事情,将遵循合规性。
然而,这仍然需要大量的文书工作和大量的流程。所以,我不想说我们什么都不需要做,这个过程花了我们,差不多两年的时间。
New Relic的:为什么这么长时间?
肖恩:这是一个很长的过程。一般来说,有一种你必须经历的三个或四个阶段。
第一个是他们所说的那种准备阶段,基本上我们必须放在一起系统安全计划-an ssp。这基本上是有人进来并记录你要保护这个数据的所有方式,以及如何满足325个NITS控制的方式,因为他们被Fedramp程序解释了。对于我们来说,它真的只是用正式记录了很多我们已经在做的事情。一旦完成了,那么我们必须参与另一个顾问;他们称之为第三方评估机构——3 pao。
他们进来了,他们做了几件事。他们所做的第一件事就是创造我们所说的安全评估计划-an sap。这是一个基本上是一个计划,他们如何实际评估我们以前创建的系统安全计划?一旦他们这样做,他们实际上就会经历并评估我们。这基本上是审计。我们经历了很多审计。所以,我们实际上有SOC 2类型2。
New Relic的:你提到了SoC 2.这是什么代表?
肖恩:它实际上是服务组织控制。这是整个行业所做的标准审计或评估。和我们很多客户,你知道,我们的非政府客户,当他们想在他们实际注册之前评估我们的安全,他们会要求我们像SoC 2.这样的某种审计报告。所以,这是一个标准我们提供的。
New Relic的:这就是他们在看的审计报告吗?
肖恩:是的。我们一直这样做了很长时间。这一直看着很多相同的控制。真正的区别在于,Fedramp的控制,还有很多严谨。他们正在寻找更多的文档,更多的过程文档,那种东西。这是一个政府毕竟,所以必须有很多文书工作。
虽然控件是相似的,但我们走的方式有点不同。我们必须经历该评估,他们确实审计,他们找到了一些东西。每次,你都知道,有人做了审计,通常会有一些不太满足标准的东西。我们发现了大约20件物品,我想我们经历了这个。
New Relic的:在325个国家中?
肖恩:在325中,我们实际上能够解决大约一半的人,而我们经历过这个过程,最终有大约10个优秀的物品。此时,我们不得不经过修复。基本上,地址每个项目。
最后,一旦他们都写好了地址,我们认为他们都在正确的地方,然后我们向政府提交一个包裹,然后他们审查,如果他们认为它看起来不错,他们就会批准。那就是我们准备好去取ATO的时候了。
FEDRAMP合规需要时间
New Relic的:那也需要几个月。
肖恩:对于我们而言,真正推动这个过程的长度的事情是我们有几个长的杆子物品 - 不快改变的东西,不一定是我们认为高安全性风险的东西,而是刚刚的事情花时间。
那个例子是我们有一个VPN,就像任何其他公司一样。我们有一个VPN,以便我们可以到达我们的数据中心。我们的VPN没有一定的政府认证,FIPS 140-2。这并不意味着它不安全,但没有认证。
所以,我们必须建立一个项目来取代所有的VPN设备。
New Relic的:明白了。我们为我们达到了Fedramp Ato但为我们的客户达成了什么意思?
肖恩:我认为新的遗物,这是一个验证。对于我个人而言,它是我们拥有稳固安全计划的验证。这不仅仅是我对你说的。外面的其他人已经进来并经过验证,“是的,你实际上正在做正确的事情,你正在做好。”这只是我们可以抓住自己的酒吧。
另一种方式我一直在看,你知道,这个审计和我们的SoC 2,我们所做的其他审计,它只是真正确保没有差距。没有什么东西,我只是不考虑,我们没有考虑。我们确保我们正在涵盖安全的各个方面。这是一种内部看起来的内部观点。
对于我们的客户来说,有明显的是,现在政府可以轻松使用新的遗物。
正如我之前提到的那样,在过去,将发生的是,每个政府机构都必须通过这段长期的安全审查进程来利用新的遗物。那是令人生畏的。在很多情况下,他们更容易做到。
现在,他们可以说,“嘿,看,新的遗物已经被这个其他代理商认证。我们知道这将很容易,你知道,我们可以用新的遗物,这不会是我们的负担。“还有非联邦政府客户。
适用于非联邦客户
New Relic的:这是非常有趣的。我想问一下。
肖恩:对于非联邦政府客户来说,我认为它做了一些事情。
很多人都知道这是一个高级条,高于SOC 2。我经常与客户呼吁他们想在哪里询问我们的安全控制,并且基本上寻找我们正在做正确的事情的安慰。
通过提到我们经历了整个Fedramp认证过程,为他们提供了很多安心,因为他们知道有了高标准的安全性正在看我们。我也应该提及的一件事是,虽然这正在进行,但我们必须每年重新认证。他们实际上每年看一下控件的三分之一。所以,他们每三年他们再次看所有控制。
这不仅仅是一次射击,我们将不断戴上我们。我们还必须每月向联邦政府报告所有这些问题。我们认为这些控件还在工作吗?我们的立场有什么变化吗?这为这些客户提供了额外的舒适度。
另一件事是,FedRAMP基于一些任何人都可以查看的标准控件。许多其他公司,以及地方政府,也开始利用这些控制。即使它们不需要服务提供者通过FedRAMP认证,它们也知道我们已经通过了它们所需要的特定控件集的认证。
云服务供应商都在FedRAMP上
New Relic的:是否有很多公司和云服务供应商,以各种方式实现了ATO状态,或者是这种新的,仍然在验证云服务提供商的过程中,以便足够安全,以便获得政府使用?
肖恩:这样的人越来越多了。这些实际上都是公开的信息。Fedramp有一个网站你现在可以去那里,看看并看到上市的新遗物。
New Relic的:你是否认为政府开始意识到云服务已经足够安全了,而这在几年前可能还没有被考虑到?
肖恩:我想我会这样看待它,因为他们已经认识到他们需要使用云服务,就像这个行业的其他公司一样。这能让他们快速验证;让其他机构快速验证,是的,这些公司是安全的,我们可以安全地使用云。
New Relic的:在某种程度上,这是他们现代化进程的一部分。
肖恩:当然,是的。
New Relic的:云服务提供商和内部软件供应商的规则不同吗?你提到了审计中的325点等等。对于像我们这样的公司和那些在人们的服务器上销售东西的公司来说,这些点有什么不同吗?
肖恩:是的。此过程绝对专注于云服务提供商。这真的是这个想法。
New Relic的:整个Fedramp计划是什么?
肖恩:是的,fedramp程序。
New Relic的:哦,好的,很高兴知道。我不认为我明白了。考虑到这一点,肖恩,与现在的私营部门相比,政府通过如何采用现代云技术和其他现代技术?
肖恩:它开始对我感觉到他们......你知道,我猜我的肠道是他们基本上是企业遍布的地方......
New Relic的:那不是那么糟糕。
肖恩:当我刚开始在New Relic工作的时候,公司对于采用云计算非常犹豫。在我的很多安全对话中,这对我来说是一场艰苦的战斗。这不会再发生了,对吧?过去的安全对话是关于“我们能否安全地使用云?”现在的对话只是关于“让我看看New Relic是安全的。”
我觉得政府现在就是这样,我们不用再说服他们了。我们有FedRAMP计划的事实告诉我,我们不需要说服他们云可以是安全的。这只是为了表明New Relic或某家特定公司是安全的。
