Ein Überblick über FedRAMP und warum Sie sich damit befassen sollten
Im Jahr 2017 unterzeichnete das Weiße Haus eine Exekutivanordnung zur Stärkung der Cybersicherheit von Netzwerken und kritischen Infrastrukturen des Bundes. Mit dieser Richtlinie in Verbindung mit dem Modernizing Government Technology Act konzentrieren sich die US-Bundesbehörden auf die Modernisierung ihrer IT-Infrastruktur und machen dabei die Sicherheit zur obersten Priorität. Eine Schlüsselkomponente dieser Modernisierung ist die beschleunigte Einführung von sicheren, Cloud-basierten Diensten. Das Federal Risk and Authorization Management Program, oder FedRAMP, wurde entwickelt, um das Cybersecurity-Risiko für Bundesbehörden zu minimieren, wenn diese in die Cloud wechseln.
FedRAMP schreibt einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung der Nutzung von Cloud-basierten Produkten und Diensten durch die US-Regierungsbehörden vor. Bundesbehörden sind auf dieses Programm angewiesen, um die Vertraulichkeit und Integrität ihrer Daten zu schützen, wenn sie privatwirtschaftliche Sicherheits-, Infrastruktur- oder Plattform-as-a-Service-Technologien, abgekürzt SaaS, IaaS bzw. PaaS, einsetzen. Anbieter von Cloud-Diensten - das Programm nennt sie Cloud Service Provider oder CSPs - folgen vorgeschriebenen Wegen zur Zertifizierung. Drittanbieter-Organisationen führen gründliche Bewertungen durch, während das FedRAMP Program Management Office neben der Prüfung der eingereichten Unterlagen und der Entscheidung über die Zulassung auch Aufsicht und Beratung bietet.
Vorteile von FedRAMP für Bundesagenturen
Das Programm bietet ein standardisiertes Rahmenwerk nach dem Motto "einmal machen, oft benutzen", um den Bundesbehörden bei der Bewertung der Sicherheit Zeit, Mühe und Geld zu sparen. Gleichzeitig behalten die Behörden die Kontrolle über das Maß an Cybersicherheitsrisiken, das sie für einen bestimmten Cloud-Service zu akzeptieren bereit sind. Die Agenturen können die Pakete der autorisierten Cloud-Anbieter bewerten und selbst entscheiden, ob die Risikostruktur für ihre Bedürfnisse akzeptabel ist oder ob sie Änderungen vornehmen möchten.
Andere Parteien, die an FedRAMP interessiert sein könnten
Ein FedRAMP-autorisierter Cloud-Service ist nicht nur für Bundesbehörden, sondern auch für Landes- und Kommunalbehörden sowie für Unternehmen, die mit Bundesbehörden zusammenarbeiten, anwendbar, die ähnliche Anforderungen an die Daten- und Cybersicherheit haben. Auch sie verfolgen oft ähnliche Ziele: Vereinfachung der Abläufe, Verringerung des betrieblichen Aufwands und Verbesserung der Agilität durch Verlagerung von Diensten in die Cloud. Ein Cloud-Service, der die FedRAMP-Autorisierung erhält, hat die strengen Kriterien für Sicherheitsstandards erfüllt, und ein breiterer öffentlicher Sektor und mit dem öffentlichen Sektor verbundene Unternehmen können einen solchen Service getrost in Anspruch nehmen, da sie wissen, dass es sich um eine sichere Alternative zur Verwendung ihrer eigenen Ressourcen für die Verwaltung und Bereitstellung der Infrastruktur handelt.
Mehr Informationen
Auf der FedRAMP-Website finden Sie häufig gestellte Fragen und ausführliche Anleitungen für Behörden, Cloud-Dienstleister und externe Bewertungsorganisationen. Für weitere Informationen über Palo Alto Networks® und FedRAMP lesen Sie unsere Ankündigung oder besuchen Sie die Palo Alto Networks Regierungsseite.