กระทรวงกลาโหมได้อนุมัติข้อเสนอระบบคลาวด์เชิงพาณิชย์จำนวน 34 รายการ นับตั้งแต่ที่ได้ทำการยกเครื่องกระบวนการรักษาความปลอดภัยบนระบบคลาวด์เชิงพาณิชย์เป็นครั้งแรกในเดือนมกราคม ซึ่งรวมถึงผลิตภัณฑ์ของผู้จำหน่าย 2 รายที่เกณฑ์การจำแนกประเภทที่ละเอียดอ่อนกว่าที่เรียกว่า Impact Level 4 ซึ่งบริษัทต่างๆ ได้รับอนุญาตให้จัดการข้อมูลภารกิจที่สำคัญ
Roger Greenwell ผู้อำนวยการฝ่ายความปลอดภัยทางไซเบอร์
ของ Defense Information Systems Agency ได้อัปเดตจำนวนการอนุญาตชั่วคราว เนื่องจากพวกเขาถูกเรียกภายใต้กระบวนการรักษาความปลอดภัยบนคลาวด์แบบใหม่ของ DoD ในการให้สัมภาษณ์เมื่อวันศุกร์ที่แล้วในรายการ On DoD ของ Federal News Radio เขาเสริมว่าหน่วยงานคาดว่าจะอนุญาตให้ผู้ขายอย่างน้อยหนึ่งรายจัดการกับข้อมูลถึงระดับ 5 ซึ่งเป็นระดับการจำแนกสูงสุดที่อยู่นอกอาณาจักรลับ “เร็วๆ นี้”
การอนุญาตชั่วคราวไม่ได้ให้สิทธิ์แก่บริษัทใดๆ ในการดำเนินการบริการคลาวด์สำหรับเพนตากอน ผู้ขายยังคงต้องได้รับใบรับรอง “ผู้มีอำนาจในการดำเนินการ” อย่างเป็นทางการจากส่วนประกอบของ DoD ที่ซื้อบริการของตนจริง ๆ แต่พวกเขามีอิสระที่จะประมูลสัญญาคลาวด์กลาโหมโดยไม่เกินการอนุญาตชั่วคราว
และ Greenwell ปฏิเสธว่าระบบการรักษาความปลอดภัยบนคลาวด์ของ DoD กำลังเพิ่มเทปสีแดงเพิ่มเติมให้กับกระบวนการ FedRAMP ที่รัฐบาลได้จัดตั้งขึ้นเพื่อตรวจสอบแนวทางปฏิบัติด้านความปลอดภัยของผู้ให้บริการคลาวด์ซึ่งเป็นข้อกังวลอย่างต่อเนื่องของอุตสาหกรรม เมื่อบริษัทได้รับการอนุญาตจาก FedRAMP ที่ระดับผลกระทบปานกลางและได้ผ่านกระบวนการประเมินโดยบุคคลที่สามของ FedRAMP แล้ว คำขอของพวกเขาสำหรับการอนุญาตชั่วคราวของ DoD ระดับ 2 ก็ถือเป็นข้อตกลงโดยพื้นฐานแล้ว เขากล่าว
ข้อมูลการแลกเปลี่ยนอุตสาหกรรมของ Federal News Network: คุณใช้ประโยชน์จากข้อมูลอย่างเต็มที่เพื่อขับเคลื่อนการเปลี่ยนแปลงในหน่วยงานของคุณหรือไม่? เข้าร่วมกับเราในวันที่ 8 พฤษภาคมเพื่อค้นพบเทคนิคและเทคโนโลยีล่าสุดที่จะช่วยให้ทำเช่นนั้นได้
“ทันทีที่ FedRAMP ประมวลผล เราจะเดินหน้าและทำงานเพื่อบรรจุลง
ในรายการอนุญาตชั่วคราว มันมักจะเกิดขึ้นภายในสองสามวัน” กรีนเวลล์กล่าว “ทีมงานของเราที่นี่ทำงานอย่างใกล้ชิดกับสำนักงาน FedRAMP เนื่องจาก DoD เป็นหนึ่งในสมาชิกของคณะกรรมการอนุญาตร่วม ดังนั้นเราจึงจับตาดูทุกวันเมื่อมีสิ่งต่างๆ เกิดขึ้น”
แต่สิ่งใดก็ตามที่อยู่เหนือระดับ 2 ซึ่งเป็นฟังก์ชันที่เทียบเท่ากับพื้นฐานระดับปานกลางของ FedRAMP จะต้องผ่านขั้นตอนการประเมินเพิ่มเติมของ DISA ซึ่งหน่วยงานเรียกรวมกันว่า “FedRAMP-Plus” ถึงกระนั้น Greenwell กล่าวว่าบริษัทที่ผ่านมาตรฐาน FedRAMP แล้วจะได้รับการอนุมัติในระดับความปลอดภัยที่สูงขึ้น
“เพราะสิ่งที่เราพยายามทำคือใช้ผู้ประเมินจากภายนอกคนเดียวกันที่สนับสนุนกระบวนการ FedRAMP ในการทำกระบวนการ FedRAMP-Plus ของเรา เพราะพวกเขามีความรู้ดีเกี่ยวกับผลิตภัณฑ์อยู่แล้ว และช่วยให้เราทำงานผ่านขั้นตอนนั้นได้เร็วขึ้นมาก ” เขาพูดว่า.
แน่นอนว่าสำนักงานโปรแกรม FedRAMP กำลังทำงานบนพื้นฐานการรักษาความปลอดภัยที่ “สูง” ซึ่งวันหนึ่งอาจหลีกเลี่ยงความต้องการของ DoD ที่จะกำหนดข้อกำหนดของตนเองกับผู้ให้บริการคลาวด์ที่ต้องการจัดการข้อมูลที่ละเอียดอ่อนแต่ไม่ได้รับการจัดประเภท แต่ Greenwell กล่าวว่าเนื่องจาก FedRAMP ระดับสูงยังคงอยู่ ในรูปแบบร่างเป็นการยากที่จะคาดเดาว่า DoD จะมอบการแลกเปลี่ยนซึ่งกันและกันมากน้อยเพียงใดให้กับผู้ขายที่ผ่านด่านการประเมินนั้น
“เป้าหมายที่ใหญ่ที่สุดของเราในตอนนี้คือพยายามค้นหาว่าการควบคุมเฉพาะเจาะจงเหล่านั้นจะนำไปใช้กับ FedRAMP บวกพื้นฐานได้มากน้อยเพียงใด” เขากล่าว “เราได้ประเมินความคิดเห็นจำนวนมาก และ FedRAMP กำลังทำงานร่วมกับผู้จำหน่ายประมาณ 4 รายเพื่อดูว่าต้องใช้อะไรบ้างในการอนุญาตพวกเขาเทียบกับข้อมูลพื้นฐานดังกล่าว ใน DoD เราจำเป็นต้องดูเดลต้าระหว่างข้อกำหนดของเราและสิ่งที่ถูกผลักดันให้เป็นส่วนหนึ่งของ FedRAMP เราต้องการลดจำนวนความแตกต่างให้น้อยที่สุด แต่เราไม่เห็นว่า FedRAMP ระดับสูงจะต้องมาแทนที่กระบวนการอนุญาตชั่วคราวของ DoD เสมอไป เพราะเรามีข้อกำหนดพิเศษในการเชื่อมต่อและข้อกำหนดด้านความปลอดภัยของบุคลากรเกี่ยวกับการดูแลระบบที่มีระดับสูงกว่านั้น แต่เรา ต้องการใช้ประโยชน์จากประสิทธิภาพใด ๆ ที่บรรทัดฐานใหม่สามารถให้ได้ในกระบวนการอนุญาตของเรา”
โพสต์นี้เป็นส่วนหนึ่งของฟีเจอร์ Inside the DoD Reporter’s Notebook ของ Jared Serbu อ่านเพิ่มเติมจากJared’s Notebook ฉบับนี้
Credit : สล็อตยูฟ่า / คืนยอดเสีย / เว็บสล็อตออนไลน์
