X

了解我们在中国开展业务的承诺。 阅读全文

+1-8774252624
+1-8774252624
登录
Control Center
访问 Akamai 平台
Cloud Manager
管理您的云资源
试用 Akamai 产品
遭受攻击?
登录
Control Center
访问 Akamai 平台
Cloud Manager
管理您的云资源

FedRAMP 认证是什么?

联邦风险与授权管理计划 (FedRAMP®) 为美国联邦政府建立了评估、授权和监控云服务的标准化方法。寻求与美国联邦机构合作的云服务提供商 (CSP) 必须符合 FedRAMP 标准,并获得其云解决方案的认证,以证明其遵守联邦云安全标准。

该计划由总务管理局 (GSA) 下属的 FedRAMP 项目管理办公室 (PMO) 管理,旨在落实美国管理和预算办公室 (OMB) 规定的保护云端联邦信息系统的要求。针对云环境的网络威胁越来越多,政府机构必须全面评估每个 CSP 的安全态势以及保护联邦信息的控制措施。

FedRAMP 成立于 2011 年,是为云技术颁发安全授权的官方流程,获得授权的技术才能处理跨联邦机构的受控未分类信息。

FedRAMP 认证的历史如何?目的是什么?

在实施 FedRAMP 之前,云提供商在与政府合作时面临着重大挑战:

  • 每个联邦机构对信息系统安全评估方法都有着自己的要求
  • 不同部门之间的安全标准参差不齐
  • 提供商需要完成重复的文档和评估
  • 云采用流程速度缓慢、成本高昂
  • 不同机构的安全监测能力各不相同

美国政府制订了 FedRAMP 来解决这些问题,通过实施“一次完成,多次使用”框架来实现安全评估、授权和持续监控的标准化。2011 年,OMB 强制要求联邦机构的云端部署必须符合 FedRAMP 标准,在 2022 年《FedRAMP 授权法案》正式将该计划纳入法律后,这一举措获得了进一步的法律效力。

如何获得 FedRAMP 认证:要求和流程

FedRAMP 授权是全球最严格的认证之一。根据美国国家标准与技术研究院 (NIST) SP 800-53 安全控制措施的详细方法,涵盖三个影响级别 (ILS):

  • FedRAMP 低影响:适用于风险承受能力较低的系统
  • FedRAMP 中等影响:适用于风险承受能力中等的系统
  • FedRAMP 高影响:适用于风险承受能力较高的系统

FedRAMP 认证有哪些重要步骤?

  1. 就绪度评估:在开始正式流程之前,企业可以选择完成 FedRAMP 就绪度评估,以评估其准备情况。
  2. 制定系统安全计划 (SSP):根据 NIST 准则记录信息系统的所有安全控制措施和实施情况。
  3. 实施安全控制措施:配置系统以满足 FedRAMP 合规性要求,并实施技术、运营和管理控制措施。
  4. 安全资料包准备:编制全面的文档,包括 SSP、安全评估计划和支持工件,以供审查。
  5. 3PAO 评估:由第三方评估组织进行独立测试,以验证安全控制措施是否得到正确实施并有效运行。
  6. 创建 POA&M:为所有已识别问题制定行动计划与里程碑,确立补救活动的时间表。
  7. 安全授权:从 2024 年 8 月开始,FedRAMP 计划整合了授权路径:CSP 可直接或通过赞助机构提交 FedRAMP 就绪安全包,以获得 FedRAMP 授权状态。
  8. 持续监控:通过自动监控工具和定期合规性验证,实施持续的安全评估与报告。

FedRAMP PMO 在此过程中提供全程指导,包括提供模板、文档资源及要求澄清,以协助企业的云端解决方案取得 FedRAMP 合规状态。

FedRAMP 与 DoD 云计算安全要求有什么区别?

美国国防部 (DoD) 以 FedRAMP 为基础,通过《云计算安全要求指南》(CC SRG) 提出了额外的要求,建立了美国国防部云计算安全性影响级别 (IL):

  • IL2:非受控未分类信息
  • IL4:受控未分类信息 (CUI)
  • IL5:需要加强保护的任务关键型 CUI
  • IL6:最高至机密 (SECRET) 级别的分类信息

这些框架之间的关系展示了一种标准化的安全方法:

  • FedRAMP 中等 = IL2
  • FedRAMP 高 + DoD 特定控制措施 = IL4/IL5
  • FedRAMP 高 + 广泛的额外控制措施 = IL6

FedRAMP 认证对政府和行业有哪些好处?

政府机构可以获得的好处:

  • 通过标准化的评估方法降低安全漏洞的风险
  • 使用现有安全授权节省时间和资源
  • 云部署中一致的安全标准
  • 通过持续监控增强安全态势
  • 通过 GSA 采购工具加快安全云技术的采购速度
  • 通过自动化工具实现持续的安全监控与合规性

云提供商可以获得的好处:

  • 简化的认证流程:一次认证,多次使用
  • 通过 GSA 采购计划合同扩大联邦市场准入
  • 增强安全可信度与定位
  • 通过全面评估改善整体安全态势
  • 提高私营部门的可信度
  • FedRAMP Marketplace 中的曝光度

FedRAMP.gov 资源

常见问题

是的,根据 OMB 的规定,联邦机构使用的所有云服务都必须获得 FedRAMP 授权。

《联邦信息安全现代化法案》(FISMA) 确立了联邦信息安全的整体政策,而 FedRAMP 则专门针对云端服务和信息系统实施这些要求。

FedRAMP “高”级别为 DoD IL5 奠定了基础,但 IL5 还包括针对关键任务信息的额外国防专用控制措施,此类关键任务信息一旦泄露,可能会影响国家安全。

客户为什么选择 Akamai

Akamai 是一家致力于支持并保护在线商业活动的网络安全和云计算公司。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。

相关博文

AI 的实施基于我们创新之旅中的真实能力。
AI 的实施基于我们创新之旅中的真实能力。
Akamai 的 AI 战略性和透明性实施
了解 Akamai 如何从战略上评估和采用新的 AI 创新方法,以安全、有效地利用其潜力。
阅读更多内容
“PhoneHome”DDoS 攻击——您需要了解的方方面面
电信公司 Mitel 提供的企业级协作套件 MiCollab 中存在一个漏洞,已有攻击者利用该漏洞发动分布式服务拒绝 (DDoS) 攻击,攻击放大潜力创下新纪录。
阅读更多内容
面对企图访问敏感数据的网络犯罪分子,航空公司完全可以做到领先一步。
面对企图访问敏感数据的网络犯罪分子,航空公司完全可以做到领先一步。
航空公司为何会成为网络攻击的主要目标?
航空公司已成为网络攻击的主要目标。本文介绍了面对不断增加的威胁,他们可以如何改善自己的网络安全态势。
阅读更多内容

探索 Akamai 的所有安全解决方案

开始免费试用,了解全球规模超大且值得信赖的云交付平台带来的改变。

一探究竟