ในการย้ายไปยังระบบคลาวด์ของรัฐบาลในช่วงห้าปีที่ผ่านมา คำถามหนึ่งเกี่ยวกับความปลอดภัยในโลกไซเบอร์ที่ยังไม่มีใครสามารถตอบได้ดีคือ: Federal Risk Authorization and Management Program ทำงานร่วมกับ Trusted Internet Connections (TIC) ได้อย่างไรความท้าทายนี้ยิ่งใหญ่ขึ้นเมื่ออุปกรณ์เคลื่อนที่มีบทบาทสำคัญอย่างรวดเร็วในชีวิตประจำวันของเจ้าหน้าที่รัฐบาลกลางแทบทุกคน
วิธีการเริ่มต้นกำหนดให้พนักงานของรัฐบาลกลางต้องผ่านอินเทอร์เน็ต
เกตเวย์หรือ TIC ที่ปลอดภัยของหน่วยงานของตนเพื่อไปยังบริการคลาวด์แนวทางดังกล่าวค่อนข้างยุ่งยากที่จะพูดน้อยที่สุด และลดประโยชน์หลักของการประมวลผลแบบคลาวด์ — เข้าถึงข้อมูลและแอพได้ง่าย
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
แต่ตอนนี้ฝ่ายความมั่นคงแห่งมาตุภูมิและสำนักงานการจัดการโปรแกรม FedRAMP มีแนวคิดในการแก้ไขปัญหา
“แนวทางใหม่นี้ใช้เฟรมเวิร์ก FedRAMP เพื่อให้ผู้ให้บริการระบบคลาวด์ (CSP) แสดงความสามารถของตนในการควบคุมที่จำเป็นสำหรับ TIC ซึ่งช่วยให้หน่วยงานต่างๆ สามารถบังคับใช้ความสามารถ TIC ได้” ร่างเอกสารซ้อนทับ TIC-FedRAMP ที่เผยแพร่เมื่อวันที่ 2 เมษายน กล่าว “ ในการทำเช่นนี้ ความสามารถ TIC ได้รับการแมปกับการควบคุมความปลอดภัยของ FedRAMP ผ่าน DRAFT FedRAMP-TIC Overlay CSP จะสามารถใช้การซ้อนทับนี้ระหว่างการประเมินความปลอดภัยของ FedRAMP เพื่อพิสูจน์ว่าพวกเขาสามารถจัดหาหน่วยงานที่มีความสามารถในการบังคับใช้ความสามารถ TIC สำหรับผู้ใช้มือถือ”
FedRAMP และ DHS ซึ่งเรียกใช้โปรแกรม TIC ให้รายละเอียดเกี่ยวกับกระบวนการร่างซึ่งผู้ให้บริการระบบคลาวด์สามารถแสดงให้เห็นว่าพวกเขา “พร้อมสำหรับ TIC”
DHS และ FedRAMP ต้องการความคิดเห็นเกี่ยวกับข้อเสนอนี้ภายในวันที่ 2 พฤษภาคม
ทางม้าลายเป็นไปตามข้อกำหนด TIC 2.0 กับมาตรฐาน FedRAMP และเพิ่มสิ่งใหม่ตามความเหมาะสม
DHS และ FedRAMP กล่าวว่าผู้ให้บริการระบบคลาวด์จะต้องสามารถ:บันทึกวิธีการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของคลาวด์
จัดทำเอกสารว่าความสามารถ TIC มาจากเครือข่ายของรัฐบาลกลางและแนวทางอื่นสำหรับผู้ใช้อุปกรณ์เคลื่อนที่ได้อย่างไร
แสดงให้เห็นถึงการปฏิบัติตามทั้ง FedRAMP และ TIC ผ่านการประเมินที่รวมกันเป็นหนึ่งเดียว
รับการอนุมัติจากองค์กรประเมินบุคคลที่สาม (3PAO) สำหรับการปฏิบัติตาม TIC/FedRAMP แบบรวม
ได้รับอำนาจดำเนินการจากคณะกรรมการอนุญาตร่วมหรือจากหน่วยงานที่มอบอำนาจ
ให้ DHS พิจารณาว่าบริการคลาวด์ “TIC พร้อมแล้ว” ตามการตรวจสอบของ 3PAO
“การเปิดตัวโอเวอร์เลย์ DRAFT นี้เป็นขั้นตอนแรกในการให้คำแนะนำขั้นสุดท้ายเพื่อให้โอเวอร์เลย์ FedRAMP-TIC เสร็จสมบูรณ์ในที่สุด” เอกสารระบุ “โครงการ TIC Initiative จะทำงานควบคู่ไปกับหน่วยงานและหน่วยงานรัฐบาลกลางผ่านคณะกรรมการการจัดการความปลอดภัยของข้อมูลและเอกลักษณ์ภายใต้สภา CIO เพื่อตรวจสอบข้อกำหนดเหล่านี้และทำการอัปเดตที่จำเป็นสำหรับ TIC Reference Architecture v2.0 ในอีกไม่กี่เดือนข้างหน้า”ความจำเป็นในการผสานรวม TIC และ FedRAMP เป็นหนึ่งในหลายวิธีที่สำนักงานจัดการโปรแกรมกำลังตอบสนองความต้องการที่เพิ่มขึ้นสำหรับบริการระบบคลาวด์ที่ปลอดภัย
PMO ประกาศเมื่อปลายปีที่แล้วว่ากำลังพัฒนามาตรฐาน Federal Information Security Management Act (FISMA) ที่ “สูง” สำนักงานปลัดฯ เผยแพร่ร่างพื้นฐานระดับสูงสำหรับความคิดเห็นในเดือนมกราคม
นอกจากนี้ FedRAMP ได้เปิดตัวและอัปเดตเว็บไซต์อีกครั้ง และเพิ่มการฝึกอบรมใหม่เพื่อให้ความรู้แก่ผู้ใช้และผู้ขายมากขึ้นเกี่ยวกับกระบวนการอนุญาตด้านความปลอดภัยบนคลาวด์
สำหรับ TIC นั้นเป็นหนึ่งในโปรแกรมความปลอดภัยทางไซเบอร์ที่ประสบความสำเร็จมากที่สุด ในรายงาน FISMA ล่าสุดที่เสนอต่อสภาคองเกรส สำนักงานการจัดการและงบประมาณรายงานว่าในปีงบประมาณ 2014 หน่วยงานต่างๆ ส่งผ่าน 95 เปอร์เซ็นต์ของทราฟฟิกผ่าน TIC หรือผู้ให้บริการ Managed Trusted Internet Protocol Services (MTIPS) ที่เทียบเท่า นอกจากนี้ OMB กล่าวว่า 92 เปอร์เซ็นต์ของหน่วยงานทั้งหมดนำความสามารถ TIC 2.0 มาใช้ เพิ่มขึ้นจาก 87 เปอร์เซ็นต์ในปี 2556
“การทำงานร่วมกันของโปรแกรมทั้งสองนี้จะช่วยรักษาความปลอดภัยของข้อมูลภายในสภาพแวดล้อมคลาวด์และความปลอดภัยของการเชื่อมต่อเครือข่ายระหว่างเครือข่ายหน่วยงานและบริการคลาวด์” เอกสารฉบับร่างระบุ “การวางซ้อน DRAFT นี้เป็นขั้นตอนแรกในการอัปเดตสถาปัตยกรรมอ้างอิงปัจจุบันของ TIC เพื่อให้หน่วยงานต่างๆ มีความยืดหยุ่นมากขึ้นในขณะที่พวกเขาย้ายไปปรับใช้โซลูชันระบบคลา
