The Federal Risk and Authorization Management Program (FedRAMP) is a US government program that standardizes the security assessment, authorization, and continuous monitoring for cloud products and services. Its goal is to help federal government agencies adopt secure cloud technologies more easily.

Why is FedRAMP authorization important for cloud services?

FedRAMP ensures that cloud service providers meet strict requirements for protecting federal data by standardizing security assessments. This allows federal agencies to quickly implement secure cloud services, while providers can expand their customer base to include federal agencies.

What are the key steps for a cloud service provider to achieve FedRAMP authorization?

Cloud service providers must implement the security and privacy controls defined by the National Institute of Standards and Technology (NIST) Special Publication 800-53. They then undergo an independent security assessment by a third-party assessment organization (3PAO), which produces a Security Assessment Report (SAR). After remediating any issues, they submit a security package for review by a federal agency, which decides whether to issue an Authorization to Operate (ATO).

What is a 3PAO and what is their role in the authorization process?

A 3PAO is a third-party assessment organization that is accredited by the American Association for Laboratory Accreditation (A2LA). Their role is to independently validate that a cloud service provider's security controls are correctly in place and functioning. The 3PAO performs initial and periodic assessments and creates the SAR for federal agencies to use in their risk-based decisions.

What is "continuous monitoring" (ConMon)?

Continuous monitoring (or ConMon) is the ongoing activity required to maintain FedRAMP authorization. It involves the regular assessment, reporting, and remediation of security controls. Cloud service providers must submit monthly vulnerability scans and plans of action, and undergo yearly security assessments by a 3PAO to ensure ongoing security awareness.

How does FedRAMP differ from FISMA and RMF?

FedRAMP is a specific program that provides a framework for assessing and authorizing the security of cloud services, which ensures those services meet the security baselines required by the Federal Information Security Modernization Act (FISMA). FISMA is the overarching federal law that mandates security programs for federal agencies. The Risk Management Framework (RMF) provides the process that federal agencies follow to authorize their own IT systems for operation, helping them manage security risks. FedRAMP is a process that cloud service providers follow to get their offerings approved for use by federal agencies.

What are the three FedRAMP impact levels?

FedRAMP defines three impact levels for cloud offerings, based on the sensitivity of the data and the potential impact of a breach: Low: For non-sensitive, publicly available information where a breach would have limited impact. Moderate: For sensitive but unclassified data where a breach could lead to serious adverse effects, like financial loss. High: The most stringent level, for the most sensitive unclassified data (e.g., used by law enforcement) where a breach could cause severe or catastrophic consequences.

What is the purpose of the FedRAMP Marketplace?

The FedRAMP Marketplace is a searchable online database that lists: Cloud service providers that have achieved a FedRAMP designation. Federal agencies currently using FedRAMP Authorized cloud service providers. FedRAMP-recognized third-party assessors or auditors (3PAOs).

What is the goal of the FedRAMP 20x initiative?

FedRAMP 20x is an initiative focused on streamlining and enhancing the compliance process by building a new, cloud-native approach to FedRAMP authorization. Its goals include simplifying automation of security requirements, leveraging existing industry security investments, and enabling rapid, continuous innovation.

What are the different types of cloud services that can be FedRAMP Authorized?

A variety of cloud services can achieve FedRAMP authorization, including infrastructure-as-a-service (IaaS), platform-as-a-service (PaaS), and software-as-a-service (SaaS) offerings. Examples of areas that can be authorized include application development, cybersecurity, networking, and analytics.

什么是 FedRAMP？

FedRAMP 是美国政府的一项计划，旨在规范云服务的安全评估、授权和持续监测。

学习目标

阅读本文后，您将能够：

了解 FedRAMP 的定义及其重要性
确定影响级别与 FedRAMP Marketplace 标识
跟踪获得 FedRAMP 授权的流程

想要继续学习吗？

订阅 TheNET，这是 Cloudflare 每月对互联网上最流行见解的总结！

复制文章链接

什么是 FedRAMP？

联邦风险和授权管理计划 (FedRAMP) 是美国政府的一项计划，旨在为云产品和服务提供标准化的安全评估、授权和持续监测方法。它让联邦政府机构能够简化安全云技术的采用。

计划使用云服务的联邦机构必须选择 FedRAMP 授权服务。如果云服务提供商希望为联邦政府机构提供服务，则必须证明自身符合 FedRAMP 标准。

FedRAMP 为何重要？

FedRAMP 通过提供一套标准化的云服务安全评估方法，帮助确保云服务提供商满足保护联邦数据的严格要求。联邦机构可以选择已获 FedRAMP 授权的云服务产品 (CSO)，以此来加快部署安全云服务。与此同时，云服务提供商可以通过获得授权来拓展客户群，将联邦机构作为其服务对象。

云服务提供商如何获得 FedRAMP 授权？

FedRAMP 使用美国国家标准与技术研究院 (NIST) 特刊 800-53 (NIST SP 800-53) 来定义安全和隐私控制措施。云服务提供商必须针对其申请的授权级别实施适当的控制措施，然后接受第三方评估机构 (3PAO) 的独立安全评估。

3PAO 会生成一份安全评估报告 (SAR)，报告中会识别所有漏洞并提供补救建议。云服务提供商修复所有问题后，即可将完整的安全软件包提交至 FedRAMP 存储库。

然后，由联邦机构审核该软件包并决定是否颁发运行授权 (ATO)（有时称为“运行权”）。在 2024 年之前，软件包也可由 FedRAMP 联合授权委员会 (JAB) 审核。但是，在 2024 年，JAB 已解散。将不再新增 JAB 授权，目前，机构授权流程是云服务提供商获得授权的唯一途径。

如果云服务提供商收到机构颁发的 ATO，即被视为已获得 FedRAMP 授权，并被列入 FedRAMP Marketplace 存储库。服务提供商随后实施持续监测并定期进行重新评估，以确保合规。

什么是 3PAO，以及为什么需要它？

第三方评估机构 (3PAO) 负责独立验证云服务提供商的安全控制措施是否已部署到位并有效运行。3PAO 执行初步评估和定期评估，并生成安全评估报告 (SAR)，该报告为联邦机构提供所需信息，以便其根据风险级别做出关于是否授权云服务提供商向政府机构提供服务的决策。

3PAO 由美国实验室认可协会 (A2LA) 认证。

持续监测包括哪些内容？

FedRAMP 授权并非单一的一次性事件。为了维持授权，云服务提供商必须进行**持续监测**（有时称为“ConMon”）。

根据 NIST 的定义，持续监测信息安全有助于确保“持续了解信息安全、漏洞和威胁态势”。这有助于确保云提供商的服务安全并为机构提供所需见解，以支持机构做出关键的风险管理决策。

持续监测包括定期评估、报告，以及修复安全控制措施。云服务提供商必须每月提交漏洞扫描报告、行动计划和里程碑。每年，他们必须接受第三方评估机构 (3PAO) 的安全评估。每个颁发云服务 ATO 的机构都会审核云服务提供商的持续监测活动，以确保机构可以继续使用该提供商的这些服务。

FedRAMP Marketplace 状态描述的含义是什么？

FedRAMP Marketplace 是一个可搜索、可排序的在线数据库，它包含：

已获 FedRAMP 认证的云服务提供商
使用已获 FedRAMP 授权云服务提供商的联邦机构
获得 FedRAMP 认可的第三方评估机构

数据库为每项云服务提供 FedRAMP 状态：

FedRAMP 就绪：提供商已接受 3PAO 的评估，并且在评估报告中证明了其服务的安全性。FedRAMP 就绪服务未来可能会获得 FedRAMP 授权。
FedRAMP 进行中：提供商正在积极申请 FedRAMP 授权，努力满足必要的安全控制措施和文档要求。
FedRAMP 已授权：提供商已成功获得了特定服务的授权，证明其服务符合特定影响级别（低、中或高）的安全要求。

什么是 FedRAMP 影响级别？

FedRAMP 定义了云服务的三个“影响级别”。每个级别详细说明了特定类型的数据，以及数据泄露可能造成的潜在影响。

低：此级别适用于处理非敏感的公开信息或数据的系统。数据泄露对运营、资产或个人造成的影响有限。
中：此级别适用于处理敏感的非密数据的系统。数据泄露可能会导致严重的不利影响，例如财务损失、运营损害或对个人的伤害。
高：这是最严格的级别，适用于处理最敏感的非密数据的系统，例如执法部门、紧急服务和金融机构使用的系统。数据泄露可能会对国家安全、公共安全或关键政府服务的可用性造成严重或灾难性影响。

单个云服务提供商可以获得多个影响级别的授权。例如，提供商的某些服务可能拥有 FedRAMP 中级授权，而其他服务则拥有 FedRAMP 高级授权。

FedRAMP 与 RMF

FedRAMP 和风险管理框架 (RMF) 均提供网络安全风险管理指南和流程，但适用于不同实体。

FedRAMP 提供一套流程，云服务提供商遵循该流程才能获得联邦机构对使用其服务的批准。目的是加快各机构采用安全的云解决方案的速度。
RMF 提供一套流程，联邦机构遵循该流程才能获得 IT 系统运行的授权。目的是帮助这些组织识别、评估并缓解其信息系统的安全风险。

FedRAMP 与 FISMA

《联邦信息安全现代化法案》 (FISMA) 是美国的一项联邦法律，要求联邦机构制定、记录并实施安全计划，以保护信息和系统。该法律要求采用基于风险的安全方法，并指定 NIST 负责提供满足各项要求的标准和指南。FISMA 适用于各联邦机构、其承包商，以及其他支持机构运营的组织。

FedRAMP 是一项计划，它提供评估和授权云服务安全性的特定框架，确保这些服务符合 FISMA 安全基准。因此，FISMA 是一项总体法规，FedRAMP 是用于证明服务符合 FISMA 规定的框架。

FedRAMP 与 GovRAMP

GovRAMP（以前称为 StateRAMP）是一项计划，旨在提供标准化的网络安全评估，对为美国各州、地方和部落政府以及教育机构提供服务的云服务提供商进行网络安全评估。这是一项自愿参与的计划，由一家私营非营利组织管理。

相比之下，FedRAMP 设计用于针对联邦政府机构的服务进行授权。它由联邦机构，也就是美国总务管理局 (GSA) 管理。

这两项计划：

遵循由 NIST SP 800-53 定义的安全控制措施
要求第三方评估机构 (3PAO) 进行评估并持续监测
采用低、中和高三个影响级别，与 NIST 控制措施保持一致
使政府机构受益（通过简化云服务的采用）和云服务提供商受益（通过让客户高度信任其提供的服务的安全性）

云服务提供商可以同时获得 FedRAMP 和 GovRAMP 授权。

什么是 FedRAMP 20x？

FedRAMP 20x 计划旨在通过构建全新的云原生 FedRAMP 授权方法，简化和增强合规流程。此计划描述了新评估流程的五个关键目标，流程将由 FedRAMP 与行业利益相关者和机构专家合作设计。

简化 FedRAMP 安全要求的自动化应用和验证。
通过继承一流的商业安全框架，充分利用行业在安全领域的现有投资。
采用简单易用的自动化方法，持续监测安全决策，无需人工干预。
通过侧重于供应商与客户之间的直接业务关系，增进行业与联邦机构之间的信任。
实现快速、持续的创新，避免阻碍创新和发展的繁琐流程或审批。

云服务提供商可以继续使用 FedRAMP 基准，争取机构对其服务的授权，直到这些基准被替换为止。

哪些类型的云服务可以获得 FedRAMP 授权？

各种各样的基础设施即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS) 产品均可获得 FedRAMP 授权。例如，云服务提供商可以获得应用开发、网络安全、设备联网、数据分析、隐私/合规以及其他服务的授权。

机构如何使用已获 FedRAMP 授权的服务？

联邦机构在 FedRAMP Marketplace 中搜索满足其任务需求和安全要求的产品。Marketplace 数据库让用户能够按业务类别、影响级别和部署模型来筛选结果。

如果某个产品已经获得了其他机构的授权，则正在搜索该产品的机构可以申请访问该产品的安全评估软件包。然后，该软件包可以指导机构做出自己的 ATO 决策。

采用 Cloudflare 解决方案，赢得客户信任

Cloudflare 拥有丰富的一系列策略、技术和认证，包括 FedRAMP 授权，有助于赢得客户信任。如需了解更多信息，请访问 Cloudflare 信任中心。

常见问题解答

什么是 FedRAMP？

联邦风险和授权管理计划 (FedRAMP) 是美国政府的一项计划，旨在为云产品和服务提供标准化的安全评估、授权和持续监测方法。目标是帮助联邦政府机构更轻松地采用安全的云技术。

为什么 FedRAMP 授权对云服务至关重要？

FedRAMP 通过标准化安全评估，确保云服务提供商满足保护联邦数据的严格要求。这让联邦机构能够快速部署安全的云服务，同时服务提供商也能拓展客户群，将联邦机构作为其服务对象。

云服务提供商获得 FedRAMP 授权的主要步骤有哪些？

云服务提供商必须实施美国国家标准与技术研究院 (NIST) 特刊 800-53 中定义的安全和隐私控制措施。然后，接受第三方评估机构 (3PAO) 的独立安全评估，该机构会生成一份安全评估报告 (SAR)。在解决所有问题后，他们需要提交安全软件包供联邦机构审核，由联邦机构决定是否颁发运行授权 (ATO)。

什么是 3PAO？它们在授权流程中发挥怎样的作用？

3PAO 是由美国实验室认可协会 (A2LA) 认证的第三方评估机构。它们负责独立验证云服务提供商的安全控制措施是否已部署到位并有效运行。3PAO 执行初步评估和定期评估，然后生成安全评估报告 (SAR)，供联邦机构用于根据风险级别做出相应的决策。

什么是“持续监测”（ConMon）？

持续监测（或 ConMon）是指维持 FedRAMP 授权所需的持续活动。它包括定期评估、报告和修复安全控制措施。云服务提供商必须每月提交漏洞扫描报告和行动计划，并接受第三方评估机构 (3PAO) 的年度安全评估，以确保持续加强安全意识。

FedRAMP 与 FISMA 和 RMF 有何不同？

FedRAMP 是一项专门计划，旨在提供用于评估和授权云服务安全性的框架，以确保这些服务符合《联邦信息安全现代化法案》(FISMA) 要求的安全基准。FISMA 是一项总体法规，规定联邦机构需要落实的安全计划。风险管理框架 (RMF) 提供一套流程，联邦机构遵循该流程才能获得 IT 系统运行的授权，从而帮助这些机构管理安全风险。FedRAMP 提供一套流程，云服务提供商遵循该流程才能获得联邦机构对使用其服务的批准。

FedRAMP 的三个影响级别分别是什么？

根据数据敏感程度和数据泄露的潜在影响，FedRAMP 定义了云服务的三个影响级别：低：适用于非敏感的公开信息，此类数据泄露的影响有限。中：适用于敏感的非密数据，一旦泄露可能会导致严重的不利影响，例如财务损失。高：最严格的级别，适用于最敏感的非密数据（例如，执法部门使用的数据），一旦泄露可能会造成严重或灾难性影响。

FedRAMP Marketplace 的用途是什么？

FedRAMP Marketplace 是一个可搜索的在线数据库，其中会列出：已获 FedRAMP 认证的云服务提供商；目前正在使用已获 FedRAMP 授权云服务提供商的联邦机构；以及获得 FedRAMP 认可的第三方评估机构 (3PAO)。

FedRAMP 20x 计划的目标是什么？

FedRAMP 20x 计划旨在通过构建全新的云原生 FedRAMP 授权方法，简化和增强合规流程。目标包括：简化安全要求的自动化、充分利用行业在安全领域的现有投资，以及实现快速、持续的创新。

哪些不同类型的云服务可以获得 FedRAMP 授权？

各种各样的云服务均可获得 FedRAMP 授权，包括基础设施即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS)。可以获得授权的服务示例包括：应用开发、网络安全、设备联网和数据分析。