FedRAMP (Federal Risk and Authorization Management Program)
Übersicht über FedRAMP
Das US Federal Risk and Authorization Management Program (FedRAMP) wurde eingerichtet, um einen standardisierten Ansatz für die Bewertung, Überwachung und Autorisierung von Cloud Computing-Produkten und -Diensten gemäß dem Federal Information Security Management Act (FISMA) bereitzustellen und die Einführung sicherer Cloudlösungen durch Bundesbehörden zu beschleunigen.
Das Office of Management and Budget fordert jetzt, dass alle exekutiven Bundesbehörden FedRAMP verwenden, um die Sicherheit von Clouddiensten zu überprüfen. (Andere Agenturen haben sie ebenfalls übernommen, sodass sie auch in anderen Bereichen des öffentlichen Sektors nützlich ist.) Das National Institute of Standards and Technology (NIST) SP 800-53 legt die verbindlichen Standards fest und legt Sicherheitskategorien von Informationssystemen – Vertraulichkeit, Integrität und Verfügbarkeit – fest, um die potenziellen Auswirkungen auf ein organization zu bewerten, wenn seine Informations- und Informationssysteme kompromittiert werden. FedRAMP ist das Programm, das bescheinigt, dass ein Clouddienstanbieter (Cloud Service Provider, CSP) diese Standards erfüllt.
CSPs, die Dienstleistungen an eine Bundesbehörde verkaufen möchten, können drei Wege gehen, um die FedRAMP-Konformität zu demonstrieren:
- Erwerben Sie vom Joint Authorization Board (JAB) eine vorläufige Autorität für den Betrieb (Provisional Authority to Operate, P-ATO). Die JAB ist das primäre Governance- und Entscheidungsgremium für FedRAMP. Vertreter des Department of Defense, des Department of Homeland Security und der General Services Administration sind im Vorstand tätig. Der Vorstand gewährt CSPs, die die FedRAMP-Konformität nachgewiesen haben, eine P-ATO.
- Erhalten Sie eine Autorität für den Betrieb (Authority to Operate, ATO) von einer Bundesbehörde.
- Oder arbeiten Sie unabhängig an der Entwicklung eines vom CSP bereitgestellten Pakets, das die Programmanforderungen erfüllt.
Jeder dieser Pfade erfordert eine strenge technische Überprüfung durch das FedRAMP Program Management Office (PMO) und eine Bewertung durch einen unabhängigen Drittanbieter organization, der durch das Programm akkreditiert ist.
FedRAMP-Autorisierungen werden auf der Grundlage von NIST-Richtlinien mit drei Auswirkungsstufen erteilt: niedrig, mittel und hoch. Diese Ebenen bewerten die Auswirkungen, die der Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit auf eine organization haben könnte – niedrig (begrenzte Wirkung), mittel (schwerwiegende nachteilige Auswirkungen) und hoch (schwerwiegende oder katastrophale Auswirkungen).
Microsoft und FedRAMP
Die Government-Clouddienste von Microsoft, einschließlich Azure Government, Dynamics 365 Government und Office 365 US Government, erfüllen die hohen Anforderungen des US Federal Risk and Authorization Management Program (FedRAMP), sodass US-Bundesbehörden von den Kosteneinsparungen und der strengen Sicherheit der Microsoft Cloud profitieren können.
Microsoft Government-Clouddienste bieten Kunden des öffentlichen Sektors eine vielzahl von Diensten, die mit FedRAMP kompatibel sind, sowie robuste Anleitungs- und Implementierungstools, einschließlich der FedRAMP High-Blaupause, die Kunden dabei unterstützt, einen Kernsatz von Richtlinien für jede von Azure bereitgestellte Architektur bereitzustellen, die FedRAMP High-Steuerelemente implementieren muss.
Zu Microsoft gehörende Cloudplattformen und -dienste
- Azure und Azure Government
- Dynamics 365 US-Regierung
- Intune
- Office 365 (U.S. Government, U.S. Government - High, US Government Defense)
- Power BI-Clouddienst entweder als eigenständiger Dienst oder als Bestandteil eines Office 365 Markenplans oder einer Office 365 Suite
- Windows 365 (US-Regierung, US-Regierung – Hoch)
Azure, Dynamics 365 und FedRAMP
Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Azure FedRAMP-Angebot.
Office 365 und FedRAMP
- Office 365 und Office 365 US-Regierung verfügen über eine ATO des US Department of Health and Human Services (DHHS).
- Office 365 US Government Defense verfügt über ein P-ATO der US Defense Information Systems Agency (DISA). Jeder Kunde, der Office 365 US Government Defense einsetzen möchte, kann die DISA P-ATO verwenden, um eine Agentur-ATO zu generieren, um seine Zustimmung zu dokumentieren.
- Office 365 (Unternehmens- und Geschäftspläne) und Office 365 US-Regierung verfügen über eine FedRAMP Agency ATO auf der Moderate Impact Level vom DHHS Office of the Inspector General. Office 365 US-Regierung war der erste cloudbasierte E-Mail- und Zusammenarbeitsdienst, der diese Autorisierung erhalten hat.
Office 365 Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, aber Microsoft repliziert Kundendaten nicht außerhalb des ausgewählten geografischen Gebiets.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Wird im FedRAMP-Marketplace als Office 365 (kommerziell) und auch als Office 365 Multi-Tenant und die GCC-Umgebung bezeichnet. Office 365 GCC-Clouddienst steht für USA Bundes-, Bundesstaats-, Kommunal- und Stammesregierungen sowie Auftragnehmer zur Verfügung, die Daten im Auftrag der US-Regierung halten oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine Rechtsberatung dar, und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre organization an Rechtsberater wenden.
Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:
Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
---|---|
GCC | Aktivitätsfeeddienst, Bing-Dienste, Bookings, Delve, Exchange Online, Exchange Online Protection, Infrastruktur, Intelligente Dienste, Microsoft Teams, Office 365 Kundenportal, Office Online, Office Service, Office-Nutzungsberichte, OneDrive for Business, Personen Card, SharePoint Online, Skype for Business, Windows Ink |
GCC High | Aktivitätsfeeddienst, Bing-Dienste, Bookings, Exchange Online, Exchange Online Protection, Intelligent Services, Microsoft Teams, Office 365-Kundenportal, Office Online, Office-Dienstinfrastruktur, Office-Nutzungsberichte, OneDrive for Business, Personen Card, SharePoint Online, Skype for Business, Windows Ink |
DoD | Aktivitätsfeeddienst, Bing-Dienste, Bookings, Exchange Online Protection, Exchange Online, Intelligent Services, Microsoft Teams, Office 365 Kundenportal, Office Online, Office Service-Infrastruktur, Office-Nutzungsberichte, OneDrive for Business, Personen Card, SharePoint Online, Skype for Business, Windows Ink |
Office 365-Audits, -Berichte und -Zertifikate
Microsoft muss seine Clouddienste jedes Jahr rezertifizieren, um seine P-ATOs und ATOs zu behalten. Dazu muss Microsoft seine Sicherheitskontrollen kontinuierlich überwachen und bewerten und nachweisen, dass die Sicherheit seiner Dienste weiterhin eingehalten wird.
Häufig gestellte Fragen
Entsprechen Microsoft-Clouddienste dem Federal Information Security Management Act (FISMA)?
FISMA ist das Bundesgesetz, das us-amerikanische Bundesbehörden und ihre Partner verpflichtet, Informationssysteme und -dienste nur von Organisationen zu beschaffen, die die FISMA-Anforderungen erfüllen. Die meisten Agenturen und ihre Anbieter, die angeben, dass sie FISMA-konform sind, beziehen sich darauf, wie sie die vom NIST in der Sonderveröffentlichung 800-53 rev 4 identifizierten Kontrollen erfüllen. Der FISMA-Prozess (aber nicht die zugrunde liegenden Standards selbst) wurde 2011 durch FedRAMP ersetzt.
Für wen gilt FedRAMP?
"FedRAMP ist obligatorisch für Cloudbereitstellungen und Dienstmodelle der Bundesbehörde mit geringen und mittleren Risiken." Jede Bundesbehörde, die einen CSP beauftragen möchte, muss möglicherweise die FedRAMP-Spezifikationen erfüllen. Darüber hinaus müssen Unternehmen, die Cloudtechnologien in Produkten oder Dienstleistungen einsetzen, die von der Bundesregierung verwendet werden, möglicherweise eine ATO erhalten.
Wo startet meine Agentur ihre eigenen Compliance-Bemühungen?
Eine Übersicht über die Schritte, die Bundesbehörden unternehmen müssen, um erfolgreich durch FedRAMP zu navigieren und seine Anforderungen zu erfüllen, finden Sie unter Get Authorized: Agency Authorization( Autorisierung der Behörde).
Kann ich Microsoft-Compliance im Autorisierungsprozess meiner Agentur verwenden?
Ja Sie können die Zertifizierungen von Microsoft-Clouddiensten als Grundlage für jedes Programm oder jede Initiative verwenden, die eine ATO von einer Bundesbehörde erfordert. Sie müssen jedoch ihre eigenen Autorisierungen für Komponenten außerhalb dieser Dienste erreichen.
Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos
Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.