GAMP 5 Compliance Guide: What is It and How Modern Requirements Helps
Check out what GAMP 5 compliance is, why is it...
Wie Modern Requirements4DevOps die FedRAMP-Konformität unterstützt
Wichtige Erkenntnisse
- Bundesbehörden in den USA müssen mit Cloud-Tools arbeiten, die unter FedRAMP-autorisierte Umgebungen fallen. Dies ist eine grundlegende Compliance-Anforderung für jedes System, das mit Regierungsdaten umgeht.
- Azure DevOps Services, die öffentliche Cloud-Version von Microsoft, ist nicht Teil der FedRAMP-zugelassenen Liste. Wenn Sie also diese Version verwenden, erfüllen die darin enthaltenen Tools, einschließlich Erweiterungen, nicht automatisch die FedRAMP-Standards.
- Azure Government hingegen wurde speziell für Workloads der US-Bundesbehörden entwickelt und ist offiziell als FedRAMP High-zertifiziert im Marktplatz der Regierung gelistet.
- Modern Requirements4DevOps, eine End-to-End-Lösung für das Anforderungsmanagement, verfügt nicht über eine separate FedRAMP-Zertifizierung. Wenn Sie Modern Requirements4DevOps jedoch in Azure Government oder in einer lokalen Umgebung installieren, die bereits die FedRAMP-Anforderungen erfüllt, bleibt die gesamte Einrichtung innerhalb einer konformen Zone. Dadurch eignet sich die Lösung für regulierte Arbeiten, ohne dass eine zusätzliche Zertifizierung erforderlich ist.
Was ist FedRAMP und warum ist es wichtig?
Das FedRAMP-Programm (Federal Risk and Authorization Management Program) wurde im Dezember 2011 von der US-Regierung ins Leben gerufen, um einen standardisierten Ansatz für die Festlegung von Regeln zu schaffen, wie Cloud-Dienste sensible Bundesdaten gemäß dem Federal Information Security Management Act (FISMA) schützen müssen. Sein Hauptziel ist es, die Einführung sicherer und vertrauenswürdiger Cloud-Tools in allen US-Bundesbehörden zu beschleunigen.
FedRAMP bietet drei Möglichkeiten für die Autorisierung von Cloud-Diensten:
- Vorläufige Betriebsgenehmigung (P-ATO): Vom FedRAMP Joint Authorization Board (JAB) geprüft und genehmigt.
- Betriebsgenehmigung (ATO): Wird direkt von einer bestimmten Bundesbehörde erteilt , die die Dienstleistung nutzen möchte.
CSP-Paket: Vom Cloud-Dienstanbieter (CSP) selbst erstellt , um zu zeigen, wie er die FedRAMP-Anforderungen erfüllt.
Alle drei Wege erfordern eine vollständige Sicherheitsbewertung durch eine zugelassene externe Bewertungsorganisation (3PAO), gefolgt von einer technischen Überprüfung durch das FedRAMP Program Management Office (PMO).
Warum ist das wichtig?
Denn wenn ein Cloud-Dienst nicht FedRAMP-konform ist, dürfen viele Bundesbehörden ihn rechtlich gesehen nicht nutzen. Und für Auftragnehmer oder Partner kann die Verwendung nicht genehmigter Tools zu Verzögerungen oder sogar zum Ausschluss von Projekten führen.
Azure-Bereitstellungsoptionen und FedRAMP-Konformität
Bereitstellungstyp | FedRAMP-Konformität | Details |
|---|---|---|
Azure DevOps-Dienste (öffentlich) | Nicht FedRAMP-zugelassen | Dies ist die kommerzielle Cloud-Version. Sie fällt nicht unter die FedRAMP-Autorisierung von Microsoft. Die hier verwendeten Tools gelten als außerhalb der FedRAMP-Grenzen liegend. |
Azure DevOps Server (lokal) | Hängt von Ihrer Konfiguration ab | Wenn es in einem FedRAMP-autorisierten Netzwerk gehostet wird, kann es die Compliance-Anforderungen erfüllen. Die Verantwortung für Sicherheit und Dokumentation liegt jedoch weiterhin bei Ihrem Team. |
Azure für Behörden | FedRAMP High autorisiert | Dies ist die dedizierte Cloud von Microsoft für die Nutzung durch die US-Regierung. Sie ist im offiziellen FedRAMP Marketplace gelistet und umfasst DevOps-Dienste als Teil der konformen Grenze. |
Auf dem folgenden Screenshot ist deutlich zu sehen, dass Azure Government als FedRAMP-autorisiertes Produkt aufgeführt ist. Das ist keine Vermutung, sondern öffentlich bestätigt.
So funktioniert Modern Requirements4DevOps innerhalb der FedRAMP-konformen Grenzen
Modern Requirements4DevOps ist eine End-to-End-Lösung für das Anforderungsmanagement, die für den Einsatz in Azure DevOps entwickelt wurde.
Da Modern Requirements4DevOps als Erweiterung innerhalb von Azure DevOps funktioniert, hängt sein Compliance-Status vollständig davon ab, wo Azure DevOps selbst gehostet wird.
- Wenn Modern Requirements4DevOps innerhalb von Azure DevOps Services (öffentliche Cloud) installiert ist, wird es außerhalb der FedRAMP-Grenze ausgeführt, da die öffentliche Version von Azure DevOps nicht FedRAMP-zertifiziert ist.
- Wenn Modern Requirements4DevOps innerhalb von Azure Government installiert wird, das bereits FedRAMP High-zertifiziert ist, wird es vollständig innerhalb der konformen Grenzen betrieben. In diesem Fall ist keine zusätzliche Zertifizierung erforderlich.
- Das Gleiche gilt für lokale Azure DevOps Server-Installationen, die bereits Teil einer FedRAMP-autorisierten Umgebung sind. Modern Requirements4DevOps übernimmt diese Konformität, solange alles innerhalb des sicheren Netzwerks bleibt.
Da Modern Requirements4DevOps keine Daten außerhalb von Azure DevOps speichert oder verarbeitet, entstehen keine externen Risiken. Alles bleibt innerhalb der von Ihnen gewählten und autorisierten Infrastruktur, sodass Modern Requirements4DevOps sicher in Umgebungen mit hohen Compliance-Anforderungen eingesetzt werden kann, sofern die Hosting-Plattform bereits FedRAMP-konform ist.
Erste Schritte mit Modern Requirements4DevOps: Eine Checkliste
Bevor Sie mit der Nutzung von Modern Requirements4DevOps in Azure beginnen, befolgen Sie bitte die folgende Checkliste:
- Beurteilen Sie, wo Azure DevOps ausgeführt wird. Befindet es sich in der öffentlichen Cloud, in Azure Government oder auf einem selbst gehosteten Server?
- Stellen Sie als Nächstes sicher, dass Ihre Konfiguration den FedRAMP-Anforderungen entspricht. Die öffentliche Cloud ist nicht geeignet, wenn Sie innerhalb einer zertifizierten Grenze bleiben müssen. Sie müssen entweder Azure Government oder eine selbst gehostete Azure-Instanz verwenden, die FedRAMP-zertifiziert ist.
- Installieren Sie Modern Requirements 4DevOps in derselben Grenze.
- Verwenden Sie integrierte Tools wie Azure Policy und Microsoft Defender, um sicherzustellen, dass die selbst gehostete Umgebung langfristig konform bleibt.
Häufig gestellte Fragen (FAQs)
1. Verfügt Modern Requirements4DevOps über eine eigene FedRAMP-Zertifizierung?
Nein, das ist nicht der Fall. Modern Requirements4DevOps muss keine FedRAMP-Zertifizierung erwerben, da es sich nicht um einen separaten Clouddienst handelt und innerhalb von Azure Government funktioniert, das bereits FedRAMP-zertifiziert ist. Somit übernimmt MR4DevOps alle Sicherheitsfunktionen von Azure Government.
2. Werden bei der Verwendung von Modern Requirements4DevOps Kundendaten außerhalb von Azure gespeichert?
Überhaupt nicht. Alles, einschließlich Anforderungen, Diagramme, Anwendungsfälle und Kommentare, bleibt in Azure. Modern Requirements4DevOps hostet oder verschiebt Ihre Daten nicht an einen anderen Ort.
3. Benötigen wir eine separate Sicherheitsüberprüfung, um Modern Requirements4DevOps in einer regulierten Umgebung zu verwenden?
In den meisten Fällen nein. Da Modern Requirements4DevOps keine neue Cloud-Grenze einführt, fällt es unter die bestehende FedRAMP-Abdeckung von Azure Government. Ihr Sicherheits- und Compliance-Team kann es in der Regel auf dieser Grundlage genehmigen.
Inhaltsverzeichnis
Aktuelle Artikel
Digital Twin + Requirements Management: Bridging Engineering and DevOps
Learn more about what the digital twin concept is, how...
Modern Requirements Named to G2’s 2026 Best Software Awards for Development Software
As the world’s largest and most trusted software marketplace, G2...