IEC 61508 Functional Safety Requirements Specification Traceability: A Practical Guide for Energy & Utility Teams
Learn more about the DFARS CyberSecurity requirements, its core clauses...
Cómo Modern Requirements4DevOps respalda el cumplimiento de FedRAMP
Listen to this blog
Puntos clave
- Se espera que las agencias federales de EE. UU. utilicen herramientas en la nube que se encuentren en entornos autorizados por FedRAMP. Se trata de un requisito básico de cumplimiento para cualquier sistema que maneje datos gubernamentales.
- Azure DevOps Services, que es la versión en la nube pública de Microsoft, no figura en la lista de servicios aprobados por FedRAMP. Por lo tanto, si utilizas esa versión, las herramientas que incluye, incluidas las extensiones, no cumplen automáticamente con los estándares de FedRAMP.
- Por otro lado, Azure Government está diseñado específicamente para cargas de trabajo federales y figura oficialmente como autorizado con el nivel «FedRAMP High» en el propio mercado del Gobierno.
- Modern Requirements4DevOps, una solución integral de gestión de requisitos, no cuenta con una certificación FedRAMP independiente. Sin embargo, cuando se instala Modern Requirements4DevOps en Azure Government o en un entorno local que ya cumple los requisitos de FedRAMP, toda la configuración permanece dentro de una zona conforme. Eso es lo que la hace adecuada para trabajos regulados sin necesidad de una certificación adicional.
¿Qué es FedRAMP y por qué es importante?
El programa FedRAMP (Programa Federal de Gestión de Riesgos y Autorizaciones) fue puesto en marcha en diciembre de 2011 por el Gobierno de los Estados Unidos con el fin de establecer un enfoque normalizado que regulase la forma en que los servicios en la nube deben proteger los datos federales sensibles, de conformidad con la Ley Federal de Gestión de la Seguridad de la Información (FISMA). Su objetivo principal es acelerar la adopción de herramientas en la nube seguras y fiables en todas las agencias federales de los Estados Unidos.
FedRAMP ofrece tres vías para que los servicios en la nube obtengan la autorización:
- Autorización provisional de funcionamiento (P-ATO): revisada y aprobada por la Junta Conjunta de Autorización (JAB) de FedRAMP.
- Autorización de funcionamiento (ATO): Concedida directamente por un organismo federal específico que tiene la intención de utilizar el servicio.
Paquete proporcionado por el proveedor de servicios en la nube (CSP): elaborado por el propio proveedor de servicios en la nube (CSP) para demostrar cómo cumple los requisitos de FedRAMP.
Las tres vías requieren una evaluación de seguridad completa realizada por una organización de evaluación externa autorizada (3PAO), seguida de una revisión técnica por parte de la Oficina de Gestión del Programa (PMO) de FedRAMP.
¿Por qué es importante esto?
Porque si un servicio en la nube no cumple con los requisitos de FedRAMP, muchas agencias federales no pueden utilizarlo por ley. Y en el caso de los contratistas o socios, el uso de herramientas no autorizadas puede provocar retrasos o incluso la exclusión de los proyectos.
Opciones de implementación de Azure y cumplimiento de FedRAMP
Tipo de implementación | Cumplimiento con FedRAMP | Detalles |
|---|---|---|
Azure DevOps Services (público) | No cuenta con la autorización de FedRAMP | Esta es la versión comercial en la nube. No está incluida en la autorización FedRAMP de Microsoft. Las herramientas que se utilizan aquí se consideran fuera del ámbito de FedRAMP. |
Azure DevOps Server (local) | Depende de tu configuración | Si se aloja dentro de una red autorizada por FedRAMP, puede cumplir con los requisitos de cumplimiento. Sin embargo, la responsabilidad en materia de seguridad y documentación recae en su equipo. |
Azure para el sector público | Autorizado por FedRAMP High | Se trata de la nube dedicada de Microsoft para uso del Gobierno de los Estados Unidos. Figura en el FedRAMP Marketplace oficial e incluye servicios de DevOps como parte del ámbito de cumplimiento. |
En la captura de pantalla que se muestra a continuación, se puede ver claramente que Azure Government figura como un producto autorizado por FedRAMP. No se trata de una suposición, sino de un dato verificado públicamente.
Así es como funciona Modern Requirements4DevOps dentro de los límites establecidos por FedRAMP
Modern Requirements4DevOps es una solución integral de gestión de requisitos diseñada para funcionar dentro de Azure DevOps.
Dado que Modern Requirements4DevOps funciona como una extensión dentro de Azure DevOps, su estado de cumplimiento depende totalmente de dónde esté alojado el propio Azure DevOps.
- Cuando se instala Modern Requirements4DevOps en Azure DevOps Services (nube pública), se ejecuta fuera del ámbito de FedRAMP, ya que la versión pública de Azure DevOps no cuenta con la autorización de FedRAMP.
- Cuando se instala Modern Requirements4DevOps en Azure Government, que ya cuenta con la autorización FedRAMP High, funciona íntegramente dentro del ámbito de cumplimiento. En este caso, no se necesita ninguna certificación adicional.
- Lo mismo se aplica a las instalaciones locales de Azure DevOps Server que ya forman parte de un entorno autorizado por FedRAMP. Modern Requirements4DevOps hereda este cumplimiento siempre y cuando todo permanezca dentro de la red segura.
Dado que es evidente que Modern Requirements4DevOps no almacena ni procesa datos fuera de Azure DevOps, no se introduce ningún riesgo externo. Todo permanece dentro de la infraestructura que usted haya elegido y autorizado, lo que permite utilizar Modern Requirements4DevOps de forma segura en entornos con estrictos requisitos de cumplimiento, siempre y cuando la plataforma de alojamiento ya cumpla con la normativa FedRAMP.
Introducción a los requisitos modernos para DevOps: una lista de verificación
Antes de empezar a utilizar Modern Requirements4DevOps en Azure, sigue la siguiente lista de comprobación:
- Comprueba dónde se ejecuta tu Azure DevOps. ¿Está en la nube pública, en Azure Government o en un servidor autohospedado?
- A continuación, asegúrate de que tu configuración cumple con los requisitos de FedRAMP. La nube pública no es una opción válida si necesitas permanecer dentro de un entorno certificado. Debes utilizar Azure Government o una instancia de Azure autohospedada que cuente con la certificación FedRAMP.
- Instala Modern Requirements 4DevOps en ese mismo entorno.
- Utiliza herramientas integradas como Azure Policy y Microsoft Defender para garantizar que el entorno autohospedado siga cumpliendo con los requisitos normativos a lo largo del tiempo.
Preguntas frecuentes (FAQ)
1. ¿Cuenta Modern Requirements4DevOps con su propia certificación FedRAMP?
No, no es así. Modern Requirements4DevOps no necesita obtener la certificación FedRAMP, ya que no es un servicio en la nube independiente y funciona dentro de Azure Government, que ya cuenta con la autorización de FedRAMP. Por lo tanto, MR4DevOps hereda todas las características de seguridad de Azure Government.
2. ¿Se almacena algún dato de los clientes fuera de Azure al utilizar Modern Requirements4DevOps?
En absoluto. Todo, incluidos los requisitos, los diagramas, los casos de uso y los comentarios, permanece en Azure. Modern Requirements4DevOps no aloja ni traslada tus datos a ningún otro lugar.
3. ¿Es necesario realizar una revisión de seguridad específica para utilizar Modern Requirements4DevOps en un entorno regulado?
En la mayoría de los casos, no. Dado que Modern Requirements4DevOps no introduce un nuevo perímetro de nube, queda incluido en la cobertura actual de FedRAMP de Azure Government. Por lo general, su equipo de seguridad y cumplimiento normativo puede aprobarlo basándose en ello.
Índice
Artículos recientes
DFARS CyberSecurity Requirements for Defense Suppliers
Learn more about the DFARS CyberSecurity requirements, its core clauses...
MIL-STD-882E System Safety: Hazard-to-Requirement Traceability
Learn more about what MIL-STD-882E System Safety is, how important...
