Bulut güvenliği, hükümet, sektöre özgü
Analistler FedRamps’ın hız hedeflerini övüyor, ancak belirsiz yürütme ayrıntılarından endişe ediyor
Chris Riotta (@Chrisriotta) •
7 Nisan 2025
Bulut sağlayıcılarının federal hükümete nasıl sattıklarını elden geçirme planı, bürokrasi boyunca daha hızlı, daha verimli bir yol vaat ediyor – ancak satıcıları, dünyanın en büyük alıcısına erişimi kontrol eden maliyetli gecikmeleri, belirsiz direktifleri ve bulanık kuralları nasıl çözeceğini tahmin ediyor.
Ayrıca bakınız: AI, Bulut ve Siber Tehditler: Bir Finans Sektörü Hayatta Kalma Rehberi
Federal Risk ve Yetkilendirme Yönetimi Programı, Federal Ajansların bulut hizmetlerini değerlendirme, yetkilendirme ve izleme biçimlerini kolaylaştırmak için 2011 yılında Başkan Barack Obama altında başlatıldı. Bulut güvenliğini standartlaştırmak ve hükümet genelinde evlat edinmeyi hızlandırmakla kredilendirilmiş olsa da, FedRamp uzun zamandır yavaş, pahalı süreçler, ajans sponsorluğu darboğazları, birikmiş işler ve opak, örtüşen gereksinimlerle boğuşuyor.
Genel Hizmetler İdaresi’nden yeni bir girişim olan FedRamp 20X, otomatik izleme sonuçlarını değerlendiren ve federal gereksinimleri karşılamak için en iyi uygulamaları uygulayan bulut doğal, sürekli bir güvenlik değerlendirme modeli geliştirmek için özel sektörle ortaklık kurmayı amaçlamaktadır. Program, web sitesine göre, endüstri standart güvenlik çerçevelerini uygulamayı ve FedRamp kontrollerinin% 80’inden fazlasını “nasıl çalıştığı hakkında tek bir kelime yazmaya gerek kalmadan” otomatikleştirmeyi planlıyor.
Mart ayı sonlarında, güvenlik beklentilerini netleştirmeyi, bulut sağlayıcılarının sürecini basitleştirmeyi, güvenilir bir pazarın ölçeklendirilmesini ve Fedramp için ilk önce bir ilk, ilk Vakfı oluşturmayı içeren dört temel hedef içeren “FedRamp için Yeni Bir Yol Haritası” başlıklı bir blog yazısı yayınlandı. Blog, FedRamp’ın “merkezi olarak daha fazla yetkilendirme sonrası izleme alacağını ve mümkün olduğunca fazla otomatikleştireceğini” söyledi.
FedRamp uygulayıcıları, federal bulut güvenlik uzmanları ve bilgi güvenliği medya grubuyla konuşan siber güvenlik uzmanları, güvenlik değerlendirmelerini otomatikleştirme ve onayları kolaylaştırma baskısını memnuniyetle karşıladı. Uygulama hakkında net ayrıntılar olmadan, değişikliklerin süreçte yeni belirsizlikler yaratma ve çıkış sürecinin ortasında şirketleri bozduğunu söyledi. Program yetkilileri, endüstri için bir platform olarak hizmet etmek için bir dizi topluluk çalışma grubu kuracaklarını ve halkın doğrudan FedRamp uzmanlarıyla etkileşim kurması ve standartlarını ve politikalarını karşılayan çözümler üzerinde işbirliği yapacaklarını söyledi.
Federal Siber Güvenlik Çözümleri Sağlayıcısı Optiv + ClearShark için Federal Danışma Hizmetleri Kıdemli Direktörü John Allison, “Bu hem heyecan verici hem de korkutucu” dedi. Diyerek şöyle devam etti: “Müşterilerle FedRamp stratejilerinde çalışan biri olarak, bu şirketler için yeni seçenekler açacak – ancak daha fazla ayrıntı mevcut olana kadar kurumsal liderliğe ağır olan çok fazla belirsizlik görebiliyorum.”
Otomasyonun maliyetleri ve zaman çizelgelerini azaltmaya yardımcı olabileceğini, ancak şirketlerin orta süreçte kesintilerle karşılaşabileceğini ve ajansların yeni araçlar mevcut olana kadar daha fazla sorumluluk üstleneceğini söyledi. Allison, GSA’nın bulut sağlayıcılarının doğrudan materyal göndermelerine ve bir ajans sponsoru olmadan yetkilendirmeye izin vererek FedRamp’ı daha da düzene koyabileceğini söyledi.
Savunma Bakanlığı için yönetilen bir güvenlik hizmet sağlayıcısı olan Summit 7’nin baş siber güvenlik evanjelisti Jacob Horne, otomasyonun kritik kontrolleri atlarsa bir olumsuz yönde olacağı konusunda uyardı.
Horne ISMG’ye verdiği demeçte, “Şimdiye kadar, açıklanan değişiklikler çoğunlukla uygun şekilde yargılamak için yeterli ayrıntıya sahip olmayan iyi niyetli hedeflerdir.” Dedi. “‘Eller kapalı’ ve ‘otomasyon’ gibi terimler, geçmişin geleneksel buzul ve riskten kaçınma fedRamp sürecini ele alma konusunda harika geliyor.”
Değerlendirmeleri otomatikleştirmek ve mevcut çerçeveleri uygulamak için süreçler geliştirmek için kurulan çalışma grupları “henüz FedRamp: Artan Güvence gibi programların nihai hedefiyle boğuşmamışlardır.”
FedRamp’ı yöneten GSA ve FedRamp Program Ofisi yorum taleplerine hemen yanıt vermedi. FedRamp Direktörü Pete Waterman, Mart ayı sonlarında ofisinin Nisan ayı sonuna kadar ajans yetkilendirme birikimini temizlemeyi planladığını söyledi.
SecureFrame’nin kurucusu ve CEO’su Shrav Mehta, FedRamp’ın onaylarda yakın zamanda yapılan bir artışa işaret ederek, yetkilendirme birikimini ay sonuna kadar temizleme hedefini karşılayacağını söyledi. Geçmişte her ay sadece birkaç yetkilendirme tamamlanmış olsa da, Mehta hızın haftada 8 ila 10’a yükseldiğini söyledi.
Mehta, “Otomasyon, güvenlik uzmanlarının stratejik risk yönetimi ve tehdit tepkisine odaklanabilmesi için sıkıcı, manuel dokümantasyon görevlerini ortadan kaldırıyor.” Dedi.