Red Hat OpenShift Service on AWS wird als „FedRAMP Ready“ eingestuft

Wir freuen uns, ankündigen zu können, dass das FedRAMP-Angebot von Red Hat, das Red Hat OpenShift Service on AWS (ROSA) umfasst, vom FedRAMP Joint Authorization Board (JAB) als „Ready“ eingestuft wurde. Das bedeutet, dass Red Hat jetzt auf dem FedRAMP Marketplace als Unternehmen aufgeführt wird, das die JAB-Autorisierung aktiv anstrebt. Zusätzliche Updates zeigen dabei unsere Fortschritte und Errungenschaften in den beiden Autorisierungspfaden: die bestehende ATO-Liste (Agency Authority to Operate) und eine separate Auflistung für den JAB-Pfad. Dies ist der nächste wichtige Meilenstein aus unserem Update von August 2023, bei dem Red Hat für eine Autorisierung durch das JAB priorisiert wurde, nachdem unser Readiness Assessment Report vom JAB akzeptiert wurde.

Aber warum gibt es 2 Pfade und 2 Listen? Der FedRAMP-Zertifizierungsprozess umfasst 2 Arten der Autorisierung. Red Hat verfügt derzeit bereits über eine Autorisierung durch die Regulierungsbehörde National Oceanic and Atmospheric Administration (NOAA). Jetzt erweitert Red Hat jedoch seine Autorisierungen durch die Zusammenarbeit mit dem JAB, um eine Provisional Authorization to Operate (P-ATO) zu erhalten. Durch den JAB-Prozess ist die ATO von Red Hat mit NOAA weiterhin gültig, und Kunden können die Produktangebote von Red Hat weiterhin voll nutzen und bereitstellen, darunter ROSA und der genehmigte Red Hat Insights für RHEL Service.

JAB und ein Blick in die Zukunft

Der JAB-Autorisierungsprozess besteht aus mehreren Phasen, die nach dem „Fail Fast“-Prinzip konzipiert sind und darauf abzielen, potenzielle Probleme schneller zu identifizieren und zu beheben. Wie oben erwähnt, gibt es 2 Pfade zur FedRAMP-Autorisierung: Regulierungsbehörde und JAB. Ein Hauptunterschied besteht dabei darin, dass das JAB kein Restrisiko im Namen potenzieller zukünftiger Kunden (etwa Behörden) akzeptiert, weshalb es eine „vorläufige“ ATO anbietet. Das heißt, dass Cloud-Serviceanbieter wie Red Hat höhere Standards erfüllen müssen, als dies bei einem behördlichen Prozess der Fall sein kann. Behörden können diese Autorisierung dann in dem Wissen überprüfen, dass die strengsten Standards eingehalten wurden.

Red Hat führt aktuell für sein FedRAMP JAB Security Assessment mit einem 3PAO (Third-Party Assessment Official) Tests durch, die uns unserem nächsten Ziel einer P-ATO (Provisional Authority to Operate) näher bringt.

Bei diesem JAB Security Assessment werden Artefakte wie der System Security Plan (SSP), Autorisierungsgrenzdiagramme, der Plan of Actions and Milestones (POA&M) sowie verschiedene Prozesse und Verfahren überprüft. Anschließend wird ein Security Assessment Report (SAR) für das JAB erstellt. Wenn das JAB entscheidet, dass ROSA die behördlichen Anforderungen erfüllt, stellt es die P-ATO aus.

Mit einer JAB-Autorisierung kann Red Hat seine kontinuierlichen Überwachungspraktiken optimieren, die interne Effizienz steigern und eine gemanagte Plattform bereitstellen, die genau geprüft wurde und am Markt führend ist. In der Zwischenzeit können Kunden das aktuelle Produkt von Red Hat weiterhin nutzen – ein von FedRAMP behördlich autorisiertes Produkt.