Red Hat OpenShift Service on AWS ottiene la designazione FedRAMP "Ready".

Siamo lieti di annunciare che l'offerta Red Hat FedRAMP, che include Red Hat OpenShift Service on AWS (ROSA), ha ottenuto la designazione "Ready" dal Joint Authorization Board (JAB) FedRAMP. Ciò significa che Red Hat è ora elencata nel Marketplace FedRAMP come azienda che sta attivamente ricercando l'autorizzazione JAB, con ulteriori aggiornamenti che mostrano i nostri progressi e risultati nei due percorsi per l'autorizzazione: l'elenco esistente Agency Authority to Operate (ATO) e un elenco separato per il percorso JAB. Questo è il nostro aggiornamento più rilevante dopo quello di agosto 2023, in cui Red Hat ha ricevuto l'autorizzazione da parte del JAB dopo l'accettazione del nostro Readiness Assessment Report da parte del JAB.

Ma perché ci sono due percorsi e due elenchi? Esistono due tipi di autorizzazione concesse nell'ambito del processo di certificazione FedRAMP. Red Hat ha attualmente un'autorizzazione di agenzia tramite la National Oceanic and Atmospheric Administration (NOAA), ma ora Red Hat sta ampliando le sue autorizzazioni collaborando con JAB per ottenere un'autorizzazione provvisoria per l'esercizio (P-ATO). Durante il processo JAB, l'ATO di Red Hat con NOAA è ancora valida e i clienti possono ancora pienamente utilizzare e distribuire le offerte di prodotti Red Hat, che includono ROSA e il servizio approvato Red Hat Insights per RHEL, in piena sicurezza.

Capire JAB e dare uno sguardo al futuro

Il processo di autorizzazione JAB prevede più fasi progettate in base al principio "fail fast", che mira a identificare e correggere più rapidamente potenziali problemi. Come accennato in precedenza, ci sono due percorsi per l'autorizzazione FedRAMP: l'agenzia e il JAB. Una delle principali differenze tra le autorizzazioni JAB e dell'agenzia è che JAB non accetta alcun rischio residuo per conto di potenziali clienti futuri (ad esempio le agenzie), e questo porta il consiglio a offrire un'ATO "provvisoria". Ciò significa che i provider di servizi cloud (CSP), come Red Hat, sono tenuti raggiungere standard più elevati rispetto a quelli richiesti dall'agenzia. Le agenzie possono quindi rivedere questa autorizzazione sapendo che sono stati mantenuti gli standard più rigidi.

Red Hat è attualmente in fase di test con un Third-Party Assessment Official (3PAO) per la valutazione FedRAMP JAB Security Assessment, che ci avvicinerà al prossimo obiettivo di una Provisional Authority to Operate (P-ATO).

Quando Red Hat completa il JAB Security Assessment, in cui vengono esaminati elementi quali il System Security Plan (SSP), i diagrammi dei limiti delle autorizzazioni, il Plan of Actions and Milestones (POA&M) e diversi processi e procedure, viene emesso un Security Assessment Report (SAR) al JAB. Una volta che il JAB ha stabilito che ROSA soddisfa correttamente i requisiti governativi, emetterà il P-ATO.

Con un'autorizzazione JAB, Red Hat sarà in grado di semplificare le procedure di monitoraggio continuo per aumentare l'efficienza interna, offrendo al contempo una piattaforma gestita altamente controllata e all'avanguardia. Nel frattempo, i clienti possono continuare a utilizzare l'attuale prodotto FedRAMP Red Hat autorizzato dall'agenzia.