Red Hat OpenShift Service on AWS recebe o título “Ready” do FedRAMP

Temos o prazer de anunciar que a oferta da Red Hat para o programa FedRAMP, que inclui o Red Hat OpenShift Service on AWS (ROSA), recebeu o título “Ready” do FedRAMP Joint Authorization Board (JAB). Isso significa que a Red Hat agora está listada no FedRAMP Marketplace como buscando ativamente a autorização do JAB. Atualizações adicionais mostram nosso progresso e nossas conquistas nos dois caminhos para autorização: a listagem Agency Authority to Operate (ATO) existente e outra listagem para o caminho do JAB. Esse será o próximo grande marco da nossa atualização de agosto de 2023, quando a Red Hat foi priorizada para uma autorização do JAB após o nosso Readiness Assessment Report ser aceito.

Por que há dois caminhos e duas listagens? Dois tipos de autorização são concedidos como parte do processo de certificação do FedRAMP. Atualmente, a Red Hat tem uma autorização de agências da National Oceanic and Atmospheric Administration (NOAA). Agora, buscamos aumentar nossas autorizações ao trabalhar com o JAB para obter uma Provisional Authorization to Operate (P-ATO). Mesmo com o processo do JAB, a autorização de operação da Red Hat com a NOAA continua válida. Os clientes podem continuar a usar e implantar com confiança as ofertas de soluções Red Hat, que incluem o ROSA e o serviço aprovado Red Hat Insights for RHEL.

Compreenda o JAB e o nosso olhar para o futuro

O processo de autorização do JAB tem vários estágios criados em torno do princípio “fail fast” (falhar rápido), que visa identificar e corrigir possíveis problemas mais rapidamente. Como mencionado acima, há dois caminhos de autorização do FedRAMP: agências e JAB. Uma das principais diferenças entre as autorizações do JAB e de agências é que o JAB não aceita riscos residuais em nome de possíveis clientes futuros (por exemplo, agências), e o conselho oferece uma autorização de operação “provisória”. Isso significa que os provedores de serviços de nuvem (CSPs), como a Red Hat, devem atender a padrões mais altos em comparação ao processo de agências. Assim, as agências podem revisar essa autorização sabendo que foram aplicados os padrões mais rigorosos.

No momento, a Red Hat está realizando testes com um Third-Party Assessment Official (3PAO) para nossa FedRAMP JAB Security Assessment. Dessa forma, chegaremos ainda mais perto da nossa próxima meta de obter uma Provisional Authority to Operate (P-ATO).

A JAB Security Assessment é uma avaliação de segurança que revisa artefatos como o System Security Plan (SSP), os diagramas de limite de autorização, Plan of Actions and Milestones (POA&M) e vários processos e procedimentos. Após a Red Hat concluir essa avaliação, será enviado um Security Assessment Report (SAR) ao JAB. Após determinar que o ROSA cumpre os requisitos governamentais, o JAB emitirá a P-ATO.

Com uma autorização do JAB, a Red Hat poderá simplificar suas práticas de monitoramento contínuo para aumentar a eficiência interna e, ao mesmo tempo, oferecer uma plataforma gerenciada altamente analisada e líder do setor. Enquanto isso, os clientes continuam aproveitando a solução atual Red Hat FedRAMP autorizada por agências.