Clarity PPM for FedRAMP

ccppmop157
2
Anunciando o Clarity PPM for FedRAMP
: a CA Technologies, uma empresa Broadcom, alcançou com êxito o status de ATO (Authorization to Operate - Autorização para Operar), endossado por um patrocinador, para agências federais e departamentos que pretendem adquirir serviços de nuvem. Estamos trabalhando em nosso ATO oficial do FedRAMP, esperado para antes do final do ano atual.
Visão geral do FedRAMP
O programa FedRAMP (Federal Risk and Authorization Management Program - Programa Federal de Gerenciamento de Autorização e Risco) fornece uma abordagem padrão para avaliação, autorização e monitoramento contínuo da segurança para produtos e serviços na nuvem. Essa abordagem usa uma estrutura eficiente que poupa tempo e custos previamente associados à execução de avaliações de segurança redundantes para a agência.
  • Segurança
    : fornece uma abordagem padrão para avaliação, autorização e monitoramento contínuo da segurança para produtos e serviços na nuvem. Agências federais e com base no governo precisam usar soluções com base na nuvem altamente seguras, que seguem níveis de segurança rigorosos, ao mesmo tempo que atendem as regulamentações de conformidade do governo dos EUA.
  • Obrigatório
    : todos os departamentos e agências federais precisam usar os serviços de nuvem autorizados do FedRAMP. O FedRAMP é obrigatório para implantações de nuvem e modelos de serviço de agências federais nos níveis de impacto baixo, moderado e de alto risco. As agências devem enviar um relatório trimestral mostrando qualquer um de seus serviços na nuvem que não atendam aos requisitos do FedRAMP com as devidas justificativas e as resoluções propostas para alcançar a conformidade. Implantações de nuvem privada destinadas a organizações únicas e totalmente implementadas em instalações federais são a única exceção.
  • Valor
    : a estrutura de
    faça uma vez e use muitas
    economiza custos, tempo e pessoal necessários para realizar avaliações redundantes de segurança da agência.
A imagem a seguir destaca a jornada do Clarity PPM para se tornar uma oferta de serviços na nuvem do FedRAMP:
image2019-5-7_19-53-20.png
GSS (General Support System - Sistema de Suporte Geral) para FedRAMP da Broadcom
Como uma empresa de software de portfólio, a CA Technologies, uma empresa Broadcom, implementou um GSS (General Support System - Sistema de Suporte Geral) para hospedar as ofertas SaaS do FedRAMP da Broadcom. Atualmente, o GSS está hospedado na nuvem IaaS Microsoft Azure Government e pode ser expandido para incluir outras ofertas de nuvem do governo autorizadas pelo FedRAMP.
O GSS implementa políticas e procedimentos comuns, ferramentas e serviços de autenticação que podem ser consumidos pelas ofertas de SaaS. Localizado nos Estados Unidos e operado por cidadãos norte-americanos empregados pela Broadcom, o GSS capacita nossas ofertas de SaaS a herdar mais de 70% dos 325 controles de segurança de linha de base moderados do FedRAMP para autorização inicial, monitoramento contínuo e custos de execução/operação.
Em 16 de abril de 2019, o Clarity PPM adquiriu oficialmente de uma grande organização de pesquisa e assistência médica internacional sua designação ATO (Authorization to Operate - Autorização para Operar) da agência patrocinadora. Este cliente fez a conversão do PPM comercial para o serviço do FedRAMP. Interesses adicionais continuam sendo recebidos e continuamos adicionando novos clientes para esse serviço à medida que buscamos nossa designação de ATO formal do FedRAMP.
História de liderança
: o Clarity PPM é a primeira oferta SaaS da Broadcom a ser hospedada no GSS.
A imagem a seguir mostra os principais componentes do GSS:
image2019-5-7_19-42-46.png
Diferenças e alternativas entre os recursos do Clarity PPM comercial e do FedRAMP
A tabela a seguir lista as diferenças notáveis entre o Clarity PPM comercial e a edição FedRAMP do Clarity PPM:
Em ambientes FedRAMP, os portlets HTML também não são suportados.
Recurso(1)
Alternativas disponíveis
Alvos da correção(3)
1
Clarity PPM
Nova experiência do usuário
  • Até que seja suportado, este recurso permanece desativado
  • Usar o PPM clássico
  • Aplicar o tema UI Phoenix para uma experiência de usuário mais moderna
Esse recurso é um item do roadmap do Clarity PPM do FedRAMP que está sendo considerado para uma release futura. Entre em contato com o diretor de contas do Clarity PPM para obter detalhes.
2
Suporte à API do REST
  • XOG, GEL ou NSQL (os administradores de aplicativos devem incluir a cláusula "@WHERE:SECURITY:" em suas consultas NSQL)
  • A API REST não é externamente acessível pelas agências devido à falta de troca de chaves e à falta de suporte a SSO
  • Scripts GEL não podem usar a marca "sql:update" com instruções SQL de leitura/gravação.
  • Os scripts GEL podem usar a marca "nsql" para ler os dados
Esse recurso é um item do roadmap do Clarity PPM do FedRAMP que está sendo considerado para uma release futura. Entre em contato com o diretor de contas do Clarity PPM para obter detalhes.
3
Aplicativos Jaspersoft Studio(2), CA JDBC Adapter e TIBCO JasperMobile para uso com o Clarity PPM
  • Usar os recursos integrados de geração de relatórios do JasperSoft no Clarity PPM para obter relatórios ad-hoc, visualizações, tabelas e para programar relatórios
  • Usar os relatórios de ações fornecidos com o Clarity
  • Usar o conteúdo dos relatórios avançados do PMO e do Acelerador de PMO
  • Desenvolver portlets e painéis no PPM Studio clássico
  • Estender os campos padrão para projetos, recursos e outros domínios com atributos personalizados ou subobjetos criados no Clarity
Sem alvo
: as ferramentas de cliente do JasperSoft não oferecem suporte a SSO com autenticação de vários fatores. A criação de relatórios usando a API REST não é suportada no JasperSoft Studio.
4
Acesso do OData ao data warehouse
  • Troca de arquivo simples por SFTP (suportada apenas com fluxos de trabalho do Clarity PPM ou scripts GEL)
Esse recurso é um item do roadmap do Clarity PPM do FedRAMP que está sendo considerado para uma release futura. Entre em contato com o diretor de contas do Clarity PPM para obter detalhes.
5
Integrações com produtos de terceiros (personalizações)
  • Em geral, os terminais do ODATA e as chamadas SOAP para o serviço não são suportados.
  • As integrações podem ser possíveis com a autorização da agência
Autorização de agência necessária:
(5)
6
Suporte ao XOG (XML Open Gateway) externo
  • Os ambientes do FedRAMP oferecem suporte às mesmas integrações com o uso do SFTP como produto comercial, portanto, a troca de dados usando a distribuição e a recuperação de arquivos simples é suportada. (Em um limite seguro, coloque um arquivo no servidor SFTP para distribuição de arquivo simples, o qual fará a autenticação usando a
    troca de chaves
    .)
  • Executar a importação/exportação do XOG usando scripts GEL
Esse recurso é um item do roadmap do Clarity PPM do FedRAMP que está sendo considerado para uma release futura. Entre em contato com o diretor de contas do Clarity PPM para obter detalhes.
7
Acesso direto ao banco de dados
  • Nenhuma solução alternativa devido a restrições do script GEL para marcas SQL (o acesso da VPN também não está disponível)
Sem alvo
8
Integração do Clarity PPM com as ferramentas de cliente do CA Open WorkBench (OWB) e do Microsoft Project (MSP)
  • Obter autorização para implementar essa configuração
  • Agendador nativo do Clarity PPM, visualização de Gantt, EAP e recursos de gerenciamento de tarefas
Autorização de agência necessária:
(4)(5)
9
Integração do Clarity PPM com o Rally
  • Usar a edição local atual do Rally com o tipo de integração do item de portfólio e a autenticação básica
Autorização de agência necessária
(5)
10
CA Productivity Accelerator
  • Nenhuma solução alternativa no momento
Sem alvo:
investigando uma resolução.
11
Utilitário SaaS ODUM e Adaptador de integração SaaS
  • A troca de dados é suportada pela distribuição e recuperação de arquivos simples (por exemplo, para o carregamento de recursos); em um limite seguro, coloque um arquivo no servidor SFTP para distribuição de arquivo simples, o qual fará a autenticação usando a
    troca de chaves
    .
  • Executar a importação/exportação do XOG usando scripts GEL
  • As edições FedRAMP do Clarity PPM oferecem suporte ao SAML 2.0
Sem alvo
: consulte as
alternativas disponíveis
.
(1) Os recursos listados nesta coluna não estão disponíveis nas edições compatíveis com o FedRAMP do CA Clarity PPM.
(2) O JasperSoft Studio é usado para desenvolver relatórios mais avançados específicos do cliente.
(3) As datas alvo da correção estão sujeitas a alterações a qualquer momento, com ou sem aviso prévio.
(4) Os clientes OWB e MSP não podem autenticar com o Clarity sem uma sessão válida de SSO. A autorização da agência é necessária, pois os usuários clientes do OWB e do MSP devem digitar o nome de usuário e a senha para autenticar sem SSO. Com a autorização da agência, a Broadcom fornece um terminal OData do Clarity para ativar a autenticação SSO; os usuários podem iniciar os clientes OWB ou MSP pelo Clarity PPM.
(5) Autorização da agência necessária: as soluções aprovadas devem estar de acordo com os padrões de integração do FedRAMP. Entre em contato com a Broadcom ou com seu parceiro para obter mais informações.
Perguntas frequentes
P1: Como as edições do FedRAMP do CA Clarity PPM diferem das principais edições comerciais?
R1: O Clarity PPM está disponível em várias releases comerciais com ciclos de vida de suporte sobrepostos. O aplicativo pode ser implantado em ambientes locais, ambientes SaaS e ambientes hospedados com configurações de desenvolvimento, teste e produção. Nosso ATO do FedRAMP não se transfere a implantações no local. Somente a edição SaaS do Clarity PPM 15.5.1 é certificada para o FedRAMP. Para atender aos rigorosos requisitos de segurança do FedRAMP, alguns recursos do PPM são desativados em ambientes FedRAMP. Consulte as opções da seção
Diferenças e alternativas entre os recursos do Clarity PPM comercial e do FedRAMP
acima.
P2: O FedRAMP é preferencial ou obrigatório?
R2: Ambos. Os serviços de nuvem são mais
recomendados
devido à redução dos custos de infraestrutura, à melhor escalabilidade, aos recursos de DR (Disaster Recovery - Recuperação de Falhas) e a outros benefícios tecnológicos. Eles também são
obrigatórios
. Em 2010, o OMB (Office of Management and Budget) estabeleceu a política
Nuvem primeiro
para os departamentos federais. Os requisitos originais resultaram em uma mudança significativa em relação ao uso de ofertas de nuvem autorizadas. Atualmente, todos os departamentos e agências federais são
obrigadas
a usar os serviços de nuvem autorizados do FedRAMP.
P3: Por que um cliente comercial do Clarity PPM mudaria para o serviço do FedRAMP?
R3: Os clientes comerciais do Clarity com requisitos de contrato federais para proteger informações não confidenciais controladas devem considerar o serviço do FedRAMP. Por exemplo, uma empresa aeronáutica busca expandir seus negócios de motor a jato para incluir aeronaves militares. O DFARS requer a proteção de informações orientadas à missão, não confidenciais e controladas, para o setor de armas (para atender a 125 controles).
P4: Até que ponto a Broadcom e o Clarity PPM dão suporte às necessidades do FedRAMP?
R4: A Broadcom tem o compromisso de oferecer soluções autorizadas do FedRAMP. Você pode contar com o suporte robusto da Broadcom e da GSS. O Clarity PPM obteve o status de autorizado pelo FedRAMP com ATO de agência de impacto moderado oficial do FedRAMP. Para obter mais informações, consulte a parte superior desta página.
P5: Como meus dados são criptografados no serviço do Clarity PPM do FedRAMP?
R5: Todos os dados, estejam eles ativos ou inativos, são criptografados com o uso de módulos de criptografia validados pelo FIPS 140-2.
P6: O serviço do Clarity FedRAMP aceita acesso por cartão PIV/CAC nativo?
R6: No momento, não. Contudo, o serviço do Clarity FedRAMP aceita assertions do SAML provenientes de seu provedor de identidades (por exemplo, o Active Directory).
P7: Não temos certeza se precisamos do FedRAMP, mas devemos marcar a caixa de seleção em FISMA. Como devemos proceder?
R7: Você pode solicitar e usar o SSP do FedRAMP como orientação para o SSP local. No entanto, o ATO do Clarity PPM do FedRAMP não é transferível para ambientes locais.
P8: O Clarity PPM Mobile App conta com suporte?
R8: Sim. Você pode usar a opção
Efetuar logon com o SSO
para usar o novo aplicativo móvel do Clarity com o serviço do FedRAMP.
P9: Os contratos do FedRAMP têm documentação de listagem de serviços SaaS separada?
R9: Sim, a documentação de listagem de serviços SaaS comercial atual foi atualizada para o FedRAMP.
P10: O serviço do Clarity PPM do FedRAMP integra-se ao Rally local?
R10: Pela perspectiva da autenticação, as equipes de produto do Clarity e do Rally estão, no momento, testando se essa configuração com a "autenticação básica" (autenticação de fator único) funciona como esperado. Se a validação for positiva, a agência de implementação será necessária para a obtenção de uma autorização para implementar essa configuração. Com o tipo Integração de item de portfólio, o Clarity PPM estabelece uma conexão com o Rally OP para obter os detalhes da execução do trabalho. As senhas do Clarity PPM são criptografadas tanto no aplicativo quanto no banco de dados. No momento, o Rally local não oferece suporte às chaves de API nem ao tipo de integração de investimento.
P11: Qual suporte a integração está incluído na solução Clarity PPM do FedRAMP?
R11: As integrações comerciais existentes não são suportadas. Contudo, algumas integrações herdadas de parceiros selecionados estão sendo revisadas para identificar um corpo de conhecimento com o intuito de atender aos requisitos de autenticação e transferência de dados do FedRAMP.
P12: O Clarity PPM está em conformidade com a seção 508?
R12: Sim, o VPAT (Voluntary Product Accessibility Template - Modelo de Acessibilidade do Produto Voluntário) atual para o CA Project and Portfolio Manager 13.3, 14.x e 15.x está disponível mediante solicitação. Nossa certificação VPAT atual está associada exclusivamente à funcionalidade da UI clássica, que não foi alterada significativamente desde 2015, quando começamos a transformação da
Nova experiência do usuário
. No entanto, os padrões de teste de conformidade do VPAT foram alterados. Atualmente, a equipe de produto do Clarity PPM está trabalhando com uma lista direcionada aos itens de correção necessários para atender aos novos padrões de teste. A princípio, planejamos incluir as correções associadas na release do Clarity PPM prevista para o primeiro trimestre do ano fiscal 2020. O esforço da correção aplica-se somente à funcionalidade do PPM clássico.
P13: Como posso acessar a documentação do produto Clarity PPM do FedRAMP?
R13: A documentação de segurança é solicitada pelo PMO. A documentação de produto do Clarity PPM voltada ao cliente está disponível em techdocs.broadcom.com.
P14: O Clarity para Fedramp limita as sessões de usuário simultâneas?
R14: No momento, não. Contudo, esse recurso é um item do roadmap do Clarity PPM do FedRAMP que está sendo considerado para uma futura release.
FedRAMPlogo_FINAL_2017.png