Clarity
para FedRAMP

ccppmop1591
2
Anunciando o
Clarity
para FedRAMP:
a CA Technologies, uma empresa Broadcom, alcançou com êxito o status de ATO (Authorization to Operate - Autorização para Operar), endossado por um patrocinador, para agências federais e departamentos que pretendem adquirir serviços de nuvem. O
Clarity
está autorizado para o FedRAMP.
Visão geral do FedRAMP
O programa FedRAMP (Federal Risk and Authorization Management Program - Programa Federal de Gerenciamento de Autorização e Risco) fornece uma abordagem padrão para avaliação, autorização e monitoramento contínuo da segurança para produtos e serviços na nuvem. Essa abordagem usa uma estrutura eficiente que poupa tempo e custos previamente associados à execução de avaliações de segurança redundantes para a agência.
  • Segurança
    : fornece uma abordagem padrão para avaliação, autorização e monitoramento contínuo da segurança para produtos e serviços na nuvem. Agências federais e com base no governo precisam usar soluções com base na nuvem altamente seguras, que seguem níveis de segurança rigorosos, ao mesmo tempo que atendem as regulamentações de conformidade do governo dos EUA.
  • Obrigatório
    : todos os departamentos e agências federais precisam usar os serviços de nuvem autorizados do FedRAMP. O FedRAMP é obrigatório para implantações de nuvem e modelos de serviço de agências federais nos níveis de impacto baixo, moderado e de alto risco. As agências devem enviar um relatório trimestral mostrando qualquer um de seus serviços na nuvem que não atendam aos requisitos do FedRAMP com as devidas justificativas e as resoluções propostas para alcançar a conformidade. Implantações de nuvem privada destinadas a organizações únicas e totalmente implementadas em instalações federais são a única exceção.
  • Valor
    : a estrutura de
    faça uma vez e use muitas
    economiza custos, tempo e pessoal necessários para realizar avaliações redundantes de segurança da agência.
GSS (General Support System - Sistema de Suporte Geral) para FedRAMP da Broadcom
Como uma empresa de software de portfólio, a CA Technologies, uma empresa Broadcom, implementou um GSS (General Support System - Sistema de Suporte Geral) para hospedar as ofertas SaaS do FedRAMP da Broadcom. Atualmente, o GSS está hospedado na nuvem IaaS Microsoft Azure Government e pode ser expandido para incluir outras ofertas de nuvem do governo autorizadas pelo FedRAMP.
O GSS implementa políticas e procedimentos comuns, ferramentas e serviços de autenticação que podem ser consumidos pelas ofertas de SaaS. Localizado nos Estados Unidos e operado por cidadãos norte-americanos empregados pela Broadcom, o GSS capacita nossas ofertas de SaaS a herdar mais de 70% dos 325 controles de segurança de linha de base moderados do FedRAMP para autorização inicial, monitoramento contínuo e custos de execução/operação.
Em 16 de abril de 2019, o
Clarity
adquiriu oficialmente de uma grande organização de pesquisa e assistência médica internacional sua designação ATO (Authorization to Operate - Autorização para Operar) da agência patrocinadora. O GSS é autorizado pelo FedRAMP desde 09 de julho de 2019.
História de liderança
: o
Clarity
é a primeira oferta SaaS da Broadcom a ser hospedada no GSS.
A imagem a seguir mostra os principais componentes do GSS:
image2019-5-7_19-42-46.png
Clarity
comercial vs. alternativas e diferenças nos recursos do FedRAMP
A tabela a seguir lista as diferenças notáveis entre o
Clarity
comercial e a edição FedRAMP do
Clarity
:
Em ambientes FedRAMP, os portlets HTML também não são suportados.
Recurso(1)
Alternativas disponíveis
Alvos da correção(3)
1
Suporte a XOG, GEL e NSQL
  • XOG, GEL ou NSQL (os administradores de aplicativos devem incluir a cláusula "@WHERE:SECURITY:" em suas consultas NSQL)
  • Scripts GEL não podem usar a marca "sql:update" com instruções SQL de leitura/gravação.
  • Os scripts GEL podem usar a marca "nsql" para ler os dados
Esse recurso é um item do roadmap do
Clarity
do FedRAMP que está sendo considerado para uma release futura. Entre em contato com o diretor de contas do
Clarity
para obter detalhes.
2
Aplicativos Jaspersoft Studio(2), CA JDBC Adapter e TIBCO JasperMobile para uso com o
Clarity
  • Usar os recursos integrados de geração de relatórios do JasperSoft no
    Clarity
    para obter relatórios ad-hoc, visualizações, tabelas e para programar relatórios
  • Usar os relatórios de ações fornecidos com o Clarity
  • Usar o conteúdo dos relatórios avançados do PMO e do Acelerador de PMO
  • Desenvolver portlets e painéis no
    Classic PPM
    Studio
  • Estender os campos padrão para projetos, recursos e outros domínios com atributos personalizados ou subobjetos criados no Clarity
Sem alvo
: as ferramentas de cliente do JasperSoft não oferecem suporte a SSO com autenticação de vários fatores. A criação de relatórios usando a API REST não é suportada no JasperSoft Studio.
3
Acesso do OData ao data warehouse
  • Troca de arquivo simples por SFTP (suportada apenas com fluxos de trabalho do
    Clarity
    ou scripts GEL)
Esse recurso é um item do roadmap do
Clarity
do FedRAMP que está sendo considerado para uma release futura. Entre em contato com o diretor de contas do
Clarity
para obter detalhes.
4
Integrações com produtos de terceiros (personalizações)
  • Em geral, os terminais do ODATA e as chamadas SOAP para o serviço não são suportados.
  • As integrações podem ser possíveis com a autorização da agência
Autorização de agência necessária:
(5)
5
Suporte ao XOG (XML Open Gateway) externo
  • Os ambientes do FedRAMP oferecem suporte às mesmas integrações com o uso do SFTP como produto comercial, portanto, a troca de dados usando a distribuição e a recuperação de arquivos simples é suportada. (Em um limite seguro, coloque um arquivo no servidor SFTP para distribuição de arquivo simples, o qual fará a autenticação usando a
    troca de chaves
    .)
  • Executar a importação/exportação do XOG usando scripts GEL
Esse recurso é um item do roadmap do
Clarity
do FedRAMP que está sendo considerado para uma release futura. Entre em contato com o diretor de contas do
Clarity
para obter detalhes.
6
Acesso direto ao banco de dados
  • Nenhuma solução alternativa devido a restrições do script GEL para marcas SQL (o acesso da VPN também não está disponível)
Sem alvo
7
Integração do
Clarity
às ferramentas de cliente do CA Open WorkBench (OWB) e do Microsoft Project (MSP)
  • Obter autorização para implementar essa configuração
  • Agendador nativo do
    Clarity
    , visualização de Gantt, EAP e recursos de gerenciamento de tarefas
Autorização de agência necessária:
(4)(5)
8
Integração do
Clarity
ao Rally
  • Usar a edição local atual do Rally com o tipo de integração do item de portfólio e a autenticação básica
Autorização de agência necessária
(5)
9
CA Productivity Accelerator
  • Nenhuma solução alternativa no momento
Sem alvo:
investigando uma resolução.
10
Utilitário SaaS ODUM e Adaptador de integração SaaS
  • A troca de dados é suportada pela distribuição e recuperação de arquivos simples (por exemplo, para o carregamento de recursos); em um limite seguro, coloque um arquivo no servidor SFTP para distribuição de arquivo simples, o qual fará a autenticação usando a
    troca de chaves
    .
  • Executar a importação/exportação do XOG usando scripts GEL
  • As edições FedRAMP do
    Clarity
    dão suporte ao SAML 2.0
Sem alvo
: consulte as
alternativas disponíveis
.
(1) Os recursos listados nesta coluna não estão disponíveis nas edições compatíveis com o FedRAMP do
Clarity
.
(2) O JasperSoft Studio é usado para desenvolver relatórios mais avançados específicos do cliente.
(3) As datas alvo da correção estão sujeitas a alterações a qualquer momento, com ou sem aviso prévio.
(4) Os clientes OWB e MSP não podem autenticar com o Clarity sem uma sessão válida de SSO. A autorização da agência é necessária, pois os usuários clientes do OWB e do MSP devem digitar o nome de usuário e a senha para autenticar sem SSO. Com a autorização da agência, a Broadcom fornece um terminal OData do Clarity para ativar a autenticação SSO; os usuários podem iniciar os clientes OWB ou MSP pelo
Clarity
.
(5) Autorização da agência necessária: as soluções aprovadas devem estar de acordo com os padrões de integração do FedRAMP. Entre em contato com a Broadcom ou com seu parceiro para obter mais informações.
Marcas GEL/CORE suportadas em FedRAMP
Local
Marcas FedRAMP
Ativado
FedRAMP
com.niku.pmo.gel.tags.BPAUpgrade
NÃO
FedRAMP
com.niku.union.gel.tags.ExprTag
NÃO
FedRAMP
com.niku.union.gel.tags.PropertyTag
NÃO
FedRAMP
com.niku.union.gel.tags.SetDataSourceTag
NÃO
FedRAMP
org.apache.commons.jelly.tags.sql.QueryTag
NÃO
FedRAMP
com.niku.union.gel.tags.CallPMDTag
SIM
FedRAMP
com.niku.union.gel.tags.IncludeTag
SIM
FedRAMP
com.niku.union.gel.tags.LogTag
SIM
FedRAMP
com.niku.union.gel.tags.NSQLTag
SIM
FedRAMP
com.niku.union.gel.tags.OutTag
SIM
FedRAMP
com.niku.union.gel.tags.ParseTag
SIM
FedRAMP
com.niku.union.gel.tags.PMDParameterTag
SIM
FedRAMP
com.niku.union.gel.tags.ScriptTag
SIM
FedRAMP
com.niku.union.gel.tags.SetTag
SIM
FedRAMP
com.niku.union.gel.tags.soap.InvokeTag
SIM
FedRAMP
com.niku.union.gel.tags.soap.MessageTag
SIM
FedRAMP
org.apache.commons.jelly.tags.core.CatchTag
SIM
FedRAMP
org.apache.commons.jelly.tags.core.ChooseTag
SIM
FedRAMP
org.apache.commons.jelly.tags.core.ForEachTag
SIM
FedRAMP
org.apache.commons.jelly.tags.core.IfTag
SIM
FedRAMP
org.apache.commons.jelly.tags.core.InvokeStaticTag
SIM
FedRAMP
org.apache.commons.jelly.tags.core.NewTag
SIM
FedRAMP
org.apache.commons.jelly.tags.core.OtherwiseTag
SIM
FedRAMP
org.apache.commons.jelly.tags.core.SetTag
SIM
FedRAMP
org.apache.commons.jelly.tags.core.WhenTag
SIM
FedRAMP
org.apache.commons.jelly.tags.sql.ParamTag
SIM
FedRAMP
com.niku.union.gel.tags.NSQLParameterTag
SIM
Perguntas frequentes
P1: Como as edições FedRAMP do
Clarity
diferem das principais edições comerciais?
R1: O
Clarity
está disponível em várias releases comerciais com ciclos de vida de suporte sobrepostos. O aplicativo pode ser implantado em ambientes locais, ambientes SaaS e ambientes hospedados com configurações de desenvolvimento, teste e produção. Nosso ATO do FedRAMP não se transfere a implantações no local. Para atender aos rigorosos requisitos de segurança do FedRAMP, alguns recursos do
Clarity
são desativados em ambientes FedRAMP. Consulte
Clarity
comercial vs. alternativas e diferenças nos recursos do FedRAMP
acima.
P2: O FedRAMP é preferencial ou obrigatório?
R2: Ambos. Os serviços de nuvem são
mais recomendados
devido à redução dos custos de infraestrutura, à melhor escalabilidade, aos recursos de DR (Disaster Recovery - Recuperação de Falhas) e a outros benefícios tecnológicos. Eles também são
obrigatórios
. Em 2010, o OMB (Office of Management and Budget) estabeleceu a política
Nuvem primeiro
para os departamentos federais. Os requisitos originais resultaram em uma mudança significativa em relação ao uso de ofertas de nuvem autorizadas. Atualmente, todos os departamentos e agências federais são
obrigadas
a usar os serviços de nuvem autorizados do FedRAMP.
P3: Por que um cliente comercial do
Clarity
mudaria para o serviço do FedRAMP?
R3: Os clientes comerciais do Clarity com requisitos de contrato federais para proteger informações não confidenciais controladas devem considerar o serviço do FedRAMP. Por exemplo, uma empresa aeronáutica busca expandir seus negócios de motor a jato para incluir aeronaves militares. O DFARS requer a proteção de informações orientadas à missão, não confidenciais e controladas, para o setor de armas (para atender a 125 controles).
P4: Até que ponto a Broadcom e o
Clarity
dão suporte às necessidades do FedRAMP?
R4: A Broadcom tem o compromisso de oferecer soluções autorizadas do FedRAMP. Você pode contar com o suporte robusto da Broadcom e da GSS. O
Clarity
obteve o status de autorizado pelo FedRAMP com ATO de agência de impacto moderado oficial do FedRAMP. Para obter mais informações, consulte a parte superior desta página.
P5: Como meus dados são criptografados no serviço do
Clarity
do FedRAMP?
R5: Todos os dados, estejam eles ativos ou inativos, são criptografados com o uso de módulos de criptografia validados pelo FIPS 140-2.
P6: O serviço do Clarity FedRAMP aceita acesso por cartão PIV/CAC nativo?
R6: No momento, não. Contudo, o serviço do Clarity FedRAMP aceita assertions do SAML provenientes de seu provedor de identidades (por exemplo, o Active Directory).
P7: Não temos certeza se precisamos do FedRAMP, mas devemos marcar a caixa de seleção em FISMA. Como devemos proceder?
R7: Você pode solicitar e usar o SSP do FedRAMP como orientação para o SSP local. No entanto, o ATO do
Clarity
do FedRAMP não é transferível para ambientes locais.
Q8: O aplicativo móvel do
Clarity
é suportado?
R8: Sim. Você pode usar a opção
Efetuar logon com o SSO
para usar o novo aplicativo móvel do Clarity com o serviço do FedRAMP.
P9: Os contratos do FedRAMP têm documentação de listagem de serviços SaaS separada?
R9: Sim, a documentação de listagem de serviços SaaS comercial atual foi atualizada para o FedRAMP.
P10: O serviço do
Clarity
do FedRAMP integra-se ao Rally local?
R10: Pela perspectiva da autenticação, as equipes de produto do Clarity e do Rally estão, no momento, testando se essa configuração com a "autenticação básica" (autenticação de fator único) funciona como esperado. Se a validação for positiva, a agência de implementação será necessária para a obtenção de uma autorização para implementar essa configuração. Com o tipo Integração de item de portfólio, o
Clarity
estabelece uma conexão com o Rally OP para obter os detalhes da execução do trabalho. As senhas do
Clarity
são criptografadas tanto no aplicativo quanto no banco de dados. No momento, o Rally local não oferece suporte às chaves de API nem ao tipo de integração de investimento.
P11: Qual suporte a integração está incluído na solução
Clarity
do FedRAMP?
R11: As integrações comerciais existentes não são suportadas. Contudo, algumas integrações herdadas de parceiros selecionados estão sendo revisadas para identificar um corpo de conhecimento com o intuito de atender aos requisitos de autenticação e transferência de dados do FedRAMP.
Q12: O
Clarity
está em conformidade com a seção 508?
O Clarity executa a validação de acessibilidade em cada release principal e conclui o requisito VPAT. Para obter uma cópia do VPAT atual, entre em contato com o representante de vendas da Broadcom.
P13: Como posso acessar a documentação do produto
Clarity
do FedRAMP?
R13: A documentação de segurança é solicitada pelo PMO. A documentação do produto
Clarity
voltada ao cliente está disponível em techdocs.broadcom.com.
P14: O Clarity para Fedramp limita sessões de usuário simultâneas?
R: No momento, não. Contudo, esse recurso é um item do roadmap do
Clarity
do FedRAMP que está sendo considerado para uma futura release.
Q15: O Clarity para FedRAMP oferece suporte a Unicode?
Sim. O Clarity oferece suporte a UTF8.
P15: O Clarity para FedRAMP oferece suporte à Nova experiência do usuário do Clarity?
Sim. A Nova experiência do usuário agora é suportada pelo Clarity for Fedramp.
P16: O Clarity para FedRAMP oferece suporte a APIs REST?
Sim. O Clarity para Fedramp oferece suporte a APIs REST. No entanto, as agências precisam usar as chaves de API no
Clarity
. Para saber mais sobre como usar chaves da API, consulte Autenticação com base em chaves.
FedRAMPlogo_FINAL_2017.png