Clarity
para FedRAMP

ccppmop1593
2
Anunciando o
Clarity
para FedRAMP:
a CA Technologies, uma empresa Broadcom, alcançou com êxito o status de ATO (Authorization to Operate - Autorização para Operar), endossado por um patrocinador, para agências federais e departamentos que pretendem adquirir serviços de nuvem. O
Clarity
está autorizado para o FedRAMP.
Visão geral do FedRAMP
O programa FedRAMP (Federal Risk and Authorization Management Program - Programa Federal de Gerenciamento de Autorização e Risco) fornece uma abordagem padrão para avaliação, autorização e monitoramento contínuo da segurança para produtos e serviços na nuvem. Essa abordagem usa uma estrutura eficiente que poupa tempo e custos previamente associados à execução de avaliações de segurança redundantes para a agência.
  • Segurança
    : fornece uma abordagem padrão para avaliação, autorização e monitoramento contínuo da segurança para produtos e serviços na nuvem.Agências federais e com base no governo precisam usar soluções com base na nuvem altamente seguras, que seguem níveis de segurança rigorosos, ao mesmo tempo que atendem as regulamentações de conformidade do governo dos EUA.
  • Obrigatório
    : todos os departamentos e agências federais precisam usar os serviços de nuvem autorizados do FedRAMP. O FedRAMP é obrigatório para implantações de nuvem e modelos de serviço de agências federais nos níveis de impacto baixo, moderado e de alto risco. As agências devem enviar um relatório trimestral mostrando qualquer um de seus serviços na nuvem que não atendam aos requisitos do FedRAMP com as devidas justificativas e as resoluções propostas para alcançar a conformidade.Implantações de nuvem privada destinadas a organizações únicas e totalmente implementadas em instalações federais são a única exceção.
  • Valor
    : a estrutura de
    faça uma vez e use muitas
    economiza custos, tempo e pessoal necessários para realizar avaliações redundantes de segurança da agência.
GSS (General Support System - Sistema de Suporte Geral) para FedRAMP da Broadcom
Como uma empresa de software corporativo, a CA Technologies, uma empresa Broadcom, implementou um GSS (General Support System - Sistema de Suporte Geral) para hospedar as ofertas SaaS do FedRAMP da Broadcom. Atualmente, o GSS está hospedado na nuvem SaaS Microsoft Azure Government e pode ser expandido para incluir outras ofertas de nuvem do governo autorizadas pelo FedRAMP.
O GSS implementa políticas e procedimentos comuns, ferramentas e serviços de autenticação que podem ser consumidos pelas ofertas de SaaS. Localizado nos Estados Unidos e operado por cidadãos norte-americanos empregados pela Broadcom, o GSS capacita nossas ofertas de SaaS a herdar mais de 70% dos 325 controles de segurança de linha de base moderados do FedRAMP para autorização inicial, monitoramento contínuo e custos de execução/operação.
Em 16 de abril de 2019, o
Clarity
adquiriu oficialmente de uma grande organização de pesquisa e assistência médica internacional sua designação ATO (Authorization to Operate - Autorização para Operar) da agência patrocinadora. O GSS é autorizado pelo FedRAMP desde 09 de julho de 2019.
História de liderança
: o
Clarity
é a primeira oferta SaaS da Broadcom a ser hospedada no GSS.
A imagem a seguir mostra os principais componentes do GSS:
image2019-5-7_19-42-46.png
Clarity
comercial vs. alternativas e diferenças nos recursos do FedRAMP
A tabela a seguir lista os recursos comerciais notáveis do
Clarity
e as diferenças ou alternativas do FedRAMP do
Clarity
:
Em ambientes FedRAMP, os portlets HTML não são suportados.
Recurso comercial
Alternativas do FedRAMP
Alvos da correção(3)
1
Suporte a XOG, GEL e NSQL
  • Use o XOG, GEL ou NSQL
  • Os administradores de aplicativos devem incluir a cláusula "@WHERE:SECURITY:" em suas consultas NSQL
  • Scripts GEL não podem usar a marca "sql:update" com instruções SQL de leitura/gravação.
  • Os scripts GEL podem usar a marca "nsql" para ler os dados
N/D
2
Aplicativos Jaspersoft Studio(2), CA JDBC Adapter e TIBCO JasperMobile para uso com o
Clarity
  • Use os recursos prontos para uso de geração de relatórios do JasperSoft no
    Clarity
    para obter relatórios ad-hoc, visualizações, tabelas e para programar relatórios
  • Use os relatórios de valor fornecidos com o
    Clarity
    .
  • Use o conteúdo dos relatórios avançados do PMO e do Acelerador de PMO.
  • Desenvolva portlets e painéis no
    Classic PPM
  • Estenda os campos padrão para projetos, recursos e outros domínios com atributos personalizados ou subobjetos criados no
    Clarity
    .
Sem alvo
: as ferramentas de cliente do JasperSoft, integradas ao
Clarity
, não oferecem suporte a SSO com a autenticação de vários fatores diretamente para o JasperSoft.
3
Acesso do OData ao data warehouse
  • Use a troca de arquivos simples por SFTP.
  • Isso é suportado por meio de fluxos de trabalho do
    Clarity
    ou scripts GEL.
Esse recurso é um item do roadmap do
Clarity
do FedRAMP que está sendo considerado para uma release futura. Entre em contato com o diretor de contas do
Clarity
para obter detalhes.
4
Integrações de terceiros e suporte a XOG (XML Open gateway) externo (4)
  • Os ambientes FedRAMP oferecem suporte às integrações usando SFTP como produto comercial. Portanto, a troca de dados usando a distribuição e a recuperação de arquivos simples é suportada.
  • Em um limite seguro, coloque um arquivo no servidor SFTP para distribuição de arquivo simples, o qual fará a autenticação usando a troca de chaves. Para saber mais, consulte Autenticação com base em chave.
  • Executar a importação/exportação do XOG usando scripts GEL
Esse recurso é um item do roadmap do
Clarity
do FedRAMP que está sendo considerado para uma release futura. Entre em contato com o diretor de contas do
Clarity
para obter detalhes.
5
Acesso direto ao banco de dados
  • Nenhuma solução alternativa devido a restrições do script GEL para marcas SQL (o acesso da VPN também não está disponível)
  • As marcas NSQL são suportadas onde os administradores de aplicativo incluem "@WHERE:SECURITY:"
  • O acesso à VPN também não está disponível
Sem alvo
6
Integração do
Clarity
às ferramentas de cliente do CA Open WorkBench (OWB) e do Microsoft Project (MSP)
  • Obtenha autorização para implementar essa configuração
  • Agendador nativo do
    Clarity
    , visualização de Gantt, EAP e recursos de gerenciamento de tarefas
Esse recurso é um item do roadmap do
Clarity
do FedRAMP que está sendo considerado para uma release futura. Entre em contato com o diretor de contas do
Clarity
para obter detalhes
7
Integração do
Clarity
ao Rally
  • Usar a edição local atual do Rally com o tipo de integração do item de portfólio e a autenticação básica
Esse recurso depende da introdução de um serviço FedRAMP no Rally.
(2) O JasperSoft Studio é usado para desenvolver relatórios mais avançados específicos do cliente.
(3) As datas alvo da correção estão sujeitas a alterações a qualquer momento, com ou sem aviso prévio.
(4) Os clientes OWB e MSP não podem autenticar com o
Clarity
sem uma sessão válida de SSO. A autorização da agência é necessária, pois os usuários clientes do OWB e do MSP devem digitar o nome de usuário e a senha para autenticar sem SSO.Com autorização da agência, a Broadcom fornece um terminal OData do
Clarity
para ativar a autenticação SSO; os usuários podem iniciar os clientes OWB ou MSP pelo
Clarity
.
Marcas GEL/CORE não suportadas no FedRAMP
As marcas GEL não são suportadas devido à possibilidade de acesso a dados não autorizado ou a questões ambientais. A equipe de operações de SaaS do FedRAMP trabalhará diretamente com agências ou parceiros de serviços para identificar as marcas GEL necessárias para uma implementação do
Clarity
em conformidade.
Local
Marcas FedRAMP
FedRAMP
com.niku.pmo.gel.tags.BPAUpgrade
FedRAMP
org.apache.commons.jelly.tags.sql.QueryTag
Perguntas frequentes
P1: Em que o SaaS FedRAMP do
Clarity
é diferente do SaaS Comercial do
Clarity
?
R1: O
Clarity
está disponível em várias releases comerciais com ciclos de vida de suporte sobrepostos. O aplicativo pode ser implantado em ambientes locais, ambientes SaaS e ambientes hospedados com configurações de desenvolvimento, teste e produção. Nosso ATO do FedRAMP não se transfere a implantações no local. Para atender aos rigorosos requisitos de segurança do FedRAMP, alguns recursos comerciais do
Clarity
são desativados em ambientes FedRAMP do
Clarity
. Consulte
Clarity
comercial vs. diferenças e alternativas do recurso FedRAMP, acima.
P2: O FedRAMP é preferencial ou obrigatório?
R2: Ambos. Os serviços de nuvem são
mais recomendados
devido à redução dos custos de infraestrutura, à melhor escalabilidade, aos recursos de DR (Disaster Recovery - Recuperação de Falhas) e a outros benefícios tecnológicos. Eles também são
obrigatórios
. Em 2010, o OMB (Office of Management and Budget) estabeleceu a política
Nuvem primeiro
para os departamentos federais. Os requisitos originais resultaram em uma mudança significativa em relação ao uso de ofertas de nuvem autorizadas. Atualmente, todos os departamentos e agências federais são
obrigadas
a usar os serviços de nuvem autorizados do FedRAMP.
P3: Por que um cliente do SaaS comercial do
Clarity
alternaria para o serviço FedRAMP?
R3: Os clientes comerciais do
Clarity
com requisitos de contrato federais para proteger informações sem classificação controladas devem considerar o serviço FedRAMP. Por exemplo, uma empresa aeronáutica busca expandir seus negócios de motor a jato para incluir aeronaves militares. O DFARS requer a proteção de informações orientadas à missão, não confidenciais e controladas, para o setor de armas (para atender a 125 controles).
P4: Até que ponto a Broadcom e o
Clarity
dão suporte às necessidades do FedRAMP?
R4: A Broadcom tem o compromisso de oferecer soluções autorizadas do FedRAMP. Você pode contar com o suporte robusto da Broadcom e da GSS. O
Clarity
obteve o status de autorizado pelo FedRAMP com ATO de agência de impacto moderado oficial do FedRAMP. Para obter mais informações, consulte a parte superior desta página.
P5: Como meus dados são criptografados no serviço do
Clarity
do FedRAMP?
R5: Todos os dados, estejam eles ativos ou inativos, são criptografados com o uso de módulos de criptografia validados pelo FIPS 140-2.
P6: O serviço FedRAMP do
Clarity
aceita acesso nativo por cartão PIV/CAC?
R6: Sim, o serviço FedRAMP do
Clarity
aceita assertions do SAML de um provedor de identidades. As agências são obrigadas a implementar estratégias de autenticação adequadas para oferecer suporte ao acesso por cartão PIV/CAC.
P7: Não temos certeza se precisamos do FedRAMP, mas devemos marcar a caixa de seleção em FISMA. Como devemos proceder?
R7: Você pode solicitar e usar o SSP do FedRAMP como orientação para o SSP local. No entanto, o ATO do
Clarity
do FedRAMP não é transferível para ambientes locais.
Q8: O aplicativo móvel do
Clarity
é suportado?
R8: Sim. O
Clarity
Mobile pode ser usado em um ambiente FedRAMP em conjunto com a opção de logon SSO.
P9: Os contratos do FedRAMP têm documentação de listagem de serviços SaaS separada?
R: Sim, a documentação de listagem de serviços SaaS do FedRAMP é disponibilizada mediante solicitação.
P10: O
Clarity
está em conformidade com a Seção 508?
O
Clarity
executa a validação de acessibilidade em cada release principal e conclui o requisito VPAT. Para obter uma cópia do VPAT atual, entre em contato com o representante de vendas da Broadcom.
P11: Como obtenho acesso à documentação SSP (System Security Package - Pacote de Segurança do Sistema) do FedRAMP no
Clarity
?
P12: O FedRAMP do
Clarity
limita as sessões de usuário simultâneas?
R: No momento, não. Contudo, esse recurso é um item do roadmap do
Clarity
do FedRAMP que está sendo considerado para uma futura release.
Q13: O FedRAMP no
Clarity
oferece suporte a Unicode?
Sim. O
Clarity
oferece suporte a UTF8.
P14: O FedRAMP no
Clarity
oferece suporte à Nova experiência do usuário do
Clarity
?
Sim. A Nova experiência do usuário agora é suportada pelo FedRAMP no
Clarity
.
P15: O FedRAMP no
Clarity
oferece suporte às APIs REST?
Sim. O FedRAMP no
Clarity
oferece suporte a APIs REST. No entanto, as agências precisam usar as chaves de API no
Clarity
. Para saber mais sobre como usar chaves da API, consulte Autenticação com base em chaves.
FedRAMPlogo_FINAL_2017.png