Clarity PPM für FedRAMP

ccppmop1571
2
Ankündigung von Clarity PPM für FedRAMP
: CA Technologies, ein Broadcom-Unternehmen, hat erfolgreich seinen durch einen Sponsor unterstützten ATO-Status (Authorization to operate, Autorisierung für den Betrieb) für Bundesbehörden und Abteilungen erhalten, die Cloud-Dienste bereitstellen. Clarity PPM ist FedRAMP-autorisiert.
FedRAMP-Übersicht
Das Federal Risk and Authorization Management Program (FedRAMP) bietet einen Standardansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten. Dieser Ansatz verwendet ein effizientes Framework, das Zeit und Kosten spart, die früher durch die Durchführung redundanter Sicherheitsbewertungen für Behörden entstanden.
  • Sicherheit
    : bietet einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten. Bundes- und Regierungsbehörden müssen äußerst sichere Cloud-basierte Lösungen verwenden, die den strengen Sicherheitsanforderungen entsprechen und gleichzeitig die US-amerikanischen gesetzlichen Compliance-Vorschriften einhalten.
  • Obligatorisch
    : Alle Bundesbehörden und Abteilungen sind verpflichtet, FedRAMP-autorisierte Cloud-Dienste zu verwenden. FedRAMP ist obligatorisch für Cloud-Bereitstellungen und -Dienstmodelle von Bundesbehörden bei Auswirkungsstufen mit niedrigem, moderatem und hohem Risiko. Die Behörden müssen einen Quartalsbericht vorlegen, in dem alle Cloud-Dienste aufgeführt werden, die die FedRAMP-Anforderungen nicht erfüllen, mit der entsprechenden Begründung und Lösungsvorschlägen, um Compliance zu erzielen. Private Cloud-Bereitstellungen, die für einzelne Organisationen gedacht und vollständig in Bundeseinrichtungen implementiert sind, sind die einzige Ausnahme.
  • Wert
    : Das Framework,
    mit dem einmal ausgeführte Arbeit immer wieder verwendet werden kann
    , spart Kosten, Zeit und Mitarbeiter, da keine redundanten Sicherheitsbewertungen für Behörden durchgeführt werden müssen.
Allgemeines Support-System (GSS) von Broadcom für FedRAMP
Als Portfoliosoftware-Unternehmen hat CA Technologies, ein Broadcom-Unternehmen, ein allgemeines Support-System (GSS) implementiert, um FedRAMP-SaaS-Angebote von Broadcom zu hosten. GSS befindet sich derzeit in der Microsoft Azure-IaaS-Cloud der Regierung und kann erweitert werden, um andere FedRAMP-autorisierte Cloud-Angebote für die Regierung einzuschließen.
GSS implementiert allgemeine Richtlinien und Verfahren, Tools und Authentifizierungsdienste, die von den SaaS-Angeboten genutzt werden können. GSS wird in den USA gehostet und von US-amerikanischen Bürgern, die bei Broadcom angestellt sind, betrieben und unterstützt auf diese Weise unsere SaaS-Angebote dabei, mehr als 70 Prozent der 325 moderaten FedRAMP-Baseline-Sicherheitskontrollen für die anfängliche Autorisierung, die kontinuierliche Überwachung und die Betriebskosten zu übernehmen.
Am 16. April 2019 erhielt Clarity PPM offiziell die von einem Sponsor unterstützte ATO-Kennzeichnung von einer großen internationalen Gesundheits- und Forschungsorganisation. GSS ist seit dem 09. Juli 2019 FedRAMP-autorisiert.
Führend
: Clarity PPM ist das erste SaaS-Angebot von Broadcom, das auf dem GSS gehostet wird.
Die folgende Abbildung zeigt die Hauptkomponenten im GSS:
image2019-5-7_19-42-46.png
Unterschiede zwischen kommerziellen Clarity PPM-Funktionen und FedRAMP-Funktionen und Alternativen
In der folgenden Tabelle sind die wesentlichen Unterschiede zwischen der kommerziellen Version und der FedRAMP-Version von Clarity PPM aufgeführt:
HTML-Portlets werden in FedRAMP-Umgebungen ebenfalls nicht unterstützt
.
Funktion (1)
Verfügbare Alternativen
Korrekturziele(3)
1
Clarity PPM
"Neue Benutzererfahrung"
  • Bis diese Funktion unterstützt wird, bleibt sie deaktiviert.
  • Verwenden Sie PPM (klassisch).
  • Wenden Sie das Phoenix-Benutzeroberflächenthema für eine modernere Benutzererfahrung an.
Diese Funktion ist ein Element auf der Clarity PPM-FedRAMP-Roadmap, die für eine zukünftige Version in Erwägung gezogen wird. Weitere Informationen erhalten Sie von Ihrem Clarity PPM-Account Director.
2
REST-API-Unterstützung
  • XOG, GEL oder NSQL. Anwendungsadministratoren müssen die Klausel "@WHERE:SECURITY:" in ihre NSQL-Abfragen einschließen.
  • Auf die REST-API kann aufgrund fehlenden Schlüsselaustauschs und fehlender SSO-Unterstützung nicht extern zugegriffen werden.
  • GEL-Skripte können das Tag "sql:update" nicht mit SQL-Anweisungen für Lese-/Schreibzugriff verwenden.
  • GEL-Skripte können das Tag "nsql" verwenden, um Daten zu lesen.
Diese Funktion ist ein Element auf der Clarity PPM-FedRAMP-Roadmap, die für eine zukünftige Version in Erwägung gezogen wird. Weitere Informationen erhalten Sie von Ihrem Clarity PPM-Account Director.
3
Jaspersoft Studio(2), CA JDBC Adapter und TIBCO JasperMobile-App für die Verwendung mit Clarity PPM
  • Verwenden Sie die integrierten Jaspersoft-Berichterstellungsfunktionen in Clarity PPM für Ad-hoc-Berichte, Ansichten, Tabellen und zum Planen von Berichten.
  • Verwenden Sie die Standardberichte, die in Clarity bereitgestellt werden.
  • Verwenden Sie die Inhalte von PMO Accelerator und der erweiterten PMO-Berichterstellung.
  • Entwickeln Sie Portlets und Dashboards in PPM Studio (klassisch).
  • Vergrößern Sie die Standardfelder für Projekte, Ressourcen und andere Domänen mit benutzerdefinierten Attributen oder Unterobjekten, die in Clarity erstellt wurden.
Kein Ziel
: Jaspersoft-Client-Tools unterstützen SSO nicht mit Multi-Faktor-Authentifizierung. Das Erstellen von Berichten mithilfe der REST-API wird in Jaspersoft Studio nicht unterstützt.
4
OData-Zugriff auf das Data Warehouse
  • Flatfile-Austausch über SFTP (wird nur mit Clarity PPM-Workflows oder GEL-Skripten unterstützt)
Diese Funktion ist ein Element auf der Clarity PPM-FedRAMP-Roadmap, die für eine zukünftige Version in Erwägung gezogen wird. Weitere Informationen erhalten Sie von Ihrem Clarity PPM-Account Director.
5
Integrationen von Drittanbietern (Anpassungen)
  • ODATA-Endpunkte und SOAP-Aufrufe an den Dienst werden in der Regel nicht unterstützt.
  • Integrationen sind möglicherweise mit einer Autorisierung durch die Behörde möglich.
Autorisierung durch die Behörde erforderlich
(5)
6
Externer Support für XML Open Gateway (XOG)
  • FedRAMP-Umgebungen unterstützen die gleichen Integrationen mit SFTP wie das kommerzielle Produkt. Der Datenaustausch mit Flatfile-Ablage und -Abruf wird daher unterstützt. (In einer sicheren Begrenzung platzieren Sie eine Datei auf dem SFTP-Server als Flatfile-Ablage, die durch einen
    Schlüsselaustausch
    authentifiziert wird.)
  • Führen Sie XOG-Importe/-Exporte mithilfe von GEL-Skripten durch.
Diese Funktion ist ein Element auf der Clarity PPM-FedRAMP-Roadmap, die für eine zukünftige Version in Erwägung gezogen wird. Weitere Informationen erhalten Sie von Ihrem Clarity PPM-Account Director.
7
Direkter Datenbankzugriff
  • Keine Umgehungslösung aufgrund von GEL-Skripteinschränkungen für SQL-Tags (VPN-Zugriff ist ebenfalls nicht verfügbar)
Kein Ziel
8
Clarity PPM-Integration in CA Open Workbench (OWB) und Microsoft Project (MSP)-Client-Tools
  • Fordern Sie eine Autorisierung an, um diese Konfiguration zu implementieren.
  • Systemeigener Clarity PPM-Scheduler, Gantt-Ansicht, PSP und Funktionen für Aufgabenmanagement
Autorisierung durch die Behörde erforderlich
(4)(5)
9
Clarity PPM-Integration in Rally
  • Verwenden Sie die aktuelle On-Premise-Edition von Rally mit dem Portfolioelement-Integrationstyp und der Basisauthentifizierung.
Autorisierung durch die Behörde erforderlich
(5)
10
CA Productivity Accelerator
  • Derzeit keine Umgehungslösung
Kein Ziel
: Eine Lösung wird untersucht.
11
ODUM-SaaS-Hilfsprogramm und SaaS-Integrationsadapter
  • Der Datenaustausch wird von Flatfile-Ablage und -Abruf unterstützt, z. B. für das Laden von Ressourcen. Platzieren Sie innerhalb einer sicheren Begrenzung eine Datei auf dem SFTP-Server als Flatfile-Ablage, die durch einen
    Schlüsselaustausch
    authentifiziert wird.
  • Führen Sie XOG-Importe/-Exporte mithilfe von GEL-Skripten durch.
  • FedRAMP-Editionen von Clarity PPM unterstützen SAML 2.0.
Kein Ziel
: Siehe
Verfügbare Alternativen
.
(1) Die in dieser Spalte aufgeführten Funktionen sind in FedRAMP-konformen Editionen von CA Clarity PPM nicht verfügbar.
(2) Jaspersoft Studio wird verwendet, um erweiterte kundenspezifische Berichte zu erstellen.
(3) Das Datum für das Korrekturziel kann jederzeit mit oder ohne vorherige Ankündigung geändert werden.
(4) OWB- und MSP-Clients können ohne gültige SSO-Sitzung nicht für Clarity authentifiziert werden. Die Autorisierung durch die Behörde ist erforderlich, da OWB- und MSP-Client-Benutzer ihren Benutzernamen und ihr Kennwort eingeben müssen, um sich ohne SSO zu authentifizieren. Bei der Autorisierung durch die Behörde stellt Broadcom einen Clarity OData-Endpunkt bereit, um die SSO-Authentifizierung zu ermöglichen. Benutzer können OWB- oder MSP-Clients über Clarity PPM aufrufen.
(5) Autorisierung durch die Behörde erforderlich: Alle genehmigten Lösungen müssen den FedRAMP-Integrationsstandards entsprechen. Weitere Informationen erhalten Sie von Broadcom oder Ihrem Partner.
Häufig gestellte Fragen
F1: Wie unterscheiden sich die FedRAMP-Editionen von CA Clarity PPM von den normalen kommerziellen Editionen?
A1: Clarity PPM ist in mehreren kommerziellen Versionen mit sich überschneidenden Support-Lebenszyklen verfügbar. Die Anwendung kann in On-Premise-Umgebungen, SaaS-Umgebungen und gehosteten Umgebungen mit Entwicklungs-, Test- und Produktionskonfigurationen bereitgestellt werden. Unsere FedRAMP-ATO wird nicht an On-Premise-Bereitstellungen übertragen. Nur die SaaS-Version von Clarity PPM 15.5.1 ist für FedRAMP zertifiziert. Um die hohen FedRAMP-Sicherheitsanforderungen zu erfüllen, sind einige PPM-Funktionen in FedRAMP-Umgebungen deaktiviert. Weitere Informationen finden Sie unter
Unterschiede zwischen kommerziellen Clarity PPM-Funktionen und FedRAMP-Funktionen und Alternativen
oben.
F2: Ist FedRAMP bevorzugt oder erforderlich?
A2: Beides. Cloud-Dienste werden aufgrund ihrer reduzierten Infrastrukturkosten, besseren Skalierbarkeit, Disaster Recovery (DR)-Funktionen und anderer technischer Vorteile
bevorzugt
. Sie sind jedoch auch
erforderlich
. 2010 hat das Office of Management and Budget (OMB) eine
Cloud First
-Richtlinie für Abteilungen von Bundesbehörden erlassen. Die ursprünglichen Anforderungen haben dazu geführt, dass die Verwendung autorisierter Cloud-Angebote erheblich zugenommen hat. Heute ist es
erforderlich
, dass alle Abteilungen und Behörden auf Bundesebene FedRAMP-autorisierte Cloud-Dienste verwenden.
F3: Warum sollte ein Kunde, der die kommerzielle Clarity PPM-Edition verwendet, zum FedRAMP-Dienst wechseln?
A3: Kunden, die die kommerzielle Clarity-Edition verwenden und Anforderungen aus Verträgen mit Bundesbehörden zum Schutz kontrollierter, nicht klassifizierter Informationen erfüllen müssen, sollten den FedRAMP-Dienst in Erwägung ziehen. Beispiel: Ein Luft- und Raumfahrtunternehmen möchte seinen Geschäftsbereich für Flugzeugtriebwerke auf Militärflugzeuge ausdehnen. DFARS erfordert den Schutz kontrollierter, nicht klassifizierter, missionsorientierter Informationen für Waffensysteme (um 125 Kontrollen zu erfüllen).
F4: In welchem Umfang unterstützen Broadcom und Clarity PPM meine FedRAMP-Anforderungen?
A4: Broadcom verpflichtet sich, FedRAMP-autorisierte Lösungen anzubieten. Sie können sich auf zuverlässigen Support von Broadcom und GSS verlassen. Clarity PPM hat einen autorisierten FedRAMP-Status mit einer offiziellen FedRAMP-Agency-ATO mit moderater Auswirkungsebene erhalten. Weitere Informationen finden Sie oben auf dieser Seite.
F5: Wie werden meine Daten im Clarity PPM-FedRAMP-Dienst verschlüsselt?
A5: Alle übertragenen Daten und Daten im Ruhezustand werden mit FIPS 140-2-validierten Verschlüsselungsmodulen verschlüsselt.
F6: Akzeptiert der Clarity-FedRAMP-Dienst einen systemeigenen PIV/CAC-Kartenzugriff?
A6: Derzeit nicht. Der Clarity-FedRAMP-Dienst akzeptiert jedoch SAML-Assertionen von Ihrem Identitätsanbieter (z. B. Active Directory).
F7: Wir sind nicht sicher, ob wir FedRAMP benötigen, müssen jedoch das Kontrollkästchen für FISMA aktivieren. Was können wir tun?
A7: Sie können einen FedRAMP-SSP (System Security Plan) als Leitfaden für einen On-Premise-SSP anfordern und verwenden. Die Clarity PPM-FedRAMP-ATO kann jedoch nicht auf On-Premise-Umgebungen übertragen werden.
F8: Wird die Clarity PPM Mobile App unterstützt?
A8: Ja. Sie können die Option
Mit SSO anmelden
verwenden, um die neue mobile Clarity-App mit dem FedRAMP-Dienst zu verwenden.
F9: Gibt es für FedRAMP-Verträge eine separate Dokumentation für SaaS-Dienstauflistungen?
A: Ja, die aktuelle Dokumentation für kommerzielle SaaS-Dienstauflistungen wurde für FedRAMP aktualisiert.
F10: Kann der Clarity PPM-FedRAMP-Dienst in Rally On-Premise integriert werden?
A10: Hinsichtlich der Authentifizierung testen die Clarity/Rally-Produktteams derzeit, ob diese Konfiguration mithilfe der "Basisauthentifizierung" (Ein-Faktor-Authentifizierung) erwartungsgemäß funktioniert. Sollte das Ergebnis der Validierung positiv ausfallen, muss die implementierende Behörde eine Autorisierung zur Implementierung dieser Konfiguration anfordern. Mithilfe des Portfolioelement-Integrationstyps stellt Clarity PPM eine Verbindung mit Rally OP her, um Details zur Arbeitsausführung abzurufen. Clarity PPM-Kennwörter werden sowohl in der Anwendung als auch in der Datenbank verschlüsselt. Derzeit unterstützt Rally On-Premise keine API-Schlüssel oder den Integrationstyp "Investition".
F11: Welcher Integrationssupport ist in der Clarity PPM-FedRAMP-Lösung enthalten?
A: Vorhandene kommerzielle Integrationen werden nicht unterstützt. Einige Legacy-Integrationen von ausgewählten Partnern werden jedoch überprüft, um ein umfassendes Wissen für die Einhaltung von FedRAMP-Authentifizierungs- und Datenübertragungsanforderungen zu identifizieren.
F12: Ist Clarity PPM mit Abschnitt 508 konform?
A: Ja, die aktuelle Voluntary Product Accessibility Template (VPAT) für CA Project and Portfolio Manager 13.3, 14.x und 15. x ist auf Anfrage verfügbar. Unsere aktuelle VPAT-Zertifizierung bezieht sich ausschließlich auf die klassische Benutzeroberflächen-Funktionalität, die sich seit der letzten Änderung in 2015, als wir die
"Neue Benutzererfahrung"
-Transformation begonnen haben, nicht wesentlich geändert hat. Allerdings haben sich die Standards für die VPAT-Compliance-Tests geändert. Das Clarity PPM-Produktteam arbeitet derzeit eine Liste mit konkreten Korrekturelementen ab, die für die Einhaltung der neuen Teststandards erforderlich sind. Vorläufig ist geplant, die zugehörigen Fixes in die Clarity PPM-Version aufzunehmen, die für FYQ1 2020 vorgesehen ist. Der Korrekturaufwand bezieht sich nur auf die Funktionen von PPM (klassisch).
F13: Wie erhalte ich Zugriff auf die Clarity PPM-FedRAMP-Produktdokumentation?
A: Die Sicherheitsdokumentation wird vom PMO angefordert. Die kundenorientierte Produktdokumentation für Clarity PPM finden Sie unter techdocs.broadcom.com.
F14: Schränkt Clarity für FedRAMP gleichzeitige Benutzersitzungen ein?
A: Derzeit nicht. Diese Funktion ist jedoch ein Element auf der Clarity PPM-FedRAMP-Roadmap, die für eine zukünftige Version in Erwägung gezogen wird.
FedRAMPlogo_FINAL_2017.png