Clarity
für FedRAMP

ccppmop1581
2
Ankündigung von
Clarity
für FedRAMP
: CA Technologies, ein Broadcom-Unternehmen, hat erfolgreich seinen durch einen Sponsor unterstützten ATO-Status (Authorization to operate, Autorisierung für den Betrieb) für Bundesbehörden und Abteilungen erhalten, die Cloud-Dienste bereitstellen.
Clarity
ist FedRAMP-autorisiert.
FedRAMP-Übersicht
Das Federal Risk and Authorization Management Program (FedRAMP) bietet einen Standardansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten. Dieser Ansatz verwendet ein effizientes Framework, das Zeit und Kosten spart, die früher durch die Durchführung redundanter Sicherheitsbewertungen für Behörden entstanden.
  • Sicherheit
    : bietet einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten. Bundes- und Regierungsbehörden müssen äußerst sichere Cloud-basierte Lösungen verwenden, die den strengen Sicherheitsanforderungen entsprechen und gleichzeitig die US-amerikanischen gesetzlichen Compliance-Vorschriften einhalten.
  • Obligatorisch
    : Alle Bundesbehörden und Abteilungen sind verpflichtet, FedRAMP-autorisierte Cloud-Dienste zu verwenden. FedRAMP ist obligatorisch für Cloud-Bereitstellungen und -Dienstmodelle von Bundesbehörden bei Auswirkungsstufen mit niedrigem, moderatem und hohem Risiko. Die Behörden müssen einen Quartalsbericht vorlegen, in dem alle Cloud-Dienste aufgeführt werden, die die FedRAMP-Anforderungen nicht erfüllen, mit der entsprechenden Begründung und Lösungsvorschlägen, um Compliance zu erzielen. Private Cloud-Bereitstellungen, die für einzelne Organisationen gedacht und vollständig in Bundeseinrichtungen implementiert sind, sind die einzige Ausnahme.
  • Wert
    : Das Framework,
    mit dem einmal ausgeführte Arbeit immer wieder verwendet werden kann
    , spart Kosten, Zeit und Mitarbeiter, da keine redundanten Sicherheitsbewertungen für Behörden durchgeführt werden müssen.
Allgemeines Support-System (GSS) von Broadcom für FedRAMP
Als Portfoliosoftware-Unternehmen hat CA Technologies, ein Broadcom-Unternehmen, ein allgemeines Support-System (GSS) implementiert, um FedRAMP-SaaS-Angebote von Broadcom zu hosten. GSS befindet sich derzeit in der Microsoft Azure-IaaS-Cloud der Regierung und kann erweitert werden, um andere FedRAMP-autorisierte Cloud-Angebote für die Regierung einzuschließen.
GSS implementiert allgemeine Richtlinien und Verfahren, Tools und Authentifizierungsdienste, die von den SaaS-Angeboten genutzt werden können. GSS wird in den USA gehostet und von US-amerikanischen Bürgern, die bei Broadcom angestellt sind, betrieben und unterstützt auf diese Weise unsere SaaS-Angebote dabei, mehr als 70 Prozent der 325 moderaten FedRAMP-Baseline-Sicherheitskontrollen für die anfängliche Autorisierung, die kontinuierliche Überwachung und die Betriebskosten zu übernehmen.
Am 16. April 2019 erhielt
Clarity
offiziell die von einem Sponsor unterstützte ATO-Kennzeichnung von einer großen internationalen Gesundheits- und Forschungsorganisation. GSS ist seit dem 09. Juli 2019 FedRAMP-autorisiert.
Führend
:
Clarity
ist das erste SaaS-Angebot von Broadcom, das auf dem GSS gehostet wird.
Die folgende Abbildung zeigt die Hauptkomponenten im GSS:
image2019-5-7_19-42-46.png
Unterschiede zwischen kommerziellen
Clarity
-Funktionen und FedRAMP-Funktionen und Alternativen
In der folgenden Tabelle sind die wesentlichen Unterschiede zwischen der kommerziellen
Clarity
-Version und der FedRAMP-Version von
Clarity
aufgeführt:
HTML-Portlets werden in FedRAMP-Umgebungen ebenfalls nicht unterstützt
.
Funktion (1)
Verfügbare Alternativen
Korrekturziele(3)
1
"Neue Benutzererfahrung" von Clarity
  • Bis diese Funktion unterstützt wird, bleibt sie deaktiviert.
  • Verwenden Sie "Neue Benutzererfahrung" von
    Classic PPM
    .
  • Wenden Sie das Phoenix-Benutzeroberflächenthema für eine modernere Benutzererfahrung an.
Diese Funktion ist ein Element auf der
Clarity
-FedRAMP-Roadmap, die für eine zukünftige Version in Erwägung gezogen wird. Weitere Informationen erhalten Sie von Ihrem
Clarity
-Account Director.
2
REST-API-Unterstützung
  • XOG, GEL oder NSQL. Anwendungsadministratoren müssen die Klausel "@WHERE:SECURITY:" in ihre NSQL-Abfragen einschließen.
  • Auf die REST-API kann aufgrund fehlenden Schlüsselaustauschs und fehlender SSO-Unterstützung nicht extern zugegriffen werden.
  • GEL-Skripte können das Tag "sql:update" nicht mit SQL-Anweisungen für Lese-/Schreibzugriff verwenden.
  • GEL-Skripte können das Tag "nsql" verwenden, um Daten zu lesen.
Diese Funktion ist ein Element auf der
Clarity
-FedRAMP-Roadmap, die für eine zukünftige Version in Erwägung gezogen wird. Weitere Informationen erhalten Sie von Ihrem
Clarity
-Account Director.
3
Jaspersoft Studio(2), CA JDBC Adapter und TIBCO JasperMobile-App für die Verwendung mit
Clarity
  • Verwenden Sie die integrierten Jaspersoft-Berichterstellungsfunktionen in
    Clarity
    für Ad-hoc-Berichte, Ansichten, Tabellen und zum Planen von Berichten.
  • Verwenden Sie die Standardberichte, die in Clarity bereitgestellt werden.
  • Verwenden Sie die Inhalte von PMO Accelerator und der erweiterten PMO-Berichterstellung.
  • Entwickeln von Portlets und Dashboards in
    Classic PPM
    Studio
  • Vergrößern Sie die Standardfelder für Projekte, Ressourcen und andere Domänen mit benutzerdefinierten Attributen oder Unterobjekten, die in Clarity erstellt wurden.
Kein Ziel
: Jaspersoft-Client-Tools unterstützen SSO nicht mit Multi-Faktor-Authentifizierung. Das Erstellen von Berichten mithilfe der REST-API wird in Jaspersoft Studio nicht unterstützt.
4
OData-Zugriff auf das Data Warehouse
  • Flatfile-Austausch über SFTP (wird nur mit
    Clarity
    -Workflows oder GEL-Skripten unterstützt)
Diese Funktion ist ein Element auf der
Clarity
-FedRAMP-Roadmap, die für eine zukünftige Version in Erwägung gezogen wird. Weitere Informationen erhalten Sie von Ihrem
Clarity
-Account Director.
5
Integrationen von Drittanbietern (Anpassungen)
  • ODATA-Endpunkte und SOAP-Aufrufe an den Dienst werden in der Regel nicht unterstützt.
  • Integrationen sind möglicherweise mit einer Autorisierung durch die Behörde möglich.
Autorisierung durch die Behörde erforderlich
(5)
6
Externer Support für XML Open Gateway (XOG)
  • FedRAMP-Umgebungen unterstützen die gleichen Integrationen mit SFTP wie das kommerzielle Produkt. Der Datenaustausch mit Flatfile-Ablage und -Abruf wird daher unterstützt. (In einer sicheren Begrenzung platzieren Sie eine Datei auf dem SFTP-Server als Flatfile-Ablage, die durch einen
    Schlüsselaustausch
    authentifiziert wird.)
  • Führen Sie XOG-Importe/-Exporte mithilfe von GEL-Skripten durch.
Diese Funktion ist ein Element auf der
Clarity
-FedRAMP-Roadmap, die für eine zukünftige Version in Erwägung gezogen wird. Weitere Informationen erhalten Sie von Ihrem
Clarity
-Account Director.
7
Direkter Datenbankzugriff
  • Keine Umgehungslösung aufgrund von GEL-Skripteinschränkungen für SQL-Tags (VPN-Zugriff ist ebenfalls nicht verfügbar)
Kein Ziel
8
Clarity
-Integration in CA Open Workbench (OWB) und Microsoft Project (MSP)-Client-Tools
  • Fordern Sie eine Autorisierung an, um diese Konfiguration zu implementieren.
  • Systemeigener
    Clarity
    -Scheduler, Gantt-Ansicht, PSP und Funktionen für Aufgabenmanagement
Autorisierung durch die Behörde erforderlich
(4)(5)
9
Clarity
-Integration in Rally
  • Verwenden Sie die aktuelle On-Premise-Edition von Rally mit dem Portfolioelement-Integrationstyp und der Basisauthentifizierung.
Autorisierung durch die Behörde erforderlich
(5)
10
CA Productivity Accelerator
  • Derzeit keine Umgehungslösung
Kein Ziel
: Eine Lösung wird untersucht.
11
ODUM-SaaS-Hilfsprogramm und SaaS-Integrationsadapter
  • Der Datenaustausch wird von Flatfile-Ablage und -Abruf unterstützt, z. B. für das Laden von Ressourcen. Platzieren Sie innerhalb einer sicheren Begrenzung eine Datei auf dem SFTP-Server als Flatfile-Ablage, die durch einen
    Schlüsselaustausch
    authentifiziert wird.
  • Führen Sie XOG-Importe/-Exporte mithilfe von GEL-Skripten durch.
  • FedRAMP-Editionen von
    Clarity
    unterstützen SAML 2.0.
Kein Ziel
: Siehe
Verfügbare Alternativen
.
(1) Die in dieser Spalte aufgeführten Funktionen sind in FedRAMP-konformen Editionen von
Clarity
nicht verfügbar.
(2) Jaspersoft Studio wird verwendet, um erweiterte kundenspezifische Berichte zu erstellen.
(3) Das Datum für das Korrekturziel kann jederzeit mit oder ohne vorherige Ankündigung geändert werden.
(4) OWB- und MSP-Clients können ohne gültige SSO-Sitzung nicht für Clarity authentifiziert werden. Die Autorisierung durch die Behörde ist erforderlich, da OWB- und MSP-Client-Benutzer ihren Benutzernamen und ihr Kennwort eingeben müssen, um sich ohne SSO zu authentifizieren. Bei der Autorisierung durch die Behörde stellt Broadcom einen Clarity OData-Endpunkt bereit, um die SSO-Authentifizierung zu ermöglichen. Benutzer können OWB- oder MSP-Clients über
Clarity
aufrufen.
(5) Autorisierung durch die Behörde erforderlich: Alle genehmigten Lösungen müssen den FedRAMP-Integrationsstandards entsprechen. Weitere Informationen erhalten Sie von Broadcom oder Ihrem Partner.
Häufig gestellte Fragen
F1: Wie unterscheiden sich die FedRAMP-Editionen von
Clarity
von den normalen kommerziellen Editionen?
A1:
Clarity
ist in mehreren kommerziellen Versionen mit sich überschneidenden Support-Lebenszyklen verfügbar. Die Anwendung kann in On-Premise-Umgebungen, SaaS-Umgebungen und gehosteten Umgebungen mit Entwicklungs-, Test- und Produktionskonfigurationen bereitgestellt werden. Unsere FedRAMP-ATO wird nicht an On-Premise-Bereitstellungen übertragen. Nur die SaaS-Version von
Clarity
15.5.1 ist für FedRAMP zertifiziert. Um die hohen FedRAMP-Sicherheitsanforderungen zu erfüllen, sind einige
Clarity
-Funktionen in FedRAMP-Umgebungen deaktiviert. Weitere Informationen finden Sie oben unter
Unterschiede zwischen kommerziellen
Clarity
-Funktionen und FedRAMP-Funktionen und Alternativen
.
F2: Ist FedRAMP bevorzugt oder erforderlich?
A2: Beides. Cloud-Dienste werden aufgrund ihrer reduzierten Infrastrukturkosten, besseren Skalierbarkeit, Disaster Recovery (DR)-Funktionen und anderer technischer Vorteile
bevorzugt
. Sie sind jedoch auch
erforderlich
. 2010 hat das Office of Management and Budget (OMB) eine
Cloud First
-Richtlinie für Abteilungen von Bundesbehörden erlassen. Die ursprünglichen Anforderungen haben dazu geführt, dass die Verwendung autorisierter Cloud-Angebote erheblich zugenommen hat. Heute ist es
erforderlich
, dass alle Abteilungen und Behörden auf Bundesebene FedRAMP-autorisierte Cloud-Dienste verwenden.
F3: Warum sollte ein Kunde, der die kommerzielle
Clarity
-Edition verwendet, zum FedRAMP-Dienst wechseln?
A3: Kunden, die die kommerzielle Clarity-Edition verwenden und Anforderungen aus Verträgen mit Bundesbehörden zum Schutz kontrollierter, nicht klassifizierter Informationen erfüllen müssen, sollten den FedRAMP-Dienst in Erwägung ziehen. Beispiel: Ein Luft- und Raumfahrtunternehmen möchte seinen Geschäftsbereich für Flugzeugtriebwerke auf Militärflugzeuge ausdehnen. DFARS erfordert den Schutz kontrollierter, nicht klassifizierter, missionsorientierter Informationen für Waffensysteme (um 125 Kontrollen zu erfüllen).
F4: In welchem Umfang unterstützen Broadcom und
Clarity
meine FedRAMP-Anforderungen?
A4: Broadcom verpflichtet sich, FedRAMP-autorisierte Lösungen anzubieten. Sie können sich auf zuverlässigen Support von Broadcom und GSS verlassen.
Clarity
hat einen autorisierten FedRAMP-Status mit einer offiziellen FedRAMP-Agency-ATO mit moderater Auswirkungsebene erhalten. Weitere Informationen finden Sie oben auf dieser Seite.
F5: Wie werden meine Daten im
Clarity
-FedRAMP-Dienst verschlüsselt?
A5: Alle übertragenen Daten und Daten im Ruhezustand werden mit FIPS 140-2-validierten Verschlüsselungsmodulen verschlüsselt.
F6: Akzeptiert der Clarity-FedRAMP-Dienst einen systemeigenen PIV/CAC-Kartenzugriff?
A6: Derzeit nicht. Der Clarity-FedRAMP-Dienst akzeptiert jedoch SAML-Assertionen von Ihrem Identitätsanbieter (z. B. Active Directory).
F7: Wir sind nicht sicher, ob wir FedRAMP benötigen, müssen jedoch das Kontrollkästchen für FISMA aktivieren. Was können wir tun?
A7: Sie können einen FedRAMP-SSP (System Security Plan) als Leitfaden für einen On-Premise-SSP anfordern und verwenden. Die
Clarity
-FedRAMP-ATO kann jedoch nicht auf On-Premise-Umgebungen übertragen werden.
F8: Wird die
Clarity
Mobile App unterstützt?
A8: Ja. Sie können die Option
Mit SSO anmelden
verwenden, um die neue mobile Clarity-App mit dem FedRAMP-Dienst zu verwenden.
F9: Gibt es für FedRAMP-Verträge eine separate Dokumentation für SaaS-Dienstauflistungen?
A: Ja, die aktuelle Dokumentation für kommerzielle SaaS-Dienstauflistungen wurde für FedRAMP aktualisiert.
F10: Kann der
Clarity
-FedRAMP-Dienst in Rally On-Premise integriert werden?
A10: Hinsichtlich der Authentifizierung testen die Clarity/Rally-Produktteams derzeit, ob diese Konfiguration mithilfe der "Basisauthentifizierung" (Ein-Faktor-Authentifizierung) erwartungsgemäß funktioniert. Sollte das Ergebnis der Validierung positiv ausfallen, muss die implementierende Behörde eine Autorisierung zur Implementierung dieser Konfiguration anfordern. Mithilfe des Portfolioelement-Integrationstyps stellt
Clarity
eine Verbindung mit Rally OP her, um Details zur Arbeitsausführung abzurufen.
Clarity
-Kennwörter werden sowohl in der Anwendung als auch in der Datenbank verschlüsselt. Derzeit unterstützt Rally On-Premise keine API-Schlüssel oder den Integrationstyp "Investition".
F11: Welcher Integrationssupport ist in der
Clarity
-FedRAMP-Lösung enthalten?
A: Vorhandene kommerzielle Integrationen werden nicht unterstützt. Einige Legacy-Integrationen von ausgewählten Partnern werden jedoch überprüft, um ein umfassendes Wissen für die Einhaltung von FedRAMP-Authentifizierungs- und Datenübertragungsanforderungen zu identifizieren.
F12: Ist
Clarity
mit Abschnitt 508 konform?
A: Ja, die aktuelle Voluntary Product Accessibility Template (VPAT) für CA Project and Portfolio Manager 13.3, 14.x und 15. x ist auf Anfrage verfügbar. Unsere aktuelle VPAT-Zertifizierung bezieht sich ausschließlich auf die
Classic PPM
-Benutzeroberflächen-Funktionalität, die sich seit der letzten Änderung in 2015, als wir die
Clarity
-Transformation begonnen haben, nicht wesentlich geändert hat. Allerdings haben sich die Standards für die VPAT-Compliance-Tests geändert. Das
Clarity
-Produktteam arbeitet derzeit eine Liste mit konkreten Korrekturelementen ab, die für die Einhaltung der neuen Teststandards erforderlich sind. Vorläufig ist geplant, die zugehörigen Fixes in die
Clarity
-Version aufzunehmen, die für FYQ1 2020 vorgesehen ist. Der Korrekturaufwand bezieht sich nur auf die Funktionen von
Classic PPM
.
F13: Wie erhalte ich Zugriff auf die
Clarity
-FedRAMP-Produktdokumentation?
A: Die Sicherheitsdokumentation wird vom PMO angefordert. Die kundenorientierte Produktdokumentation für
Clarity
finden Sie unter techdocs.broadcom.com.
F14: Schränkt Clarity für FedRAMP gleichzeitige Benutzersitzungen ein?
A: Derzeit nicht. Diese Funktion ist jedoch ein Element auf der
Clarity
-FedRAMP-Roadmap, die für eine zukünftige Version in Erwägung gezogen wird.
F15: Unterstützt Clarity für FedRAMP Unicode?
Ja. Clarity unterstützt UTF8.
FedRAMPlogo_FINAL_2017.png