Clarity
für FedRAMP

ccppmop1592
2
Ankündigung von
Clarity
für FedRAMP
: CA Technologies, ein Broadcom-Unternehmen, hat erfolgreich seinen durch einen Sponsor unterstützten ATO-Status (Authorization to operate, Autorisierung für den Betrieb) für Bundesbehörden und Abteilungen erhalten, die Cloud-Dienste bereitstellen.
Clarity
ist FedRAMP-autorisiert.
FedRAMP-Übersicht
Das Federal Risk and Authorization Management Program (FedRAMP) bietet einen Standardansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten. Dieser Ansatz verwendet ein effizientes Framework, das Zeit und Kosten spart, die früher durch die Durchführung redundanter Sicherheitsbewertungen für Behörden entstanden.
  • Sicherheit
    : bietet einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten. Bundes- und Regierungsbehörden müssen äußerst sichere Cloud-basierte Lösungen verwenden, die den strengen Sicherheitsanforderungen entsprechen und gleichzeitig die US-amerikanischen gesetzlichen Compliance-Vorschriften einhalten.
  • Obligatorisch
    : Alle Bundesbehörden und Abteilungen sind verpflichtet, FedRAMP-autorisierte Cloud-Dienste zu verwenden. FedRAMP ist obligatorisch für Cloud-Bereitstellungen und -Dienstmodelle von Bundesbehörden bei Auswirkungsstufen mit niedrigem, moderatem und hohem Risiko. Die Behörden müssen einen Quartalsbericht vorlegen, in dem alle Cloud-Dienste aufgeführt werden, die die FedRAMP-Anforderungen nicht erfüllen, mit der entsprechenden Begründung und Lösungsvorschlägen, um Compliance zu erzielen. Private Cloud-Bereitstellungen, die für einzelne Organisationen gedacht und vollständig in Bundeseinrichtungen implementiert sind, sind die einzige Ausnahme.
  • Wert
    : Das Framework, mit dem
    einmal ausgeführte Arbeit immer wieder verwendet
    werden kann, spart Kosten, Zeit und Mitarbeiter, da keine redundanten Sicherheitsbewertungen für Behörden durchgeführt werden müssen.
Allgemeines Support-System (GSS) von Broadcom für FedRAMP
Als Enterprise-Software-Unternehmen hat CA Technologies, ein Broadcom-Unternehmen, ein allgemeines Support-System (GSS) implementiert, um FedRAMP-SaaS-Angebote von Broadcom zu hosten. Das GSS befindet sich derzeit in der SaaS-Cloud von Microsoft Azure Government und kann erweitert werden, um andere FedRAMP-autorisierte Cloud-Angebote für Regierungsbehörden einzuschließen.
GSS implementiert allgemeine Richtlinien und Verfahren, Tools und Authentifizierungsdienste, die von den SaaS-Angeboten genutzt werden können. GSS wird in den USA gehostet und von US-amerikanischen Bürgern, die bei Broadcom angestellt sind, betrieben und unterstützt auf diese Weise unsere SaaS-Angebote dabei, mehr als 70 Prozent der 325 moderaten FedRAMP-Baseline-Sicherheitskontrollen für die anfängliche Autorisierung, die kontinuierliche Überwachung und die Betriebskosten zu übernehmen.
Am 16. April 2019 erhielt
Clarity
offiziell die von einem Sponsor unterstützte ATO-Kennzeichnung von einer großen internationalen Gesundheits- und Forschungsorganisation. GSS ist seit dem 09. Juli 2019 FedRAMP-autorisiert.
Führend
:
Clarity
ist das erste SaaS-Angebot von Broadcom, das auf dem GSS gehostet wird.
Die folgende Abbildung zeigt die Hauptkomponenten im GSS:
image2019-5-7_19-42-46.png
Vergleich der kommerziellen
Clarity
-Version und FedRAMP-Funktionen und Alternativen
In der folgenden Tabelle werden wichtige kommerzielle
Clarity
-Funktionen und die
Clarity
FedRAMP-Unterschiede oder -Alternativen aufgeführt:
HTML-Portlets werden in FedRAMP-Umgebungen nicht unterstützt.
Kommerzielle Funktion
FedRAMP-Alternativen
Korrekturziele(3)
1
XOG-, GEL- und NSQL-Unterstützung
  • Verwenden Sie entweder XOG, GEL oder NSQL.
  • Anwendungsadministratoren müssen die Klausel "@WHERE:SECURITY:" in ihre NSQL-Abfragen einschließen.
  • GEL-Skripte können das Tag "sql:update" nicht mit SQL-Anweisungen für Lese-/Schreibzugriff verwenden.
  • GEL-Skripte können das Tag "nsql" verwenden, um Daten zu lesen.
-
2
Jaspersoft Studio(2), CA JDBC Adapter und TIBCO JasperMobile-App für die Verwendung mit
Clarity
  • Verwenden Sie die standardmäßigen Jaspersoft-Berichterstellungsfunktionen in
    Clarity
    für Ad-hoc-Berichte, Ansichten, Tabellen und zum Planen von Berichten.
  • Verwenden Sie die Standardberichte, die in
    Clarity
    bereitgestellt werden.
  • Verwenden Sie die Inhalte von PMO Accelerator und der erweiterten PMO-Berichterstellung.
  • Entwickeln Sie Portlets und Dashboards in
    Classic PPM
    .
  • Vergrößern Sie die Standardfelder für Projekte, Ressourcen und andere Domänen mit benutzerdefinierten Attributen oder Unterobjekten, die in
    Clarity
    erstellt wurden.
Kein Ziel
: In
Clarity
integrierte Jaspersoft-Client-Tools unterstützen kein direktes SSO mit Multi-Faktor-Authentifizierung zu Jaspersoft.
3
OData-Zugriff auf das Data Warehouse
  • Verwenden Sie Flatfile-Austausch über SFTP.
  • Dies wird durch Verwendung von
    Clarity
    -Workflows oder GEL-Skripten unterstützt.
Diese Funktion ist ein Element auf der
Clarity
-FedRAMP-Roadmap, die für eine zukünftige Version in Erwägung gezogen wird. Weitere Informationen erhalten Sie von Ihrem
Clarity
-Account Director.
4
Integrationen von Drittanbietern und externer Support für XML Open Gateway (XOG) (4)
  • FedRAMP-Umgebungen unterstützen Integrationen mit SFTP genauso wie das kommerzielle Produkt. Der Datenaustausch mit Flatfile-Ablage und -Abruf wird daher unterstützt.
  • In einer sicheren Begrenzung platzieren Sie eine Datei auf dem SFTP-Server als Flatfile-Ablage, die durch einen Schlüsselaustausch authentifiziert wird. Weitere Informationen finden Sie unter Schlüsselbasierte Authentifizierung.
  • Führen Sie XOG-Importe/-Exporte mithilfe von GEL-Skripten durch.
Diese Funktion ist ein Element auf der
Clarity
-FedRAMP-Roadmap, die für eine zukünftige Version in Erwägung gezogen wird. Weitere Informationen erhalten Sie von Ihrem
Clarity
-Account Director.
5
Direkter Datenbankzugriff
  • Keine Umgehungslösung aufgrund von GEL-Skripteinschränkungen für SQL-Tags (VPN-Zugriff ist ebenfalls nicht verfügbar)
  • NSQL-Tags werden unterstützt, wenn Anwendungsadministratoren die Klausel "@WHERE:SECURITY:" einschließen.
  • VPN-Zugriff ist ebenfalls nicht verfügbar.
Kein Ziel
6
Clarity
-Integration in CA Open Workbench (OWB) und Microsoft Project (MSP)-Client-Tools
  • Fordern Sie eine Autorisierung an, um diese Konfiguration zu implementieren.
  • Systemeigener
    Clarity
    -Scheduler, Gantt-Ansicht, PSP und Funktionen für Aufgabenmanagement
Diese Funktion ist ein Element auf der
Clarity
-FedRAMP-Roadmap, die für eine zukünftige Version in Erwägung gezogen wird. Weitere Informationen erhalten Sie von Ihrem
Clarity
-Account Director.
7
Clarity
-Integration in Rally
  • Verwenden Sie die aktuelle On-Premise-Edition von Rally mit dem Portfolioelement-Integrationstyp und der Basisauthentifizierung.
Diese Funktion ist von der Einführung eines Rally-FedRAMP-Dienstes abhängig.
(2) Jaspersoft Studio wird verwendet, um erweiterte kundenspezifische Berichte zu erstellen.
(3) Das Datum für das Korrekturziel kann jederzeit mit oder ohne vorherige Ankündigung geändert werden.
(4) OWB- und MSP-Clients können ohne gültige SSO-Sitzung nicht für
Clarity
authentifiziert werden. Die Autorisierung durch die Behörde ist erforderlich, da OWB- und MSP-Client-Benutzer ihren Benutzernamen und ihr Kennwort eingeben müssen, um sich ohne SSO zu authentifizieren. Bei der Autorisierung durch die Behörde stellt Broadcom einen
Clarity
-OData-Endpunkt bereit, um die SSO-Authentifizierung zu ermöglichen. Benutzer können OWB- oder MSP-Clients über
Clarity
aufrufen.
Nicht unterstützte GEL/CORE-Tags in FedRAMP
Die folgenden GEL-Tags werden aufgrund möglicher nicht autorisierter Datenzugriffe oder umgebungstechnischer Bedenken nicht unterstützt. Das Team für FedRAMP SaaS-Abläufe arbeitet direkt mit Behörden oder Servicepartnern zusammen, um die für die Compliance erforderlichen GEL-Tags für eine
Clarity
-Implementierung zu ermitteln.
Standort
FedRAMP-Tags
FedRAMP
com.niku.pmo.gel.tags.BPAUpgrade
FedRAMP
org.apache.commons.jelly.tags.sql.QueryTag
Häufig gestellte Fragen (FAQ)
F1: Wie unterscheidet sich
Clarity
SaaS FedRAMP von der kommerziellen
Clarity
-SaaS-Anwendung?
A1:
Clarity
ist in mehreren kommerziellen Versionen mit sich überschneidenden Support-Lebenszyklen verfügbar. Die Anwendung kann in On-Premise-Umgebungen, SaaS-Umgebungen und gehosteten Umgebungen mit Entwicklungs-, Test- und Produktionskonfigurationen bereitgestellt werden. Unsere FedRAMP-ATO wird nicht an On-Premise-Bereitstellungen übertragen. Um die hohen FedRAMP-Sicherheitsanforderungen zu erfüllen, sind einige kommerzielle
Clarity
-Funktionen in
Clarity
-FedRAMP-Umgebungen deaktiviert. Weitere Informationen finden Sie oben unter "Vergleich der kommerziellen
Clarity
-Version und FedRAMP-Funktionen und -Alternativen".
F2: Ist FedRAMP bevorzugt oder erforderlich?
A2: Beides. Cloud-Dienste werden aufgrund ihrer reduzierten Infrastrukturkosten, besseren Skalierbarkeit, Disaster Recovery (DR)-Funktionen und anderer technischer Vorteile
bevorzugt
. Sie sind jedoch auch
erforderlich
. 2010 hat das Office of Management and Budget (OMB) eine
Cloud First
-Richtlinie für Abteilungen von Bundesbehörden erlassen. Die ursprünglichen Anforderungen haben dazu geführt, dass die Verwendung autorisierter Cloud-Angebote erheblich zugenommen hat. Heute ist es
erforderlich
, dass alle Abteilungen und Behörden auf Bundesebene FedRAMP-autorisierte Cloud-Dienste verwenden.
F3: Warum sollte ein Kunde, der die kommerzielle
Clarity
-SaaS-Edition verwendet, zum FedRAMP-Dienst wechseln?
A3: Kunden, die die kommerzielle
Clarity
-Edition verwenden und Anforderungen aus Verträgen mit Bundesbehörden zum Schutz kontrollierter, nicht klassifizierter Informationen erfüllen müssen, sollten den FedRAMP-Dienst in Erwägung ziehen. Beispiel: Ein Luft- und Raumfahrtunternehmen möchte seinen Geschäftsbereich für Flugzeugtriebwerke auf Militärflugzeuge ausdehnen. DFARS erfordert den Schutz kontrollierter, nicht klassifizierter, missionsorientierter Informationen für Waffensysteme (um 125 Kontrollen zu erfüllen).
F4: In welchem Umfang unterstützen Broadcom und
Clarity
meine FedRAMP-Anforderungen?
A4: Broadcom verpflichtet sich, FedRAMP-autorisierte Lösungen anzubieten. Sie können sich auf zuverlässigen Support von Broadcom und GSS verlassen.
Clarity
hat einen autorisierten FedRAMP-Status mit einer offiziellen FedRAMP-Agency-ATO mit moderater Auswirkungsebene erhalten. Weitere Informationen finden Sie oben auf dieser Seite.
F5: Wie werden meine Daten im
Clarity
-FedRAMP-Dienst verschlüsselt?
A5: Alle übertragenen Daten und Daten im Ruhezustand werden mit FIPS 140-2-validierten Verschlüsselungsmodulen verschlüsselt.
F6: Akzeptiert der
Clarity
-FedRAMP-Dienst einen systemeigenen PIV/CAC-Kartenzugriff?
A6: Ja, der
Clarity
-FedRAMP-Dienst akzeptiert SAML-Assertionen von einem Identitätsanbieter. Behörden müssen geeignete Authentifizierungsstrategien implementieren, um den PIV/CAC-Kartenzugriff zu unterstützen.
F7: Wir sind nicht sicher, ob wir FedRAMP benötigen, müssen jedoch das Kontrollkästchen für FISMA aktivieren. Was können wir tun?
A7: Sie können einen FedRAMP-SSP (System Security Plan) als Leitfaden für einen On-Premise-SSP anfordern und verwenden. Die
Clarity
-FedRAMP-ATO kann jedoch nicht auf On-Premise-Umgebungen übertragen werden.
F8: Wird die
Clarity
Mobile App unterstützt?
A8: Ja. Die
Clarity
Mobile App kann in einer FedRAMP-Umgebung zusammen mit der SSO-Anmeldeoption verwendet werden.
F9: Gibt es für FedRAMP-Verträge eine separate Dokumentation für SaaS-Dienstauflistungen?
A: Ja, die Dokumentation für die FedRAMP-SaaS-Dienstauflistung ist auf Anfrage verfügbar.
F10: Ist
Clarity
mit Abschnitt 508 konform?
Clarity
führt für jede Hauptversion eine Validierung der Barrierefreiheit durch und füllt die erforderliche VPAT aus. Eine Kopie der aktuellen VPAT erhalten Sie von Ihrem Broadcom-Vertriebsmitarbeiter.
F11: Wie kann ich auf die Dokumentation für das
Clarity
FedRAMP System Security Package (SSP) zugreifen?
A: Rufen Sie den FedRAMP Marketplace auf. Füllen Sie das Formular Package Access Request Form aus.
F12: Schränkt
Clarity
FedRAMP gleichzeitige Benutzersitzungen ein?
A: Derzeit nicht. Diese Funktion ist jedoch ein Element auf der
Clarity
-FedRAMP-Roadmap, die für eine zukünftige Version in Erwägung gezogen wird.
F13: Unterstützt
Clarity
FedRAMP Unicode?
Ja.
Clarity
unterstützt UTF8.
F14: Unterstützt
Clarity
FedRAMP die neue Benutzererfahrung von
Clarity
?
Ja. Die neue Benutzererfahrung wird jetzt für
Clarity
FedRAMP unterstützt.
F15: Unterstützt
Clarity
FedRAMP REST-APIs?
Ja.
Clarity
FedRAMP unterstützt REST-APIs. Allerdings müssen Behörden API-Schlüssel in
Clarity
verwenden. Weitere Informationen zur Verwendung von API-Schlüsseln finden Sie unter Schlüsselbasierte Authentifizierung.
FedRAMPlogo_FINAL_2017.png