Clarity PPM para FedRAMP

ccppmop1571
2
Presentación de Clarity PPM para FedRAMP
: CA Technologies, una empresa de Broadcom, ha adquirido con éxito su estado de autorización para operar (ATO) con patrocinador de las agencias y los departamentos federales que proporcionan servicios en la nube. Clarity PPM está autorizado para FedRAMP.
Descripción general de FedRAMP
El programa Federal Risk and Authorization Management Program (FedRAMP) proporciona un enfoque estándar para la evaluación de la seguridad, la autorización y el control continuo de los productos y servicios en la nube. Este enfoque utiliza un marco de trabajo eficaz que ahorra tiempo y costes asociados anteriormente a la ejecución de evaluaciones redundantes de seguridad de agencias.
  • Seguridad
    : Proporciona un enfoque estandarizado para la evaluación de la seguridad, la autorización y el control continuo de los productos y servicios en la nube. Las agencias federales y gubernamentales son necesarias para utilizar soluciones basadas en la nube y altamente seguras que cumplan los estrictos niveles de seguridad mientras se cumplen las regulaciones de conformidad del gobierno de los EE.UU.
  • Obligatorio
    : Todas las agencias y los departamentos federales tienen como obligación utilizar los servicios en la nube autorizados por FedRAMP. FedRAMP es obligatorio para los modelos de servicio e implementaciones en la nube de la Agencia Federal con niveles de impacto de riesgo bajo, moderado y alto. Las agencias deben enviar un informe trimestral en el que se muestre cualquiera de los servicios en la nube que no cumplan con los requisitos de FedRAMP con el razonamiento adecuado y las soluciones propuestas para lograr el cumplimiento. Las implementaciones de nube privada dirigidas a organizaciones únicas e implementadas totalmente dentro de instalaciones federales son la única excepción.
  • Valor
    : El marco
    hazlo una vez, utilízalo muchas veces
    ahorra costes, tiempo y personal necesarios para llevar a cabo evaluaciones redundantes de seguridad de la agencia.
Sistema de soporte general (GSS) de Broadcom para FedRAMP
Como compañía de software de carteras, CA Technologies, una empresa de Broadcom, ha implementado un sistema de soporte general (GSS) para las ofertas de SaaS de FedRAMP de Broadcom. El sistema de soporte general está actualmente alojado en la nube de Microsoft Azure Government IaaS y se puede ampliar para incluir otras ofertas de la nube gubernamental autorizadas por FedRAMP.
El sistema de soporte general implementa políticas y procedimientos comunes, herramientas y servicios de autenticación que pueden consumir las ofertas de SaaS. Alojado en los EE.UU y gestionado por ciudadanos de los EE.UU. empleados por Broadcom, el GSS faculta a nuestras ofertas de SaaS para que hereden más del 70 % de los 325 controles de seguridad de la línea de referencia de FedRAMP para la autorización inicial, el control continuo y los costes de ejecución y funcionamiento.
El 16 de abril de 2019, Clarity PPM obtuvo oficialmente la autorización para operar (ATO) de la agencia del patrocinador de una importante empresa internacional de investigación y servicios de asistencia. GSS está autorizado para FedRAMP desde el 9 de julio de 2019.
Liderando el camino
: Clarity PPM es la primera oferta de SaaS de Broadcom que se va a alojar en el GSS.
La siguiente imagen muestra los componentes principales del GSS:
image2019-5-7_19-42-46.png
Clarity PPM Commercial versus FedRAMP: Diferencias y alternativas de la función
En la siguiente tabla se enumeran las diferencias más importantes entre la edición comercial de Clarity PPM y la edición FedRAMP de Clarity PPM:
En entornos de FedRAMP, tampoco se admiten los portlets HTML.
Capacidad(1)
Alternativas disponibles
Objetivos de recuperación(3)
1
Clarity PPM
Nueva experiencia de usuario
  • Hasta que sea compatible, esta función permanecerá desactivada.
  • Utilice la versión clásica de PPM
  • Aplique el tema de la interfaz de usuario Phoenix para obtener una experiencia de usuario más moderna
Esta capacidad es un elemento del mapa de ruta de Clarity PPM FedRAMP que se tiene en cuenta para una versión futura. Para obtener más información, póngase en contacto con su director de cuentas de Clarity PPM.
2
Compatibilidad con la API de REST
  • XOG, GEL o NSQL (los administradores de aplicaciones deben incluir la cláusula "@WHERE:SECURITY:" en las consultas de NSQL)
  • Las agencias no pueden acceder externamente a la API de REST debido a la falta de intercambio de claves y a que no se admite el inicio de sesión único
  • Los scripts de GEL no pueden utilizar la etiqueta "sql:update" con sentencias SQL de lectura/escritura
  • Los scripts de GEL pueden utilizar la etiqueta "nsql" para leer los datos
Esta capacidad es un elemento del mapa de ruta de Clarity PPM FedRAMP que se tiene en cuenta para una versión futura. Para obtener más información, póngase en contacto con su director de cuentas de Clarity PPM.
3
Jaspersoft Studio(2), CA JDBC Adapter y la aplicación TIBCO JasperMobile para su uso con Clarity PPM
  • Utilice las capacidades integradas de generación de informes de Jaspersoft en Clarity PPM para obtener informes ad hoc, vistas y tablas, así como para programar informes
  • Utilice los informes de stock proporcionados con Clarity
  • Utilice el contenido de la generación de informes avanzada de PMO y del Acelerador de PMO
  • Desarrolle portlets y cuadros de mandos en la versión clásica de PPM Studio
  • Amplíe los campos predeterminados para proyectos, recursos y otros dominios con atributos personalizados o subobjetos creados en Clarity
Sin destino
: Las herramientas de cliente de Jaspersoft no son compatibles con el inicio de sesión único con la autenticación de varios factores. Jaspersoft Studio no admite la creación de informes utilizando la API de REST.
4
Acceso de OData al almacén de datos
  • Intercambio de archivos sin formato en SFTP (solo es compatible con los flujos de trabajo de Clarity PPM o los scripts de GEL)
Esta capacidad es un elemento del mapa de ruta de Clarity PPM FedRAMP que se tiene en cuenta para una versión futura. Para obtener más información, póngase en contacto con su director de cuentas de Clarity PPM.
5
Integraciones con productos de terceros (personalizaciones)
  • Por lo general, no se admiten los puntos finales de OData ni las llamadas de SOAP en el servicio.
  • Se pueden realizar las integraciones con la autorización de la agencia
Autorización de la agencia necesaria
(5)
6
Compatibilidad con XML Open Gateway (XOG) externo
  • Los entornos de FedRAMP admiten las mismas integraciones que utilizan SFTP como producto comercial; por lo tanto, se admite el intercambio de datos mediante la eliminación y la recuperación de archivos sin formato. (En un límite seguro, coloque un archivo en el servidor de SFTP para la eliminación de archivos sin formato, que se autentica mediante el
    intercambio de claves
    .)
  • Realice la importación/exportación de XOG mediante scripts de GEL
Esta capacidad es un elemento del mapa de ruta de Clarity PPM FedRAMP que se tiene en cuenta para una versión futura. Para obtener más información, póngase en contacto con su director de cuentas de Clarity PPM.
7
Acceso directo a la base de datos
  • No existe ninguna solución alternativa debido a las restricciones del script de GEL para etiquetas SQL (el acceso de VPN no está disponible)
Sin objetivo
8
Integración de Clarity PPM con las herramientas de cliente de CA Open WorkBench (OWB) y Microsoft Project (MSP)
  • Obtenga una autorización para implementar esta configuración
  • El programador nativo de Clarity PPM, la vista de Gantt, la estructura de desglose del trabajo y las capacidades de gestión de tareas
Autorización de la agencia necesaria
(4)(5)
9
Integración de Clarity PPM con Rally
  • Utilice la edición local actual de Rally con el tipo de integración del elemento de la cartera y la autenticación básica
Autorización de la agencia necesaria
(5)
10
CA Productivity Accelerator
  • No hay ninguna solución alternativa en este momento
Sin objetivo
: Se está investigando una solución.
11
Utilidad de SaaS de ODUM y Adaptador de la integración de SaaS
  • El intercambio de datos es compatible con la eliminación y la recuperación de archivos sin formato (por ejemplo, para la carga de recursos); dentro de un límite seguro, coloque un archivo en el servidor de SFTP para la eliminación del archivo sin formato (que se autentica mediante el
    intercambio de claves
    )
  • Realice la importación/exportación de XOG mediante scripts de GEL
  • Las ediciones de FedRAMP de Clarity PPM son compatibles con SAML 2.0
Sin objetivo
: Consulte
Alternativas disponibles
.
(1) Las funciones que aparecen en esta columna no están disponibles en las ediciones compatibles con FedRAMP de CA Clarity PPM.
(2) Jaspersoft Studio se utiliza para desarrollar informes más avanzados y específicos del cliente.
(3) Las fechas de destino de la recuperación están sujetas a cambios en cualquier momento, con o sin previo aviso.
(4) Los clientes de OWB y MSP no se pueden autenticar con Clarity sin una sesión de SSO válida. Es necesaria la autorización de la agencia porque los usuarios del cliente de OWB y MSP deben introducir su nombre de usuario y contraseña para autenticarse sin inicio de sesión único. Con la autorización de la agencia, Broadcom proporciona un punto final de OData de Clarity para activar la autenticación de SSO; los usuarios pueden iniciar los clientes de OWB o MSP desde Clarity PPM.
(5) Autorización de la agencia obligatoria: Cualquier solución aprobada debe ajustarse a los estándares de integración de FedRAMP. Para obtener más información, póngase en contacto con Broadcom o con su partner.
Preguntas más frecuentes
P1: ¿Cómo se diferencian las ediciones de FedRAMP de CA Clarity PPM de las ediciones comerciales principales?
R1: Clarity PPM está disponible en varias versiones comerciales con ciclos de vida de soporte superpuestos. La aplicación se puede implementar en entornos locales, entornos de SaaS y entornos alojados con las configuraciones de desarrollo, prueba y producción. Nuestra ATO de FedRAMP no se transfiere a las implementaciones locales. Únicamente la edición SaaS de Clarity PPM 15.5.1 está certificada para FedRAMP. Para cumplir los estrictos requisitos de seguridad de FedRAMP, algunas funciones de PPM están desactivadas en entornos de FedRAMP. Consulte la sección mencionada anteriormente
Clarity PPM Commercial versus FedRAMP: Diferencias y alternativas de la función
.
P2: ¿FedRAMP es una edición obligatoria o que se prefiere?
R2: Ambas. Los servicios en la nube son
preferibles
debido a la reducción de costes de infraestructura, a la mejora de la escalabilidad, a las funciones de recuperación de desastres y a otras ventajas tecnológicas. También son
obligatorios
. En 2010, la oficina Office of Management and Budget (OMB) estableció una política de
primero en la nube
para los departamentos federales. Los requisitos originales han dado lugar a un cambio significativo del uso de las ofertas en la nube autorizadas. Hoy en día, todos los departamentos y agencias federales
deben
utilizar los servicios en la nube autorizados por FedRAMP.
P3: ¿Por qué debe cambiar un cliente de la edición comercial de Clarity PPM al servicio FedRAMP?
R3: Los clientes comerciales de Clarity con requisitos de contratos federales para proteger la información no clasificada controlada deben tener en cuenta el servicio FedRAMP. Por ejemplo, una empresa aeroespacial está buscando ampliar su negocio de motores de jet para incluir aeronaves militares. DFARS requiere la protección de la información orientada a la misión controlada y no clasificada para los sistemas de armas (para cumplir con los 125 controles).
P4: ¿En qué medida Broadcom y Clarity PPM son compatibles con mis necesidades de FedRAMP?
R4: Broadcom se compromete a ofrecer soluciones autorizadas de FedRAMP. Puede confiar en que Broadcom y el GSS ofrecerán un soporte técnico sólido. Clarity PPM ha logrado el estado autorizado de FedRAMP con una ATO oficial de una agencia de impacto moderada de FedRAMP. Para obtener más información, consulte la parte superior de esta página.
P5: ¿Cómo se cifran mis datos en el servicio FedRAMP de Clarity PPM?
R5: Todos los datos en tránsito e inactivos se cifran mediante los módulos de cifrado validados por FIPS 140-2.
P6: ¿El servicio de FedRAMP de Clarity acepta accesos de tarjeta PIV/CAC nativos?
R6: No en este momento; sin embargo, el servicio FedRAMP de Clarity acepta aserciones de SAML del proveedor de identidades (por ejemplo, Active Directory).
P7: No estamos seguros de que necesitamos FedRAMP, pero debemos marcar la casilla de verificación en FISMA. ¿Qué se puede hacer?
R7: Se puede solicitar y utilizar FedRAMP SSP como guía para SSP local. Sin embargo, la ATO de FedRAMP de Clarity PPM no se puede transferir a los entornos locales.
P8: ¿Se admite la aplicación Clarity PPM Mobile?
R8: Sí. Se puede utilizar la opción
Iniciar sesión con SSO
para utilizar la nueva aplicación móvil de Clarity con el servicio FedRAMP.
P9: ¿Los contratos de FedRAMP tienen una documentación diferente de la lista de servicios de SaaS?
R9: Sí, se ha actualizado la documentación de la lista de servicios de SaaS comercial actual para FedRAMP.
P10: ¿El servicio de FedRAMP de Clarity PPM se integra con Rally de forma local?
R10: Desde la perspectiva de la autenticación, los equipos de los productos Clarity y Rally están probando actualmente si esta configuración funciona como se esperaba con la autenticación básica (autenticación de un único factor). En caso de que la validación resulte positiva, la agencia de implementación será necesaria para obtener una autorización para implementar esta configuración. Al utilizar el tipo de integración del elemento de la cartera, Clarity PPM establece una conexión con Rally OP para extraer los detalles de la ejecución del trabajo. Las contraseñas de Clarity PPM están cifradas tanto en la aplicación como en la base de datos. Actualmente, Rally OP no es compatible con las claves de la API ni con el tipo de integración de la inversión.
P11: ¿Qué compatibilidad de integración se incluye con la solución de Clarity PPM FedRAMP?
R11: No se admiten las integraciones comerciales existentes; sin embargo, algunas integraciones heredadas de partners seleccionados se están revisando para identificar un cuerpo de conocimiento que cumpla los requisitos de autenticación de FedRAMP y de transferencia de datos.
P12: ¿Clarity PPM cumple con Section 508?
R12: Sí, la plantilla actual de Voluntary Product Accessibility Template (VPAT) para CA Project and Portfolio Manager 13.3, 14.x y 15.x está disponible cuando se solicite. Nuestra certificación VPAT actual solamente se relaciona con la funcionalidad clásica de la interfaz de usuario, que no ha cambiado de forma significativa desde finales de 2015 cuando se empezó a realizar la transformación de la
Nueva experiencia de usuario
. Sin embargo, los estándares de prueba de cumplimiento de VPAT han cambiado. El equipo del producto Clarity PPM está tratando actualmente una lista centrada de elementos de corrección necesarios para cumplir con los nuevos estándares de prueba. Provisionalmente, planificamos que se incluirán las correcciones asociadas en la versión de Clarity PPM que se publicará en FYQ1 2020. El esfuerzo de corrección se aplica solamente a las funciones de la versión clásica de PPM.
P13: ¿Cómo puedo acceder a la documentación del producto Clarity PPM FedRAMP?
R13: La documentación de seguridad se solicita desde PMO. La documentación del producto orientada al cliente para Clarity PPM está disponible en techdocs.broadcom.com.
P14: ¿Clarity FedRAMP limita las sesiones de usuario simultáneas?
R14: No en este momento; sin embargo, esta capacidad es un elemento del mapa de ruta de Clarity PPM FedRAMP que se tiene en cuenta para una versión futura.
FedRAMPlogo_FINAL_2017.png