Clarity
pour FedRAMP

ccppmop1581
2
Annonce de
Clarity
pour FedRAMP
: CA Technologies (une société Broadcom) a obtenu le statut ATO (autorisation d'exploitation) pour la gestion des services cloud d'organismes et ministères fédéraux.
Clarity
dispose de l'autorisation FedRAMP.
Présentation de FedRAMP
Le programme FedRAMP (Federal Risk and Authorization Program) fournit une approche normalisée de l'évaluation, de l'autorisation et de la surveillance continue de la sécurité pour les produits et services cloud. Cette approche s'appuie sur une structure permettant de réaliser des gains de temps et d'argent pour les évaluations de sécurité effectuées par les agences.
  • Sécurité
    : fournit une approche normalisée de l'évaluation, l'autorisation et la surveillance continue de la sécurité pour les produits et services cloud. Les organismes et ministères fédéraux et gouvernementaux doivent utiliser des solutions cloud hautement sécurisées, qui appliquent des niveaux de sécurité rigoureux tout en respectant la réglementation en matière de conformité des Etats-Unis.
  • Obligatoire
    : tous les organismes et ministères fédéraux doivent utiliser les services cloud autorisés par le programme FedRAMP. Le programme FedRAMP est obligatoire pour les déploiements cloud et les modèles de service de l'administration fédérale nord-américaine aux niveaux d'impact à risque faible, modéré et élevé. Les agences de l'administration nord-américaine doivent soumettre un rapport trimestriel présentant l'un quelconque de ses services cloud qui ne satisfait pas les conditions requises par FedRAMP, la justification appropriée et les solutions proposées pour assurer la conformité. Les déploiements cloud privés destinés à des organisations spécifiques et entièrement implémentés dans les locaux de l'administration fédérale sont les seules exceptions.
  • Valeur
    : l'approche de
    création unique pour une utilisation multiple (do-once, use-many-times)
    permet de réaliser des économies en termes de coût, de temps et de personnel requis pour les évaluations de sécurité effectuées par les agences.
Système de support général (GSS) de Broadcom pour FedRAMP
En tant que fournisseur de logiciels de portefeuille, CA Technologies (une société Broadcom) a mis en place un système de support général (GSS) pour héberger les offres SaaS FedRAMP de Broadcom. Le système GSS est actuellement hébergé dans le cloud IaaS de Microsoft Azure Government et peut être développé pour inclure d'autres offres cloud destinées à l'administration gouvernementale et autorisées par le programme FedRAMP.
Le système GSS implémente des stratégies, et procédures, outils et services d'authentification communs et consommables par les offres SaaS. Avec le système GSS, hébergé aux États-Unis et géré par des employés de Broadcom, nos offres SaaS peuvent hériter de plus de 70 % des 325 contrôles de sécurité de référence FedRAMP modérés pour l'autorisation initiale, la surveillance continue et les coûts de fonctionnement et d'exploitation.
Le 16 avril 2019,
Clarity
a officiellement obtenu son statut ATO (Authorization to Operate) parrainé par une importante organisation internationale de recherche sur la santé. GSS dispose de l'autorisation FedRAMP depuis le 9 juillet 2019.
Chef de file
:
Clarity
est la première offre SaaS de Broadcom hébergée sur le système GSS.
L'image suivante illustre les principaux composants du système GSS :
image2019-5-7_19-42-46.png
Clarity
Commercial et FedRAMP : différences de fonctionnalités et alternatives
Le tableau suivant répertorie les principales différences entre
Clarity
et l'édition FedRAMP de
Clarity
:
Dans les environnements FedRAMP, les portlets HTML ne sont pas non plus pris en charge.
Fonctionnalité (1)
Alternatives disponibles
Cibles de correction (3)
1
Nouvelle expérience utilisateur de Clarity
  • Cette fonctionnalité restera désactivée jusqu'à sa prise en charge.
  • Utilisez l'expérience utilisateur
    PPM classique
    .
  • Appliquer le thème Phoenix de l'interface utilisateur pour une expérience utilisateur plus moderne
Cette fonctionnalité fait partie des éléments de la feuille de route FedRAMP de
Clarity
, pris en compte pour une prochaine version. Pour plus d'informations, contactez le responsable de votre compte
Clarity
.
2
Prise en charge des API REST
  • XOG, GEL ou NSQL (les administrateurs de l'application doivent inclure la clause @WHERE:SECURITY: dans leurs requêtes NSQL)
  • L'API REST n'est pas accessible en externe par les agences en raison de l'absence d'échange de clés et de la prise en charge de l'authentification unique.
  • Les scripts GEL ne peuvent pas utiliser la balise sql:update avec les instructions SQL de lecture/écriture.
  • Les scripts GEL peuvent utiliser la balise nsql pour lire les données.
Cette fonctionnalité fait partie des éléments de la feuille de route FedRAMP de
Clarity
, pris en compte pour une prochaine version. Pour plus d'informations, contactez le responsable de votre compte
Clarity
.
3
Jaspersoft Studio (2), adaptateur CA JDBC et application JasperMobile de TIBCO pour une utilisation avec
Clarity
  • Utiliser les fonctionnalités Jaspersoft de reporting intégrées dans
    Clarity
    pour les rapports ad hoc, les vues, les tables et la planification des rapports
  • Utiliser les rapports prédéfinis fournis avec Clarity
  • Utiliser l'accélérateur PMO et le contenu pour la génération de rapports avancés PMO
  • Développement des portlets et des tableaux de bord dans Classic PPM Studio
  • Etendre des champs par défaut pour les projets, les ressources et d'autres domaines avec des attributs personnalisés ou des sous-objets créés dans Clarity
Aucune cible
: les outils clients de Jaspersoft ne prennent pas en charge l'authentification unique avec l'authentification multifacteur. La création de rapports à l'aide de l'API REST n'est pas prise en charge dans Jaspersoft Studio.
4
Accès OData à l'entrepôt de données
  • Echange de fichiers plats via SFTP (uniquement pris en charge avec les flux de travaux de
    Clarity
    et les scripts GEL)
Cette fonctionnalité fait partie des éléments de la feuille de route FedRAMP de
Clarity
, pris en compte pour une prochaine version. Pour plus d'informations, contactez le responsable de votre compte
Clarity
.
5
Intégrations de produits tiers (personnalisations)
  • Les terminaux OData et les appels SOAP au service ne sont généralement pas pris en charge.
  • Les intégrations peuvent être réalisées sur autorisation de l'agence.
Autorisation de l'agence requise
:(5)
6
Prise en charge externe de XML Open Gateway (XOG)
  • Les environnements FedRAMP prennent en charge les mêmes intégrations via SFTP que le produit commercial ; par conséquent, l'échange de données par suppression et récupération de fichiers plats est pris en charge. (Dans une zone sécurisée du serveur SFTP, placez un fichier pour la suppression de fichiers plats, qui s'authentifie à l'aide de l'
    échange de clés
    .)
  • Exécution d'une importation/exportation XOG à l'aide de scripts GEL
Cette fonctionnalité fait partie des éléments de la feuille de route FedRAMP de
Clarity
, pris en compte pour une prochaine version. Pour plus d'informations, contactez le responsable de votre compte
Clarity
.
7
Accès direct à la base de données
  • Aucune solution n'est disponible en raison des restrictions liées aux scripts GEL pour les balises SQL (accès VPN également indisponible).
Aucune cible
8
Intégration de
Clarity
avec les outils clients CA Open WorkBench (OWB) et Microsoft Project (MSP)
  • Obtenir une autorisation pour implémenter cette configuration
  • Planificateur
    Clarity
    natif, vue de Gantt, organigramme des tâches et fonctions de gestion des tâches
Autorisation de l'agence requise :
(4) (5)
9
Intégration de
Clarity
à Rally
  • Utiliser l'édition sur site actuelle de Rally avec le type d'intégration des éléments de portefeuille et l'authentification de base
Autorisation de l'agence requise
: (5)
10
CA Productivity Accelerator
  • Aucune solution pour le moment
Aucune cible
: une solution est en cours d'examen.
11
Utilitaire ODUM SaaS et adaptateur d'intégration SaaS
  • L'échange de données par suppression et récupération de fichiers plats est pris en charge (par exemple, pour le chargement des ressources). Dans une zone sécurisée du serveur SFTP, placez un fichier pour la suppression de fichiers plats, qui s'authentifie à l'aide de l'
    échange de clés
    ).
  • Exécution d'une importation/exportation XOG à l'aide de scripts GEL
  • Les éditions FedRAMP de
    Clarity
    prennent en charge SAML 2.0
Aucune cible
: consultez les
Alternatives disponibles
.
(1) Les fonctionnalités répertoriées dans cette colonne ne sont pas disponibles dans les éditions FedRAMP de
Clarity
.
(2) Jaspersoft Studio est utilisé pour développer des rapports plus avancés spécifiques au client.
(3) Les dates de cible de correction sont susceptibles d'être modifiées à tout moment, avec ou sans préavis.
(4) Les outils clients OWB et MSP ne peuvent pas s'authentifier avec Clarity sans session SSO valide. L'autorisation de l'agence est requise, car les utilisateurs des clients OWB et MSP doivent entrer leur nom d'utilisateur et leur mot de passe pour s'authentifier sans SSO. Avec l'autorisation de l'agence, Broadcom fournit un terminal OData Clarity pour activer l'authentification unique. Les utilisateurs peuvent lancer les clients OWB ou MSP à partir de
Clarity
.
(5) Autorisation de l'agence requise : toutes les solutions approuvées doivent être conformes aux normes d'intégration de FedRAMP. Pour plus d'informations, contactez Broadcom ou votre partenaire.
Foire aux questions
Q1 : Comment les éditions FedRAMP de
Clarity
diffèrent-elles des versions commerciales habituelles ?
R1 :
Clarity
est disponible dans plusieurs versions commerciales dont les cycles de vie de support se chevauchent. Vous pouvez déployer l'application dans des environnements sur site, SaaS et hébergés présentant des configurations de développement, de test et de production. Notre ATO FedRAMP ne transfère pas les déploiements sur site. Seule l'édition SaaS de
Clarity
15.5.1 est certifiée pour FedRAMP. Pour répondre aux conditions strictes requises par FedRAMP en matière de sécurité, certaines fonctionnalités de
Clarity
sont désactivées dans les environnements FedRAMP. Reportez-vous à la section
Clarity
Commercial et FedRAMP : différences de fonctionnalités et alternatives
ci-dessus.
Q2 : FedRAMP est-il préféré ou requis ?
R2 : les deux. Les services cloud sont
préférés
en raison de la réduction des coûts liés à l'infrastructure, de l'amélioration de la mise à échelle, des fonctionnalités de récupération après sinistre et d'autres avantages technologiques. Ils sont également
requis
. En 2010, l'Office of Management and Budget (OMB) a élaboré la stratégie
Cloud First
pour les organismes fédéraux. Les conditions requises d'origine ont été orientées vers l'utilisation d'offres de cloud autorisées. Aujourd'hui, tous les organismes et ministères fédéraux
doivent
utiliser les services cloud autorisés par le programme FedRAMP.
Q3 : Pourquoi un client de
Clarity
Commercial passerait-il au service FedRAMP ?
R3 : Les clients de la version commerciale de Clarity tenus de respecter des obligations contractuelles fédérales en matière de protection des informations non classifiées et contrôlées devraient envisager d'utiliser le service FedRAMP. Par exemple, une société aérospatiale cherche à étendre son activité de moteurs à réaction à l'aviation militaire. DFARS doit protéger les informations de mission non classifiées et contrôlées relatives aux systèmes d'armement (pour passer les 125 contrôles).
Q4 : Dans quelle mesure Broadcom et
Clarity
prennent-ils en charge ma version FedRAMP ?
R4 : Broadcom s'engage à fournir des solutions FedRAMP autorisées. Vous pouvez bénéficier du solide service de prise en charge de Broadcom et du système GSS.
Clarity
a obtenu le statut ATO d'autorisation FedRAMP, parrainé par une agence FedRAMP officielle d'opérations à impact modéré. Pour en savoir plus, consultez la partie supérieure de cette rubrique.
Q5 : Comment mes données sont-elles chiffrées dans le service FedRAMP de
Clarity
?
R5 : Toutes les données en transit et inactives sont chiffrées à l'aide de modules de chiffrement FIPS 140-2 validés.
Q6 : Le service FedRAMP de Clarity permet-il l'accès aux cartes PIV/CAC natives ?
R6 : Pas pour le moment ; toutefois, le service FedRAMP de Clarity accepte les assertions SAML de votre fournisseur d'identités (par exemple, Active Directory).
Q7 : Nous ne sommes pas sûrs d'avoir besoin de FedRAMP, mais nous devons cocher la case concernant FISMA ; que pouvons-nous faire ?
R7 : Vous pouvez demander le fournisseur SSP de FedRAMP SSP et l'utiliser pour vous orienter avec SSP sur site. Toutefois, l'ATO FedRAMP pour
Clarity
n'est pas transférable vers un environnement sur site.
Q8 : L'application mobile
Clarity
est-elle prise en charge ?
R8 : Oui. Vous pouvez utiliser l'option de
connexion avec SSO
pour utiliser la nouvelle application mobile Clarity avec le service FedRAMP.
Q9 : Les contrats FedRAMP disposent-ils d'une documentation distincte de liste des services SaaS ?
R9 : Oui, la documentation actuelle de la liste des services SaaS a été mise à jour pour FedRAMP.
Q10 : Le service FedRAMP pour
Clarity
s'intègre-t-il avec Rally sur site ?
R10 : Dans le cadre de l'authentification, les équipes de produit Clarity/Rally effectuent actuellement des tests sur le fonctionnement correct de cette configuration avec l'authentification de base (authentification à facteur unique). Si la validation s'avère positive, l'agence chargée de l'implémentation devra obtenir l'autorisation pour implémenter cette configuration. A l'aide du type d'intégration des éléments de portefeuille,
Clarity
établit une connexion avec Rally OP pour envoyer les détails d'exécution de travail. Les mots de passe de
Clarity
sont chiffrés à la fois dans l'application et dans la base de données. Actuellement, Rally sur site ne prend pas en charge les clés d'API ni le type d'intégration Investissement.
Q11 : La prise en charge de l'intégration est-elle prévue avec la solution FedRAMP de
Clarity
?
R11 : Les intégrations commerciales existantes ne sont pas prises en charge. Toutefois, certaines intégrations héritées d'une sélection de partenaires sont examinées pour identifier un ensemble de connaissances afin de répondre aux conditions requises en termes d'authentification FedRAMP et de transfert de données.
Q12 :
Clarity
est-il conforme à la section 508 ?
R12 : Oui, le modèle Voluntary Product Accessibility Template (VPAT) pour CA Project et Portfolio Manager 13.3, 14.x et 15.x est disponible sur demande. Notre certification VPAT actuelle concerne uniquement les fonctionnalités de l'interface utilisateur
PPM classique
, qui n'a pas beaucoup changé depuis fin 2015, lorsque nous avons débuté le passage à
Clarity
. Toutefois, les normes de test de conformité VPAT ont changé. L'équipe du produit
Clarity
traite actuellement une liste d'éléments de correction requis pour le respect des nouvelles normes de test. Nous espérons inclure les correctifs associés à la version de
Clarity
prévue pour le 1er trimestre de l'exercice fiscal 2020. Les mesures de correction s'appliquent uniquement aux fonctionnalités de
PPM classique
.
Q13 : Comment accéder à la documentation du produit
Clarity
FedRAMP ?
R13 : La documentation relative à la sécurité est disponible sur demande via l'accélérateur PMO. La documentation du produit
Clarity
destinée aux clients est disponible sur techdocs.broadcom.com.
Q14 : Le nombre de sessions utilisateur simultanées est-il limité dans Clarity pour FedRAMP ?
R14 : Pas pour le moment. Toutefois, cette fonctionnalité fait partie des éléments de la feuille de route FedRAMP de
Clarity
, pris en compte pour une prochaine version.
Q15 : Clarity pour FedRAMP prend-il en charge le codage Unicode ?
Oui. Clarity prend en charge le codage UTF8.
FedRAMPlogo_FINAL_2017.png