Clarity PPM per FedRAMP

ccppmop1561
2
Clarity PPM 15.5.1 è disponibile come servizio FedRAMP solo per clienti governativi.
Annuncio di Clarity PPM per FedRAMP
: CA Technologies, società del gruppo Broadcom, ha ottenuto l'autorizzazione a operare (ATO) con il sostegno di enti sponsor per i servizi cloud forniti a agenzie e dipartimenti federali. L'autorizzazione ATO FedRAMP ufficiale è prevista entro la fine dell'anno solare corrente.
Panoramica di FedRAMP
Il programma FedRAMP (Federal Risk and Authorization Management Program) fornisce un approccio standardizzato per la valutazione, l'autorizzazione e il monitoraggio continuo della sicurezza per i prodotti e i servizi cloud. Questo approccio si basa su un framework efficiente che consente di ridurre tempi e costi rispetto alle precedenti e ridondanti valutazioni di sicurezza delle agenzie.
  • Sicurezza
    : si adotta un approccio standardizzato per la valutazione, l'autorizzazione e il monitoraggio continuo della sicurezza per i prodotti e i servizi cloud. Le agenzie federali e governative devono utilizzare soluzioni basate su cloud con un grado di protezione elevato che soddisfino livelli di sicurezza rigorosi e le normative di conformità statunitensi.
  • Obbligatorietà
    : tutti gli enti della pubblica amministrazione statunitense hanno l'obbligo di utilizzare servizi cloud autorizzati ai sensi del programma FedRAMP. FedRAMP è obbligatorio per le distribuzioni cloud e i modelli di servizi adottati presso le agenzie federali, con tre livelli di impatto (rischio basso, moderato e alto). Le agenzie devono inviare un report trimestrale per segnalare i servizi cloud che non soddisfano i requisiti FedRAMP con le opportune soluzioni e proposte razionali per ottenere la conformità. Fanno eccezione le distribuzioni cloud private destinate alle singole organizzazioni e implementate interamente nella struttura dell'ente federale.
  • Valore
    : il framework, basato sul principio
    do once, use many times
    consente di contenere costi, tempi e personale necessari per eseguire le valutazioni di sicurezza ridondanti delle agenzie.
La figura seguente illustra il percorso di Clarity PPM per ottenere l'autorizzazione FedRAMP per la sua offerta di servizi cloud:
image2019-5-7_19-53-20.png
General Support System (GSS) di Broadcom per FedRAMP
CA Technologies, azienda del gruppo Broadcom che offre soluzioni software per la gestione del portfolio, ha adottato un sistema di supporto generale (General Support System, GSS) per includere le offerte SaaS di Broadcom conformi al FedRAMP. Il sistema GSS è attualmente ospitato su cloud Microsoft Azure Government IaaS e potrebbe essere ampliato per includere le altre offerte cloud per la pubblica amministrazione autorizzate ai sensi del FedRAMP.
Il sistema GSS comprende criteri e procedure comuni, strumenti e servizi di autenticazione che possono essere utilizzati per le offerte SaaS. Il sistema GSS, basato negli Stati Uniti e gestito da impiegati statunitensi di Broadcom, consente alle offerte SaaS di ereditare oltre il 70% dei 325 controlli di sicurezza FedRAMP moderati di base per l'autorizzazione iniziale, il monitoraggio continuo e i costi di esecuzione/funzionamento.
Il 16 aprile 2019 Clarity PPM ha ottenuto la nomina ufficiale per l'autorizzazione a operare (ATO) da una delle principali organizzazioni internazionali nel settore della sanità e della ricerca. Questo cliente è passato dalla versione commerciale di PPM al servizio FedRAMP. In seguito si sono aggiunti nuovi clienti interessati a questo servizio per via della richiesta formale di ottenere l'autorizzazione ATO FedRAMP.
Primato
: Clarity PPM è la prima offerta SaaS di Broadcom inclusa nel sistema GSS.
La figura seguente mostra i componenti principali nel GSS:
image2019-5-7_19-42-46.png
Versione per FedRAMP e versione commerciale di Clarity PPM: alternative e differenze tra le funzionalità
Nella tabella seguente sono elencate le differenze più importanti tra la versione commerciale e quella per FedRAMP di Clarity PPM:
Funzionalità(1)
Alternative disponibili
Correzioni(3)
1
Clarity PPM
Nuova esperienza utente
  • Finché è supportata, questa funzionalità resta disabilitata
  • Utilizzare la versione classica di PPM
  • Applicare il tema di interfaccia utente Phoenix per un'esperienza utente più moderna
Questa funzionalità è un punto della mappa FedRAMP di Clarity PPM in valutazione per una prossima release. Per informazioni, contattare il proprio referente commerciale di Clarity PPM.
2
Supporto API REST
  • XOG, GEL o NSQL (gli amministratori dell'applicazione devono includere la clausola "@WHERE:SECURITY:" nelle query NSQL)
  • L'API REST non è accessibile al di fuori degli enti perché non è possibile scambiare le chiavi e l'accesso SSO non è supportato
Questa funzionalità è un punto della mappa FedRAMP di Clarity PPM in valutazione per una prossima release. Per informazioni, contattare il proprio referente commerciale di Clarity PPM.
3
Jaspersoft Studio(2), CA JDBC Adapter e app TIBCO JasperMobile da utilizzare con Clarity PPM
  • Utilizzare le funzionalità di reporting Jaspersoft integrate in Clarity PPM per report, visualizzazioni, tabelle ad hoc e per pianificare i report
  • Utilizzare i report predefiniti forniti con Clarity
  • Utilizzare PMO Accelerator e i contenuti di reporting avanzato PMO
  • Sviluppare portlet e dashboard nella versione classica di PPM Studio
  • Estendere i campi predefiniti per i progetti, le risorse e altri domini con attributi personalizzati o oggetti secondari creati in Clarity
Nessuna correzione
: gli strumenti client Jaspersoft non supportano l'accesso SSO con autenticazione a più fattori. La creazione di report utilizzando l'API REST non è supportata in Jaspersoft Studio.
4
Accesso OData al data warehouse
  • Scambio di file flat su SFTP (supportato solo con flussi di lavoro di Clarity PPM o script GEL)
Questa funzionalità è un punto della mappa FedRAMP di Clarity PPM in valutazione per una prossima release. Per informazioni, contattare il proprio referente commerciale di Clarity PPM.
5
Integrazioni di terze parti (personalizzazioni)
  • Gli endpoint ODATA e le chiamate SOAP nel servizio in genere non sono supportati
  • Le integrazioni potrebbero essere possibili con l'autorizzazione dell'ente
Autorizzazione dell'ente obbligatoria:
(5)
6
Supporto XML Open Gateway (XOG) esterno
  • Gli ambienti FedRAMP supportano le stesse integrazioni utilizzando SFTP come prodotto commerciale; pertanto, è supportato lo scambio di dati mediante l'invio e il recupero di file flat. In un limite protetto, inserire un file nel server SFTP per l'invio di file flat, con autenticazione mediante
    scambio di chiavi
    .
  • Eseguire l'importazione/esportazione XOG mediante gli script GEL
Questa funzionalità è un punto della mappa FedRAMP di Clarity PPM in valutazione per una prossima release. Per informazioni, contattare il proprio referente commerciale di Clarity PPM.
7
Accesso diretto al database
  • Nessuna soluzione alternativa a causa delle restrizioni degli script GEL per i tag SQL (anche l'accesso VPN non è disponibile)
Nessuna correzione
8
Integrazione di Clarity PPM con gli strumenti client CA Open WorkBench (OWB) e Microsoft Project (MSP)
  • Ottenere l'autorizzazione per implementare questa configurazione
  • Utilità di pianificazione di Clarity PPM, visualizzazione Gantt, struttura WBS e funzionalità di gestione delle attività native
Autorizzazione dell'ente obbligatoria:
(4)(5)
9
Integrazione di Clarity PPM con Rally
  • Utilizzare l'edizione on-premise corrente di Rally con il tipo di integrazione degli elementi di portfolio e l'autenticazione di base
Autorizzazione dell'ente obbligatoria
(5)
10
CA Productivity Accelerator
  • Nessuna soluzione alternativa al momento
Nessuna correzione
: è in corso lo studio di una soluzione.
11
Utilità SaaS di ODUM e scheda di integrazione SaaS
  • È supportato lo scambio di dati mediante l'invio e il recupero di file flat (ad esempio, per il caricamento delle risorse); in un limite protetto, inserire un file nel server SFTP per l'invio di file flat, con autenticazione mediante
    scambio di chiavi
  • Eseguire l'importazione/esportazione XOG mediante gli script GEL
  • Le versioni per FedRAMP di Clarity PPM supportano SAML 2.0
Nessuna correzione
: consultare le
Alternative disponibili
.
(1) Le funzionalità elencate in questa colonna non sono disponibili nelle edizioni conformi a FedRAMP di CA Clarity PPM.
(2) Jaspersoft Studio è utilizzato per sviluppare report più avanzati specifici per il cliente.
(3) Le date di correzione sono soggette a variazioni in qualsiasi momento, con o senza preavviso.
(4) I client OWB e MSP non possono eseguire l'autenticazione con Clarity senza una sessione SSO valida. L'autorizzazione dell'ente è necessaria perché gli utenti del client OWB e MSP devono immettere il nome utente e la password per l'autenticazione senza SSO. Con l'autorizzazione dell'ente, Broadcom fornisce un endpoint Clarity OData per abilitare l'autenticazione SSO; in questo modo gli utenti possono avviare i client OWB o MSP da Clarity PPM.
(5) Autorizzazione dell'ente obbligatoria: le soluzioni approvate devono essere conformi agli standard di integrazione FedRAMP. Per ulteriori informazioni, contattare Broadcom o il proprio partner commerciale.
Domande frequenti:
1: In cosa si differenziano le versioni per FedRAMP dalle tradizionali versioni commerciali di CA Clarity PPM?
1: Clarity PPM è disponibile in varie release commerciali con cicli di vita di assistenza sovrapposti. L'applicazione può essere distribuita in ambienti on-premise, SaaS e in hosting con configurazioni di sviluppo, test e produzione. L'autorizzazione ATO FedRAMP non è trasferibile alle distribuzioni on-premise. Solo l'edizione SaaS di Clarity PPM 15.5.1 è certificata per FedRAMP. Per soddisfare i rigidi requisiti di sicurezza FedRAMP, alcune funzionalità di PPM sono disabilitate negli ambienti FedRAMP. Consultare la sezione
Versione per FedRAMP e versione commerciale di Clarity PPM: alternative e differenze tra le funzionalità
precedente.
2: Il servizio FedRAMP è facoltativo o obbligatorio?
2: Entrambi. I servizi cloud si
preferiscono
perché offrono costi di infrastruttura ridotti, migliore scalabilità, funzionalità di ripristino di emergenza e altri vantaggi tecnologici. Ma sono anche
obbligatori
. Nel 2010, l'Ufficio per il bilancio degli Stati Uniti (Office of Management and Budget, OMB) ha sancito la politica
Cloud First
per i dipartimenti federali. I requisiti originali hanno portato a una significativa adozione di offerte cloud autorizzate. Oggi, tutti gli enti della pubblica amministrazione statunitense hanno l'
obbligo
di utilizzare servizi cloud autorizzati ai sensi del FedRAMP.
3: Perché un cliente della versione commerciale di Clarity PPM dovrebbe passare al servizio FedRAMP?
3: I clienti della versione commerciale di Clarity soggetti a requisiti ai fini degli appalti pubblici relativi alla protezione delle informazioni non classificate controllate dovrebbero valutare il passaggio al servizio FedRAMP. Si prenda, ad esempio, una società aerospaziale che desidera espandere il segmento dei motori jet per gli aerei militari. Ai sensi del regolamento DFARS (Defense Federal Acquisition Regulation Supplement) sugli acquisti federali per la difesa, è necessario proteggere le informazioni di settore non classificate controllate per gli armamenti (per soddisfare 125 controlli).
4: In quale misura Broadcom e Clarity PPM soddisfano i requisiti FedRAMP?
4: L'offerta di Broadcom comprende soluzioni autorizzate ai sensi del programma FedRAMP. Broadcom offre infatti una solida assistenza e un sistema di supporto generale (GSS). Clarity PPM ha ottenuto la certificazione come soluzione FedRAMP autorizzata con un'autorizzazione ATO ufficiale con livello di impatto moderato. Consultare la sezione precedente per ulteriori informazioni.
5: In che modo vengono crittografati i dati personali nel servizio FedRAMP di Clarity PPM?
5: Tutti i dati in transito e a riposo sono crittografati utilizzando moduli di crittografia conformi allo standard FIPS 140-2.
6: Il servizio FedRAMP di Clarity consente l'accesso nativo alle schede PIV/CAC?
6: Al momento no. Tuttavia, il servizio FedRAMP di Clarity accetta le asserzioni SAML dal proprio provider di identità (ad esempio, Active Directory).
7: Cosa si può fare in caso di dubbi sulla necessità del servizio FedRAMP, ai fini della conformità alla legge FISMA (Federal Information Security Management Act)?
7: È possibile richiedere e utilizzare un piano per la sicurezza del sistema (System Security Plan, SSP) FedRAMP come guida per il piano SSP on-premise. Tuttavia, l'autorizzazione ATO FedRAMP di Clarity PPM non è trasferibile agli ambienti on-premise.
8: È supportata l'app mobile Clarity PPM?
8: Sì. È possibile utilizzare l'opzione
Accedi con SSO
per utilizzare la nuova app mobile di Clarity con il servizio FedRAMP.
9: I contratti FedRAMP prevedono una documentazione di elenco dei servizi SaaS distinta?
9: Sì. La documentazione dei servizi SaaS commerciali è stata aggiornata per FedRAMP.
10: Il servizio FedRAMP di Clarity PPM si integra con Rally on-premise?
10: Dal punto di vista dell'autenticazione, i team di prodotto di Clarity / Rally stanno attualmente verificando se, utilizzando l'autenticazione di base (autenticazione a fattore singolo), la configurazione funziona come previsto. Se i test hanno esito positivo, l'ente cliente dovrà richiedere l'autorizzazione per implementare questa configurazione. Utilizzando il tipo Integrazione elemento di portfolio, Clarity PPM stabilisce una connessione con Rally on-premise per estrarre i dettagli di esecuzione del lavoro. Le password di Clarity PPM vengono crittografate sia nell'applicazione che nel database. Attualmente, Rally on-premise non supporta le chiavi API o il tipo Integrazione investimento.
11: Quali integrazioni sono incluse nella soluzione Clarity PPM per FedRAMP?
11: Le integrazioni commerciali esistenti non sono supportate. Tuttavia, sono in fase di revisione alcune integrazioni legacy di partner selezionati per identificare un insieme di nozioni utili per soddisfare i requisiti FedRAMP in termini di autenticazione e trasferimento dati.
12: Clarity PPM è conforme alle Sezione 508?
12: Sì. È disponibile su richiesta il Voluntary Product Accessibility Template (VPAT) in corso per CA Project and Portfolio Manager 13.3, 14.x e 15.x. La certificazione VPAT corrente si riferisce solo all'interfaccia utente classica, che sostanzialmente non è cambiata dalla fine del 2015, quando è iniziato il passaggio alla
Nuova esperienza utente
. Tuttavia, gli standard di testing per la conformità VPAT sono cambiati. Il team di prodotto di Clarity PPM sta compilando un elenco mirato di punti correttivi necessari per conformarsi ai nuovi standard di test. In via provvisoria è stato pianificato l'inserimento delle correzioni associate nella release di Clarity PPM prevista per il primo trimestre 2020. Le correzioni interesseranno soltanto le funzionalità della versione classica di PPM.
13: Come è possibile accedere alla documentazione di prodotto di Clarity PPM per FedRAMP?
13: Richiedere la documentazione inerente alla sicurezza tramite il PMO. La documentazione di prodotto per i clienti di Clarity PPM è disponibile sul sito docops.ca.com.
14: Clarity per FedRAMP limita le sessioni utente simultanee?
14: Al momento no. Tuttavia, funzionalità è un punto della mappa FedRAMP di Clarity PPM in valutazione per una prossima release.
FedRAMPlogo_FINAL_2017.png