Clarity
per FedRAMP

ccppmop1581
2
Clarity
per FedRAMP
: CA Technologies, società del gruppo Broadcom, ha ottenuto l'autorizzazione a operare (ATO) con il sostegno di enti sponsor per i servizi cloud forniti a agenzie e dipartimenti federali.
Clarity
dispone delle autorizzazioni FedRAMP.
Panoramica di FedRAMP
Il programma FedRAMP (Federal Risk and Authorization Management Program) fornisce un approccio standardizzato per la valutazione, l'autorizzazione e il monitoraggio continuo della sicurezza per i prodotti e i servizi cloud. Questo approccio si basa su un framework efficiente che consente di ridurre tempi e costi rispetto alle precedenti e ridondanti valutazioni di sicurezza delle agenzie.
  • Sicurezza
    : si adotta un approccio standardizzato per la valutazione, l'autorizzazione e il monitoraggio continuo della sicurezza per i prodotti e i servizi cloud. Le agenzie federali e governative devono utilizzare soluzioni basate su cloud con un grado di protezione elevato che soddisfino livelli di sicurezza rigorosi e le normative di conformità statunitensi.
  • Obbligatorietà
    : tutti gli enti della pubblica amministrazione statunitense hanno l'obbligo di utilizzare servizi cloud autorizzati ai sensi del programma FedRAMP. FedRAMP è obbligatorio per le distribuzioni cloud e i modelli di servizi adottati presso le agenzie federali, con tre livelli di impatto (rischio basso, moderato e alto). Le agenzie devono inviare un report trimestrale per segnalare i servizi cloud che non soddisfano i requisiti FedRAMP con le opportune soluzioni e proposte razionali per ottenere la conformità. Fanno eccezione le distribuzioni cloud private destinate alle singole organizzazioni e implementate interamente nella struttura dell'ente federale.
  • Valore
    : il framework, basato sul principio
    do once, use many times
    consente di contenere costi, tempi e personale necessari per eseguire le valutazioni di sicurezza ridondanti delle agenzie.
General Support System (GSS) di Broadcom per FedRAMP
CA Technologies, azienda del gruppo Broadcom che offre soluzioni software per la gestione del portfolio, ha adottato un sistema di supporto generale (General Support System, GSS) per includere le offerte SaaS di Broadcom conformi al FedRAMP. Il sistema GSS è attualmente ospitato su cloud Microsoft Azure Government IaaS e potrebbe essere ampliato per includere le altre offerte cloud per la pubblica amministrazione autorizzate ai sensi del FedRAMP.
Il sistema GSS comprende criteri e procedure comuni, strumenti e servizi di autenticazione che possono essere utilizzati per le offerte SaaS. Il sistema GSS, basato negli Stati Uniti e gestito da impiegati statunitensi di Broadcom, consente alle offerte SaaS di ereditare oltre il 70% dei 325 controlli di sicurezza FedRAMP moderati di base per l'autorizzazione iniziale, il monitoraggio continuo e i costi di esecuzione/funzionamento.
Il 16 aprile 2019
Clarity
ha ottenuto la nomina ufficiale per l'autorizzazione a operare (ATO) da una delle principali organizzazioni internazionali del settore della sanità e della ricerca. GSS dispone dell'autorizzazione FedRAMP dal 09 luglio 2019.
Primato
:
Clarity
è la prima offerta SaaS di Broadcom inclusa nel sistema GSS.
La figura seguente mostra i componenti principali nel GSS:
image2019-5-7_19-42-46.png
Versione per FedRAMP e versione commerciale di
Clarity
: alternative e differenze tra le funzionalità
Nella tabella seguente sono elencate le differenze principali tra la versione commerciale di
Clarity
e la versione di
Clarity
per FedRAMP:
Negli ambienti FedRAMP, le portlet HTML non sono supportate.
Funzionalità(1)
Alternative disponibili
Correzioni(3)
1
Nuova esperienza utente di Clarity
  • Finché è supportata, questa funzionalità resta disabilitata
  • Utilizzare l'esperienza utente di
    Classic PPM
  • Applicare il tema di interfaccia utente Phoenix per un'esperienza utente più moderna
Questa funzionalità è un elemento della mappa FedRAMP di
Clarity
proposto per una prossima release. Per informazioni, contattare il proprio referente commerciale di
Clarity
.
2
Supporto API REST
  • XOG, GEL o NSQL (gli amministratori dell'applicazione devono includere la clausola "@WHERE:SECURITY:" nelle query NSQL)
  • L'API REST non è accessibile al di fuori degli enti perché non è possibile scambiare le chiavi e l'accesso SSO non è supportato
  • Gli script GEL non possono utilizzare il tag "sql:update" con le istruzioni SQL di lettura/scrittura
  • Gli script GEL possono utilizzare il tag "nsql" per leggere i dati
Questa funzionalità è un elemento della mappa FedRAMP di
Clarity
proposto per una prossima release. Per informazioni, contattare il proprio referente commerciale di
Clarity
.
3
Jaspersoft Studio(2), CA JDBC Adapter e app TIBCO JasperMobile da utilizzare con
Clarity
  • Utilizzare le funzionalità di reporting di Jaspersoft integrate in
    Clarity
    per visualizzazioni, tabelle e report ad hoc e per pianificare i report
  • Utilizzare i report predefiniti forniti con Clarity
  • Utilizzare PMO Accelerator e i contenuti di reporting avanzato PMO
  • Sviluppo di portlet e dashboard in
    Classic PPM
    Studio
  • Estendere i campi predefiniti per i progetti, le risorse e altri domini con attributi personalizzati o oggetti secondari creati in Clarity
Nessuna correzione
: gli strumenti client Jaspersoft non supportano l'accesso SSO con autenticazione a più fattori. La creazione di report utilizzando l'API REST non è supportata in Jaspersoft Studio.
4
Accesso OData al data warehouse
  • Scambio di file flat su SFTP (supportato solo con flussi di lavoro di
    Clarity
    o script GEL)
Questa funzionalità è un elemento della mappa FedRAMP di
Clarity
proposto per una prossima release. Per informazioni, contattare il proprio referente commerciale di
Clarity
.
5
Integrazioni di terze parti (personalizzazioni)
  • Gli endpoint ODATA e le chiamate SOAP nel servizio in genere non sono supportati
  • Le integrazioni potrebbero essere possibili con l'autorizzazione dell'ente
Autorizzazione dell'ente obbligatoria:
(5)
6
Supporto XML Open Gateway (XOG) esterno
  • Gli ambienti FedRAMP supportano le stesse integrazioni utilizzando SFTP come prodotto commerciale; pertanto, è supportato lo scambio di dati mediante l'invio e il recupero di file flat. In un limite protetto, inserire un file nel server SFTP per l'invio di file flat, con autenticazione mediante
    scambio di chiavi
    .
  • Eseguire l'importazione/esportazione XOG mediante gli script GEL
Questa funzionalità è un elemento della mappa FedRAMP di
Clarity
proposto per una prossima release. Per informazioni, contattare il proprio referente commerciale di
Clarity
.
7
Accesso diretto al database
  • Nessuna soluzione alternativa a causa delle restrizioni degli script GEL per i tag SQL (anche l'accesso VPN non è disponibile)
Nessuna correzione
8
Integrazione di
Clarity
con gli strumenti client CA Open WorkBench (OWB) e Microsoft Project (MSP)
  • Ottenere l'autorizzazione per implementare questa configurazione
  • Utilità di pianificazione nativa di
    Clarity
    , visualizzazione Gantt, struttura WBS e funzionalità di gestione delle attività
Autorizzazione dell'ente obbligatoria:
(4)(5)
9
Integrazione di
Clarity
con Rally
  • Utilizzare l'edizione on-premise corrente di Rally con il tipo di integrazione degli elementi di portfolio e l'autenticazione di base
Autorizzazione dell'ente obbligatoria
(5)
10
CA Productivity Accelerator
  • Nessuna soluzione alternativa al momento
Nessuna correzione:
è in corso lo studio di una soluzione.
11
Utilità SaaS di ODUM e scheda di integrazione SaaS
  • È supportato lo scambio di dati mediante l'invio e il recupero di file flat (ad esempio, per il caricamento delle risorse); in un limite protetto, inserire un file nel server SFTP per l'invio di file flat, con autenticazione mediante
    scambio di chiavi
  • Eseguire l'importazione/esportazione XOG mediante gli script GEL
  • Le versioni per FedRAMP di
    Clarity
    supportano SAML 2.0
Nessuna correzione:
consultare le
Alternative disponibili
.
(1) Le funzionalità elencate in questa colonna non sono disponibili nelle edizioni conformi a FedRAMP di
Clarity
.
(2) Jaspersoft Studio è utilizzato per sviluppare report più avanzati specifici per il cliente.
(3) Le date di correzione sono soggette a variazioni in qualsiasi momento, con o senza preavviso.
(4) I client OWB e MSP non possono eseguire l'autenticazione con Clarity senza una sessione SSO valida. L'autorizzazione dell'ente è necessaria perché gli utenti del client OWB e MSP devono immettere il nome utente e la password per l'autenticazione senza SSO. Con l'autorizzazione dell'ente, Broadcom fornisce un endpoint Clarity OData per abilitare l'autenticazione SSO; in questo modo gli utenti possono avviare i client OWB o MSP da
Clarity
.
(5) Autorizzazione dell'ente obbligatoria: le soluzioni approvate devono essere conformi agli standard di integrazione FedRAMP. Per ulteriori informazioni, contattare Broadcom o il proprio partner commerciale.
Domande frequenti:
1: In cosa si differenziano le versioni per FedRAMP dalle tradizionali versioni commerciali di
Clarity
?
1:
Clarity
è disponibile in diverse release commerciali con cicli di vita di assistenza sovrapposti. L'applicazione può essere distribuita in ambienti on-premise, SaaS e in hosting con configurazioni di sviluppo, test e produzione. L'autorizzazione ATO FedRAMP non è trasferibile alle distribuzioni on-premise. Solo l'edizione SaaS di
Clarity
15.5.1 è certificata per FedRAMP. Per soddisfare i severi requisiti di sicurezza FedRAMP, alcune funzionalità di
Clarity
sono disabilitate negli ambienti FedRAMP. Consultare la sezione
Versione per FedRAMP e versione commerciale di
Clarity
: alternative e differenze tra le funzionalità
.
2: Il servizio FedRAMP è facoltativo o obbligatorio?
2: Entrambi. I servizi cloud si
preferiscono
perché offrono costi di infrastruttura ridotti, migliore scalabilità, funzionalità di ripristino di emergenza e altri vantaggi tecnologici. Ma sono anche
obbligatori
. Nel 2010, l'Ufficio per il bilancio degli Stati Uniti (Office of Management and Budget, OMB) ha sancito la politica
Cloud First
per i dipartimenti federali. I requisiti originali hanno portato a una significativa adozione di offerte cloud autorizzate. Oggi, tutti gli enti della pubblica amministrazione statunitense hanno l'
obbligo
di utilizzare servizi cloud autorizzati ai sensi del FedRAMP.
3: Perché un cliente della versione commerciale di
Clarity
dovrebbe passare al servizio FedRAMP?
3: I clienti della versione commerciale di Clarity soggetti a requisiti ai fini degli appalti pubblici relativi alla protezione delle informazioni non classificate controllate dovrebbero valutare il passaggio al servizio FedRAMP. Si prenda, ad esempio, una società aerospaziale che desidera espandere il segmento dei motori jet per gli aerei militari. Ai sensi del regolamento DFARS (Defense Federal Acquisition Regulation Supplement) sugli acquisti federali per la difesa, è necessario proteggere le informazioni di settore non classificate controllate per gli armamenti (per soddisfare 125 controlli).
4: In quale misura Broadcom e
Clarity
soddisfano i requisiti FedRAMP?
4: L'offerta di Broadcom comprende soluzioni autorizzate ai sensi del programma FedRAMP. Broadcom offre infatti una solida assistenza e un sistema di supporto generale (GSS).
Clarity
ha ottenuto la certificazione come soluzione FedRAMP autorizzata con un'autorizzazione ATO ufficiale con livello di impatto moderato. Consultare la sezione precedente per ulteriori informazioni.
5: In che modo vengono crittografati i dati personali nel servizio FedRAMP di
Clarity
?
5: Tutti i dati in transito e a riposo sono crittografati utilizzando moduli di crittografia conformi allo standard FIPS 140-2.
6: Il servizio FedRAMP di Clarity consente l'accesso nativo alle schede PIV/CAC?
6: Al momento no. Tuttavia, il servizio FedRAMP di Clarity accetta le asserzioni SAML dal proprio provider di identità (ad esempio, Active Directory).
7: Cosa si può fare in caso di dubbi sulla necessità del servizio FedRAMP, ai fini della conformità alla legge FISMA (Federal Information Security Management Act)?
7: È possibile richiedere e utilizzare un piano per la sicurezza del sistema (System Security Plan, SSP) FedRAMP come guida per il piano SSP on-premise. Tuttavia, l'autorizzazione ATO FedRAMP di
Clarity
non è trasferibile agli ambienti on-premise.
8: L'app mobile di
Clarity
è supportata?
8: Sì. È possibile utilizzare l'opzione
Accedi con SSO
per utilizzare la nuova app mobile di Clarity con il servizio FedRAMP.
9: I contratti FedRAMP prevedono una documentazione di elenco dei servizi SaaS distinta?
9: Sì. La documentazione dei servizi SaaS commerciali è stata aggiornata per FedRAMP.
10: Il servizio FedRAMP di
Clarity
si integra con Rally on-premise?
10: Dal punto di vista dell'autenticazione, i team di prodotto di Clarity/Rally stanno attualmente verificando se, utilizzando l'autenticazione di base (autenticazione a fattore singolo), la configurazione funziona come previsto. Se i test hanno esito positivo, l'ente cliente dovrà richiedere l'autorizzazione per implementare questa configurazione. Utilizzando il tipo Integrazione Elemento di portfolio,
Clarity
stabilisce una connessione con Rally on-premise per estrarre i dettagli di esecuzione del lavoro. Le password di
Clarity
vengono crittografate sia nell'applicazione che nel database. Attualmente, Rally on-premise non supporta le chiavi API o il tipo Integrazione investimento.
11: Quali integrazioni sono incluse nella soluzione
Clarity
per FedRAMP?
11: Le integrazioni commerciali esistenti non sono supportate. Tuttavia, sono in fase di revisione alcune integrazioni legacy di partner selezionati per identificare un insieme di nozioni utili per soddisfare i requisiti FedRAMP in termini di autenticazione e trasferimento dati.
12:
Clarity
è conforme alle Sezione 508?
12: Sì. È disponibile su richiesta il Voluntary Product Accessibility Template (VPAT) in corso per CA Project and Portfolio Manager 13.3, 14.x e 15.x. La certificazione VPAT corrente si riferisce solo all'interfaccia utente di
Classic PPM
, che sostanzialmente non è cambiata dalla fine del 2015, quando è iniziata l'implementazione di
Clarity
. Tuttavia, gli standard di testing per la conformità VPAT sono cambiati. Il team di prodotto di
Clarity
sta compilando un elenco mirato di punti correttivi necessari per garantire la conformità ai nuovi standard di testing. In via provvisoria è stato pianificato l'inserimento delle correzioni associate nella release di
Clarity
prevista per il primo trimestre del 2020. Le correzioni interesseranno soltanto le funzionalità di
Classic PPM
.
13: Come è possibile accedere alla documentazione di prodotto di
Clarity
per FedRAMP?
13: Richiedere la documentazione inerente alla sicurezza tramite il PMO. La documentazione di prodotto per i clienti di
Clarity
è disponibile sul sito techdocs.broadcom.com.
14: Clarity per FedRAMP limita le sessioni utente simultanee?
14: Al momento no. Tuttavia, questa funzionalità è un elemento della mappa FedRAMP di
Clarity
proposto per una prossima release.
Q15: Clarity per FedRAMP supporta Unicode?
Sì. Clarity supporta UTF8.
FedRAMPlogo_FINAL_2017.png