Clarity
per FedRAMP

ccppmop1592
2
Clarity
per FedRAMP
: CA Technologies, società del gruppo Broadcom, ha ottenuto l'autorizzazione a operare (ATO) con il sostegno di enti sponsor per i servizi cloud forniti a agenzie e dipartimenti federali.
Clarity
dispone delle autorizzazioni FedRAMP.
Panoramica di FedRAMP
Il programma FedRAMP (Federal Risk and Authorization Management Program) fornisce un approccio standardizzato per la valutazione, l'autorizzazione e il monitoraggio continuo della sicurezza per i prodotti e i servizi cloud. Questo approccio si basa su un framework efficiente che consente di ridurre tempi e costi rispetto alle precedenti e ridondanti valutazioni di sicurezza delle agenzie.
  • Sicurezza
    : si adotta un approccio standardizzato per la valutazione, l'autorizzazione e il monitoraggio continuo della sicurezza per i prodotti e i servizi cloud. Le agenzie federali e governative devono utilizzare soluzioni basate su cloud con un grado di protezione elevato che soddisfino livelli di sicurezza rigorosi e le normative di conformità statunitensi.
  • Obbligatorietà
    : tutti gli enti della pubblica amministrazione statunitense hanno l'obbligo di utilizzare servizi cloud autorizzati ai sensi del programma FedRAMP. FedRAMP è obbligatorio per le distribuzioni cloud e i modelli di servizi adottati presso le agenzie federali, con tre livelli di impatto (rischio basso, moderato e alto). Le agenzie devono inviare un report trimestrale per segnalare i servizi cloud che non soddisfano i requisiti FedRAMP con le opportune soluzioni e proposte razionali per ottenere la conformità. Fanno eccezione le distribuzioni cloud private destinate alle singole organizzazioni e implementate interamente nella struttura dell'ente federale.
  • Valore
    : il framework, basato sul principio
    do once, use many times
    consente di contenere costi, tempi e personale necessari per eseguire le valutazioni di sicurezza ridondanti delle agenzie.
General Support System (GSS) di Broadcom per FedRAMP
CA Technologies, azienda del gruppo Broadcom che offre soluzioni software, ha adottato un sistema di supporto generale (General Support System, GSS) per includere le offerte SaaS di Broadcom conformi al FedRAMP. Il sistema GSS è attualmente ospitato su cloud Microsoft Azure Government SaaS e potrebbe essere ampliato per includere le altre offerte cloud per la pubblica amministrazione autorizzate ai sensi del FedRAMP.
Il sistema GSS comprende criteri e procedure comuni, strumenti e servizi di autenticazione che possono essere utilizzati per le offerte SaaS. Il sistema GSS, basato negli Stati Uniti e gestito da impiegati statunitensi di Broadcom, consente alle offerte SaaS di ereditare oltre il 70% dei 325 controlli di sicurezza FedRAMP moderati di base per l'autorizzazione iniziale, il monitoraggio continuo e i costi di esecuzione/funzionamento.
Il 16 aprile 2019,
Clarity
ha ottenuto la nomina ufficiale per l'autorizzazione a operare (ATO) da una delle principali organizzazioni internazionali del settore della sanità e della ricerca. GSS dispone dell'autorizzazione FedRAMP dal 09 luglio 2019.
Primato
:
Clarity
è la prima offerta SaaS di Broadcom ospitata sul sistema GSS.
La figura seguente mostra i componenti principali nel GSS:
image2019-5-7_19-42-46.png
Differenze e alternative tra la versione commerciale di
Clarity
e la versione per FedRAMP
La tabella seguente elenca le notevoli capacità commerciali di
Clarity
e le differenze o alternative con
Clarity
per FedRAMP:
Negli ambienti FedRAMP, le portlet HTML non sono supportate.
Capacità commerciali
Alternative FedRAMP
Correzioni(3)
1
Supporto di XOG, GEL e NSQL
  • Utilizzare XOG, GEL o NSQL
  • Gli amministratori dell'applicazione devono includere la clausola "@WHERE:SECURITY:" nelle query NSQL
  • Gli script GEL non possono utilizzare il tag "sql:update" con le istruzioni SQL di lettura/scrittura
  • Gli script GEL possono utilizzare il tag "nsql" per leggere i dati
N/D
2
Jaspersoft Studio(2), CA JDBC Adapter e app TIBCO JasperMobile da utilizzare con
Clarity
  • Utilizzare le funzionalità di reporting di Jaspersoft predefinite in
    Clarity
    per visualizzazioni, tabelle e report ad hoc e per pianificare i report
  • Utilizzare i report predefiniti forniti con
    Clarity
  • Utilizzare PMO Accelerator e i contenuti di reporting avanzato PMO
  • Sviluppare portlet e dashboard in
    Classic PPM
  • Estendere i campi predefiniti per i progetti, le risorse e altri domini con attributi personalizzati o oggetti secondari creati in
    Clarity
Nessuna correzione
: gli strumenti client Jaspersoft integrati con
Clarity
non supportano l'accesso SSO con autenticazione a più fattori.
3
Accesso OData al data warehouse
  • Utilizzare il file flat Exchange su SFTP
  • Questo è supportato mediante l'utilizzo dei flussi di lavoro di
    Clarity
    o degli script GEL.
Questa funzionalità è un elemento della mappa FedRAMP di
Clarity
proposto per una prossima release. Per informazioni, contattare il proprio referente commerciale di
Clarity
.
4
Integrazioni di terze parti e supporto esterno di XOG (XML Open gateway) (4)
  • Gli ambienti FedRAMP supportano le integrazioni utilizzando SFTP come prodotto commerciale; pertanto, è supportato lo scambio di dati mediante l'invio e il recupero di file flat.
  • In un limite protetto, inserire un file nel server SFTP per l'invio di file flat, con autenticazione mediante scambio di chiavi. Per ulteriori informazioni, consultare la sezione Autenticazione basata su chiave.
  • Eseguire l'importazione/esportazione XOG mediante gli script GEL
Questa funzionalità è un elemento della mappa FedRAMP di
Clarity
proposto per una prossima release. Per informazioni, contattare il proprio referente commerciale di
Clarity
.
5
Accesso diretto al database
  • Nessuna soluzione alternativa a causa delle restrizioni degli script GEL per i tag SQL (anche l'accesso VPN non è disponibile)
  • I tag NSQL sono supportati se gli amministratori dell'applicazione includono la clausola @WHERE:SECURITY
  • L'accesso VPN non è disponibile
Nessuna correzione
6
Integrazione di
Clarity
con gli strumenti client CA Open WorkBench (OWB) e Microsoft Project (MSP)
  • Ottenere l'autorizzazione per implementare questa configurazione
  • Utilità di pianificazione nativa di
    Clarity
    , visualizzazione Gantt, struttura WBS e funzionalità di gestione delle attività
Questa funzionalità è un elemento della mappa FedRAMP di
Clarity
proposto per una prossima release. Per informazioni, contattare il proprio referente commerciale di
Clarity
.
7
Integrazione di
Clarity
con Rally
  • Utilizzare l'edizione on-premise corrente di Rally con il tipo di integrazione degli elementi di portfolio e l'autenticazione di base
Questa funzionalità dipende dall'introduzione di un servizio Rally per FedRAMP.
(2) Jaspersoft Studio è utilizzato per sviluppare report più avanzati specifici per il cliente.
(3) Le date di correzione sono soggette a variazioni in qualsiasi momento, con o senza preavviso.
(4) I client OWB e MSP non possono eseguire l'autenticazione con
Clarity
senza una sessione SSO valida. L'autorizzazione dell'ente è necessaria perché gli utenti del client OWB e MSP devono immettere il nome utente e la password per l'autenticazione senza SSO. Con l'autorizzazione dell'ente, Broadcom fornisce un endpoint
Clarity
OData per abilitare l'autenticazione SSO; in questo modo gli utenti possono avviare i client OWB o MSP da
Clarity
.
Tag GEL/CORE non supportati in FedRAMP
I seguenti tag GEL non sono supportati a causa di possibili accessi non autorizzati ai dati o a problemi associati all'ambiente. Il team operativo FedRAMP SaaS collaborerà direttamente con le agenzie o i partner dei servizi per identificare i tag GEL necessari per l'implementazione di
Clarity
ai fini della conformità.
Ubicazione
Tag FedRAMP
FedRAMP
com.niku.pmo.gel.tags.BPAUpgrade
FedRAMP
org.apache.commons.jelly.tags.sql.QueryTag
Domande frequenti
1: Qual è la differenza tra
Clarity
SaaS per FedRAMP e la versione commerciale di
Clarity
SaaS?
Clarity
è disponibile in diverse release commerciali con cicli di vita di assistenza sovrapposti. L'applicazione può essere distribuita in ambienti on-premise, SaaS e in hosting con configurazioni di sviluppo, test e produzione. L'autorizzazione ATO FedRAMP non è trasferibile alle distribuzioni on-premise. Per soddisfare i severi requisiti di sicurezza FedRAMP, alcune funzionalità della versione commerciale di
Clarity
sono disabilitate negli ambienti di
Clarity
per FedRAMP. Consultare la sezione Differenze e alternative tra la versione commerciale di
Clarity
e la versione per FedRAMP riportate in precedenza
2: Il servizio FedRAMP è facoltativo o obbligatorio?
Entrambi. I servizi cloud si
preferiscono
perché offrono costi di infrastruttura ridotti, migliore scalabilità, funzionalità di ripristino di emergenza e altri vantaggi tecnologici. Ma sono anche
obbligatori
. Nel 2010, l'Ufficio per il bilancio degli Stati Uniti (Office of Management and Budget, OMB) ha sancito la politica
Cloud First
per i dipartimenti federali. I requisiti originali hanno portato a una significativa adozione di offerte cloud autorizzate. Oggi, tutti gli enti della pubblica amministrazione statunitense hanno l'
obbligo
di utilizzare servizi cloud autorizzati ai sensi del FedRAMP.
3: Perché un cliente della versione commerciale di
Clarity
SaaS dovrebbe passare al servizio FedRAMP?
I clienti della versione commerciale di
Clarity
soggetti a requisiti per la protezione delle informazioni non classificate controllate ai fini degli appalti pubblici, dovrebbero valutare il passaggio al servizio FedRAMP. Si prenda, ad esempio, una società aerospaziale che desidera espandere il segmento dei motori jet per gli aerei militari. Ai sensi del regolamento DFARS (Defense Federal Acquisition Regulation Supplement) sugli acquisti federali per la difesa, è necessario proteggere le informazioni di settore non classificate controllate per gli armamenti (per soddisfare 125 controlli).
4: In quale misura Broadcom e
Clarity
soddisfano i requisiti FedRAMP?
L'offerta di Broadcom comprende soluzioni autorizzate ai sensi del programma FedRAMP. Broadcom offre infatti una solida assistenza e un sistema di supporto generale (GSS).
Clarity
ha ottenuto la certificazione come soluzione FedRAMP autorizzata con un'autorizzazione ATO ufficiale con livello di impatto moderato. Consultare la sezione precedente per ulteriori informazioni.
5: In che modo vengono crittografati i dati personali in
Clarity
per FedRAMP?
Tutti i dati in transito e a riposo sono crittografati utilizzando moduli di crittografia conformi allo standard FIPS 140-2.
6: Il servizio FedRAMP di
Clarity
consente l'accesso nativo alle schede PIV/CAC?
Sì, il servizio FedRAMP di
Clarity
accetta le asserzioni SAML dai provider di identità. Le agenzie sono necessarie per implementare strategie di autenticazione appropriate e supportare l'accesso alle schede PIV/CAC.
7: Cosa si può fare in caso di dubbi sulla necessità del servizio FedRAMP, ai fini della conformità alla legge FISMA (Federal Information Security Management Act)?
È possibile richiedere e utilizzare un piano per la sicurezza del sistema (System Security Plan, SSP) FedRAMP come guida per il piano SSP on-premise. Tuttavia, l'autorizzazione ATO FedRAMP di
Clarity
non è trasferibile agli ambienti on-premise.
8: L'app mobile di
Clarity
è supportata?
Sì. La versione per dispositivi mobili di
Clarity
può essere utilizzata in un ambiente FedRAMP in combinazione con l'opzione di accesso SSO.
9: I contratti FedRAMP prevedono una documentazione di elenco dei servizi SaaS distinta?
Sì, la documentazione di elenco dei servizi SaaS FedRAMP è disponibile su richiesta.
10:
Clarity
è conforme alle Sezione 508?
Clarity
esegue la convalida dell'accessibilità per ogni release principale e completa il modello VPAT corrispondente. Per consultare una copia del modello VPAT corrente, contattare il rappresentante commerciale di Broadcom.
11: Come è possibile accedere alla documentazione SSP (System Security Package) di
Clarity
per FedRAMP?
Visitare il Marketplace di FedRAMP. Completare il modulo di richiesta di accesso al pacchetto.
12:
Clarity
per FedRAMP limita le sessioni utente simultanee?
Al momento no. Tuttavia, questa funzionalità è un elemento della mappa di
Clarity
per FedRAMP proposto per le prossime release.
13:
Clarity
per FedRAMP supporta Unicode?
Sì.
Clarity
supporta UTF8.
14:
Clarity
per FedRAMP supporta la Nuova esperienza utente di
Clarity
?
Sì. La Nuova esperienza utente è ora supportata in
Clarity
per FedRAMP.
15:
Clarity
per FedRAMP supporta le API REST?
Sì.
Clarity
per FedRAMP supporta le API REST. Tuttavia, è necessario utilizzare le chiavi API in
Clarity
. Per ulteriori informazioni sulle chiave API, consultare la sezione Autenticazione basata su chiave.
FedRAMPlogo_FINAL_2017.png