美國政府機關採用安全雲端服務- FedRAMP

因應政府部門計畫採購應依循「做一次，並重複使用」的精神，以避免重複投資、重複審查的困擾，美國政府FedRAMP（Federal Risk and Authorization Management Program，聯邦風險與授權管理計畫）即透過一套標準的安全性評估、授權及監控的流程，提供給政府採購單位經過嚴謹的安全性評估的雲服務解決方案，可降低各級政府機關自行進行風險評估及管理相關系統所耗費的人力、金錢及時間成本，進而促進整體聯邦政府採用安全雲服務。由於我國政府積極推展雲端服務之政策，相關系統上架產品確實有建立安全管控機制之需求，故美國之FedRAMP機制發展案例應可供我國借鑑。

圖 1  FedRAMP機制組成架構

資料來源：本文作者自行整理繪製

首先，先來了解FedRAMP機制的組織架構，主要分為六大部分，分別為：計畫管理辦公室（PMO）、美國國家標準與技術研究院（NIST）、國土安全部（DHS）、聯邦首席資訊官委員會、聯邦安全雲諮詢委員會（FSCAC）等聯邦機關與單位所共同組成（請參圖 1），各機關與單位角色如下：

• 聯合授權委員會（JAB）：核准第三方評估組織（Third Party Assessment Organization, 3PAO）的認證標準，為CSP實施FedRAMP安全授權要求。
• 計畫管理辦公室（PMO）：由總務管理局（GSA）成立，負責FedRAMP之日常操作與FedRAMP平台營運管理。
• 美國國家標準與技術研究院（NIST）：就聯邦資訊安全管理法（FISMA）合規性要求向 FedRAMP 提供建議，並協助制定獨立第三方評估組織（3PAO）認證標準。
• 國土安全部（DHS）：管理 FedRAMP 持續監控策略，包括數據饋送標準、威脅通知協調和事故管理。
• 聯邦首席資訊官委員會：透過跨部門溝通與整合，向聯邦首席資訊官（CIO）和其他代表傳達 FedRAMP 資訊。
• 聯邦安全雲諮詢委員會（FSCAC）：負責為政府部門雲端產品和服務提供標準化、可使用的安全評估和授權方法，並檢查 FedRAMP 的運作情況及提供相關建議。

圖 2　FedRAMP對雲端服務產品定義之三種狀態

資料來源：FedRAMP官方網站Marketplace頁面[1]

FedRAMP取得授權的方式主要有下列兩種：

一、AGENCY授權方式

係由聯邦機構自行審核和批准雲端服務供應商（CLOUD SERVICE PROVIDER,CSP）的安全性，適用於機構特定的雲服務，其授權的範圍較小、時間較短，成本也相對較低，且僅限於特定的機構和服務。

二、JAB授權方式

係由FedRAMP聯合授權委員會（Joint Authorization Board，JAB）審核和批准CSP的安全性，JAB成員包括國防部 (DoD)、國土安全部 (DHS) 和總務管理局 (GSA)。JAB 每年大約選擇 12 種雲產品供 JAB 臨時營運授權 (P-ATO) 使用。此外，JAB 還負責對所有 JAB 授權的雲產品進行持續監控。適用於具有廣泛市場需求的雲服務， JAB授權的範圍較大、時間較長、成本較高，但可以用於所有的機構和服務。

 FedRAMP準備(FedRAMP Ready)：代表雲端服務供應商(CSP)經獨立第三方評估機構證實雲端服務產品(CSO)的安全能力，且FedRAMP PMO辦公室已審閱「準備評估報告」（CSP需用文件證明服務商品的系統資訊遵循聯邦強制規定，且符合FedRAMP安全要求的能力），並認為達到可接受的程度。

FedRAMP審議(FedRAMP in Process)：代表CSP積極向JAB或聯邦機關，爭取FedRAMP授權的階段。

取得FedRAMP授權(FedRAMP Authorized)：代表CSP成功完成JAB或聯邦機關的FedRAMP授權流程，且CSO安全套裝服務可供機關重複使用。

FedRAMP授權之雲端服務產品分為低、中、高三類影響等級，其適用範圍及限制內容分述如下：

• Low（低影響等級）

Low是FedRAMP的最低級別，適用於風險較低的雲計算服務，例如公開資訊或非敏感資訊，這些服務不涉及非常敏感的數據或操作。在這個級別下，CSP需要遵守基本的安全措施(125項)，以確保數據的保密性和完整性。

• Moderate（中影響等級）

Moderate是FedRAMP的中間級別，適用於需要更高安全性的雲端服務，例如受限制或敏感資訊，這些服務可能處理較敏感的數據或操作。在這個級別下，CSP需要實施更多的安全控制(325項) ，包括身份驗證、訪問控制、加密等。

• High（高影響等級）

High是FedRAMP的最高級別，適用於機密或非常敏感數據雲端服務。在這個級別下，CSP需要實施最嚴格的安全措施(421項) ，包括高度的身份驗證、加密、持續監控等。

FedRAMP制度三項構成部分

一、對雲端服務提供者之評估

政府機關或雲端服務提供者任一方皆可提出申請，評估程序可分為提出申請、檔案安全控管、進行第三方安全測試、完成安全評估等四個階段。未來所有雲端產品與服務業者，都必須達到該計畫的標準規範，才能為美國政府機關提供雲端產品及服務。

二、對第三方評估機構之認證

雲端服務業者必須經由FedRAMP認證的第三方評估機構（3PAO）來進行審查。第三方評估機構欲通過認證，除了要符合FedRAMP的需求外，還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等，另外亦同時引進了ISO/IEC17020以及ISO/IEC17011之規定，以驗證檢驗機構的品質與技術能力。

三、持續的監督與授權（ongoing Assessment and Authorization, A&A）

通常也被稱為持續監控（Continuous Monitoring），透過後續持續的評估與授權機制，來確保雲端服務提供者持續的安全性授權。

FedRAMP帶來之效益

FedRAMP可為採用雲端服務之部門與機構提供下列以性價比、風險為基礎的作業方法：

1. 針對特定資訊系統影響等級，制定雲端服務授權與持續性網路安全之標準化安全要求。
2. 一套能對雲端服務供應商（CSP）實施之安全控制手段，產生一致且獨立評估結果的第三方合格評定程序。
3. 由JAB中來自國土安全部、國防部與總務管理局的安全專家審核通過的雲端服務授權包裹（包含授權官員就提供雲端服務的訊息系統做出基於風險的決策所需的證據，至少需有安全計畫、安全評估報告、行動計畫、里程碑與持續性的監控計畫）。
4. 使契約文字統一，以協助行政機關整合FedRAMP需求與範例至採購中。
5. 經授權可被全體政府機關採購之雲端服務資料庫（也就是FedRAMP Marketplace平台）。

附1.[1] MARKETPLACE, FedRAMP.GOV, https://www.fedramp.gov/about-marketplace/ (last visited Oct. 27, 2023).FedRAMP機制兩類主要授權方式

附2.FedRAMP授權之雲端服務產品三類影響等級[2]

[2] Understanding Baselines and Impact Levels in FedRAMP, FedRAMP.GOV, https://www.fedramp.gov/understanding-baselines-and-impact-levels/ (last visited Oct. 27, 2023).

封面圖片來源：https://unsplash.com/photos/5fNmWej4tAA　

參考資料來源：PROGRAM BASICS, FedRAMP.GOV (https://www.fedramp.gov/program-basics/)