FedRamp 클라우드 보안 프로그램이 클라우드가됩니다

Tom Temin : 또한 귀하는 규제 된 지역, 규제 기관, 규제 업계 기관의 연방 IT 이사로서 다소 긴 이야기를 가지고 있음을 주목해야합니다. 그래서, 당신은 지금 그것을 양쪽에서 보는 것 같았습니다. 20x는 어떻게됩니까? 어떻게 생겼습니까? 그들은 여기서 무엇을하려고합니까?

Travis Hauerton : 그렇습니다. 그래서 당신은 규칙을 고려할 수있는 전형적인 의무를 제시하고 어떤 효과가 있는지, 그렇지 않은지, 최적화하려고 시도한 행정부에 변화가있었습니다. 따라서 치아에서 조금 더 길어지는 프로그램이므로 한 걸음 물러서서 무엇이 바뀌 었는지, 업계가 필요하다는 것을보고, 지속적으로 개선 할 수있는 기회가 있는지 확인하는 것이 항상 좋다고 생각합니다. 당신은 연방 측면에서 나의 오랜 경력을 언급했습니다. 나는 미국 핵무기 프로그램의 최초의 최고 기술 이사로 사임했다. 내가 알게 된 것은 Toyota 생산 시스템이었습니다. 이것은 단순히 흐름 흐름을 반영하는 것입니다. 가치는 어디에 있습니까? 어디에서 최적화합니까? 폐기물은 어디에 있습니까? 이것은 어디에서 단순화할까요? 그러므로 나는 이것이 통과 해야하는 건강한 운동이라고 생각하며, 그곳에서 일어나는 일들이 많이 있다고 생각합니다.

Tom Temin : 그리고 이것은 이것이 허가에 대한 새로운 클라우드 접근법 일 것이라고 언급했습니다. 따라서 클라우드 허가를위한 클라우드 레슨, 이것으로 무엇을 의미합니까? 거기서 무슨 일이 일어나고 있다고 생각하십니까?

Travis Hauerton : 나는 오랫동안 책임이 허가를 수행하기 위해 작업의 상당 부분을 얻었다고 생각합니다. 그 과정에서 자문 회사를 사용하여 경험이있는 경우 스스로 준비하거나 수행해야 할 때 약간의 중복성이있었습니다. 자격 수준에 관계없이, 당신은 감사를 수행하기 위해서는 제 3 자 독립 평가 조직, 3PAO가 필요합니다. 그들은 실제로 모든 상자를 확인하기 위해 대부분의 작업을 수행합니다. 당신은 당신이 한 모든 증거를 가지고 있습니다. 당신이 한 일을 무엇을 말 했습니까? 그리고 그는 대행사를 통과 한 다음 Fedramp를 통해 당신을 승인합니다. 이 과정에서 다른쪽에 도착할 많은 어머니가있는 것 같습니다. 그러므로 나는 그들이 우리가 클라우드 서비스, 벙커 연화제 및 다른 사람들에게 상자에서 더 많은 일을하기 위해 더 많은 것을 전달할 것이라고 생각합니다. 그리고 업계는 정부가 많은 혁신이있는 많은 클라우드 서비스를 활용할 수 있도록 정부의 부담을 촉진하는 데 도움이됩니다. 그리고 우리는 어떻게이 과정을 통해 디즈니의 빠른 통과를 만들어서 더 잘 주문하고, 더 쉽고, 경제적으로 효과적입니다. 그래서 나는 모든 목표가 내 관점에서 고귀하다고 말할 것입니다.

Tom Temin : 현재 Hypermersh는 자체 환경을 책임지고 있지만이 기관의 플랫폼의 프레임 워크 내에는 자신의 회사, 규정 준수를위한 소프트웨어 등 특정 서비스를 제공하는 많은 공급 업체가 있습니다. 그들 모두는 Fedramp에 의해 인증되어야합니다. Hyperpees와 제 3 자 에이전시 공급 업체 사이의 다리는 무엇입니까?

Travis Hauerton : 예, 다리는 역사적 으로이 CIS, CSP를 제공하는 CRN 책임 매트릭스에 있다고 생각합니다. 그래서 그들은 다음과 같이 말합니다. 여기에 우리가 당신을 위해 만나는 통제가 있습니다. 따라서 Azure Data Center에서 일할 때 PE 제어, 물리 보안 부서에 대해 걱정하지 않습니다. 이것은 그들에 의해 제공되는 100%입니다. 그들은 그들이 나를 위해하는 말을하고, 우리는 연방 정부의 표준을 충족시킵니다. 당신은 그것에 대해 보거나 걱정할 필요조차 없습니다. 그리고 다른 우주가 있는데,이 우주는 그들이 이것의 일부에 참여하는 일반적인 경영 요소입니다. 그리고 그들은 내가해야 할 부분을 말해줍니다. 그리고 관리 요소의 모든 우주가 있으며, 전혀 도움이되지 않을 것입니다. 나는 이것에 대한 책임이있다. 따라서 FedRamp 가이 CRM에서 CSP가 점점 더 많다고 주장하는 경우 상자에서 제공하여 더 빠르게 진행될 수 있다고 생각합니다. 점점 더 많을뿐만 아니라 그들이 제공하는 사람들에게는 자동화 된 방식으로 원격 측정법을 제공합니다. 이는 자동화 된 방식으로 원격 측정을 제공합니다.이를 통해 연방 감독의 부담을 줄이기 위해 가장 높은 위험으로 통제하도록 초대 할 수 있습니다. 그렇습니다. 여전히 좋은 위험에 처해 있습니다. 우리는 여전히 우리 정부 가이 문제에 대해 여전히 편리합니다. 이러한 것들을보다 자동화하기 위해 FedRamp를받는 과밀이 있으므로 수동 인간 집약적 인 과정이 아닙니다.

Tom Temin : 우리는 Travis Hauerton과 이야기하고 있습니다. 그는 Redscale의 창립자이자 총괄 이사이며 전 기술 담당자 이사입니다. 새로운 소프트웨어가 스택에 추가되기 때문에 유전 관리 요소에 대한이 아이디어. 이 아이디어가 여기에 나타나는 것 같습니다.

Travis Hauerton : 그렇습니다. 그것은 오랫동안 Fedramp의 주요 기초였습니다. 따라서 NIST의 초기 클라우드 정의에 대해 생각하면 서비스로 인프라가 있습니다. 그래서 나는이 레이어 위에있는 모든 것에 책임이 있지만, 상속받을 수있는 충분한 수의 것들을 얻습니다. 그런 다음 서비스로 플랫폼으로 이동합니다. 아마도 데이터베이스, 웹 서버를 사용합니다. 그래서 나는 상속받을 수있는 더 많은 것을 얻습니다. 모든 사람이 정말로 얻기를 원한다는 사실은 오히려 표면과 같은 소프트웨어입니다. 당신은 당신이 나를 위해 그것을 할 수있는 것 같습니다. 가능한 한 적은 일을하고 싶지만 사업에 가장 많은 이익을 얻습니다. 나는 이것이 일종의 클라우드 파워이며 대행사가 필요하다고 생각합니다. 패치를 유지하기 위해 그들과 자신의 운영 및 유지 보수에 대한 부담을 줄이고 시간이 지남에 따라 이러한 시스템을 매우 안전한 방식으로 서비스로 소비하더라도 업데이트하십시오. 그리고 그것은 Fedramp 오일을 곁들인 일종의 빵이었습니다. 한 번 승인을 받고, 많은 기관이 CSP를 쉽게 사용할 수 있고, 주 기관의 경우 더 쉽고 납세자의 비용이 훨씬 낮습니다.

Tom Temin : 그러나 우리는 실제로 자신의 인증을 원하거나 다른 기관의 채택에서 수행되는 일을 받아들이지 않은 일부 기관을 보았습니다. 이것이이 문제를 조금 해결할 수 있다는 것을 알 수 있습니까?

Travis Hauerton : 마지막 FedRamp에서는 그렇지 않습니다. FedRamp 20X 가이 문제로 당신을 인도한다고 생각하지 않습니다. 적어도 이것은 내 의견입니다. 나는 내가 이해하려고했던 것은 법의 조항이라고 생각합니다. 그들이 캐리비안의 해적이 가이드가되기 전에 그들이 Fedramp를 채택했기 때문에, 그것은 당신이 먼저 클라우드 서비스를 사용하는 것이 좋습니다. 그리고 그들은 그들이 Fedramamm을 선호하는 것이 좋습니다. 이제 법입니다. 그러나 법에서 그는 적절성의 추정이라고 말했다. 이것은 당신이 왜 독특하고 왜 그렇게 할 수 없는지에 대한 설득력있는 임무를 제공 할 수 없다면 Fedramp를 복용해야 함을 의미합니다. 나는 언어가 업계의 관점에서 적절성의 추정보다 더 강해지기를 원합니다. 납세자로서 우리는 이러한 모든 시스템의 인증을위한 문서 작성에 대해 20, 30%의 세금을 마지막으로 주 기관 수에 지불했다고 생각합니다. 데이터가 하루가 끝날 때 데이터 인 경우. 따라서 부서 B의 CUI 데이터와 실제로 다르지 않은 CUI 데이터를 제어하고 분류 한 경우, 한 번 사용한 미니 인프라를 한 번 승인 한 것을보고 싶습니다.

Tom Temin : 그들은 거의 위험 관리에 약간 더 접근 할 수있는 것 같습니다.

Travis Hauerton : 그렇습니다. 저는 그들이 위험 관리에 접근 할 수 있다고 생각하지만 결국 ATF와 힘은 위험 관리 프레임입니다. 내 말은, 항상 위험했습니다. 나는 그들이 실제로 수동으로 체커들의 임금에 비해 위험의 통제 볼을 결정하기 위해 자동화하려고한다고 생각합니다. 그러므로 나는 이것이 당신에게 당신에게주는 것이 위험에 대한 실시간의 관점이라고 생각하며, 이는 기관에 두 가지 안전한 결정을 자극해야합니다.

Tom Temin : 이것은 업계가 Fedramp의 인증을 받기 위해 업계와 솔루션을 취득하는 대행사를 위해 최적화한다고 말하는 것이 공평 할 것입니까?

Travis Hauerton : 나는 이것이 Fedramp의 목표와 약속이라고 생각합니다. 따라서 보안 표준을 줄이지 않고 최대한 빨리 정부의 손에 가장 혁신적인 기술을 원합니다. 따라서 정부에서는 데이터가 매우 민감합니다. 그들은 세계에서 가장 높은 위협 프로필을 가지고 있습니다. 그들은 끊임없이 공격합니다. 따라서, 당신은이 두 가지 경쟁 우선 순위의 균형을 잡은 것 같습니다. 국가 안보를 위협하는 방식으로 보안 표준을 줄이지 않고 기술과 혁신을 도입하는 측면에서 효율성을 높이고 민간 부문에 어떻게 접근 할 수 있습니까? 따라서 이것은 항상 미묘한 균형이지만 자동화로 수행하고 사람들이 확인한 후에는 더 많은 점검을 실시간으로 수행하면 비용과 위험 기반의 기초를 동시에 줄임으로써 혜택을받을 수 있습니다.

Tom Temin : 그리고 20X 이후에 여기서하고 싶은 다른 것이 있습니까?

Travis Hauerton : 그렇습니다. 텐트에서 무인 상태에서 유일하게 긴 매력이 있다고 생각하면 많은 클라우드 서비스 공급 업체와의 대화가 대행사 스폰서를 얻는 부담이라고 생각합니다. Fedramp의 첫 번째 단계는 대행사를 후원 할 수 있다는 것입니다. 점점 더 많은 FedRamp는 대행사에서 행동하며 여러분은 ATO에서 대부분의 작업을하고 있다고 말합니다. 문제는 현재 대행사에서 개와 다른 것들의 노력을 가진 사람들이 훨씬 적다는 것입니다. 따라서 더 많은 작업을 수행하는 것이 더 어려워집니다. 나는 그것이 유지 보수를위한 GSA가되기를 정말로 원합니다. 그런 다음 아무것도 접근 할 필요가 없습니다. CSP는 자신의화물을 지불하여 그것을 통과합니다. 대행사 스폰서에 갈 필요가 없습니다. 그리고 이것은 이런 식으로 자체 -피니싱 프로그램 일 수 있습니다. 그러므로 나는 이것이 서비스 수수료를 청구 할 수 있다면들을 수있는 사람들에게 사람들이 시장에 진출 할 수있는 입구 장벽을 낮추는 사람들에게 줄 것을 권고 할 것이라고 생각합니다. 압력을 받고있는 연방의 부담을 제거하면 이것이 승리라고 생각합니다.