联邦风险和授权管理计划(FedRAMP)是云服务提供商(CSP)的评估和授权过程。 具体而言,此过程适用于 CSP 创建的云解决方案产品,用于对接联邦机构。 Azure 和 Azure 政府从联合授权委员会 (Joint Authorization Board) 获得了高影响级别的临时运行授权 (P-ATO),这是 FedRAMP 认证的最高标准。
Azure 提供满足所有控制要求的功能,以实现 CSO 或联邦机构 FedRAMP 高评级。 组织负责完成符合性的其他配置或流程。 这一责任适用于寻求其 CSO 的 FedRAMP 高级授权的 CSP 和寻求授权运营(ATO)的联邦机构。
Microsoft 与 FedRAMP
Microsoft Azure 在 FedRAMP 高影响 级别支持比任何其他 CSP 更多的服务。 虽然 Azure 公有云中的此级别满足许多美国政府客户的需求,但要求更严格的机构可能依赖于 Azure 政府云。 Azure 政府提供额外的保障措施,例如加强人员筛选。
每年需要Microsoft重新认证其云服务才能维护其授权。 为此,Microsoft持续监视和评估其安全控制措施,并证明其服务的安全性符合要求。 有关详细信息,请参阅 Microsoft云服务 FedRAMP 授权,以及 Microsoft FedRAMP 审核报告。 若要接收其他 FedRAMP 报告,请向 Azure 联邦文档发送电子邮件。
关于 FedRAMP 授权,有多种途径可供选择。 可以重复使用 Azure 的现有授权包和此处的指南,以显著减少获取 ATO 或 P-ATO 所需的时间和工作量。
指导范围
FedRAMP 高基线由 NIST 800-53 安全控制目录修订版 4 中的 421 个控件和控制增强功能组成。 如果适用,我们包括来自800-53 修订版 5的澄清信息。 这篇文章集涵盖了一些与身份相关的控件,其中还包括您必须配置的控件。
我们提供规范性指导,帮助你实现对在 Microsoft Entra ID 中配置的控制措施的符合性。 若要完全满足某些标识控制要求,可能需要使用其他系统。 其他系统可能包括安全信息和事件管理工具,例如Microsoft Sentinel。 如果在 Microsoft Entra ID 之外使用 Azure 服务,则需要考虑其他控件,并且可以使用 Azure 已具备的功能来满足这些控件。
下面是 FedRAMP 资源的列表: