共用方式為

FedRAMP 合規性方案概觀

  • 發行項

在 Azure 中加速實現美國聯邦風險和授權管理方案 (FedRAMP) 合規性是一項全身心投入的工作,其提供學習資源和實作工具。 目標是在專案的範圍劃定和實作期間提供培訓和支援。 此外,Microsoft 與重要的評量和自動化合作夥伴合作,分享可協助您滿足合規性需求的參考架構和解決方案。

作為在這一領域內提供服務的合作夥伴,您可以在 Marketplace 中發佈供應專案,以擴充服務的觸達範圍。

客戶

美國政府機關和其他許多組織都依賴商業軟體公司來完成其任務。 FedRAMP 的建立是為了提供標準化的方法,以評估、監視及授權雲端運算產品和服務。 此方法採用「一次執行、多次使用」架構,可節省執行個別機構安全性評估所需的成本、時間和資源。 FedRAMP 是以國家標準技術研究院 (NIST) SP 800-53 標準為基礎,透過 FedRAMP 控制項和控制項增強功能進行了增強。

雲端服務有兩種類型的 FedRAMP 授權:

  • FedRAMP 聯合授權委員會 (JAB) 所核發的臨時作業授權 (P-ATO)
  • 機構的作業授權 (ATO)

P-ATO 流程

FedRAMP P-ATO 是由 JAB 初步核准雲端服務提供者 (CSP) 授權套件。 機構可以依賴 P-ATO 來授與 ATO,以取得並在其機構內使用雲端服務。 JAB 由美國國防部 (DoD)、美國國土安全部 (DHS) 和美國總務管理局 (GSA) 的資訊長組成,由各自成員組織的指定技術代表 (TR) 提供支援。 P-ATO 表示 JAB 已檢閱雲端服務的授權套件,並提供了暫時核准以便聯邦機構在為雲端服務供應專案授與 ATO 時使用。

機構 ATO 流程

在代理程式授權程式中,CSP 會直接與檢閱雲端服務安全性套件的代理贊助者合作。 完成安全性評估后,機構負責人 (或被指定的人員) 可以授與 ATO。

因此,ISV 可以選擇獲取 JAB 授權,JAB 授權會授與其解決方案的一般化授權,並可在多個機構中使用。 這一流程往往比較漫長。 他們也可以選擇獲取自己所服務於的政府客戶所專用的機構 ATO。 此客戶作為贊助者,甚至可能與其他機構有互惠關係,這便可以更快速、更順暢地對其他客戶採用公司解決方案。

合作夥伴

Microsoft 能夠透過其合作夥伴進行擴展。 「擴展」可讓我們建立更可預測的、符合成本效益且快速的傳遞。 申請 ATO 時也會遇到這些常見問題。 我們專注於打造兩種主要的合作關係:

  • 諮詢:可讓合作夥伴根據 Azure 建立供應專案,以引導客戶完成個別步驟或整個 ATO 流程。 這些合作夥伴提供諮詢服務,並捆綁了一些自動化解決方案,可增加 Azure Marketplace 合規性供應項目的價值。 通常可以直接簽約、透過引薦簽約或透過 Microsoft Azure Marketplace 簽約。
  • 自動化:我們聚焦於兩種類型的自動化合作夥伴:
    • 基礎合作夥伴,可促成第三方解決方案與 Azure 整合,並協助您達成/滿足 FedRAMP 套件中的控制件。 這些合作夥伴是建議參考架構的一部分。
    • 真正的自動化合作夥伴,可協助實現 ATO 旅程自動化的某些層面,例如 FedRAMP 系統安全性計畫 (SSP) 產生、自我修復、警示和監視。

注意

合作夥伴需要將其解決方案發佈至 Azure Marketplace。 如需指引,請參閱以下步驟。

發佈到 Azure Marketplace

  1. 加入合作夥伴網路 – 必須加入合作夥伴網路才能進行發佈,註冊很簡單。 如需指示,請參閱建立合作夥伴中心帳戶並在商業市集中註冊 (英文)。
  2. 遵循在合作夥伴中心建立商業市集帳戶中的指示,將您的合作夥伴中心帳戶啟用為 Marketplace 的發行者/開發人員。
  3. 使用啟用的合作夥伴中心帳戶,將您的清單發佈為 SaaS 應用程式,如建立 SaaS 供應專案中所述。

如需此空間中現有的 Azure Marketplace 供應項目清單,請瀏覽 Azure Marketplace

更多資源

注意

此處提供的資訊可讓您註冊並了解 FedRAMP 合規性方案。 此方案旨在協助 Azure 和 Azure Government 客戶成功準備其授權環境和申請 FedRAMP ATO。 這項資訊並不構成任何種類的供應項目,而且絕不保證參與該方案。 目前,與合作夥伴和客戶共用的方案詳細數據只是一種設想,可能會改變,恕不另行通知。

下一步

如需進一步的秘訣和疑難解答,請查看依供應項目類型發佈指南。 如果您仍然遇到問題,請在合作夥伴中心提交票證。