Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Acelerar la ruta de acceso al cumplimiento del Programa federal de administración de riesgos y autorización (FedRAMP) de Estados Unidos en Azure es un esfuerzo centrado que proporciona recursos de aprendizaje y herramientas de implementación. El objetivo es la educación y el apoyo durante el ámbito y la implementación del proyecto. Además, Microsoft trabaja con asociados clave de evaluación y automatización para compartir arquitecturas y soluciones de referencia que pueden ayudarle a satisfacer sus necesidades de cumplimiento.
Como asociado que proporciona un servicio en este campo, puede publicar la oferta en Marketplace que expanda el alcance del servicio.
Clientela
Las agencias gubernamentales de ESTADOS Unidos y muchas otras organizaciones dependen de empresas de software comercial para lograr sus misiones. FedRAMP se estableció para proporcionar un enfoque estandarizado para evaluar, supervisar y autorizar productos y servicios informáticos en la nube. Este enfoque usa un marco de "hacer una vez, usar muchas veces" que ahorra costos, tiempo y recursos necesarios para realizar evaluaciones de seguridad de agencias individuales. FedRAMP se basa en el estándar National Institute of Standards and Technology (NIST) SP 800-53, aumentado por controles y mejoras de control de FedRAMP.
Hay dos tipos de autorizaciones de FedRAMP para servicios en la nube:
- Una autoridad provisional para operar (P-ATO) emitida por la Junta de Autorización Conjunta (JAB) de FedRAMP
- Una autoridad de agencia para operar (ATO)
Proceso de P-ATO
Un FedRAMP P-ATO es una aprobación inicial del paquete de autorización del proveedor de servicios en la nube (CSP) por el JAB. Una agencia puede confiar en P-ATO para conceder un ATO para la adquisición y el uso del servicio en la nube dentro de su agencia. El JAB consta de los directores de información (CIO) del Departamento de Defensa (DoD), el Departamento de Seguridad Nacional (DHS) y la Administración de Servicios Generales (GSA), respaldados por representantes técnicos designados (RT) de sus respectivas organizaciones miembro. Un P-ATO significa que el JAB ha revisado el paquete de autorización del servicio en la nube y ha proporcionado una aprobación provisional para que las agencias federales las usen al conceder un ATO para una oferta de servicios en la nube.
Proceso de ATO de agencia
Como parte del proceso de autorización de la agencia, un CSP trabaja directamente con el patrocinador de la agencia que revisa el paquete de seguridad del servicio en la nube. Después de completar una evaluación de seguridad, el jefe de una agencia (o su destinatario) puede conceder un ATO.
Por lo tanto, un ISV puede optar por una autorización jab, que concede una autorización generalizada a su solución y se puede usar con varias agencias. Este proceso tiende a ser más largo. También pueden optar por ir a un ATO de agencia, que es específico del cliente gubernamental que atiende. Este cliente actúa como patrocinador e incluso puede tener "reciprocidad" con otras agencias, lo que permite una adopción más rápida y fluida de la solución de la empresa con un cliente diferente.
Asociados
Microsoft puede escalar a través de sus asociados. La escala es lo que nos permite crear una entrega más predecible, rentable y rápida. Estas preocupaciones también son comunes con la búsqueda de un ATO. Nos centramos en habilitar dos tipos principales de asociaciones:
- Aviso: permite a los asociados crear ofertas basadas en Azure que guían a un cliente a través de pasos individuales o todo el proceso de ATO. Estos asociados ofrecen servicios de consultoría agrupados con algunas soluciones automatizadas que agregan valor a las ofertas de cumplimiento de Azure Marketplace. Normalmente se pueden contratar directamente, por referencia o a través de Microsoft Azure Marketplace.
-
Automatización: hay dos tipos de asociados de automatización en los que nos centramos:
- Asociados fundamentales, que permiten la integración de soluciones de terceros con Azure y le ayudan a lograr o cumplir los controles del paquete FedRAMP. Estos asociados forman parte de nuestras arquitecturas de referencia recomendadas.
- Verdaderos asociados de automatización que ayudan a automatizar determinados aspectos del recorrido de ATO, como la generación del Plan de seguridad del sistema (SSP) de FedRAMP, la recuperación automática, las alertas y la supervisión.
Nota:
Se pide a los asociados que publiquen sus soluciones en Azure Marketplace. Consulte los pasos siguientes para obtener instrucciones.
Publicación en Azure Marketplace
- Unirse a Partner Network: es un requisito para publicarlo, pero es fácil de registrarse. Para obtener instrucciones, consulte Creación de una cuenta del Centro de partners e inscripción en marketplace comercial.
- Habilite la cuenta del Centro de partners como Publicador o Desarrollador para Marketplace siguiendo las instrucciones de Creación de una cuenta de Marketplace comercial en el Centro de partners.
- Con una cuenta del Centro de partners habilitada, publique la descripción como una aplicación SaaS, como se explica en Creación de una oferta de SaaS.
Para obtener una lista de las ofertas existentes de Azure Marketplace en este espacio, visite Azure Marketplace.
Más recursos
Nota:
La información proporcionada aquí le permitirá registrarse y obtener información sobre el programa de cumplimiento de FedRAMP. El programa está diseñado para ayudar a los clientes de Azure y Azure Government a preparar correctamente sus entornos para la autorización y solicitar un ATO de FedRAMP. Esta información no constituye una oferta de ningún tipo y el envío de los formularios siguientes de ninguna manera garantiza la participación en el programa. Actualmente, los detalles del programa compartidos con asociados y clientes no son profesionales y están sujetos a cambios sin previo aviso.
- Recursos de entrenamiento de FedRAMP.
- Documentos y plantillas de FedRAMP para ayudarle con los requisitos del programa.
- Familiarícese con el Marketplace de FedRAMP.
- Más información sobre el cumplimiento de Azure Government.
Pasos siguientes
Revise la guía de publicación por tipo de oferta para obtener más sugerencias y solución de problemas. Si sigue teniendo problemas, abra un vale en el Centro de partners.