Red Hat OpenShift Service on AWS accède au statut « Ready » du FedRAMP

Nous avons le plaisir de vous informer que le JAB (Joint Authorization Board) du FedRAMP a attribué le statut « Ready » à l'offre FedRAMP de Red Hat, qui inclut Red Hat OpenShift Service on AWS (ROSA). Red Hat apparaît donc désormais sur la FedRAMP Marketplace comme cherchant activement à obtenir l'autorisation du JAB, avec des mises à jour supplémentaires qui montrent l'avancement dans les deux procédures d'obtention d'une autorisation : l'autorisation d'exploitation délivrée par une agence et l'autorisation du JAB. L'obtention de cette autorisation constitue la prochaine étape majeure depuis la mise à jour d'août 2023, lorsque Red Hat a intégré la liste des priorités pour l'autorisation du JAB à la suite de l'acceptation de notre rapport d'évaluation de l'état de préparation par le JAB.

Mais pourquoi y a-t-il deux procédures différentes ? Deux types d'autorisations sont accordées dans le cadre du processus de certification du FedRAMP. Red Hat dispose actuellement d'une autorisation délivrée par la NOAA (National Oceanic and Atmospheric Administration), et travaille actuellement avec le JAB pour obtenir une autorisation d'exploitation provisoire. L'autorisation délivrée par la NOAA reste valide et les clients peuvent toujours utiliser et déployer sans limitation et en toute confiance les offres de produits Red Hat, dont ROSA et le service approuvé Red Hat Insights for RHEL.

Comprendre le JAB et le prochain objectif

Le processus d'autorisation du JAB est constitué de plusieurs phases conçues autour du principe de l'échec accéléré, qui vise à identifier et résoudre plus rapidement les problèmes potentiels. Comme indiqué ci-dessus, il existe deux procédures d'obtention d'une autorisation FedRAMP : via une agence ou via le JAB. L'une des principales différences entre les autorisations du JAB et d'une agence est que le JAB n'accepte pas de risque résiduel pour le compte de futurs clients potentiels (par exemple des agences), ce qui le conduit à proposer une autorisation d'exploitation « provisoire ». Les fournisseurs de services cloud tels que Red Hat sont donc soumis à des normes plus strictes que celles des agences. Ces dernières peuvent ensuite examiner cette autorisation en sachant que les normes les plus strictes ont été respectées.

Nous sommes actuellement en train de réaliser des tests avec un organisme d'évaluation tiers (3PAO) dans le cadre de notre évaluation de sécurité menée par le JAB du FedRAMP, ce qui nous rapprochera de notre prochain objectif qui est d'obtenir une autorisation d'exploitation provisoire.

Au terme de l'évaluation de la sécurité réalisée par le JAB, qui examine des éléments tels que le plan de sécurité du système, les diagrammes des limites d'autorisation, le plan d'action et d'étapes, ainsi que divers processus et procédures, un rapport d'évaluation de la sécurité est établi. Une fois que le JAB aura déterminé que ROSA répond aux exigences gouvernementales, il émettra l'autorisation d'exploitation provisoire.

Avec une autorisation du JAB, Red Hat pourra rationaliser ses pratiques de surveillance continue pour accroître l'efficacité interne, tout en proposant une plateforme gérée de pointe et sous haute surveillance. En attendant, les clients peuvent continuer à utiliser le produit Red Hat FedRAMP actuel ayant obtenu l'autorisation d'une agence.