AWS 上的红帽 OpenShift 服务获得 FedRAMP“就绪”认定

我们很高兴地宣布，包括 AWS 上的红帽 OpenShift 服务（ROSA）在内的红帽 FedRAMP 产品现已获得 FedRAMP 联合授权委员会（JAB）的“就绪”认定。这意味着，红帽目前在 FedRAMP 市场上已列为积极寻求 JAB 授权的企业，并通过其他更新展示我们在两条授权路径上所取得的进展和成就：现有的机构运营授权（ATO）名单和单独的 JAB 授权路径名单。这是我们自 2023 年 8 月更新以来取得的又一个重要里程碑，在那次更新中，我们的就绪度评估报告成功获得 JAB 的认可，使红帽得以优先获得 JAB 的授权。

但是，为什么会有两条路径和两个名单？FedRAMP 认证流程中可授予两种类型的授权。红帽目前已通过美国国家海洋和大气管理局（NOAA）获得机构授权，但红帽正在与 JAB 合作来获得临时运营授权（P-ATO），以增加所获的授权。完成 JAB 流程后，红帽与 NOAA 的 ATO 依然有效，客户仍然可以完全放心地全面使用和部署红帽产品，包括 ROSA 和已获批准用于 RHEL 的红帽智能分析服务。

了解 JAB 和展望

JAB 授权流程围绕“快速失败”原则设计了多个阶段，旨在更快地识别和修复潜在的问题。如上文所述，FedRAMP 授权有两条路径：机构授权和 JAB 授权。JAB 授权和机构授权之间的一个主要区别在于，JAB 不代表潜在的未来客户（如机构）接受残余风险，因此该委员会提供一种“临时的”ATO。这意味着，诸如红帽等云服务提供商（CSP）需要遵守比机构授权流程更高的标准。之后，在已知遵循了最严格标准的情况下，机构可以审核这一授权。

红帽正在与第三方评估官方机构（3PAO）合作，以完成 FedRAMP JAB 安全性评估的测试，这有助于我们进一步迈向下一个临时运营授权（P-ATO）目标。

在 JAB 安全性评估中，审核的工件包括系统安全计划（SSP）、授权边界图、行动计划和里程碑（POA&M）以及各项流程和程序等，完成后，红帽将向 JAB 提交安全性评估报告（SAR）。一旦 JAB 确定 ROSA 已成功满足相关政府要求，即会颁发 P-ATO。

获得 JAB 授权后，红帽将能够简化其持续监控实践，以提高内部效率，同时提供经过严格审查的领先托管平台。与此同时，客户可以继续利用红帽当前的 FedRAMP 机构授权产品。