خب بذار خلاصه و خودمونی برات تعریف کنم که FedRAMP 20x دقیقاً چیه و چرا اینقدر سروصدا به پا کرده!
قبلاً، برنامه FedRAMP (که مخفف Federal Risk and Authorization Management Program هست، یه جورایی یعنی برنامه مدیریت ریسک و مجوزدهی فدرال) موقع ارزیابی سیستمهای ابری، هزار جور کنترل و مدرک میخواست. همه چی دستی و کاغذی و فقط تو یه لحظه خاص بررسی میشد. مشکل این بود که این روش اصلاً با دنیای سریع و تغییرپذیر کلاد (cloud یعنی همون سرویسهای ابری که اطلاعات و برنامهها توی اینترنت هستن و نه فقط روی کامپیوتر خودت) نمیساخت.
واسه همین سال ۲۰۲۵ قرار شده یه طرح آزمایشی به اسم FedRAMP 20x اجرا بشه. توی این پروژه، کل مدل قبلی رو ریختن دور! به جای اون کنترلها و لیستهای طولانی NIST 800-53 (اینا یه سری استاندارد خیلی سختگیرانه برای امنیت هستن)، اومدن سراغ یه رویکرد جدید به اسم KSI.
حالا KSI چیه؟ مخفف Key Security Indicators ـه، یعنی شاخصهای امنیتی کلیدی. یه جور معیار هستن که مدام اندازهگیری میشن و به زبان ماشین قابل خوندنان، یعنی سیستم خودش مدام چک میکنه و گزارش میده. اینطوری لازم نیست هر بار یکی بشینه و دستی مدرک بنویسه یا بره چک کنه.
توی این پروژه، خیلی روی اتوماسیون تاکید دارن؛ یعنی دوست دارن همه چی خودش انجام بشه. مثلاً به جای اینکه یک تیم بیاد گزارشای امنیتی رو دستی آماده کنه و بعد نهادهای نظارتی (Regulatory bodies یعنی ارگانهایی که وظیفهشون کنترل و نظارت بر کار شرکتها و محصولات هست) بررسی کنن، دیگه این کارها رو سیستمها خودشون انجام میدن.
خلاصه، یه نفر از صنعت که تجربه رهبری چند تا ارسال پروژه در این پایلوت رو داشته، این مقاله رو نوشته و تجربه خودش رو تعریف کرده. این فرد با FedRAMP PMO (دفتر مدیریت برنامه فدرال که همه چیز رو هماهنگ میکنه)، ۳PAOها (Third Party Assessment Organization، یعنی شرکتهایی که کارشون ارزیابی مستقل سیستمه)، و کلی گروه تخصصی همکاری کرده تا ببینه این مدل جدید واقعا جواب میده یا نه.
نتیجه چی شد؟ استفاده از KSI، ایجاد جریان مداوم مدرک امنیتی که خودشون بهش میگن continuous evidence pipelines (یعنی مدام و اتوماتیک اطلاعات و شواهد امنیتی جمع میشه)، و تلفیق DevSecOps (این کلمه ترکیبی از Development، Security و Operations ـه؛ یعنی توسعه نرمافزاری، امنیت و مدیریت سیستمها همزمان و یکپارچه با هم اجرا میشن) باعث شده که کارها سریعتر پیش بره و تحلیل ریسک هم به روز باشه.
در واقع، FedRAMP 20x شد یه آزمایش زنده برای اینکه ببینیم چجوری میتونیم کل این سیستم مدیریت ریسک (RMF یعنی Risk Management Framework، یه چارچوب برای مدیریت ریسکهای امنیتی) رو با کلاد، اتوماسیون و پیوستگی به روز کنیم. تحقیقاتشون هم حسابی به درد آدمهایی میخوره که دنبال مدرن کردن سیستمهای قانونی و افزایش سرعت تصمیمگیری ریسک هستن.
در کل، اگه بخوایم همه چی رو در یک جمله جمع کنیم: FedRAMP 20x میخواد دنیای کند، دستی و کاغذی ارزیابی ریسک رو بندازه دور و یه سیستم سریع، هوشمند و خودکار بسازه که هر لحظه امنیت و ریسک رو از نزدیک چک میکنه. این یعنی قدم بزرگ به سمت امنیت واقعی و به روز توی دنیای ابری!
منبع: +
