Red Hat OpenShift Service on AWS obtiene la designación FedRAMP Ready

Nos complace anunciar que la oferta de Red Hat que se encuentra en proceso de obtener la autorización del Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP,) la cual incluye a Red Hat OpenShift Service on AWS (ROSA), obtuvo la designación Ready de la Junta de Autorización Conjunta (JAB). Esto significa que ahora la empresa figura en FedRAMP Marketplace, en donde aparece que busca activamente obtener la autorización de JAB y pueden verse actualizaciones adicionales que muestran el progreso y los logros en los dos procesos de certificación: el listado de la autorización para operar (ATO) que ya posee y el listado de la que asigna la JAB. Este es el nuevo hito importante desde nuestra actualización de agosto de 2023, cuando se priorizó a Red Hat para obtener una autorización de JAB luego de que se aceptara nuestro informe de evaluación de preparación.

Pero ¿por qué hay dos procesos y dos listados? Como parte del proceso de certificación de FedRAMP, se otorgan dos tipos de autorizaciones. Actualmente, Red Hat cuenta con una autorización para operar de la Oficina Nacional de Administración Oceánica y Atmosférica (NOAA) y está buscando ampliar la lista de certificaciones al trabajar con la JAB para obtener una autorización provisional para operar (P-ATO). Por más que se lleve a cabo el proceso de JAB, la ATO de Red Hat con NOAA sigue siendo válida, y los clientes aún pueden usar e implementar con total confianza las ofertas de los productos de la empresa, que incluyen Red Hat OpenShift Service on AWS y el servicio aprobado Red Hat Insights for Red Hat Enterprise Linux.

Explicación sobre JAB y un vistazo hacia el futuro

El proceso de autorización de JAB tiene varias etapas que se diseñaron en torno al principio de aprendizaje rápido de los errores, cuyo objetivo es identificar y solucionar los posibles problemas con mayor rapidez. Como se mencionó anteriormente, hay dos procesos para obtener la autorización de FedRAMP: la autorización para operar y la JAB. Una de las principales diferencias entre ambos es que la JAB no acepta riesgos remanentes en nombre de posibles clientes futuros (por ejemplo, los organismos gubernamentales), lo que lleva a la junta a ofrecer una ATO provisional. Esto significa que los proveedores de servicios de nube (CSP), como Red Hat, deben cumplir con estándares más estrictos que los requeridos para la autorización otorgada por los organismos gubernamentales, quienes revisan los procesos con la garantía de que se mantuvieron los estándares más estrictos.

Actualmente, Red Hat está realizando pruebas con una organización de evaluación externa (3PAO) para la evaluación de seguridad de la JAB de FedRAMP, que nos acercará a nuestro próximo objetivo de obtener una P-ATO.

Cuando la empresa completa la evaluación de seguridad de JAB, en la cual se revisan los elementos, como el plan de seguridad del sistema (SSP), los diagramas de límites de autorización, el plan de acción e hitos (POA&M) y distintos procesos y procedimientos, se envía un informe de evaluación de seguridad (SAR) a la JAB. Una vez que la junta determine que Red Hat OpenShift Service on AWS cumple correctamente con los requisitos gubernamentales, emitirá la P-ATO.

Con la autorización de la JAB, Red Hat podrá optimizar sus prácticas de supervisión constante para aumentar la eficiencia interna y, al mismo tiempo, ofrecer una plataforma gestionada líder y altamente controlada. Mientras tanto, los clientes pueden seguir aprovechando los productos actuales de Red Hat autorizados por FedRAMP.