Акции Qualys Inc (NASDAQ: QLYS) в предрыночные торги в четверг прибавляли 1,7% после того, как компания сообщила о получении статуса FedRAMP High Authorization для своего решения TotalCloud. Важная деталь: поддержку и инициирование процесса обеспечило агентство США по борьбе с наркотиками — U.S. Drug Enforcement Administration (DEA). Фактически речь идет о расширении признанного уровня соответствия требованиям федеральной кибербезопасности на более широкий класс облачных сервисов.
Что именно получила Qualys
Полученная авторизация распространяет действующий уровень FedRAMP High, который ранее относился к Qualys Government Platform, и дополняет его возможностями Cloud-Native Application Protection Platform (CNAAP). Иными словами, теперь платформа Qualys TotalCloud может официально фигурировать как решение с требуемым уровнем доверия для использования в рамках федеральных ИТ-процессов.
После завершения процедуры TotalCloud внесен в FedRAMP Marketplace — каталог одобренных облачных услуг. Такой статус упрощает выбор поставщиков для государственных ведомств и организаций, работающих в среде с повышенными требованиями к защите данных.
Почему FedRAMP High считается «самым строгим» уровнем
FedRAMP — это программа Федерального управления США по управлению рисками и авторизации облачных сервисов (Federal Risk and Authorization Management Program). У нее есть несколько уровней соответствия, и категория High относится к наиболее жестким требованиям.
FedRAMP High Authorization увязывается с контролями NIST SP 800-53 High Impact. NIST SP 800-53 — это рамочный документ Национального института стандартов и технологий США, описывающий набор мер безопасности. Класс High Impact означает, что речь идет о защите систем и данных, компрометация которых может привести к серьезным последствиям. Именно поэтому требования ориентированы на работу с наиболее чувствительной незасекреченной информацией федерального уровня.
Термины простыми словами
- FedRAMP High — высокий уровень соответствия, который подтверждает, что облачный сервис прошел тщательную оценку рисков и мер защиты.
- CNAAP (Cloud-Native Application Protection Platform) — платформа защиты приложений, созданных и работающих в облачной среде (cloud-native), включая контроль угроз и уязвимостей на уровне приложений и инфраструктуры.
- ATO — Authorization to Operate, то есть разрешение на эксплуатацию информационной системы в рамках требований государственных стандартов.
Как устроен TotalCloud и что он закрывает
Qualys TotalCloud позиционируется как единый подход к облачной безопасности для федеральных ведомств и коммерческих поставщиков. В основе — сочетание нескольких направлений защиты, которые в реальных инфраструктурах обычно требуют разных инструментов и процессов.
Среди ключевых функций TotalCloud заявлены:
- приоритизация рисков на основе данных «от кода до облака»;
- мониторинг соответствия требованиям (compliance monitoring);
- контроль во время работы (runtime), а также обнаружение угроз;
- полное выявление поверхности атаки (attack surface discovery) — то есть всех точек возможного воздействия на систему;
- защита облачных приложений в формате cloud-native.
Комментарий руководства Qualys
Оценку события дал президент и генеральный директор Qualys Сумедх Тхакар (Sumedh Thakar). Он отметил, что добавление CNAAP в качестве очередного этапа позволяет ведомствам внедрять современные решения с большей уверенностью, защищая наиболее чувствительные рабочие нагрузки при одновременном соблюдении самых высоких федеральных стандартов доверия и устойчивости (trust and resilience).
Что это дает заказчикам и подрядчикам
Для федеральных агентств, подрядчиков и организаций, работающих в логике требований NIST SP 800-53, авторизация FedRAMP High для Qualys TotalCloud может означать снижение операционных рисков и ускорение прохождения процессов комплаенса.
Ключевой механизм связан с так называемой «моделью разделенной ответственности» (shared responsibility model). В ней часть контроля и доказательной базы может наследоваться от уже предварительно подтвержденных мер — благодаря этому организации способны:
- упрощать подготовку и прохождение ATO-процессов;
- уменьшать сложность аудитов, поскольку часть требований уже подтверждена в рамках ранее валидированных контролей.
Где доступно решение
На данный момент Qualys TotalCloud доступен как часть Qualys Government Platform в FedRAMP Marketplace. Это означает, что заказчики, которым важны формальные критерии федерального уровня, могут рассматривать решение в рамках официального перечня одобренных облачных сервисов.