O que é uma GovCloud? Perguntas e respostas com Glenn Brunette, arquiteto principal
Quando a Salesforce levou o CRM para a nuvem, revolucionamos o modo como os nossos clientes se conectavam com seus clientes, proporcionando a eles a tecnologia para fornecer seus serviços em escala e com facilidade. No entanto, para agências federais, estaduais e governamentais locais, os desafios da implementação em uma escala multifuncional (protegendo, ao mesmo tempo, os dados de nossos cidadãos e nação), frequentemente ocasionaram limitações no aproveitamento completo desses avanços.
Todos já vimos os efeitos do uso de tecnologias ultrapassadas por agências governamentais, que não contavam com recursos para atender às necessidades dos cidadãos modernos nem para proporcionar as experiências esperadas pelos governos modernos. Normalmente, essa infraestrutura sobrecarrega a força de trabalho, frustra os cidadãos e torna desafiadora a adaptação desse setor de acordo com o cenário social, político e tecnológico em constante evolução. É por isso que a Salesforce oferece uma solução segura para esse desafio, e ela demonstra cumprir com várias estruturas de conformidade do setor público: Government Cloud Plus.
Esteja familiarizado com a Government Cloud Plus ou não, você pode estar se perguntando: o que é exatamente a GovCloud? Conversei com Glenn Brunette, vice-presidente e arquiteto líder em Government Cloud na Salesforce, e ele explicou o que torna a Salesforce Government Cloud Plus tão única (e segura). Vamos dar uma olhada.
Glenn, o que todos queremos saber é: O que é uma GovCloud?
De modo simples, uma GovCloud é apenas um ambiente de Internet dedicado a um ou mais contratantes ou clientes governamentais. As instâncias da Salesforce Government Cloud Plus são precisamente isso, embora, na realidade, o processo envolva mais do que apenas a integração de clientes da GovCloud em um "espaço" dedicado. E o mais importante é que temos que estar em conformidade com uma ampla gama de requisitos específicos para lidar com as cargas de trabalho e dados governamentais. Então, a Salesforce cria ambientes de GovCloud dedicados para seus clientes do setor público, aprimorados com funcionalidades que atendem esses padrões.
Mas a Salesforce está comprometida com a conformidade robusta para todos os clientes, então o que torna a GovCloud única?
É verdade. Nosso principal valor é a confiança, e cumprimos com isso em todos os regulamentos aplicáveis. Embora a Salesforce Government Cloud Plus não seja idêntica, ela compartilha muitas das características comuns na maneira como difere do restante do conjunto de produtos Customer 360. Essas diferenças incluem controles de conformidade aprimorados, limites de autorização restritos, provedores autorizados de serviços de terceiros, conectividade direta de cliente, criptografia aprovada pelo governo e acesso administrativo restritivo.
Você pode explicar melhor?
É claro! Para segurança adicional, os ambientes de GovCloud recebem um ou mais controles aprimorados de conformidade (normalmente chamados de linhas de base de conformidade do setor público). Nos Estados Unidos, as agências governamentais individuais são criadas com base na Risk Management Framework (RMF) do National Institute of Standards and Technology (NIST), identificando requisitos de conformidade específicos reunidos em uma linha de base.
Essas linhas de base podem incluir a High Impact Baseline do FedRAMP ou a Impact Level 4 Baseline do Departamento de Defesa. A Salesforce criou sua própria Linha de base de conformidade, abrangendo várias estruturas, para criar uma estratégia de conformidade unificada.
O limite de autorização restrito se refere a uma barreira (pense nele como uma cerca de segurança ao redor de sua casa) que cerca os componentes e os serviços inclusos no ambiente da GovCloud. A cerca denota o que está dentro da GovCloud (nesse caso, sua casa) e como ela interage com outros sistemas e serviços fora do limite. Na verdade, as GovClouds são necessárias para restringir as comunicações de entrada e saída, e várias alterações devem ser pré-analisadas e aprovadas por oficiais do governo. Como um ponto de verificação de segurança no portão.
Devido a esse limite de autorização restrito, considerações especiais são aplicáveis quando uma GovCloud deseja usar ou interagir com um provedor de serviços de nuvem de terceiros, independentemente dos dados compartilhados pela conexão. Esses provedores de serviços devem seguir o mesmo conjunto de autorizações de conformidade que a GovCloud (e em todos os mesmos níveis). Por exemplo, nossas GovClouds não conseguem fazer a integração com outros provedores de serviços de nuvem que não estão em conformidade com os requisitos FedRAMP High.
E isso não é tudo. O acesso direto do cliente à Internet normalmente não é permitido. Assim, os produtos integrados a um ambiente de GovCloud devem conseguir interagir com os clientes em conexões de rede dedicadas, estabelecidas diretamente entre a Salesforce e o governo.
E dada a alta confiança em criptografia para autenticação, bem como a proteção de dados em trânsito e em repouso, os requisitos do governo exigem que somente algoritmos aprovados, tamanhos de chaves, modos cifrados e semelhantes possam ser usados pelas GovClouds e seus clientes. E o mais importante: o governo também certifica, de modo independente, bibliotecas ou dispositivos de criptografia para uso.
Cada uma dessas camadas de segurança é adicionalmente protegida por um processo similar ao que muitos conhecem como o princípio de privilégio mínimo. Como os ambientes de GovCloud armazenam, processam e transmitem dados do governo, a Government Cloud Plus impõe restrições de acesso às pessoas que podem obter acesso físico e/ou lógico aos sistemas dentro do limite de autorização. As restrições variam com base no ambiente da GovCloud, e o acesso a mais ambientes com dados confidenciais exige níveis mais rigorosos de verificação de pessoas.
Considerando todos esses controles, as GovClouds sempre serão diferentes?
Atualmente, a resposta é sim. Alguns requisitos impostos por nossas ofertas da Salesforce Government Cloud simplesmente não são necessários, recomendados ou não podem ser implementados em toda a organização. Por isso, estamos trabalhando para integrar funcionalidades e controles mais avançados em todas as nossas linhas de base de produção sempre que possível.
Quanta informação! Mas as GovClouds são muito fascinantes, né? Com nossos controles de conformidade e segurança, os clientes governamentais podem ter a certeza de que seus dados estão protegidos enquanto as tecnologias da Salesforce fornecem as ferramentas para que eles se foquem no que fazem melhor, além de otimizar as experiências dos clientes em todas as agências estaduais, locais e federais do país.
Com a Salesforce Government Cloud Plus, nossos clientes têm acesso ao CRM líder do setor, bem como a serviço, plataforma, análise, aplicativos do setor público e outras soluções do setor que ajudam os consultores e clientes governamentais a ter êxito em seus projetos e a obter uma transformação digital no setor. Saiba mais sobre as ofertas da Salesforce Government Cloud, entre em contato com um especialista em soluções governamentais: 1-844-807-8829.
Glenn Brunette é vice-presidente e arquiteto líder em Government Cloud na Salesforce. Ele é responsável pelo desenvolvimento de estratégia de arquitetura, execução de programas de arquitetura e pela paridade aprimorada entre os produtos Government Cloud e comerciais da Salesforce. Com mais de 30 anos de experiência no setor, Glenn trabalhou como líder de GRC do setor público na Salesforce, foi um distinto arquiteto e líder em cibersegurança na Oracle e um grande engenheiro e arquiteto-chefe de segurança na Sun Microsystems. Ele tem duas patentes de cibersegurança, co-publicou vários livros e artigos e tem Bacharelado e Mestrado em Ciências da Computação pela St. Joseph's University.