FedRAMP-Sicherheitstests für die Government Cloud
Die FedRAMP-Autorisierung erfordert strenge Sicherheitstests – monatliche Schwachstellenprüfung, jährliche Penetrationstests und kontinuierliche Überwachung. KENSAI hilft Cloud-Service-Providern, FedRAMP ATO durch automatisiertes Scannen zu erreichen und aufrechtzuerhalten, das den PMO-Anforderungen entspricht.
Starten Sie die FedRAMP-Bewertung → Siehe FedRAMP-BerichterstattungFedRAMP-Sicherheitstestanforderungen
FedRAMP basiert auf NIST SP 800-53 und erfordert von Cloud Service Providern (CSPs), dass sie spezifische Sicherheitskontrollen mit kontinuierlicher Überwachung implementieren. Die Anforderungen an Sicherheitstests variieren je nach Auswirkungsstufe:
| FedRAMP-Level | Schwachstellenscan | Penetrationstests | ConMon-Frequenz |
|---|---|---|---|
| Niedrig | Monatlich | Jährlich | Monatlich |
| Mäßig | Monatlich (OS, DB, Web-App) | Jährlich | Monatlich |
| Hoch | Monatlich (alle Komponenten) | Jährlich | Monatlich + Ad-hoc |
Monatliche authentifizierte Schwachstellenscans von Betriebssystemen, Datenbanken und Webanwendungen. Scans müssen aktuelle CVE-Daten verwenden. Die Ergebnisse müssen innerhalb definierter Zeitrahmen analysiert werden.
Jährlicher Penetrationstest durch eine von der FedRAMP anerkannte Third Party Assessment Organization (3PAO) oder einen gleichwertigen qualifizierten Tester. Muss alle Komponenten in der Autorisierungsgrenze abdecken.
Kritische Schwachstellen: 30 Tage. Hohe Schwachstellen: 30 Tage. Mäßig: 90 Tage. Niedrig: 180 Tage. Alle Zeitrahmen werden bei ConMon-Überprüfungen strikt eingehalten.
Für alle Komponenten sind USGCB/CIS-Benchmark-Konfigurationen erforderlich. Beim Scannen auf Schwachstellen muss überprüft werden, ob die Konfigurationen weiterhin konform sind.
💡 FedRAMP Rev5 (2024):FedRAMP wurde 2024 auf NIST SP 800-53 Rev5 aktualisiert. Zu den wichtigsten Änderungen gehören neue Kontrollen für das Risikomanagement in der Lieferkette (SR-Familie), erweiterte Cloud-spezifische Leitlinien und aktualisierte Bewertungsverfahren. Bestehende Genehmigungen müssen innerhalb eines mit der Agentur vereinbarten Zeitplans umgestellt werden.
Kontinuierliche FedRAMP-Überwachung (ConMon)
Bei ConMon haben viele CSPs Schwierigkeiten, nachdem sie die Erstautorisierung erhalten haben. Zu den monatlichen Leistungen gehören in der Regel:
- Ergebnisse des Schwachstellenscans für alle grenzüberschreitenden Komponenten
- Aktualisierungen des Aktionsplans und der Meilensteine (POA&M) mit Abhilfestatus
- Bestandsaktualisierungen für alle neuen Komponenten
- Vorfallmeldung (falls zutreffend)
- Key Performance Indicators (KPIs) zur Verfolgung von Kennzahlen zur Schwachstellenbehebung
Wenn monatliche ConMon-Pakete nicht rechtzeitig geliefert werden, kann dies eine ATO-Überprüfung und einen möglichen Widerruf auslösen – ein katastrophales Ergebnis für CSPs mit Bundeseinnahmen.
Scan-Anforderungen für FedRAMP
Die Scananforderungen von FedRAMP sind spezifischer als die der meisten Compliance-Frameworks:
- Authentifiziertes Scannen erforderlich:Beglaubigte Scans aller Betriebssysteminstanzen ermöglichen eine tiefergehende Erkennung von Schwachstellen als reine Netzwerk-Scans
- Datenbankscan:Separate Datenbankscans mit Anmeldeinformationen für alle relationalen Datenbanken
- Scannen von Webanwendungen:DAST-Scan aller Webanwendungskomponenten
- Container-Scanning:(Zusatz zu FedRAMP Rev5) Container-Images und Kubernetes-Konfigurationen müssen gescannt werden
- Falsch positive Dokumentation:Anbieter müssen alle Fehlalarme offiziell dokumentieren und begründen, bevor sie die Ergebnisse abschließen
Wie KENSAI die FedRAMP-Autorisierung unterstützt
✓ Monatliche Scan-Automatisierung
Automatisiertes monatliches Scannen aller FedRAMP-In-Boundary-Komponenten mit Planung, Ausführung und Berichtszustellung zu ConMon-Fristen.
✓ Authentifiziertes OS/DB-Scannen
Das authentifizierte Scannen von Windows, Linux und wichtigen Datenbankplattformen erfüllt die FedRAMP RA-5-Anforderungen für authentifizierte Scans.
✓ POA&M-Integration
Exportieren Sie Ergebnisse direkt in das FedRAMP POA&M-Format (Excel/CSV). Verfolgen Sie den Sanierungsstatus und die Fristen anhand der FedRAMP-SLAs.
✓ Container- und Cloud-Scanning
Deckt Rev5-Container-Image-Scan-Anforderungen für Kubernetes und Container-basierte Architekturen ab, die in modernen FedRAMP-Grenzen üblich sind.
✓ CVE-Währungsüberprüfung
KENSAI verwendet den NVD- und CISA-KEV-Katalog und erfüllt damit die FedRAMP-Anforderungen für die aktuelle Nutzung der Schwachstellendatenbank.
✓ ConMon-Paketgenerierung
Automatisierte Generierung monatlicher ConMon-Pakete einschließlich Scan-Ergebnissen, KPIs und Trendanalysen in FedRAMP-erwarteten Formaten.
Beschleunigen Sie Ihre FedRAMP-Autorisierung
KENSAI bietet das automatisierte Schwachstellenscannen, ConMon-Reporting und POA&M-Tracking, das für FedRAMP-Autorisierungen erforderlich ist. Reduzieren Sie die betriebliche Belastung durch monatliches ConMon und verbessern Sie gleichzeitig Ihre Sicherheitslage.
Starten Sie die FedRAMP-Bewertung → Sprechen Sie mit einem FedRAMP-Experten