Pruebas de seguridad de FedRAMP para la nube gubernamental
La autorización de FedRAMP requiere pruebas de seguridad rigurosas: escaneo de vulnerabilidades mensual, pruebas de penetración anuales y monitoreo continuo. KENSAI ayuda a los proveedores de servicios en la nube a lograr y mantener FedRAMP ATO con escaneo automatizado que cumple con los requisitos de la PMO.
Iniciar evaluación FedRAMP → Ver informes FedRAMPRequisitos de las pruebas de seguridad de FedRAMP
FedRAMP se basa en NIST SP 800-53 y requiere que los proveedores de servicios en la nube (CSP) implementen controles de seguridad específicos con monitoreo continuo. Los requisitos de las pruebas de seguridad varían según el nivel de impacto:
| Nivel FedRAMP | Escaneo de vulnerabilidades | Pruebas de penetración | Frecuencia ConMon |
|---|---|---|---|
| Bajo | Mensual | Anual | Mensual |
| Moderado | Mensual (OS, DB, aplicación web) | Anual | Mensual |
| Alto | Mensual (todos los componentes) | Anual | Mensual + ad hoc |
Escaneos mensuales de vulnerabilidades autenticados de sistemas operativos, bases de datos y aplicaciones web. Los escaneos deben utilizar datos CVE actuales. Los resultados deben analizarse en plazos definidos.
Pruebas de penetración anuales realizadas por una organización de evaluación de terceros (3PAO) reconocida por FedRAMP o un evaluador calificado equivalente. Debe cubrir todos los componentes en el límite de autorización.
Vulnerabilidades críticas: 30 días. Vulnerabilidades altas: 30 días. Moderado: 90 días. Mínimo: 180 días. Todos los plazos se aplican estrictamente durante las revisiones de ConMon.
Se requieren configuraciones de referencia de USGCB/CIS para todos los componentes. El escaneo de vulnerabilidades debe verificar que las configuraciones sigan siendo compatibles.
💡 FedRAMP Rev5 (2024):FedRAMP se actualizó a NIST SP 800-53 Rev5 en 2024. Los cambios clave incluyen nuevos controles de gestión de riesgos de la cadena de suministro (familia SR), orientación ampliada específica de la nube y procedimientos de evaluación actualizados. Las autorizaciones existentes deben realizar la transición según un cronograma acordado por la agencia.
Monitoreo continuo FedRAMP (ConMon)
ConMon es donde muchos CSP luchan después de lograr la autorización inicial. Los entregables mensuales generalmente incluyen:
- Resultados del análisis de vulnerabilidades para todos los componentes dentro de los límites
- Actualizaciones del Plan de acción e hitos (POA&M) con el estado de remediación
- Actualizaciones de inventario para cualquier componente nuevo.
- Informe de incidentes (si corresponde)
- Indicadores clave de rendimiento (KPI) que rastrean las métricas de corrección de vulnerabilidades
No entregar a tiempo los paquetes mensuales de ConMon puede desencadenar una revisión de la ATO y una posible revocación, un resultado catastrófico para los CSP con ingresos federales.
Requisitos de escaneo para FedRAMP
Los requisitos de escaneo de FedRAMP son más específicos que la mayoría de los marcos de cumplimiento:
- Se requiere escaneo autenticado:Escaneos con credenciales de todas las instancias del sistema operativo, lo que proporciona un descubrimiento de vulnerabilidades más profundo que los escaneos solo de red.
- Escaneo de bases de datos:Exploraciones de bases de datos con credenciales separadas para todas las bases de datos relacionales
- Escaneo de aplicaciones web:Escaneo DAST de todos los componentes de la aplicación web
- Escaneo de contenedores:(Adición de FedRAMP Rev5) Las imágenes del contenedor y las configuraciones de Kubernetes deben escanearse
- Documentación falsa positiva:Los proveedores deben documentar y justificar formalmente cualquier falso positivo antes de cerrar los hallazgos.
Cómo KENSAI respalda la autorización FedRAMP
✓ Automatización de escaneo mensual
Escaneo mensual automatizado en todos los componentes internos de FedRAMP con programación, ejecución y entrega de informes en los plazos de ConMon.
✓ Escaneo de OS/DB autenticado
El escaneo con credenciales de Windows, Linux y las principales plataformas de bases de datos cumple con los requisitos de escaneo autenticado FedRAMP RA-5.
✓ Integración de POA&M
Exporte los resultados directamente al formato FedRAMP POA&M (Excel/CSV). Realice un seguimiento del estado de la remediación y los plazos según los SLA de FedRAMP.
✓ Escaneo de contenedores y nube
Cubre los requisitos de escaneo de imágenes de contenedores Rev5 para Kubernetes y arquitecturas basadas en contenedores comunes en los límites modernos de FedRAMP.
✓ Verificación de moneda CVE
KENSAI utiliza el catálogo NVD y CISA KEV, cumpliendo con los requisitos de FedRAMP para el uso actual de la base de datos de vulnerabilidades.
✓ Generación de paquetes ConMon
Generación automatizada de paquetes ConMon mensuales que incluyen resultados de escaneo, KPI y análisis de tendencias en formatos esperados por FedRAMP.
Acelere su autorización FedRAMP
KENSAI proporciona escaneo automatizado de vulnerabilidades, informes ConMon y seguimiento de POA&M que requieren las autorizaciones FedRAMP. Reduzca la carga operativa de ConMon mensual mientras mejora su postura de seguridad.
Iniciar evaluación FedRAMP → Hable con un experto de FedRAMP