Tests de sécurité FedRAMP pour Government Cloud
L'autorisation FedRAMP nécessite des tests de sécurité rigoureux : analyse mensuelle des vulnérabilités, tests d'intrusion annuels et surveillance continue. KENSAI aide les fournisseurs de services cloud à atteindre et à maintenir FedRAMP ATO avec une analyse automatisée qui répond aux exigences du PMO.
Démarrer l’évaluation FedRAMP → Voir les rapports FedRAMPExigences des tests de sécurité FedRAMP
FedRAMP est basé sur NIST SP 800-53 et exige que les fournisseurs de services cloud (CSP) mettent en œuvre des contrôles de sécurité spécifiques avec une surveillance continue. Les exigences en matière de tests de sécurité varient selon le niveau d'impact :
| Niveau FedRAMP | Analyse des vulnérabilités | Tests d'intrusion | Fréquence ConMon |
|---|---|---|---|
| Faible | Mensuel | Annuel | Mensuel |
| Modéré | Mensuel (OS, base de données, application web) | Annuel | Mensuel |
| Haut | Mensuel (toutes les composantes) | Annuel | Mensuel + ponctuel |
Analyses mensuelles de vulnérabilité authentifiées des systèmes d'exploitation, des bases de données et des applications Web. Les analyses doivent utiliser les données CVE actuelles. Les résultats doivent être analysés dans des délais définis.
Tests d'intrusion annuels effectués par un organisme d'évaluation tiers reconnu par FedRAMP (3PAO) ou un testeur qualifié équivalent. Doit couvrir tous les composants dans la limite d’autorisation.
Vulnérabilités critiques : 30 jours. Vulnérabilités élevées : 30 jours. Modéré : 90 jours. Bas : 180 jours. Tous les délais sont strictement appliqués lors des examens ConMon.
Configurations de référence USGCB/CIS requises pour tous les composants. L'analyse des vulnérabilités doit vérifier que les configurations restent conformes.
💡 FedRAMP Rév5 (2024) :FedRAMP a été mis à jour vers NIST SP 800-53 Rev5 en 2024. Les principaux changements incluent de nouveaux contrôles de gestion des risques de la chaîne d'approvisionnement (famille SR), des directives élargies spécifiques au cloud et des procédures d'évaluation mises à jour. Les autorisations existantes doivent être transférées selon un calendrier convenu par l'agence.
Surveillance continue FedRAMP (ConMon)
ConMon est l'endroit où de nombreux CSP ont du mal après avoir obtenu l'autorisation initiale. Les livrables mensuels comprennent généralement :
- Résultats de l'analyse des vulnérabilités pour tous les composants internes
- Mises à jour du plan d'action et des jalons (POA&M) avec statut de remédiation
- Mises à jour de l'inventaire pour tout nouveau composant
- Rapport d'incident (le cas échéant)
- Indicateurs de performance clés (KPI) permettant de suivre les mesures de correction des vulnérabilités
Le fait de ne pas livrer les packages mensuels ConMon à temps peut déclencher un examen de l’ATO et une potentielle révocation – un résultat catastrophique pour les CSP disposant de revenus fédéraux.
Exigences de numérisation pour FedRAMP
Les exigences d'analyse FedRAMP sont plus spécifiques que la plupart des cadres de conformité :
- Numérisation authentifiée requise :Analyses authentifiées de toutes les instances du système d'exploitation, permettant une découverte des vulnérabilités plus approfondie que les analyses réseau uniquement
- Analyse de la base de données :Analyses de bases de données authentifiées distinctes pour toutes les bases de données relationnelles
- Analyse des applications Web :Analyse DAST de tous les composants de l'application Web
- Analyse des conteneurs :(Ajout FedRAMP Rev5) Les images de conteneurs et les configurations Kubernetes doivent être analysées
- Documentation faussement positive :Les fournisseurs doivent formellement documenter et justifier tout faux positif avant de clôturer les conclusions.
Comment KENSAI prend en charge l'autorisation FedRAMP
✓ Automatisation de l'analyse mensuelle
Analyse mensuelle automatisée de tous les composants internes FedRAMP avec planification, exécution et remise de rapports dans les délais ConMon.
✓ Analyse OS/DB authentifiée
L'analyse authentifiée de Windows, Linux et des principales plates-formes de bases de données répond aux exigences d'analyse authentifiée FedRAMP RA-5.
✓ Intégration POA&M
Exportez les résultats directement au format FedRAMP POA&M (Excel/CSV). Suivez l’état des mesures correctives et les délais par rapport aux SLA FedRAMP.
✓ Analyse des conteneurs et du cloud
Couvre les exigences d'analyse d'images de conteneur Rev5 pour Kubernetes et les architectures basées sur des conteneurs courantes dans les limites FedRAMP modernes.
✓ Vérification des devises CVE
KENSAI utilise le catalogue NVD et CISA KEV, répondant aux exigences FedRAMP pour l'utilisation actuelle de la base de données de vulnérabilités.
✓ Génération de packages ConMon
Génération automatisée de packages ConMon mensuels comprenant les résultats d'analyse, les KPI et l'analyse des tendances dans les formats attendus par FedRAMP.
Accélérez votre autorisation FedRAMP
KENSAI fournit l'analyse automatisée des vulnérabilités, les rapports ConMon et le suivi POA&M requis par les autorisations FedRAMP. Réduisez la charge opérationnelle du ConMon mensuel tout en améliorant votre posture de sécurité.
Démarrer l’évaluation FedRAMP → Parlez à un expert FedRAMP