剣 KENSAI
← All posts · security · 2026-01-01 · 4 min

सरकारी क्लाउड के लिए FedRAMP सुरक्षा परीक्षण

FedRAMP प्राधिकरण के लिए कठोर सुरक्षा परीक्षण की आवश्यकता होती है - मासिक भेद्यता स्कैनिंग, वार्षिक प्रवेश परीक्षण और निरंतर निगरानी। KENSAI क्लाउड सेवा प्रदाताओं को PMO आवश्यकताओं को पूरा करने वाली स्वचालित स्कैनिंग के साथ FedRAMP ATO हासिल करने और बनाए रखने में मदद करता है।

FedRAMP मूल्यांकन प्रारंभ करें → FedRAMP रिपोर्टिंग देखें

FedRAMP सुरक्षा परीक्षण आवश्यकताएँ

FedRAMP NIST SP 800-53 पर बनाया गया है और निरंतर निगरानी के साथ विशिष्ट सुरक्षा नियंत्रण लागू करने के लिए क्लाउड सेवा प्रदाताओं (CSPs) की आवश्यकता होती है। सुरक्षा परीक्षण आवश्यकताएँ प्रभाव स्तर के अनुसार भिन्न होती हैं:

फ़ेडआरएएमपी स्तरभेद्यता स्कैनिंगभेदन परीक्षणकॉनमोन आवृत्ति
कममहीने केवार्षिकमहीने के
मध्यममासिक (ओएस, डीबी, वेब ऐप)वार्षिकमहीने के
उच्चमासिक (सभी घटक)वार्षिकमासिक + तदर्थ
आरए-5: भेद्यता स्कैनिंग

ऑपरेटिंग सिस्टम, डेटाबेस और वेब एप्लिकेशन का मासिक प्रमाणित भेद्यता स्कैन। स्कैन को वर्तमान सीवीई डेटा का उपयोग करना चाहिए। परिणामों का विश्लेषण निर्धारित समय सीमा के भीतर किया जाना चाहिए।

सीए-8: प्रवेश परीक्षण

FedRAMP द्वारा मान्यता प्राप्त तृतीय पक्ष मूल्यांकन संगठन (3PAO) या समकक्ष योग्य परीक्षक द्वारा वार्षिक प्रवेश परीक्षण। प्राधिकरण सीमा में सभी घटकों को शामिल किया जाना चाहिए।

एसआई-2: दोष निवारण

गंभीर कमजोरियाँ: 30 दिन। उच्च भेद्यताएँ: 30 दिन। मध्यम: 90 दिन। न्यूनतम: 180 दिन। ConMon समीक्षाओं के दौरान सभी समय-सीमाएँ सख्ती से लागू की जाती हैं।

सीएम-6: कॉन्फ़िगरेशन सेटिंग्स

सभी घटकों के लिए यूएसजीसीबी/सीआईएस बेंचमार्क कॉन्फ़िगरेशन आवश्यक है। भेद्यता स्कैनिंग से यह सत्यापित होना चाहिए कि कॉन्फ़िगरेशन अनुरूप बने रहें।

💡फेडरैम्प रेव5 (2024):FedRAMP को 2024 में NIST SP 800-53 Rev5 में अपडेट किया गया। मुख्य परिवर्तनों में नई आपूर्ति श्रृंखला जोखिम प्रबंधन नियंत्रण (SR परिवार), विस्तारित क्लाउड-विशिष्ट मार्गदर्शन और अद्यतन मूल्यांकन प्रक्रियाएं शामिल हैं। मौजूदा प्राधिकरणों को एजेंसी-सहमत समय-सीमा पर परिवर्तन करना होगा।

FedRAMP सतत निगरानी (ConMon)

कॉनमॉन वह जगह है जहां कई सीएसपी प्रारंभिक प्राधिकरण प्राप्त करने के बाद संघर्ष करते हैं। मासिक डिलिवरेबल्स में आमतौर पर शामिल हैं:

समय पर मासिक कॉनमोन पैकेज वितरित करने में विफलता एटीओ समीक्षा और संभावित निरसन को ट्रिगर कर सकती है - संघीय राजस्व वाले सीएसपी के लिए एक विनाशकारी परिणाम।

FedRAMP के लिए स्कैन आवश्यकताएँ

FedRAMP स्कैनिंग आवश्यकताएँ अधिकांश अनुपालन ढाँचों की तुलना में अधिक विशिष्ट हैं:

KENSAI FedRAMP प्राधिकरण का समर्थन कैसे करता है

✓ मासिक स्कैन स्वचालन

कॉनमॉन समय सीमा पर शेड्यूलिंग, निष्पादन और रिपोर्ट डिलीवरी के साथ सभी FedRAMP इन-बाउंड्री घटकों में स्वचालित मासिक स्कैनिंग।

✓ प्रमाणित ओएस/डीबी स्कैनिंग

विंडोज़, लिनक्स और प्रमुख डेटाबेस प्लेटफ़ॉर्म की क्रेडेंशियल स्कैनिंग FedRAMP RA-5 प्रमाणित स्कैन आवश्यकताओं को पूरा करती है।

✓ POA&M एकीकरण

निष्कर्षों को सीधे FedRAMP POA&M प्रारूप (एक्सेल/सीएसवी) में निर्यात करें। FedRAMP SLAs के विरुद्ध सुधार की स्थिति और समय सीमा को ट्रैक करें।

✓ कंटेनर और क्लाउड स्कैनिंग

कुबेरनेट्स और आधुनिक FedRAMP सीमाओं में आम कंटेनर-आधारित आर्किटेक्चर के लिए Rev5 कंटेनर छवि स्कैनिंग आवश्यकताओं को शामिल करता है।

✓ सीवीई मुद्रा सत्यापन

KENSAI NVD और CISA KEV कैटलॉग का उपयोग करता है - वर्तमान भेद्यता डेटाबेस उपयोग के लिए FedRAMP आवश्यकताओं को पूरा करता है।

✓ कॉनमॉन पैकेज जेनरेशन

FedRAMP-अपेक्षित प्रारूपों में स्कैन परिणाम, KPI और रुझान विश्लेषण सहित मासिक ConMon पैकेजों की स्वचालित पीढ़ी।

अपने FedRAMP प्राधिकरण में तेजी लाएं

KENSAI स्वचालित भेद्यता स्कैनिंग, कॉनमॉन रिपोर्टिंग और POA&M ट्रैकिंग प्रदान करता है जिसकी FedRAMP प्राधिकरणों को आवश्यकता होती है। अपनी सुरक्षा स्थिति में सुधार करते हुए मासिक कॉनमोन के परिचालन बोझ को कम करें।

FedRAMP मूल्यांकन प्रारंभ करें → किसी FedRAMP विशेषज्ञ से बात करें

संबंधित आलेख