सरकारी क्लाउड के लिए FedRAMP सुरक्षा परीक्षण
FedRAMP प्राधिकरण के लिए कठोर सुरक्षा परीक्षण की आवश्यकता होती है - मासिक भेद्यता स्कैनिंग, वार्षिक प्रवेश परीक्षण और निरंतर निगरानी। KENSAI क्लाउड सेवा प्रदाताओं को PMO आवश्यकताओं को पूरा करने वाली स्वचालित स्कैनिंग के साथ FedRAMP ATO हासिल करने और बनाए रखने में मदद करता है।
FedRAMP मूल्यांकन प्रारंभ करें → FedRAMP रिपोर्टिंग देखेंFedRAMP सुरक्षा परीक्षण आवश्यकताएँ
FedRAMP NIST SP 800-53 पर बनाया गया है और निरंतर निगरानी के साथ विशिष्ट सुरक्षा नियंत्रण लागू करने के लिए क्लाउड सेवा प्रदाताओं (CSPs) की आवश्यकता होती है। सुरक्षा परीक्षण आवश्यकताएँ प्रभाव स्तर के अनुसार भिन्न होती हैं:
| फ़ेडआरएएमपी स्तर | भेद्यता स्कैनिंग | भेदन परीक्षण | कॉनमोन आवृत्ति |
|---|---|---|---|
| कम | महीने के | वार्षिक | महीने के |
| मध्यम | मासिक (ओएस, डीबी, वेब ऐप) | वार्षिक | महीने के |
| उच्च | मासिक (सभी घटक) | वार्षिक | मासिक + तदर्थ |
ऑपरेटिंग सिस्टम, डेटाबेस और वेब एप्लिकेशन का मासिक प्रमाणित भेद्यता स्कैन। स्कैन को वर्तमान सीवीई डेटा का उपयोग करना चाहिए। परिणामों का विश्लेषण निर्धारित समय सीमा के भीतर किया जाना चाहिए।
FedRAMP द्वारा मान्यता प्राप्त तृतीय पक्ष मूल्यांकन संगठन (3PAO) या समकक्ष योग्य परीक्षक द्वारा वार्षिक प्रवेश परीक्षण। प्राधिकरण सीमा में सभी घटकों को शामिल किया जाना चाहिए।
गंभीर कमजोरियाँ: 30 दिन। उच्च भेद्यताएँ: 30 दिन। मध्यम: 90 दिन। न्यूनतम: 180 दिन। ConMon समीक्षाओं के दौरान सभी समय-सीमाएँ सख्ती से लागू की जाती हैं।
सभी घटकों के लिए यूएसजीसीबी/सीआईएस बेंचमार्क कॉन्फ़िगरेशन आवश्यक है। भेद्यता स्कैनिंग से यह सत्यापित होना चाहिए कि कॉन्फ़िगरेशन अनुरूप बने रहें।
💡फेडरैम्प रेव5 (2024):FedRAMP को 2024 में NIST SP 800-53 Rev5 में अपडेट किया गया। मुख्य परिवर्तनों में नई आपूर्ति श्रृंखला जोखिम प्रबंधन नियंत्रण (SR परिवार), विस्तारित क्लाउड-विशिष्ट मार्गदर्शन और अद्यतन मूल्यांकन प्रक्रियाएं शामिल हैं। मौजूदा प्राधिकरणों को एजेंसी-सहमत समय-सीमा पर परिवर्तन करना होगा।
FedRAMP सतत निगरानी (ConMon)
कॉनमॉन वह जगह है जहां कई सीएसपी प्रारंभिक प्राधिकरण प्राप्त करने के बाद संघर्ष करते हैं। मासिक डिलिवरेबल्स में आमतौर पर शामिल हैं:
- सभी इन-बाउंड्री घटकों के लिए भेद्यता स्कैन परिणाम
- समाधान की स्थिति के साथ कार्य योजना और मील के पत्थर (पीओए एंड एम) अद्यतन
- किसी भी नए घटक के लिए इन्वेंटरी अपडेट
- घटना की रिपोर्टिंग (यदि लागू हो)
- मुख्य प्रदर्शन संकेतक (KPI) भेद्यता निवारण मेट्रिक्स पर नज़र रखते हैं
समय पर मासिक कॉनमोन पैकेज वितरित करने में विफलता एटीओ समीक्षा और संभावित निरसन को ट्रिगर कर सकती है - संघीय राजस्व वाले सीएसपी के लिए एक विनाशकारी परिणाम।
FedRAMP के लिए स्कैन आवश्यकताएँ
FedRAMP स्कैनिंग आवश्यकताएँ अधिकांश अनुपालन ढाँचों की तुलना में अधिक विशिष्ट हैं:
- प्रमाणित स्कैनिंग आवश्यक:सभी ओएस उदाहरणों के क्रेडेंशियल स्कैन, केवल नेटवर्क स्कैन की तुलना में गहरी भेद्यता खोज प्रदान करते हैं
- डेटाबेस स्कैनिंग:सभी रिलेशनल डेटाबेस के लिए अलग-अलग क्रेडेंशियल डेटाबेस स्कैन
- वेब एप्लिकेशन स्कैनिंग:सभी वेब एप्लिकेशन घटकों की DAST स्कैनिंग
- कंटेनर स्कैनिंग:(FedRAMP Rev5 अतिरिक्त) कंटेनर छवियों और Kubernetes कॉन्फ़िगरेशन को स्कैन किया जाना चाहिए
- ग़लत सकारात्मक दस्तावेज़ीकरण:निष्कर्षों को बंद करने से पहले विक्रेताओं को किसी भी गलत सकारात्मकता का औपचारिक रूप से दस्तावेजीकरण करना होगा और उसे उचित ठहराना होगा
KENSAI FedRAMP प्राधिकरण का समर्थन कैसे करता है
✓ मासिक स्कैन स्वचालन
कॉनमॉन समय सीमा पर शेड्यूलिंग, निष्पादन और रिपोर्ट डिलीवरी के साथ सभी FedRAMP इन-बाउंड्री घटकों में स्वचालित मासिक स्कैनिंग।
✓ प्रमाणित ओएस/डीबी स्कैनिंग
विंडोज़, लिनक्स और प्रमुख डेटाबेस प्लेटफ़ॉर्म की क्रेडेंशियल स्कैनिंग FedRAMP RA-5 प्रमाणित स्कैन आवश्यकताओं को पूरा करती है।
✓ POA&M एकीकरण
निष्कर्षों को सीधे FedRAMP POA&M प्रारूप (एक्सेल/सीएसवी) में निर्यात करें। FedRAMP SLAs के विरुद्ध सुधार की स्थिति और समय सीमा को ट्रैक करें।
✓ कंटेनर और क्लाउड स्कैनिंग
कुबेरनेट्स और आधुनिक FedRAMP सीमाओं में आम कंटेनर-आधारित आर्किटेक्चर के लिए Rev5 कंटेनर छवि स्कैनिंग आवश्यकताओं को शामिल करता है।
✓ सीवीई मुद्रा सत्यापन
KENSAI NVD और CISA KEV कैटलॉग का उपयोग करता है - वर्तमान भेद्यता डेटाबेस उपयोग के लिए FedRAMP आवश्यकताओं को पूरा करता है।
✓ कॉनमॉन पैकेज जेनरेशन
FedRAMP-अपेक्षित प्रारूपों में स्कैन परिणाम, KPI और रुझान विश्लेषण सहित मासिक ConMon पैकेजों की स्वचालित पीढ़ी।
अपने FedRAMP प्राधिकरण में तेजी लाएं
KENSAI स्वचालित भेद्यता स्कैनिंग, कॉनमॉन रिपोर्टिंग और POA&M ट्रैकिंग प्रदान करता है जिसकी FedRAMP प्राधिकरणों को आवश्यकता होती है। अपनी सुरक्षा स्थिति में सुधार करते हुए मासिक कॉनमोन के परिचालन बोझ को कम करें।
FedRAMP मूल्यांकन प्रारंभ करें → किसी FedRAMP विशेषज्ञ से बात करें