Test di sicurezza FedRAMP per il cloud governativo
L'autorizzazione FedRAMP richiede test di sicurezza rigorosi: scansione mensile delle vulnerabilità, test di penetrazione annuali e monitoraggio continuo. KENSAI aiuta i fornitori di servizi cloud a raggiungere e mantenere FedRAMP ATO con la scansione automatizzata che soddisfa i requisiti PMO.
Avvia la valutazione FedRAMP → Vedi Reporting FedRAMPRequisiti per i test di sicurezza FedRAMP
FedRAMP si basa su NIST SP 800-53 e richiede ai fornitori di servizi cloud (CSP) di implementare controlli di sicurezza specifici con monitoraggio continuo. I requisiti dei test di sicurezza variano in base al livello di impatto:
| Livello FedRAMP | Scansione delle vulnerabilità | Test di penetrazione | Frequenza ConMon |
|---|---|---|---|
| Basso | Mensile | Annuale | Mensile |
| Moderare | Mensile (sistema operativo, DB, app Web) | Annuale | Mensile |
| Alto | Mensile (tutti i componenti) | Annuale | Mensile + ad hoc |
Scansioni mensili delle vulnerabilità autenticate di sistemi operativi, database e applicazioni web. Le scansioni devono utilizzare i dati CVE correnti. I risultati devono essere analizzati entro tempi definiti.
Test di penetrazione annuale da parte di un'organizzazione di valutazione di terze parti (3PAO) riconosciuta da FedRAMP o di un tester qualificato equivalente. Deve coprire tutti i componenti nel limite dell'autorizzazione.
Vulnerabilità critiche: 30 giorni. Vulnerabilità elevate: 30 giorni. Moderato: 90 giorni. Basso: 180 giorni. Tutti i tempi vengono rigorosamente applicati durante le revisioni di ConMon.
Configurazioni benchmark USGCB/CIS richieste per tutti i componenti. La scansione delle vulnerabilità deve verificare che le configurazioni rimangano conformi.
💡 FedRAMP Rev5 (2024):FedRAMP aggiornato a NIST SP 800-53 Rev5 nel 2024. Le modifiche principali includono nuovi controlli di gestione del rischio della catena di fornitura (famiglia SR), linee guida estese specifiche per il cloud e procedure di valutazione aggiornate. La transizione delle autorizzazioni esistenti deve avvenire in base a una tempistica concordata con l'agenzia.
Monitoraggio continuo FedRAMP (ConMon)
ConMon è il punto in cui molti CSP hanno difficoltà dopo aver ottenuto l'autorizzazione iniziale. I risultati mensili in genere includono:
- Risultati della scansione delle vulnerabilità per tutti i componenti interni
- Aggiornamenti del piano d'azione e delle tappe fondamentali (POA&M) con lo stato della riparazione
- Aggiornamenti dell'inventario per eventuali nuovi componenti
- Segnalazione degli incidenti (se applicabile)
- Indicatori chiave di prestazione (KPI) che monitorano le metriche di risoluzione delle vulnerabilità
La mancata consegna puntuale dei pacchetti ConMon mensili può innescare la revisione dell’ATO e la potenziale revoca: un risultato catastrofico per i CSP con entrate federali.
Requisiti di scansione per FedRAMP
I requisiti di scansione FedRAMP sono più specifici della maggior parte dei framework di conformità:
- È richiesta la scansione autenticata:Scansioni con credenziali di tutte le istanze del sistema operativo, che forniscono un rilevamento delle vulnerabilità più approfondito rispetto alle scansioni solo di rete
- Scansione del database:Scansioni separate del database con credenziali per tutti i database relazionali
- Scansione delle applicazioni Web:Scansione DAST di tutti i componenti dell'applicazione web
- Scansione del contenitore:(Aggiunta FedRAMP Rev5) Le immagini del contenitore e le configurazioni Kubernetes devono essere scansionate
- Documentazione falsa positiva:I fornitori devono documentare e giustificare formalmente eventuali falsi positivi prima di concludere i risultati
In che modo KENSAI supporta l'autorizzazione FedRAMP
✓ Automazione della scansione mensile
Scansione mensile automatizzata su tutti i componenti interni di FedRAMP con pianificazione, esecuzione e consegna di report alle scadenze ConMon.
✓ Scansione del sistema operativo/DB autenticata
La scansione con credenziali di Windows, Linux e delle principali piattaforme di database soddisfa i requisiti di scansione autenticata FedRAMP RA-5.
✓ Integrazione POA&M
Esporta i risultati direttamente nel formato FedRAMP POA&M (Excel/CSV). Tieni traccia dello stato e delle scadenze della correzione rispetto agli SLA FedRAMP.
✓ Scansione di contenitori e cloud
Copre i requisiti di scansione delle immagini dei contenitori Rev5 per Kubernetes e le architetture basate su contenitori comuni nei moderni confini FedRAMP.
✓ Verifica valuta CVE
KENSAI utilizza il catalogo NVD e CISA KEV, soddisfacendo i requisiti FedRAMP per l'attuale utilizzo del database delle vulnerabilità.
✓ Generazione del pacchetto ConMon
Generazione automatizzata di pacchetti ConMon mensili che includono risultati di scansione, KPI e analisi delle tendenze nei formati previsti da FedRAMP.
Accelera la tua autorizzazione FedRAMP
KENSAI fornisce la scansione automatizzata delle vulnerabilità, il reporting ConMon e il monitoraggio POA&M richiesti dalle autorizzazioni FedRAMP. Riduci il carico operativo di ConMon mensile migliorando al tempo stesso il tuo livello di sicurezza.
Avvia la valutazione FedRAMP → Parla con un esperto FedRAMP