FedRAMP-beveiligingstests voor de overheidscloud
FedRAMP-autorisatie vereist rigoureuze beveiligingstests: maandelijkse kwetsbaarheidsscans, jaarlijkse penetratietests en continue monitoring. KENSAI helpt cloudserviceproviders FedRAMP ATO te bereiken en te onderhouden met geautomatiseerd scannen dat voldoet aan de PMO-vereisten.
Start FedRAMP-beoordeling → Zie FedRAMP-rapportageFedRAMP-beveiligingstestvereisten
FedRAMP is gebouwd op NIST SP 800-53 en vereist dat Cloud Service Providers (CSP's) specifieke beveiligingscontroles implementeren met continue monitoring. De vereisten voor beveiligingstests variëren per impactniveau:
| FedRAMP-niveau | Kwetsbaarheid scannen | Penetratietesten | ConMon-frequentie |
|---|---|---|---|
| Laag | Maandelijks | Jaarlijks | Maandelijks |
| Gematigd | Maandelijks (OS, DB, web-app) | Jaarlijks | Maandelijks |
| Hoog | Maandelijks (alle componenten) | Jaarlijks | Maandelijks + ad hoc |
Maandelijkse geverifieerde kwetsbaarheidsscans van besturingssystemen, databases en webapplicaties. Scans moeten actuele CVE-gegevens gebruiken. Resultaten moeten binnen gedefinieerde tijdsbestekken worden geanalyseerd.
Jaarlijkse penetratietesten door een FedRAMP-erkende Third Party Assessment Organization (3PAO) of een gelijkwaardige gekwalificeerde tester. Moet alle componenten binnen de autorisatiegrens bestrijken.
Kritieke kwetsbaarheden: 30 dagen. Hoge kwetsbaarheden: 30 dagen. Matig: 90 dagen. Laag: 180 dagen. Alle termijnen worden strikt gehandhaafd tijdens ConMon-beoordelingen.
USGCB/CIS-benchmarkconfiguraties vereist voor alle componenten. Scannen op kwetsbaarheden moet verifiëren dat configuraties compliant blijven.
💡 FedRAMP Rev5 (2024):FedRAMP is in 2024 geüpdatet naar NIST SP 800-53 Rev5. Belangrijke veranderingen zijn onder meer nieuwe controles op het risicobeheer van de supply chain (SR-familie), uitgebreide cloudspecifieke richtlijnen en bijgewerkte beoordelingsprocedures. Bestaande autorisaties moeten worden overgedragen volgens een door de instantie overeengekomen tijdlijn.
FedRAMP continue monitoring (ConMon)
ConMon is waar veel CSP's moeite mee hebben na het verkrijgen van de initiële autorisatie. Maandelijkse deliverables omvatten doorgaans:
- Kwetsbaarheidsscanresultaten voor alle binnenkomende componenten
- Updates van Plan van Aanpak en Mijlpalen (POA&M) met de herstelstatus
- Inventarisupdates voor nieuwe componenten
- Incidentrapportage (indien van toepassing)
- Key Performance Indicators (KPI's) die meetgegevens over het herstel van kwetsbaarheden volgen
Als de maandelijkse ConMon-pakketten niet op tijd worden geleverd, kan dit leiden tot een beoordeling en mogelijke intrekking van de ATO – een catastrofale uitkomst voor CSP’s met federale inkomsten.
Scanvereisten voor FedRAMP
De FedRAMP-scanvereisten zijn specifieker dan de meeste compliance-frameworks:
- Geauthenticeerd scannen vereist:Gecertificeerde scans van alle besturingssystemen, waardoor kwetsbaarheden dieper kunnen worden ontdekt dan alleen netwerkscans
- Database scannen:Afzonderlijke databasescans met referenties voor alle relationele databases
- Scannen van webapplicaties:DAST-scannen van alle webapplicatiecomponenten
- Scannen van containers:(Toevoeging FedRAMP Rev5) Containerimages en Kubernetes-configuraties moeten worden gescand
- Vals-positieve documentatie:Leveranciers moeten eventuele valse positieven formeel documenteren en rechtvaardigen voordat ze de bevindingen afsluiten
Hoe KENSAI FedRAMP-autorisatie ondersteunt
✓ Maandelijkse scanautomatisering
Geautomatiseerd maandelijks scannen van alle binnenkomende FedRAMP-componenten met planning, uitvoering en levering van rapporten op ConMon-deadlines.
✓ Geverifieerd OS/DB-scannen
Scannen met referenties van Windows, Linux en grote databaseplatforms voldoet aan de door FedRAMP RA-5 geverifieerde scanvereisten.
✓ POA&M-integratie
Exporteer bevindingen rechtstreeks naar het FedRAMP POA&M-formaat (Excel/CSV). Volg de herstelstatus en deadlines op basis van FedRAMP SLA's.
✓ Container- en cloudscannen
Omvat Rev5-vereisten voor het scannen van containerimages voor Kubernetes en op containers gebaseerde architecturen die gebruikelijk zijn in moderne FedRAMP-grenzen.
✓ CVE-valutaverificatie
KENSAI maakt gebruik van de NVD- en CISA KEV-catalogus en voldoet daarmee aan de FedRAMP-vereisten voor het huidige gebruik van kwetsbaarheidsdatabases.
✓ ConMon-pakketgeneratie
Geautomatiseerde generatie van maandelijkse ConMon-pakketten inclusief scanresultaten, KPI's en trendanalyse in door FedRAMP verwachte formaten.
Versnel uw FedRAMP-autorisatie
KENSAI biedt de geautomatiseerde kwetsbaarheidsscans, ConMon-rapportage en POA&M-tracking die FedRAMP-autorisaties vereisen. Verminder de operationele lasten van de maandelijkse ConMon en verbeter tegelijkertijd uw beveiligingspositie.
Start FedRAMP-beoordeling → Praat met een FedRAMP-expert