剣 KENSAI
← All posts · security · 2026-01-01 · 3 min

FedRAMP-beveiligingstests voor de overheidscloud

FedRAMP-autorisatie vereist rigoureuze beveiligingstests: maandelijkse kwetsbaarheidsscans, jaarlijkse penetratietests en continue monitoring. KENSAI helpt cloudserviceproviders FedRAMP ATO te bereiken en te onderhouden met geautomatiseerd scannen dat voldoet aan de PMO-vereisten.

Start FedRAMP-beoordeling → Zie FedRAMP-rapportage

FedRAMP-beveiligingstestvereisten

FedRAMP is gebouwd op NIST SP 800-53 en vereist dat Cloud Service Providers (CSP's) specifieke beveiligingscontroles implementeren met continue monitoring. De vereisten voor beveiligingstests variëren per impactniveau:

FedRAMP-niveauKwetsbaarheid scannenPenetratietestenConMon-frequentie
LaagMaandelijksJaarlijksMaandelijks
GematigdMaandelijks (OS, DB, web-app)JaarlijksMaandelijks
HoogMaandelijks (alle componenten)JaarlijksMaandelijks + ad hoc
RA-5: Kwetsbaarheidsscannen

Maandelijkse geverifieerde kwetsbaarheidsscans van besturingssystemen, databases en webapplicaties. Scans moeten actuele CVE-gegevens gebruiken. Resultaten moeten binnen gedefinieerde tijdsbestekken worden geanalyseerd.

CA-8: Penetratietesten

Jaarlijkse penetratietesten door een FedRAMP-erkende Third Party Assessment Organization (3PAO) of een gelijkwaardige gekwalificeerde tester. Moet alle componenten binnen de autorisatiegrens bestrijken.

SI-2: Foutherstel

Kritieke kwetsbaarheden: 30 dagen. Hoge kwetsbaarheden: 30 dagen. Matig: 90 dagen. Laag: 180 dagen. Alle termijnen worden strikt gehandhaafd tijdens ConMon-beoordelingen.

CM-6: Configuratie-instellingen

USGCB/CIS-benchmarkconfiguraties vereist voor alle componenten. Scannen op kwetsbaarheden moet verifiëren dat configuraties compliant blijven.

💡 FedRAMP Rev5 (2024):FedRAMP is in 2024 geüpdatet naar NIST SP 800-53 Rev5. Belangrijke veranderingen zijn onder meer nieuwe controles op het risicobeheer van de supply chain (SR-familie), uitgebreide cloudspecifieke richtlijnen en bijgewerkte beoordelingsprocedures. Bestaande autorisaties moeten worden overgedragen volgens een door de instantie overeengekomen tijdlijn.

FedRAMP continue monitoring (ConMon)

ConMon is waar veel CSP's moeite mee hebben na het verkrijgen van de initiële autorisatie. Maandelijkse deliverables omvatten doorgaans:

Als de maandelijkse ConMon-pakketten niet op tijd worden geleverd, kan dit leiden tot een beoordeling en mogelijke intrekking van de ATO – een catastrofale uitkomst voor CSP’s met federale inkomsten.

Scanvereisten voor FedRAMP

De FedRAMP-scanvereisten zijn specifieker dan de meeste compliance-frameworks:

Hoe KENSAI FedRAMP-autorisatie ondersteunt

✓ Maandelijkse scanautomatisering

Geautomatiseerd maandelijks scannen van alle binnenkomende FedRAMP-componenten met planning, uitvoering en levering van rapporten op ConMon-deadlines.

✓ Geverifieerd OS/DB-scannen

Scannen met referenties van Windows, Linux en grote databaseplatforms voldoet aan de door FedRAMP RA-5 geverifieerde scanvereisten.

✓ POA&M-integratie

Exporteer bevindingen rechtstreeks naar het FedRAMP POA&M-formaat (Excel/CSV). Volg de herstelstatus en deadlines op basis van FedRAMP SLA's.

✓ Container- en cloudscannen

Omvat Rev5-vereisten voor het scannen van containerimages voor Kubernetes en op containers gebaseerde architecturen die gebruikelijk zijn in moderne FedRAMP-grenzen.

✓ CVE-valutaverificatie

KENSAI maakt gebruik van de NVD- en CISA KEV-catalogus en voldoet daarmee aan de FedRAMP-vereisten voor het huidige gebruik van kwetsbaarheidsdatabases.

✓ ConMon-pakketgeneratie

Geautomatiseerde generatie van maandelijkse ConMon-pakketten inclusief scanresultaten, KPI's en trendanalyse in door FedRAMP verwachte formaten.

Versnel uw FedRAMP-autorisatie

KENSAI biedt de geautomatiseerde kwetsbaarheidsscans, ConMon-rapportage en POA&M-tracking die FedRAMP-autorisaties vereisen. Verminder de operationele lasten van de maandelijkse ConMon en verbeter tegelijkertijd uw beveiligingspositie.

Start FedRAMP-beoordeling → Praat met een FedRAMP-expert

Gerelateerde artikelen