Teste de segurança FedRAMP para nuvem governamental
A autorização do FedRAMP requer testes de segurança rigorosos – verificação mensal de vulnerabilidades, testes de penetração anuais e monitoramento contínuo. A KENSAI ajuda os provedores de serviços em nuvem a alcançar e manter o FedRAMP ATO com varredura automatizada que atende aos requisitos do PMO.
Iniciar avaliação do FedRAMP → Consulte os relatórios do FedRAMPRequisitos de teste de segurança do FedRAMP
O FedRAMP é baseado no NIST SP 800-53 e exige que os provedores de serviços em nuvem (CSPs) implementem controles de segurança específicos com monitoramento contínuo. Os requisitos de teste de segurança variam de acordo com o nível de impacto:
| Nível FedRAMP | Verificação de vulnerabilidades | Teste de penetração | Frequência ConMon |
|---|---|---|---|
| Baixo | Mensal | Anual | Mensal |
| Moderado | Mensalmente (SO, banco de dados, aplicativo web) | Anual | Mensal |
| Alto | Mensalmente (todos os componentes) | Anual | Mensal + ad hoc |
Verificações mensais de vulnerabilidades autenticadas de sistemas operacionais, bancos de dados e aplicativos da web. As varreduras devem usar dados CVE atuais. Os resultados deverão ser analisados dentro dos prazos definidos.
Teste de penetração anual realizado por uma organização de avaliação terceirizada (3PAO) reconhecida pelo FedRAMP ou um testador qualificado equivalente. Deve cobrir todos os componentes no limite de autorização.
Vulnerabilidades críticas: 30 dias. Vulnerabilidades altas: 30 dias. Moderado: 90 dias. Baixo: 180 dias. Todos os prazos são rigorosamente aplicados durante as revisões do ConMon.
Configurações de benchmark USGCB/CIS necessárias para todos os componentes. A verificação de vulnerabilidades deve verificar se as configurações permanecem compatíveis.
💡 FedRAMP Rev5 (2024):FedRAMP atualizado para NIST SP 800-53 Rev5 em 2024. As principais mudanças incluem novos controles de gerenciamento de risco da cadeia de suprimentos (família SR), orientação específica expandida para nuvem e procedimentos de avaliação atualizados. As autorizações existentes devem ser transitadas de acordo com um cronograma acordado pela agência.
Monitoramento Contínuo FedRAMP (ConMon)
ConMon é onde muitos CSPs enfrentam dificuldades após obter a autorização inicial. As entregas mensais normalmente incluem:
- Resultados da verificação de vulnerabilidade para todos os componentes internos
- Atualizações do Plano de Ação e Marcos (POA&M) com status de correção
- Atualizações de inventário para quaisquer novos componentes
- Relatório de incidentes (se aplicável)
- Principais indicadores de desempenho (KPIs) que rastreiam métricas de correção de vulnerabilidades
A falha na entrega dos pacotes ConMon mensais no prazo pode desencadear a revisão do ATO e potencial revogação – um resultado catastrófico para os CSPs com receita federal.
Requisitos de verificação para FedRAMP
Os requisitos de verificação do FedRAMP são mais específicos do que a maioria das estruturas de conformidade:
- Verificação autenticada necessária:Verificações credenciadas de todas as instâncias do sistema operacional, proporcionando descoberta de vulnerabilidades mais profunda do que verificações somente de rede
- Verificação de banco de dados:Varreduras de banco de dados credenciadas separadas para todos os bancos de dados relacionais
- Verificação de aplicativos da Web:Verificação DAST de todos os componentes de aplicativos da web
- Varredura de contêiner:(Adição do FedRAMP Rev5) Imagens de contêiner e configurações do Kubernetes devem ser verificadas
- Documentação falso positivo:Os fornecedores devem documentar e justificar formalmente quaisquer falsos positivos antes de fechar as conclusões
Como KENSAI apoia a autorização FedRAMP
✓ Automação de verificação mensal
Verificação mensal automatizada em todos os componentes internos do FedRAMP com agendamento, execução e entrega de relatórios nos prazos ConMon.
✓ Verificação de sistema operacional/banco de dados autenticado
A varredura credenciada do Windows, Linux e das principais plataformas de banco de dados atende aos requisitos de varredura autenticada FedRAMP RA-5.
✓ Integração POA&M
Exporte as descobertas diretamente para o formato FedRAMP POA&M (Excel/CSV). Acompanhe o status e os prazos de correção em relação aos SLAs do FedRAMP.
✓ Verificação de contêineres e nuvem
Abrange os requisitos de verificação de imagem de contêiner Rev5 para Kubernetes e arquiteturas baseadas em contêiner comuns nos limites modernos do FedRAMP.
✓ Verificação de moeda CVE
KENSAI usa o catálogo NVD e CISA KEV — atendendo aos requisitos do FedRAMP para uso atual do banco de dados de vulnerabilidades.
✓ Geração de pacotes ConMon
Geração automatizada de pacotes ConMon mensais, incluindo resultados de varredura, KPIs e análise de tendências em formatos esperados pelo FedRAMP.
Acelere sua autorização FedRAMP
KENSAI fornece verificação automatizada de vulnerabilidades, relatórios ConMon e rastreamento POA&M que as autorizações FedRAMP exigem. Reduza a carga operacional do ConMon mensal e melhore sua postura de segurança.
Iniciar avaliação do FedRAMP → Fale com um especialista FedRAMP