政府云的 FedRAMP 安全测试
FedRAMP 授权需要严格的安全测试 - 每月漏洞扫描、年度渗透测试和持续监控。 KENSAI 通过满足 PMO 要求的自动扫描帮助云服务提供商实现和维护 FedRAMP ATO。
开始 FedRAMP 评估 → 请参阅 FedRAMP 报告FedRAMP 安全测试要求
FedRAMP 基于 NIST SP 800-53 构建,要求云服务提供商 (CSP) 通过持续监控实施特定的安全控制。安全测试要求因影响级别而异:
| 美联储RAMP级别 | 漏洞扫描 | 渗透测试 | 康蒙频率 |
|---|---|---|---|
| 低的 | 每月 | 年度的 | 每月 |
| 缓和 | 每月(操作系统、数据库、Web 应用程序) | 年度的 | 每月 |
| 高的 | 每月(所有组成部分) | 年度的 | 每月+临时 |
每月对操作系统、数据库和 Web 应用程序进行经过身份验证的漏洞扫描。扫描必须使用当前的 CVE 数据。必须在规定的时间范围内分析结果。
由 FedRAMP 认可的第三方评估组织 (3PAO) 或同等合格测试人员进行年度渗透测试。必须覆盖授权边界内的所有组件。
严重漏洞:30 天。高漏洞:30 天。中等:90 天。最低:180 天。 ConMon 审核期间所有时间范围均严格执行。
所有组件都需要 USGCB/CIS 基准配置。漏洞扫描必须验证配置是否保持合规。
💡 FedRAMP Rev5 (2024):FedRAMP 将于 2024 年更新为 NIST SP 800-53 Rev5。主要变化包括新的供应链风险管理控制(SR 系列)、扩展的特定于云的指南以及更新的评估程序。现有授权必须按照机构商定的时间表进行过渡。
FedRAMP 连续监控 (ConMon)
ConMon 是许多 CSP 在获得初始授权后陷入困境的地方。每月可交付成果通常包括:
- 所有边界内组件的漏洞扫描结果
- 行动计划和里程碑 (POA&M) 更新及补救状态
- 任何新组件的库存更新
- 事件报告(如果适用)
- 跟踪漏洞修复指标的关键绩效指标 (KPI)
未能按时交付每月的 ConMon 包裹可能会引发 ATO 审查并可能被撤销——这对于拥有联邦收入的 CSP 来说是灾难性的结果。
FedRAMP 的扫描要求
FedRAMP 扫描要求比大多数合规性框架更加具体:
- 需要经过身份验证的扫描:对所有操作系统实例进行凭据扫描,提供比仅网络扫描更深入的漏洞发现
- 数据库扫描:对所有关系数据库进行单独的凭据数据库扫描
- 网络应用程序扫描:DAST 扫描所有 Web 应用程序组件
- 集装箱扫描:(FedRAMP Rev5 添加)必须扫描容器镜像和 Kubernetes 配置
- 误报文档:在结束调查结果之前,供应商必须正式记录任何误报并证明其合理性
KENSAI 如何支持 FedRAMP 授权
✓ 每月扫描自动化
对所有 FedRAMP 边界内组件进行每月自动扫描,并在 ConMon 截止日期前安排、执行和报告交付。
✓ 经过身份验证的操作系统/数据库扫描
Windows、Linux 和主要数据库平台的凭据扫描满足 FedRAMP RA-5 身份验证扫描要求。
✓ POA&M 集成
将结果直接导出为 FedRAMP POA&M 格式 (Excel/CSV)。跟踪 FedRAMP SLA 的修复状态和截止日期。
✓ 容器和云扫描
涵盖现代 FedRAMP 边界中常见的 Kubernetes 和基于容器的架构的 Rev5 容器映像扫描要求。
✓ CVE 货币验证
KENSAI 使用 NVD 和 CISA KEV 目录 — 满足当前漏洞数据库使用的 FedRAMP 要求。
✓ ConMon 包生成
自动生成每月 ConMon 包,包括 FedRAMP 预期格式的扫描结果、KPI 和趋势分析。
加速您的 FedRAMP 授权
KENSAI 提供 FedRAMP 授权所需的自动漏洞扫描、ConMon 报告以及 POA&M 跟踪。减轻每月 ConMon 的运营负担,同时改善您的安全状况。
开始 FedRAMP 评估 → 与 FedRAMP 专家交谈