FedRAMP偏差请求:何时及如何提交
FedRAMP是一个政府范围内的项目,旨在为与联邦政府合作的云服务提供商(CSP)建立一个标准化的信息安全基线。 这是一个很高的要求。制定既足够稳健以覆盖所有基础,又足够开放和灵活以适应每个CSP的标准并非易事。NIST花费了很长时间,汇集众多专家制定了FedRAMP所依据的标准,并且FedRAMP流程本身也在不断迭代和发展,以日趋完善。 即便如此,总会有一些企业和云服务不完全符合既定框架。 那么,当出现这种情况时该怎么办?结果只能是以下三种之一:
- CSP由于不符合框架要求而失去FedRAMP授权资格;这种不兼容性使其无法合规。
- CSP被授予授权,但这可能因标准执行不一致而打开安全漏洞。
- CSP以特定方式处理该差异,将其记录在案,并申请偏差豁免。
选项二显然是糟糕的,它破坏了整个框架的意义。选项一也不好,因为许多企业可能本身非常安全,但由于不符合一项不适用其情况的指导原则,就无法向政府提供服务。 幸运的是,FedRAMP内置了处理此类情况的流程:偏差请求流程。这就是选项三,虽然其适用范围相当有限,但对适用的CSP而言却至关重要。 什么是偏差请求?它何时适用?如何提交这样的请求?让我们来了解你需要知道的一切。
目录
- 什么是FedRAMP偏差?
- 何时应提交FedRAMP偏差请求?
- 偏差请求的三种类型是什么?
- 偏差请求包含哪些内容?
- 偏差请求会被批准吗?
- 偏差请求获批后会发生什么?
- 如果偏差请求被拒绝会发生什么?
什么是FedRAMP偏差?
当CSP的架构或运营不完全符合NIST SP 800-53和FedRAMP本身规定的标准和规则,但仍然可以以可接受的方式处理和缓解时,就会产生偏差。 偏差不是使用替代方法来保护系统的借口。相反,它是一种选择,用于处理以下情况:如果使用通常强制要求的系统安全方法会过度阻碍或破坏该系统的运行。
例如,如果需要保护的数据存在于一个未受保护的系统中,这就会触发一个需要修复的漏洞标志。然而,如果该未受保护的系统是完全物理隔离的,无法从任何来源访问,那么它是否安全实际上并不重要,因为除了通过访问控制的现场访问外,无法通过任何方式接触到它。 通常情况下,你无论如何都必须保护该系统。但是,既然它既无关紧要,又可能妨碍可访问性,你可以提交偏差请求,要求批准该系统保持现状。
何时应提交FedRAMP偏差请求?
偏差请求应在发现、分析偏差并确定其有理由申请偏差时提交。 这可能在初始审计以获得授权期间发生。但更常见的是,作为持续监控的一部分发生。系统会发生变化,架构会随着时间的推移而演变,它们都需要保持安全。如果检测到故障,需要解释而非修复,则可以提交偏差请求。 偏差请求不适用于安全控制不适用的情况。“不适用”(N/A)的指定适用于CSP没有或未使用的系统所对应的控制项,而不适用于存在且存在漏洞的系统。
同样,偏差请求也不是重大变更请求,尽管两者是类似流程的类似请求。重大变更请求适用于CSP系统进行大规模变更并需要审查的情况。
偏差请求的三种类型是什么?
FedRAMP中的偏差分为以下三类,了解其类别是提出偏差请求的关键部分。故障类别表明需要证明哪些措施才能请求并获得偏差。 第一类是误报。 当自动化扫描器发现漏洞,但该漏洞实际上不存在或在你系统内实际上无法被利用时,就会发生这种情况。 例如,如果你的系统是使用特定的软件生态系统构建的,而某个库被标记为存在漏洞,但实际上该库只是与另一个生态系统中的同名漏洞库共享名称,这可能就是一个误报。自动化扫描器不一定能理解上下文以判断其错误,可能会将非问题标记为漏洞。 第二类是风险调整。 风险调整是指漏洞被识别出并确实存在于你的系统中;然而,扫描器将其风险等级评估得比实际情况更高。这种情况最常见于你已知该风险并已采取措施缓解,但无法完全按照FedRAMP标准修复它时。你可以提交偏差请求,以降低风险的严重性,从而不影响你的授权。 第三类是运营需求。 这些是已知且在扫描中被标记的风险,但如果不损害CSP的运营则无法修复。 例如,如果CSP需要打开特定端口以实现访问功能,但该端口通常是攻击媒介,端口开放的事实将被标记为漏洞。通过证明你的CSP需要开放该端口,你可以获得偏差批准,从而在存在漏洞的情况下保持授权。
值得注意的是,FedRAMP不会为高影响的运营需求批准偏差请求。但是,如果你已采取措施进行修复,你可以同时提交风险调整和运营需求偏差请求,以验证你已尽可能缓解了风险。
偏差请求包含哪些内容?
偏差请求是一个多步骤的过程。 首先需要识别故障,进行分析,并确定是否需要偏差。许多故障需要补救,不能通过偏差豁免,因此这个初步分析极其重要。 如果分析发现故障无法在不严重阻碍运营的情况下解决,或者其安全性高于扫描器显示的水平、风险较低(甚至不适用),则可以提交偏差请求。 偏差请求需要两样东西。第一,CSP需要填写偏差请求表格(XLSX链接)。第二,需要在CSP的POA&M中记录。
偏差请求表格需要大量具体信息:
- CSP名称。
- 特定系统名称。
- CSP授权的影响级别。
- 偏差请求的提交日期。
- CSP联系人的姓名和职位。
- 联系人的电话号码和电子邮件。
- DR编号和POA&M ID。
- 扫描ID。
- 相关的CVE编号。
- 受CVE影响的资产。
- 漏洞名称和来源。
- 初始风险评级。
- CVSS分数。
- 漏洞首次检测日期。
- 来自扫描工具的漏洞信息和建议修复措施。
- CSP提供的关于漏洞的附加信息。
- 上述三种偏差请求类型中的哪一种。
- 请求调整后的严重性评级和CVSS分数。
- DR提交日期。
- 提交DR的理由。
- 提交证明DR必要性的证据和附件。
- 关于正常修复措施的操作影响说明及理由。
- 关于潜在攻击的详细信息,包括攻击向量、复杂度、所需权限、所需用户交互和影响指标。
- DR的状态跟踪信息。
- 来自政府实体(包括GSA、DoD、DHS等)的附加评论。
你可以在DR请求表格的"DR Sheet"选项卡下看到所有这些内容。
偏差请求会被批准吗?
偏差请求的批准率通常很高,但这本身具有误导性。这是因为即使提交偏差请求的门槛就相当高。当你确定可以提交偏差请求时,很可能已经用尽了其他选择。 偏差请求需要提交给你在主办机构内的联系人。该人员将做出决定。毕竟,作为政府成员,如果你的漏洞被利用,他们的数据将面临风险。 如果偏差请求的理由薄弱,如果联系人能识别出你尚未探索的其他缓解方案,或者如果无论采取何种缓解措施,安全确实因该故障而受到损害,他们可以拒绝偏差请求。 一般来说,这不是单方面的决定。整个偏差请求流程需要与利益相关者、机构联系人和其他相关人员展开大量对话。这里的所有人目标一致,都试图在可能无法完全照章行事的特殊情况下,确保尽可能高的安全性。 通常,如果偏差请求将被拒绝,原因不外乎以下几种:
- 理由不够充分。 你必须有一个非常有效、有证据支持的理由来申请偏差,而不是仅仅为了省事不去修复问题。因此,偏差最常见于误报。
- 证据不足。 即使有正当理由,如果没有足够有效的文件来证明你的主张,也可能导致失败。
- 试图将偏差请求用于不属于偏差的事项,例如重大变更请求或不适用(N/A)的控制。
只要你文件齐全,并与你的3PAO和主办机构内的联系人保持良好的沟通,你应该能够有效地完成这个流程。
如果你在文档和证据收集方面需要帮助,可以考虑探索Ignyte Assurance Platform。我们的平台旨在跨多个框架顺利有效地跟踪和维护证据和文档。通过它,你可以汇总从核心证据到POA&M状态的所有信息。联系我们,了解它如何为你服务,无论是处理偏差请求还是其他事务。
偏差请求获批后会发生什么?
如果偏差请求获得批准,业务照常进行。该偏差会在CSP的POA&M中注明,并成为持续监控的一部分。
如果将来情况发生变化,导致该缺陷被缓解或消除,或者偏差不再必要,则可以将其解决。否则,它就需要像任何其他已识别的威胁一样被监控和维护。
如果偏差请求被拒绝会发生什么?
如果你提交了偏差请求但被拒绝,会发生什么? 你有几种可能的选择。 首先,你可以再试一次。 作为与机构联系人公开对话的一部分,他们会告诉你拒绝请求的原因,如果相关,你可以尝试解决问题。例如,如果你没有足够的证据支持你的立场,你可以收集更多证据并进行测试来证明,然后再次尝试。
其次,你可以接受判断,并按照FedRAMP规则采取措施解决问题。这对于误报通常不太适用,但对于风险调整和运营需求,可能需要一些工作,但可以完成。如果你的机构联系人认为你可以做到且不会造成不当负担,而你无法证明相反,那么你就需要投入这项工作。 第三,如果这导致你与机构之间产生无法调和的摩擦,可能别无选择,只能终止合同。如果你坚信并已证明你的CSP离开该缺陷就无法运营,并且你已采取措施缓解,但你的机构认为这仍然不够好,那就没有中间立场可言。 不过,大多数时候,你们是能够找到解决办法的。也许有你未曾想到的方法可以修复问题。也许你能找到更好的证据来证明需求的必要性,从而保住合同。 毕竟,目标是确保运营安全。你的主办机构不希望失去你的服务功能,正如你不希望失去他们的合同一样。持续努力,你会找到适当应对这种情况的方法。