FedRAMP审计日志保留规则与存储选项
每个寻求通过FedRAMP框架获得联邦政府运营授权(ATO)的云服务提供商(CSP)都必须通过审计。通过审计后,CSP还需保存并维护外部审计、内部审计、持续监控结果等的证明。所有这些日志都是CSP能够在不同范围和规模上监控其安全性的证据,也是安全性、监控以及对已检测风险和违规行为响应的证明。
所有这些日志会不断累积。尽管如今都是数字化的,但成堆文件箱的景象离现实并不遥远。日志需要被保留并妥善存储,同时也需要在适当的时间间隔后进行归档或清除。
保留的信息越多,梳理出最相关信息就越困难,更重要的是,如果日志存储本身被破坏,其可能暴露的信息就越多。除此之外,如果保留超过限制,大量日志还可能成为法律上的负担。
FedRAMP对于日志保留有何规定?它们需要存储多久?存储这些日志是否有规则?让我们来研究一下CSP为符合FedRAMP必须遵守的规则和要求。
什么是审计日志?
当你想到FedRAMP审计时,你会想到那三年一次的高风险审查,由第三方评估机构(3PAO)进行全面评估你的安全实施情况。此过程的报告和日志就是审计日志。
然而,还有许多其他日志是由你的监控和评估部分生成的,从专门的内部审计到一般的持续监控记录。所有这些数据日志也可以被视为审计日志。
用户访问日志、违规日志、数据更改日志;这些都是用于审计目的的日志。它们都需要被适当地存储、保留相关时长,并在不再适用时被丢弃。
企业可能因存储审计日志时间不足而受到处罚,但也可能因存储过多、时间过长而面临后果。过量的数据是一种负担。
审计日志的热存储与冷存储
在讨论记录保留之前,需要了解的另一个关键信息是与之相关的存储类型。你通常会看到这被称为在线存储和离线存储,或者更常见的是热存储和冷存储。
对于所有级别的FedRAMP,日志保留(以及其他数据保留)的政策都涉及两个阶段。通常看起来像这样: “中心日志保留:30天在线;12个月冷存储。”
第一阶段是热存储,第二阶段是冷存储。这是适用于各种数据存储(包括备份和参考数据)的概念,并非FedRAMP独有。
打个比方,热存储就像把数据表格打印出来放在你的办公桌上随时可用;冷存储则是将其归档到记录室。热存储易于访问。冷存储仍然可访问,但有延迟。
在数字意义上,热存储通常意味着存储在易于访问的在线位置,例如信任中心或CSP的中央服务器。冷存储意味着数据可以转移到速度较慢、访问较不便的设备上。它仍然需要是可访问的,所以不能被删除或存放在无法触及的地方,但它不需要在线可用。例如,它可以归档到磁带存储、光学存储或其他介质上。
保护静态和传输中的日志
正如你所料,像审计日志这样敏感的数据需要存储在安全的位置。仅仅不可访问是不够的。此外,当日志被转移到存储、从热存储移动到冷存储,或在审计过程中被访问时,数据在传输过程中也需要得到保护。
FedRAMP的不同影响级别对该数据的安全级别要求不同。
- 低级和中级:审计数据和审计工具必须受到保护,防止未经授权的访问、修改和删除,并且在检测到对这些信息的未经授权访问、修改或删除时,必须通知相关利益相关者。
- 高级:与上述相同,但控制措施更多。至少每周将审计记录存储在作为与被审计系统或组件物理上不同的系统或组件的存储库中。此外,实施加密机制来保护审计信息和审计工具的完整性。这要求使用的加密必须符合联邦要求,使用经过FIPS验证或NSA批准的加密。
与FedRAMP中保护静态数据的大多数例子一样,政府并未强制规定特定的加密算法,而是要求使用已批准使用的算法之一。使用过高的加密几乎没有实际好处,不推荐使用。
审计日志应存储多久?
关于记录保留的讨论是一个棘手的问题。
以下是FedRAMP对不同影响级别的说明。
Li-SaaS: “将审计记录保留[符合M-21-31的时间段],以支持事件的事后调查,并满足监管和组织的信息保留要求。”
低级:与Li-SaaS相同,但有额外要求。 “服务提供商将审计记录在线保留至少九十天,并进一步根据NARA要求离线保存审计记录。” “服务提供商必须支持机构要求以遵守M-21-31。”
中级:与低级相同。
高级:与中级和低级相同。
因此,记录至少需要在热存储中存储90天,并在冷存储中存储更长时间。然而,这引出了其他几个权威来源。NARA、M-21-31和监管规则都起作用。
NARA对审计日志保留有何规定?
NARA是国家档案馆,他们是制定整个联邦政府许多记录保留规则的组织。
当涉及到CSP遵守FedRAMP规则时,NARA维护着GRS,即通用记录时间表。这是一套针对不同类型记录和不同类别实体的标准化记录保存要求。
NARA的GRS第3.0节是关于技术记录的,3.2节是关于信息系统安全记录的。
在这个时间表中,你会发现针对不同类型信息安全记录的若干指导,从系统安全计划到叙述性报告等。这些记录中最短的保留时间是72小时,最长的是20.5年(特别是针对某些PKI管理记录)。
NARA还参考了M-21-31以获得进一步指导。
什么是M-21-31?它有何规定?
OMB备忘录M-21-31的标题是《提高联邦政府与网络安全事件相关的调查和修复能力》。它于2021年在大规模的SolarWinds事件后发布。
该备忘录建立了与网络安全相关的记录的保留、存储和销毁新指南,涉及一个四阶段的分阶段推广,遵循一个实现完全合规的两年时间表。
除了建立记录保留的时间表外,该备忘录还包括了记录中包含的数据的标准化,包括时间戳的特定格式、验证日志信息的规则等。这是一份相当全面的备忘录。
不过,这里有一个问题:CSP可能不需要关心。FedRAMP直接咨询了OMB,并且引用道: “…评估认为M-21-31不直接适用于CSP产品(除非该CSP是政府系统);但是,获得FedRAMP授权的CSO必须通过在云产品中支持机构实施来遵守M-21-31。这些要求反映在FedRAMP Rev. 5基线中(特别是AC-4 (4)、AU-11和SI-4 (10))。”
AC-4.4是强制实施信息流控制的控制项。AU-11是上述参考,指导CSP参考NARA。SI-4.10是要求加密流量对系统监控工具和机制可见。
虽然一般来说,M-21-31扩展了记录保留时间,通常是热存储一年外加冷存储18个月,但FedRAMP表示在很大程度上忽略这一点,转而支持你的赞助机构的要求。
所有这些也都指向另一个权威来源:监管要求。
审计日志保留的监管要求是什么?
不同行业的CSP将面临不同的监管环境。你处理的信息类型也会影响日志保留的时长。受HIPAA管制的医疗保健信息,规定健康数据保留六年。SOX规定财务记录保留七年。联邦赠款通常是三年。
本质上,联邦政府不想去弄清楚所有不同的监管框架说了什么以及它们执行什么规则,也不想告诉CSP做一件事,而其他法律要求做另一件事。这就是为什么FedRAMP要求在很大程度上参考其他权威来源,而不是具体规定任何内容,只给出一个最低限度。
你可能需要与经验丰富的合规官或经常与你所在行业合作的3PAO交谈以获得更具体的信息。与其在这里提供可能不正确的信息,我们鼓励你带着具体问题直接联系我们。
2026年FedRAMP 20x是否会改变这些规定?
是,也不是。
正如你现在可能已经听说的,FedRAMP正在认真、协同地努力简化和加快授权过程。取消JAB流程、增强对机器可读数据的允许、加快审计过程以及20x试点计划都是这些努力的一部分。
FedRAMP正在发生重大变化,随着试点的发展,很难预测每个系统将在哪里发生变化。
到目前为止,关于记录保留规则本身没有任何变化。你仍然需要捕获审计日志,仍然需要根据我们上面说的一切保留它们,并且仍然需要在适用时销毁它们。
然而,一个可能的变化在于你的记录存储位置。以前,你会在本地存储记录,其中很多会上传到FedRAMP本身。然而,FedRAMP的增长和简化系统的目标意味着他们认为自己跟踪所有这些数据是不必要的。
相反,他们正在试验允许CSP在信任中心托管他们的数据。信任中心是一个安全的、经授权的系统或存储库,用于存储这些数据,可以由CSP以及FedRAMP和审计员在必要时进行验证和访问。目前,这是一个小型试点实验,还没有向更广泛受众推广的时间表,但如果它成功,可能会改变你的审计日志的存储方式。
Ignyte如何提供帮助
我们如何在记录保留和审计日志方面为你提供帮助?有以下几种方式。
首先,作为FedRAMP认可的3PAO,我们在理清FedRAMP授权所需遵守的所有规则和法规方面经验丰富。我们可以作为顾问帮助你弄清楚需要做什么,或者作为3PAO执行审计并为你提供需要保存的记录。
其次,Ignyte Assurance Platform从一开始就是为帮助实施FedRAMP、CMMC和ISO 27001等框架而设计的。虽然该平台本身不是信任中心,但它可以帮助你跟踪和监控你的日志、它们的位置、存续时间,以及何时需要根据你的法规进行更新、转移到冷存储或移除。
除此之外,你可以关注我们的博客或订阅我们的Reckless Compliance播客,了解关于安全和框架(如FedRAMP和20x的演变)的当前和未来状态的讨论。2026年看来将是许多规则发生改变的一年,保持领先将确保你在FedRAMP持续发展时处于有利地位。