FedRAMP机构如何评估云服务提供商的安全评估报告

本文深入解析了FedRAMP框架下,联邦机构如何评估云服务提供商(CSP)提交的安全评估报告(SAR),包括SAR的构成、评估标准以及授权决策所依据的关键技术细节和风险考量。

FedRAMP机构如何评估CSP的SAR报告

FedRAMP是联邦政府用于评估和强制实施在其承包商(云服务提供商)中标准化安全的框架。他们将安全视为重中之重,保护受控信息是他们的首要任务。

验证云服务提供商安全性的一个关键部分是SAR,即安全评估报告。那么SAR是什么,FedRAMP机构又是如何评估SAR提交材料的?

什么是FedRAMP CSP的SAR?

要完全理解SAR是什么,您需要了解FedRAMP的审计和验证流程。

为了获得FedRAMP认证,云服务提供商需要通过由第三方评估组织(3PAO)执行的审计。该审计基于:

  • NIST SP 800-53中概述的安全控制措施
  • 云服务提供商根据FedRAMP框架确定的“影响级别”
  • 3PAO的安全评估计划(SAP)方法论

当云服务提供商希望获得FedRAMP认证时,需要与3PAO合作来评估其安全性。3PAO将与云服务提供商共同制定安全评估计划。SAP实质上是一套根据CSP的预期影响级别和业务状况所要求的安全控制检查表和方法论。

一旦CSP确信其能够通过测试,3PAO便会与CSP合作进行审计。审计的最终结果就是SAR,即安全评估报告。这是3PAO进行的审计过程结果的汇编,并提交给CSP进行后续步骤。

SAR可以被看作是FedRAMP流程的“毕业证书”。

许多人直到流程进行到这一步才认识到,审计并非FedRAMP授权的最后一步。审计是对安全工作的验证,但审计报告(即SAR)需要由FedRAMP机构审查和验证。在此之前,CSP不会被授权,也无法承接联邦合同。

SAR包含哪些内容?

尽管安全评估报告中的具体信息会因机构、CSP和影响级别的不同而有所差异,但报告本身的结构是相同的。事实上,FedRAMP在此处提供了报告模板。

它包含哪些信息?

  • CSP的名称。
  • CSP处理信息的目的、功能和类型。
  • 文档版本。
  • 报告生成日期。
  • 生成文档的3PAO的信息。
  • 文档的修订历史,包括负责人。
  • 公开风险的摘要及相关信息。
  • 用于测试CSP的评估方法信息。
  • 所有测试的结果,包括成功和失败。
  • 自动化扫描的结果,包括误报。
  • 任何偏离标准评估的清单及原因。

所有这些信息对CSP自身验证其安全性或制定行动计划以修复审计过程中发现的问题,以及对FedRAMP机构验证审计结果都至关重要。没有SAR,CSP就无法获得授权。

CSP如何使用其SAR?

安全评估报告由3PAO创建并交给CSP,它成为提交给FedRAMP委员会的整体安全证明包的关键部分。CSP应如何使用这份文件?

  1. 审查SAR。 CSP必须审查其审计结果,以了解自身的安全状况。
  2. 解决SAR中指出的任何缺陷。 当存在缺陷、不合规、安全覆盖缺口或其他未能达到CSP所选影响级别所需标准的情况时,必须采取行动。SAR帮助CSP识别这些差距。利用这些知识,CSP可以制定适当的行动计划与里程碑(POA&M),这是获得全面授权所需的补救计划。
  3. 将SAR作为证据包的一部分提交给发起机构。 目前,SAR将提交给CSP的发起机构,然后该机构可以利用它来决定是否与CSP合作。一般来说,只要SAR中没有重大问题,授权就会被授予。
  4. 保留一份SAR副本用于未来的记录。 在某种意义上,SAR是一份动态文件。CSP进行的每一次迭代审计都会更改和添加到SAR中,使其成为CSP安全状态和历史的持续记录。它将用于未来的重新认证审计,并作为整体文档的一部分。

FedRAMP机构如何评估SAR?

SAR是FedRAMP授权过程中的关键证据。由于最终的授权决定权在于FedRAMP机构本身,因此了解他们如何分析SAR以做出决定非常重要。

那么,一旦3PAO将SAR交给CSP,并且CSP将其提交给发起机构后,发起机构会查看哪些内容来做出最终决定呢?

决策主要基于文档的完整性。CSP的ISSO将代表FedRAMP审查SAR,并对照SAR的要求进行检查,以确保其详尽、细致且没有缺失细节。这就是为什么FedRAMP提供模板;他们希望您使用该模板,而不是凭空创建一份定制文档。

FedRAMP ISSO还将检查SAR的完整性、是否存在导致自动取消资格的“拦路虎”问题,以及任何严重的危险信号。这些都可以立即提请CSP或发起机构注意。

此外,ISSO会将SAR与SAP进行比对。SAP概述显示了审计是如何进行的。结果是否与这些测试一致?测试方法和结果之间的脱节可能表明记录造假、未完全完成审计或其他需要深入调查的问题。

以具体细节为例,FedRAMP培训包括以下指导:

  • 第4节: 此部分文本不应有任何更改,并且项目符号列表元素和项目符号段落必须匹配。
  • 表5-1: 确保扫描和工件验证了对特定发现的补救措施。
  • 表5-2: 确保缓解因素和补偿控制足以支持调整。如果引用了受控非密信息工件,请确保该工件已提供或可在现场审查。
  • 表5-3: 确保缓解因素和补偿控制足以降低风险。
  • 表6-1: 该表是否包含任何信息?如果没有风险,请确保表格上方的段落中有文字描述用于做出此确定所采用的测试方法。

发起机构如何做出决定?

一旦FedRAMP ISSO确定SAR没有关键缺陷,发起机构就可以选择继续进行合同或撤销合作。他们用于决策的信息包括:

  • 3PAO的意见。 SAR的一部分是3PAO的书面意见,说明云服务提供商是否根据NIST SP 800-53及其FedRAMP影响级别中概述的要求充分实施了安全性。这份意见通常是SAR中最重要的部分之一。
  • 安全评估的总体结果。 对SAR中相关信息的审查将有助于机构了解CSP为其评估所做的准备程度。
  • 已检测缺陷的严重性。 机构也会审查已发现缺陷的严重性。
  • 行动计划与里程碑(POA&M)。 解决缺陷需要一个切实的时间表和一系列行动,这表明了CSP在发现问题时的主动性和可靠性。
  • 风险。 安全性不是及格或不及格;它是一个风险和缓解措施的问题。总会有一些风险无法完全消除,否则CSP的核心产品就会无法运行。因此,FedRAMP发起机构决策的最大部分将归结为对这种风险的分析。这甚至在FedRAMP文档中被称为“做出基于风险的决策”。机构将评估风险、风险发生的可能性、风险发生时的后果严重性,以及为缓解这些风险而制定的策略。

Ignyte如何提供帮助

在Ignyte,我们可以在几个方面提供帮助。

首先,我们是FedRAMP的3PAO,可以作为执行审计并为您的CSP生成SAR的一方。我们非常熟悉FedRAMP的方方面面,同时也提供根据NIST SP 800-53实施安全措施的咨询和建议。

Ignyte保障平台也是我们专门开发的平台,用于跟踪和管理包括FedRAMP在内的多种框架的风险、安全和文档。您的所有文档,从单个测试结果和员工访谈,到风险跟踪和合规监控结果,再到SAP、SAR和其他关键文档,都可以存储在平台内并轻松引用。所有这些都使得生成证据包、完成审计和获得授权变得更加容易。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次