FedRAMP SC-7边界保护平衡改进发布:网络隔离技术指南更新

本文详细介绍了FedRAMP对SC-7边界保护控制要求的更新,包括从强制子网隔离转向允许任何实现逻辑分离的技术能力,旨在平衡Rev5与20x标准,提升云服务网络安全性。

RFC-0013 SC-7边界保护平衡改进发布

RFC前言

状态:开放
创建者:FedRAMP
开始日期:2025-08-11
结束日期:2025-09-11
简称:rfc-0013-sc-7-boundary-protection

除本Markdown文档外,本RFC还提供以下格式:

  • PDF文件:0013-sc-7-boundary-protection.pdf
  • Word文件:0013-sc-7-boundary-protection.docx

评论提交方式

公众可在公开评论期内就不同问题提交多个评论。请公众避免在公开评论中包含文档或电子表格(特别是带有内联评论或建议更改的文件),这会增加大量额外审查负担。

FedRAMP官方考虑的形式化公开评论可按以下偏好顺序提交:

  1. GitHub帖子:RFC-0013 SC-7边界保护平衡改进发布 #71
  2. 公开评论表:https://forms.gle/vgHHybwHwEe3Z6an7
  3. 电子邮件:pete@fedramp.gov,主题为“RFC-0013反馈”

注意:FedRAMP将审查并通过电子邮件公开所有收到的公开评论,但不会另行回复。除非要求,联邦机构的电子邮件提交不会公开。

摘要与动机

FedRAMP不计划为Rev5基线的实施提供更新的技术援助或指导,但平衡Rev5与FedRAMP 20x的改进仍然重要。SC-7边界保护要求目前在这些方法中不平衡:FedRAMP 20x关键安全指标鼓励逻辑分离网络资源以防止不必要的网络遍历,而Rev5基线将网络分离限制为IETF RFC-950中定义的第3层子网划分。

为确保FedRAMP 20x和Rev5之间现代边界保护方法的一致性,FedRAMP将开始紧急的Rev5平衡改进发布,具体如下:

  • 2025年8月8日,FedRAMP撤销了“子网白皮书”,通过移除阻止云服务提供商使用其他满足控制SC-7的技术能力的过去指导,开始使Rev5与20x平衡。
  • FedRAMP将在所有FedRAMP基线中形式化更新的SC-7边界保护指导,以澄清Rev5授权应如何满足此控制。拟议的更新指导是本RFC的主要内容。
  • 在公开评论后形式化时,此平衡改进发布将立即适用于所有Rev5基线和授权。此发布不会有单独的测试期。利益相关者可以预期Rev5基线的此更改将在完成公开评论期后30天内发生。

生效日期与总体适用性

这是一个发布供公开评论的基线更新草案;它不适用于任何FedRAMP授权,且不得以草案形式使用。

FedRAMP 20x: 此基线更新澄清了FedRAMP 20x控制的基本期望,但不直接适用于FedRAMP 20x。

FedRAMP Rev5: 此基线更新在正式发布时将立即适用于所有Rev5基线和授权。

NIST SC-7边界保护控制声明

NIST SP 800-53 Rev5包含以下SC-7边界保护控制文本:

a. 监控和控制系统的外部管理接口和系统内关键内部管理接口的通信; b. 为公开可访问的系统组件实现与内部组织网络[选择:物理;逻辑]分离的子网; c. 仅通过由边界保护设备组成的管理接口连接到外部网络或系统,这些设备按照组织安全和隐私架构排列。

FedRAMP SC-7边界保护控制期望

以下更新将适用于SC-7边界保护下的所有FedRAMP基线(当前指导或程序将完全被更新的指导或程序替换):

SC-7控制要求

当前FedRAMP指导: SC-7 (b) 额外FedRAMP要求和指导:SC-7 (b) 应通过子网隔离满足。子网是较大网络的物理或逻辑分段部分,在TCP/IP第3层定义,以最小化流量,并对FedRAMP授权重要的是增加关键的网络隔离层。子网不同于VLAN(第2层)、安全组和VPC,并特别要求满足SC-7部分b和其他控制。更多信息请参见FedRAMP子网白皮书(https://www.fedramp.gov/assets/resources/documents/FedRAMP_subnets_whitepaper.pdf)。

更新FedRAMP指导: SC-7 (b) 额外FedRAMP要求和指导:SC-7 (b) 可通过使用任何确保公开可访问组件与内部网络之间逻辑分离的技术能力满足,通过防止未经检查和授权的遍历;流量不得从公开可访问组件无限制地流向内部网络。

SC-7评估计划/程序

当前评估程序: 确定是否:

  • 公开可访问系统组件的子网与内部组织网络物理;逻辑分离;和

更新评估程序: 确定是否:

  • 公开可访问系统组件与内部组织网络设备逻辑分离;和

请注意

此线程仅用于形式化公开评论;评论者可以相互回复评论,但FedRAMP在此线程的参与有限,形式化公开评论中混合的一般问答和随意讨论会带来复杂性。

关于此RFC在公开评论之前、期间或之后的随意讨论,请使用General RFC Discussion类别中的此线程:RFC-0013(SC-7)的问答和开放随意讨论。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次