「聯邦政府風險與授權管理計劃 (FedRAMP)」報告

這份報告顯示在您的網站上找到的 FedRAMP 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全,並可能會被視為違反法規。

重要性

「聯邦政府風險與授權管理計劃 (FedRAMP)」提供風險型方法, 藉由在行政部門與機構中提供下列項目,以沿用及使用雲端服務:

  • 針對具有所選資訊系統影響程度的雲端服務,在授權與持續虛擬安全方面,提供標準化的安全需求。
  • 合格評定計劃,能夠對雲端服務提供者 (CSP) 實施的安全控制進行一致的獨立第三方評估。
  • 由來自 DHS、DOD 和 GSA 的安全專家組成的聯合授權委員會 (JAB) 審查雲端服務的授權包。
  • 標準化的合約語言,以利行政部門與機構將 FedRAMP 需求與最佳實務整合成獲取項目;以及
  • 雲端服務授權套件的儲存庫,可充分運用於政府機關層面。

依照設計,FedRAMP 處理程序有助於各機構符合雲端系統的 FISMA 需求, 並可處理為了符合 FISMA 而面臨各種獨特挑戰之雲端系統的複雜性。此計劃使聯邦政府機構的功能更加流暢, 能充分利用雲端服務供應商的平台與供應項目。

OMB 已於 2011 年 12 月 8 日發佈備忘錄,指出一或多個辦公室或機構所導入之具有低度與中度影響程度的所有雲端服務, 必須符合 FedRAMP 需求。FedRAMP 已於 2012 年 6 月 6 日開始具備「初始運作能力 (IOC)」。獲取階段中的雲端系統起自 2012 年 6 月 6 日, 但尚未實作,等到 2014 年 6 月 5 日才符合 FedRAMP 標準。

FedRAMP 由「聯合授權委員會 (JAB)」控管,這個委員會由來自「美國國土安全部 (DHS)」、「美國總務管理局 (GSA)」, 以及「美國國防部 (DoD)」的資訊長組成。美國政府機關的「資訊長理事會 (CIOC)」 (包括其下的「資訊安全與身分管理委員會 (ISIMC)」)支持 FedRAMP。FedRAMP 與 ISIMC 合作, 因為它可識別高優先順序的安全和身分管理提案,並針對各項政策、程序和標準開發相關建議, 以處理這些提案。

AppScan 的 FedRAMP 相符性報告會自動偵測您雲端服務 WEB 環境中的可能問題,這些問題可能與您是否符合 FedRAMP 基準線控制文件相關。FedRAMP 安全控制基準線會以雲端服務特有的相關適用參數與修改, 來更新 NIST 最基本的安全控制準則。

1. 該法規 14/18 部分發現的問題:
控制序號 控制
交流-4 根據[作業:組織定義的資訊流控制策略],強制執行核准的授權來控制系統內以及連接系統之間的資訊流。
AC-6 採用最小權限原則,僅允許完成分配的組織任務所需的使用者(或代表使用者的進程)進行授權存取。
AC-7.A 強制限制使用者在[分配:組織定義的時間段] 內連續無效登入嘗試的次數 [分配:組織定義的次數]
AC-10 將每個[分配:組織定義的帳戶和/或帳戶類型] 的並發會話數限制為 [分配:組織定義的數量]
AC-12 [分配:組織定義的條件或需要會話斷開的觸發事件]之後自動終止使用者會話
AC-17.1 資訊系統監控和控制遠端存取方法。
CM-7

a.配置系統僅提供[分配:組織定義的任務基本能力] ;和

b.禁止或限制使用以下功能、連接埠、協定、軟體和/或服務: [任務:組織定義的禁止或限制功能、系統連接埠、協定、軟體和/或服務]

IA-2 唯一地識別和驗證組織用戶,並將該唯一標識與代表這些用戶行事的流程相關聯。
IA-5

c.該組織透過確保身份驗證器具有足夠強度的機制來滿足其預期用途,從而管理使用者和設備的資訊系統身份驗證器。

e.該組織透過在資訊系統安裝時更改認證器的預設內容來管理使用者和設備的資訊系統認證器。

SC-5 資訊系統可防止或限制以下類型的拒絕服務攻擊的影響: [作業:組織定義的拒絕服務攻擊類型或引用此類資訊的來源],透過採用[作業:組織定義的安全防護措施]
SC-8 資訊系統保護傳輸資訊的[FedRAMP 分配:機密性和完整性]
SC-13

資訊系統根據適用的聯邦法律、行政命令、指令、政策、法規和標準實施[FedRAMP 分配:FIPS 驗證或 NSA 批准的加密]

SC-23 資訊系統保護通訊會話的真實性。
SI-3.A

在資訊系統入口和出口處採用惡意程式碼防護機制,偵測並消除惡意程式碼。

SI-3.B

只要有新版本可用,組織就會根據組織配置管理策略和程式更新惡意程式碼保護機制。

SI-10 資訊系統檢查[作業:組織定義的資訊輸入]的有效性。
SI-11.A

資訊系統產生錯誤訊息,提供糾正措施所需的信息,而不會洩露可能被對手利用的信息。