创建 SSP 和 FedRAMP 流程不仅是向联邦市场销售云服务的必要条件,而且还可以确保云服务提供商 (CSP) 遵守云安全的最佳实践。它还可以使 IT 安全实践更加成熟,而如果没有 FedRAMP 批准所规定的标准,这种成熟是不可 印度尼西亚号码 能实现的。SSP 的
创建对于 CSP 来说是一项巨大但适当且必要的工作。我的经验表明,SSP 是在数百页和行(Word/Excel)内创建的;它们很难更新,并且肯定不会直接与任何自动化相关联(除非发现了虚幻的 Word/Excel/PowerPoint 到 C++ 编译器)。我并不是说 CSP 没有使用许多智能、强大和自动化的技术/流程来满足 SSP 的需求。但是,SSP 通常不会与 CSP 用于执行合规性的技术集成和自动化。SSP 的创建和维护过程本身仍然是整个安全过程的手动(并且非常耗费人力)组成部分。
缺少的部分是什么?
缺少允许 SSP 集成到 CSP 用于持续安全合规性的自动化中的工具、平台或应用程序。
将所有 FedRAMP 控制和相关语言与预加载的概念流程、政策和程序相结合将是一个很好的开始。将 SSP 控制自动化到工作流中的相关步骤将大大增强 SSP 管理和自动化。将您的控制要求与工具自动化联系起来,并在单一管理平台内证明所需的事件发现、警报、响应和补救措施的能力将是灵丹妙药。能够使用同一系统在同一平台内为您的企业和行政国家标准与技术研究所 (NIST) 控制创建工作流将是锦上添花。
市场需要展现自己吗?
人们(代表 FedRAMP PMO 以及 CSP)希望将 FedRAMP 安全流程转变为更全面的自动化合规方法,这一点可以从以下几点推断出来:
FedRAMP 项目管理办公室最近发布了一份信息请求 (RFI)。在此 RFI 中,FedRAMP 正在寻求以下方面的意见:(引自 FedRAMP网站)
“GSA 和 FedRAMP 与美国创新办公室 (OAI) 和美国技术委员会合作,致力于改善整个联邦政府的安全授权流程。我们的最终目标包括:
减少阻碍我们扩大改进能力的辛劳。
减少手动活动造成的错误。
加快处理速度(问题的批准和识别)。
增加机器可读数据的附加值以改善风险管理。
这项工作的一个关键组成部分是找到将自动化纳入运营授权(ATO)流程的方法。”
现在,信息请求可能旨在减少 CSP 获得 FedRAMP ATO 的时间。然而,这也表明 FedRAMP PMO 可能与其组成机构和行业合作伙伴(云服务提供商)就提高云安全合规效率进行了持续对话。
当你的朋友拿出翻盖手机时你会说什么?
当我之前的公司在 2012 年经历 FedRAMP 流程时,我们使用了 MS Office 的全自动化功能!在创建 SSP 时,剪切和粘贴是我们所希望的最佳集成。我们不敢梦想让 SSP 及其相关政策和程序以任何有意义的方式与我们用于保护 IaaS 安全的安全工具进行交互。在我离开之前,我们开始看到 SSP 自动化的一些可用性。然而,任何可能改变我们正在进行的手动流程的考虑都没有得到太多关注。缺乏改变既定手动流程的意愿令人沮丧。
然而,如今,寻求获得 FedRAMP 授权的 CSP 数量不断增加。这是 FedRAMP 流程非常清晰的结果,也是我们联邦客户对越来越多云服务的需求的结果。如今的 CSP 的出发点是 SSP 应该以集成的方式与他们用于合规的工具集绑定在一起。对于他们来说,认为 SSP 及其实施将全部由 MS Office 驱动,就像千禧一代看着他们的父母,而父母拿出翻盖手机时,他们的头却歪向一边。
这种自动化解决方案的市场是否正在增长?
这个问题的简短答案是肯定的。较长的答案是,此类解决方案的市场正在兴起,但据我观察,市场规模仍然很小。
一些 Google 搜索 SSP 自动化列出了一些可能已经开始在市场上推出此类解决方案的公司。我使用我的搜索字符串找到了三家提供安全自动化工具和安全编排工具的公司,前三个结果是付费广告的搜索结果。这些广告之后是与系统安全计划相关的 SANS 和 NIST 链接。我的搜索当然不是详尽无遗的,但它可能证明这些解决方案并不大规模存在。为什么?除非您非常了解 FedRAMP 流程并进一步了解 SSP 自动化的效率,否则您不会怀疑市场有答案。
我发现了什么?我发现一家公司似乎已经为自动化 FedRAMP 和安全合规框架的特定用例构建了解决方案。
它建立在适当的 ITSM/CMDB 系统 (ServiceNow) 之上,在我看来这是明智的。ServiceNow 是存在于安全云中的行业标准。该产品似乎已将所有 FedRAMP 控件预加载到其框架中,并将相关工作流与这些控件绑定。它与 CSP 用于安全合规性的 SIEM 工具集成。经与该公司对话,似乎它还可以从 (非 SIEM) IT 管理工具中提取事件和警报(想想看,如果 ServiceNow 可以提取、执行和自动化,那么该解决方案也可以做到)。
我将继续寻找其他能够帮助实现 SSP 自动化的解决方案。这些解决方案是帮助扩展必须遵守严格安全合规标准的安全云服务所缺少的一环。
John Keese 是 GovLoop 精选博主计划的成员,该计划精选了来自全国各地(和世界各地!)的政府博主的博文。要查看更多精选博文,请单击 此处。
