FedRAMP POAM-Workflow implementieren

In diesem Abschnitt erfahren Sie mehr über den FedRAMP POAM-Workflow, der die Automatisierung mit zwei unterschiedlichen Robots umfasst:

  • Robot für die Automatisierung von SicherheitsscansErfasst Sicherheitsrisiken durch externe Scan-Tools wie TENABLE, Rapid7 und Qualys.

  • Robots für die SAR-Sicherheitsrisiko-AutomatisierungImportiert Sicherheitsrisiken, die in jährlichen Sicherheitsbewertungsberichten (SARs) identifiziert wurden.

Jeder Robot verfügt über einen einzigartigen Konfigurationsprozess und trägt zur Erstellung eines vollständigen POAM-Inventars bei. In den folgenden Abschnitten wird beschrieben, wie die einzelnen Robots konfiguriert werden.

Was ist POAM?

POAM (Plan of Action and Milestones) ist ein erforderlicher, regulierter Bericht, den Cloud-Dienstanbieter (CSPs) monatlich im Rahmen des FedRAMP-Autorisierungsprozesses einreichen. Der Bericht dokumentiert alle Cybersicherheitsrisiken, die innerhalb der FedRAMP-Autorisierungsgrenze eines CSP identifiziert wurden. Außerdem werden Beilegungspläne, Fortschrittsaktualisierungen und Meilensteinziele zur Behebung dieser Anfälligkeiten beschrieben. Diese kontinuierliche Berichterstattung bietet den Prüfern der Regierung einen Einblick in den Sicherheitsstatus und die Risikomanagementaktivitäten des CSP.

Jeder POAM-Datensatz enthält in der Regel 25 bis 30 Attribute für jede Anfälligkeit. Zu diesen Attributen können Name und Beschreibung der Anfälligkeit, Quell-ID, betroffene Anlage, Status, geplante Beilegungsschritte, Meilensteindaten und Verantwortliche gehören. Der POAM fungiert als Compliance-Artefakt und als betriebliches Tracking-Tool. Er ist keine einmalige Einreichung, sondern ein aktives Dokument, das von den CSPs regelmäßig aktualisiert wird.

Rollen und Voraussetzungen für POAM

  • Abonnement des IT-Compliance-Pakets „Federal Contracting Compliance Toolkit“.

  • Administratorberechtigungen für die Projekte-, Ergebnisse- und Robots-Apps. Beschaffung der relevanten FedRAMP-Basiskontrollen nach Bedarf.

Wo POAM implementiert wird

Sie können den POAM-Workflow mithilfe von Robots, Projekte, Ergebnisse und Fragebögen in Diligent One implementieren.

  • Robots automatisieren die Erfassung und Normalisierung von Sicherheitsrisiken aus externen Sicherheitsscans. Sie befüllen das POAM-Inventar mit strukturierten Sicherheitsrisikodatensätzen und importieren Ergebnisse aus Sicherheitsbewertungsberichten (SAR), die mit spezifischen FedRAMP-Kontrollen verknüpft sind.

  • Projekte dienen als primärer Arbeitsbereich für die Konfiguration von FedRAMP-Programmen in Diligent One. In jährlichen Bewertungen (SARs) ermittelte POAM-Sicherheitsrisiken werden in FedRAMP-Projekten dokumentiert und mit den geeigneten Kontrollen verknüpft.

  • Ergebnisse hosten das POAM-Inventar in Form einer Ergebnissammlung. Seine Struktur ist an der FedRAMP POAM Excel-Vorlage ausgerichtet und unterstützt mehr als 30 Attribute.

  • Fragebögen ermöglichen es Sicherheitsteams, Anfälligkeitisdatensätze manuell einzugeben und mit Details auszufüllen, die nicht durch Scandaten erfasst werden, einschließlich Meilensteine, Beilegungsmaßnahmen, Herstellerabhängigkeiten, Begründung, und Anpassungen.

  • Mit dem Kundenspezifischen Bericht wird das POAM-Inventar in die offizielle FedRAMP POAM Excel-Vorlage exportiert. Normalisierte und angereicherte Daten werden direkt aus der Ergebnissammlung abgerufen.

    Hinweis

    Die Funktion „Kundenspezifischer Bericht“ ist nicht in der Standard-Toolkit-Installation enthalten. Um diesen Berichtsexport in Ihrer Umgebung zu aktivieren und zu konfigurieren, müssen Sie sich mit dem Professional Services-Team abstimmen.

Schritte

Robot für die Automatisierung von Sicherheitsscans

1. Konfiguration zuordnen

Jeder Sicherheitsscanner generiert eine CSV-Datei, in der identifizierte Anfälligkeiten aufgelistet sind. Die Struktur dieser Dateien variiert je nach verwendetem Scanner. Um eine genaue Integration mit dem FedRAMP-POAM-Bericht sicherzustellen, ist es wichtig zu verstehen, wie die Ausgabe des Scanners den erforderlichen POAM-Feldern zugeordnet wird.

Um diese Integration zu unterstützen, muss für jeden Sicherheitsscanner ein Zuordnungsschlüssel erstellt werden. Wenn das CSV-Format konsistent bleibt, muss dieser Zuordnungsschlüssel nur einmal pro Scanner erstellt werden und kann mit zukünftigen CSV-Dateien aus derselben Quelle wiederverwendet werden.

Da jeder Scanner Daten unterschiedlich ausgibt, ist es wichtig, die CSV-Datei zu überprüfen, um festzustellen, wie jede Spalte mit dem entsprechenden POAM-Feld übereinstimmt. Der Zuordnungsschlüssel muss eine CSV-Datei sein, die ein dreispaltiges Format aufweist:

  • Spalte APOAM-Berichtsattribute (z. B. Name der Anfälligkeit, Erkennungsdatum).

  • Spalte BZugehörige Spaltennamen aus der Sicherheitsscan-CSV.

  • Spalte CErforderliche Attribute (Ja oder Nein) zur Bestimmung der Eindeutigkeit und Aufnahmekriterien.

    Diese Spalte spielt eine entscheidende Rolle bei der Bestimmung, ob ein Anfälligkeitsdatensatz eindeutig ist und in das POAM-Bestandsverzeichnis aufgenommen werden sollte. Das Markieren eines Attributs mit Ja bedeutet, dass es erforderlich ist, um die Eindeutigkeit zu identifizieren und Duplikate während der automatisierten Aufnahme zu vermeiden.

    • Der Robot für die Automatisierung von Sicherheitsscans verwendet die mit Ja markierten Attribute, um eingehende Anfälligkeitsdatensätze mit vorhandenen Einträgen im POAM-Inventar zu vergleichen. Dieser Vergleich verhindert, dass Datensätze doppelt hinzugefügt werden.

    • Mindestens ein Attribut muss mit Ja markiert sein, damit der Robot Eindeutigkeitsprüfungen durchführen kann. Ohne diese Anforderung kann der Robot nicht feststellen, ob eine Anfälligkeit neu oder bereits vorhanden ist.

      Wenn beispielsweise die CVE-ID als erforderlich markiert ist, prüft der Robot, ob die CVE bereits im POAM-Inventar vorhanden ist. Wenn dies der Fall ist, wird der Datensatz übersprungen, andernfalls wird er hinzugefügt.

    • Sie können mehrere Attribute als erforderlich markieren, um die Eindeutigkeit mithilfe einer Kombination von Feldern zu definieren.

      Beispiel: Wenn Sie dieselbe CVE für verschiedene Anlagen auswerten möchten, können Sie sowohl die CVE als auch die Anlagen-ID als erforderlich markieren. Dies ermöglicht es dem Robot, jedes CVE-Anlagen-Paar als eigene Anfälligkeit zu behandeln.

    • Die Kennzeichnung mindestens eines Attributs ist obligatorisch, damit der Sicherheitsscan-Robot korrekt funktioniert und eine genaue, deduplizierte Nachverfolgung von Anfälligkeiten gewährleistet ist.

2. Sicherheitsscan-Daten hochladen und Robot-Aufgabe konfigurieren

Laden Sie die CSV-Datei mit den Zuordnungsschlüsseln und die Sicherheits-Scan-Datei in die Registerkarte Arbeitsdaten des Robot für die Automatisierung von Sicherheitsscans hoch und geben Sie die folgenden Parameter in der Registerkarte Aufgaben an:

ParameterEinzelheiten
Sicherheitsscan-ZuordnungsdateiDer Name der Zuordnungsdatei, die in der Registerkarte Arbeitsdaten des Robot hochgeladen wurde.
Sicherheitsscan-DateiDer Name der Sicherheitsscan-Datei, die in der Registerkarte Arbeitsdaten des Robot hochgeladen wurde.
RisikodetektorquelleDer Sicherheitsscanner, der die CSV-Datei erstellt hat, z. B. Tenable.

Hinweis

Für jeden Scantyp, wie z. B. Tenable oder Twistlock, wird eine separate Robot-Aufgabe erstellt, deren Parameter so konfiguriert sind, dass sie den spezifischen Anforderungen des jeweiligen Scanners entsprechen. Dies gewährleistet Übersichtlichkeit, verhindert das Überschreiben von Parametern und unterstützt die parallele Verarbeitung.

3. Robot für die Automatisierung von Sicherheitsscans ausführen

Nachdem die Parameter hinzugefügt wurden, können Sie den Robot manuell in der Robots-App ausführen. Der Robot sorgt für Folgendes:

  • Analyse der Scandatei mithilfe des Zuordnungsschlüssels.

  • Normalisierung und Import von Anfälligkeiten in das POAM-Inventar.

  • Vermeiden von Duplikaten mithilfe von erforderlichen Attributkombinationen.

  • Markieren von zuvor geschlossenen Anfälligkeiten, die in neuen Scans erneut angezeigt werden.

4. Datensätze im POAM-Inventar überprüfen

Nachdem der Robot erfolgreich ausgeführt wurde, greifen die Sicherheitsteams in der Ergebnisse-App auf das POAM-Inventar zu, um die Datensätze zu überprüfen. Der Abschluss eines POAM-Datensatzes erfordert in der Regel die Zusammenführung von Informationen aus drei verschiedenen Quellen im Rahmen eines normalen Workflows:

  • Ungefähr ein Drittel der Attribute wird automatisch durch die Sicherheitsscans mit dem Robot FedRAMP Security Scan Automation ausgefüllt. Zu den Beispielen gehören Name der Anfälligkeit, Beschreibung der Anfälligkeit, Anlagen-ID, ursprüngliche Risikoeinstufung und ähnliche Felder. Diese Felder werden basierend auf den Scanausgaben automatisch ausgefüllt und den erforderlichen POAM-Feldern zugeordnet.

  • Ein weiteres Drittel wird manuell mithilfe des strukturierten Fragebogens ausgefüllt, der internen Ressourcen wie den für die Beilegung verantwortlichen Technikteams zugewiesen wird. Diese Teams stellen kritische Details zur Beilegung bereit, wie geplante Meilensteine, Gesamtbeilegungsplan, erforderliche Ressourcen, verantwortliche Partei und andere Details, die für die vollständige Fertigstellung des POAM-Berichts erforderlich sind. Weitere Informationen finden Sie unter Fragebögen verteilen.

    Wenn der POAM-Experte beispielsweise eine Anfälligkeit identifiziert, weist er den Fragebogen dem entsprechenden Team zu, das dann den Fragebogen ausfüllt, um den notwendigen Beilegungskontext anzugeben.

  • Die übrigen Spalten beziehen sich auf Abweichungsanforderungen, die nur in bestimmten Fällen ausgefüllt werden müssen. Abweichungsattribute werden angewendet, wenn der Cloud-Dienstanbieter (CSP) bei FedRAMP anfordert, eine Verlängerung der Servicelevel-Vereinbarung (SLA) in Betracht zu ziehen. Sie können beispielsweise rechtfertigen, dass eine Anfälligkeit weniger riskant ist als der Scan vorgibt oder falsch positiv ist. Zu diesen Spalten gehören „Operative Anforderung“, „Abweichungsgrund“, „Unterstützende Dokumente“, „Anbieterabhängigkeit“, „Letztes Anbietereincheckdatum“, „Anbieterabhängiger Produktname“, „Angepasste Risikoeinstufung“ und „Falsch positiv“. Wenn der CSP keine spätere Fälligkeit oder Risikoanpassung anstrebt, bleiben diese Felder in der Regel bis zum Export leer.

Dieser Überprüfungsschritt stellt sicher, dass jeder POAM-Datensatz vollständig und korrekt ist und den FedRAMP-Berichtsanforderungen entspricht, und zwar durch Automatisierung, manuelle Eingabe oder einen bedingten Abweichungsansatz.

5. Ansicht der POAM-Datensätze in Ergebnisse anpassen

Sie können Ihre Ansicht der POAM-Datensätze in der Ergebnisse-App anpassen, indem Sie integrierte Anpassungsfunktionen wie bedingte Formatierung, Farbcodierung, Neuanordnung von Spalten und Einstellungen für die Spaltensichtbarkeit verwenden. Mit diesen Optionen können Sie vorrangige Anfälligkeiten hervorheben, häufig verwendete Felder in den Vordergrund rücken und weniger relevante Daten ausblenden, um die Übersichtlichkeit zu verbessern. Darüber hinaus können Sie mithilfe von Berichtsgrafiken Trends und Fortschritte bei der Beilegung verfolgen und Interpretationen hinzufügen, um Datensätze mit Kontext oder Begründungen zu versehen. Diese Funktionen helfen dabei, die Steuerung von Sicherheitsrisiken zu optimieren und eine effektivere Berichterstellung und Entscheidungsfindung zu unterstützen. Weitere Informationen finden Sie unter Tabellendaten anzeigen.

6. Datensätze in POAM-Bericht exportieren

Nach dem Ausfüllen aller Datensätze und der Überprüfung ihres Status wird die Funktion „Kundenspezifischer Bericht“ verwendet, um das POAM-Inventar in die FedRAMP POAM Excel-Vorlage zu exportieren. Der Export sortiert automatisch offene und geschlossene Anfälligkeiten entsprechend den FedRAMP-Anforderungen.

Optionale Filter oder Datensatzauswahlen ermöglichen die Anpassung des Exports und unterstützen mehrere Autorisierungsgrenzen oder maßgeschneiderte Berichtsanforderungen.

Robot für die Automatisierung von SAR-Sicherheitsrisiken

Robot für die Automatisierung von SAR-Sicherheitsrisiken konfigurieren

Der Robot für die Automatisierung von SAR-Sicherheitsrisiken importiert Ergebnisse aus jährlichen Sicherheitsbewertungsberichten (SARs) und ordnet sie den relevanten FedRAMP-Kontrollen zu.

  1. Greifen Sie über die Robots-App auf den Robot zu und laden Sie die SAR-Ergebnisdatei in die Registerkarte Arbeitsdaten hoch.

  2. Konfigurieren Sie die Robot-Aufgabe mit dem SAR-Dateinamen und der Projekt-ID.

  3. Der Robot analysiert den SAR-Inhalt und füllt das POAM-Inventar in der Ergebnisse-App aus.

  4. Überprüfen und vervollständigen Sie die importierten Datensätze mithilfe von Fragebögen und verknüpfen Sie sie mit den zugehörigen Kontrollen.

Diese Datensätze werden als aus SAR stammend gekennzeichnet und zur Rückverfolgbarkeit mit bestimmten Kontrollen verknüpft.

POAM OSCAL-Robot

Der POAM OSCAL-Robot ist Teil des FedRAMP Reporting Toolkits. Er konvertiert die strukturierten Daten zu Anfälligkeiten aus dem POAM-Inventar (in der Ergebnisse-App) in ein maschinenlesbares OSCAL-Format (Open Security Controls Assessment Language), wie von FedRAMP und NIST gefordert.

1. POAM-Inventar vorbereiten

Bei der Vorbereitung des POAM-Inventars muss sichergestellt werden, dass alle Datensätze zu Sicherheitsrisiken in der POAM-Ergebnissammlung vollständig und aktuell sind. Sie müssen sicherstellen, dass die erforderlichen Felder, wie Name der Anfälligkeit, Erkennungsdatum, Beilegungsschritte und Meilensteine, ausgefüllt sind. Sie können Datensätze auch mithilfe von Fragebögen überprüfen und ausfüllen, wenn zusätzliche Informationen benötigt werden.

2. Auf den POAM OSCAL-Robot zugreifen

Greifen Sie in Diligent One auf die Robots-App zu, und suchen Sie den POAM OSCAL Export-Robot, der Teil des FedRAMP Reporting Toolkits ist.

3. Erforderliche Dateien hochladen

Laden Sie in der Registerkarte Arbeitsdaten alle erforderlichen Konfigurationsdateien oder Vorlagen hoch. Für einige Versionen ist möglicherweise keine Vorlage erforderlich. Sie müssen außerdem sicherstellen, dass das POAM-Inventar korrekt mit dem Robot verknüpft ist, um eine genaue Datenverarbeitung zu unterstützen.

4. Robot-Parameter konfigurieren

In der Registerkarte Aufgaben können Sie den Robot konfigurieren, indem Sie die folgenden Parameter angeben:

  • Projekt-IDIdentifiziert das FedRAMP-Projekt, das mit den POAM-Daten verknüpft ist.

  • API-TokenAuthentifiziert den Zugriff mithilfe Ihres Diligent One HCL-Tokens.

  • Alle zusätzlichen Parameter, die Ihre Umgebung oder Ihre Exporteinstellungen widerspiegeln.

5. Robot ausführen

Starten Sie den Exportvorgang, indem Sie den Robot auslösen. Während der Ausführung führt der Robot die folgenden Aktionen aus:

  • Extrahiert Daten aus dem POAM-Inventar.

  • Konvertiert die Daten in eine gültige OSCAL JSON-Datei.

  • Validiert die Dateistruktur anhand des OSCAL-Schemas.

6. Ausgabe herunterladen

Nachdem die Aufgabe abgeschlossen ist, können Sie die Ausgabe anzeigen, indem Sie zu Details zur Aufgabenausführung navigieren. Das System generiert eine OSCAL POAM JSON-Datei, die Sie herunterladen können. Diese Datei erfüllt die Anforderungen für die FedRAMP-Einreichung und kann auch für weitere Validierungen verwendet werden.