实施 FedRAMP POAM 工作流

本部分将介绍 FedRAMP POAM 工作流,包括通过两个独立的机器人实现自动化:

  • 安全扫描自动化机器人从外部扫描工具(如 Tenable、Rapid7、Qualys)导入漏洞。

  • SAR 漏洞自动化机器人导入年度安全评估报告 (SAR) 中识别的漏洞。

每个机器人都有独特的配置流程,共同协助构建完整的 POAM 清单。以下部分将介绍如何配置每个机器人。

什么是 POAM?

行动计划和里程碑 (POAM) 是一份受监管的必要报告,作为 FedRAMP 授权流程的一部分,云服务提供商 (CSP) 需按月提交。该报告记录了在 CSP 的 FedRAMP 授权边界内发现的所有网络安全漏洞,同时概述了修复计划、进展更新和解决这些漏洞的里程碑目标。这种持续报告机制为政府评审方提供了 CSP 安全状态和风险管理活动的可见性。

每条 POAM 记录通常包含每个漏洞的 25 到 30 个属性。这些属性可能包括弱点名称与描述、来源标识符、受影响资产、状态、计划修复步骤、里程碑日期以及责任方。POAM 既是合规性成果,也可用作运营跟踪工具。它并非一次性提交的文件,而是 CSP 定期更新的动态文档。

POAM 的角色和先决条件

  • 需订阅 IT 合规 – 联邦合同合规工具包套件。

  • 拥有项目、结果和机器人应用程序的管理员权限。根据需要获取相关的 FedRAMP 基线控制措施。

在哪里实施 POAM

您可以使用 Diligent One 中的机器人、项目、结果收集和调查问卷应用程序来实施 POAM 工作流。

  • 机器人应用程序自动化从外部安全扫描工具提取并归一化漏洞数据,将结构化的漏洞记录填充至 POAM 清单,并导入与特定 FedRAMP 控制措施关联的安全评估报告 (SAR) 中的发现。

  • 项目应用程序是在 Diligent One 中配置 FedRAMP 计划的主要工作区。年度评估中识别的 POAM 漏洞记录在 FedRAMP 项目中并与相应的控制措施关联。

  • 结果应用程序以结果收集的形式托管 POAM 清单,其结构与 FedRAMP POAM Excel 模板一致,支持超过 30 个属性。

  • 调查问卷应用程序使安全团队能够手动录入并完善漏洞记录,补充扫描数据未捕获的详细信息,包括里程碑、修复措施、供应商依赖、理由说明及调整项。

  • 影响报告将 POAM 清单导出为官方的 FedRAMP POAM Excel 模板,直接从结果收集中提取归一化及增强后的数据。

    说明

    影响报告功能不包含在默认的工具包安装中。要在您的环境中启用和配置此报告导出,请与专业服务团队协调。

步骤

安全扫描自动化机器人

1.映射配置

每个安全扫描器都会生成一个列出已识别漏洞的 CSV 文件。这些文件的结构因使用的扫描器而异。为确保与 FedRAMP 行动计划和里程碑 (POAM) 报告的准确集成,必须了解扫描器输出如何映射到所需的 POAM 字段。

要支持此集成,必须为每个安全扫描器创建一个映射键。如果 CSV 格式保持一致,该映射键每个扫描器只需创建一次,并可在后续来自同一来源的 CSV 文件中重复使用。

由于每个扫描器的数据输出方式不同,审查 CSV 文件以确定每列如何与相应的 POAM 字段对齐至关重要。映射键必须是采用三列格式的 CSV 文件:

  • A 列:POAM 报告属性(例如,弱点名称、检测日期)。

  • B 列:来自安全扫描 CSV 的对应列名。

  • C 列:必需属性(是或否),用于确定唯一性与纳入标准。

    此列在确定漏洞记录是否唯一以及是否应纳入 POAM 清单方面起着关键作用。将某个属性标记为,表明该属性是识别唯一性并在自动提取过程中避免重复所必需的。

    • 安全扫描自动化机器人使用标记为的属性,将传入的漏洞记录与 POAM 清单中的现有条目进行比较。此比较可防止添加重复记录。

    • 必须至少有一个属性标记为,以便机器人能够执行唯一性检查。若无此要求,机器人将无法确定漏洞是新的还是已存在。

      例如,如果 CVE ID 被标记为必需,机器人将检查该 CVE 是否已存在于 POAM 清单中。若存在,则跳过该记录;若不存在,则添加。

    • 您可以将多个属性标记为必需,以使用字段组合定义唯一性。

      例如,如果您想为不同资产报告相同的 CVE,则可以将 CVE资产标识符均标记为必需。这样,机器人就可以将每个 CVE-资产对视为独立的漏洞。

    • 为了让安全扫描机器人正常运作并确保准确、去重的漏洞跟踪,必须至少将一个属性标记为必需。

2.上传安全扫描数据并配置机器人任务

将映射键 CSV 和安全扫描文件上传至安全扫描自动化机器人的工作数据选项卡,并在任务选项卡中提供以下参数:

参数详细
安全扫描映射文件上传至机器人工作数据选项卡的映射文件名。
安全扫描文件上传至机器人工作数据选项卡的安全扫描文件名。
弱点检测器来源生成 CSV 文件的安全扫描器,例如 Tenable。

说明

需为每种扫描类型(如 Tenable 或 Twistlock)创建独立的机器人任务,并配置与其特定要求相匹配的参数,以保持清晰性、避免参数覆盖并支持并行处理。

3.运行安全扫描自动化机器人

添加参数后,您可在机器人应用程序中手动运行该机器人。该机器人将确保:

  • 使用映射键解析扫描文件。

  • 将漏洞归一化并导入 POAM 清单。

  • 通过必需属性组合避免重复记录。

  • 标记在新扫描中重新出现的先前已关闭漏洞。

4.审阅 POAM 清单中的记录

机器人成功运行后,安全团队可访问结果应用程序中的 POAM 清单以审阅记录。在正常的工作流中,完成一条 POAM 记录通常需要整合三个不同来源的信息:

  • 约三分之一的属性通过 FedRAMP 安全扫描自动化机器人利用安全扫描自动填充,例如弱点名称、弱点描述、资产标识符、原始风险评级及类似字段。这些字段根据扫描输出自动填充并映射至必需的 POAM 字段。

  • 另外三分之一通过结构化调查问卷手动完成,该问卷分配给内部资源(如负责修复的工程团队)。这些团队提供关键的修复详细信息,例如计划里程碑、总体修复计划、所需资源、责任方及完成 POAM 报告所需的其他详细信息。要了解更多信息,请参考 分发调查问卷

    例如,当 POAM 专员识别出一个漏洞时,会将问卷分配给相应团队,由该团队完成问卷以提供必要的修复上下文信息。

  • 剩余列与偏差请求相关,仅在特定情况下需要填写。当云服务提供商 (CSP) 请求 FedRAMP 考虑延长服务级别协议 (SLA) 时,偏差属性才适用。例如,他们可以证明某个漏洞风险低于扫描结果显示或属于误报。这些列包括:运营需求、偏差理由、支持文件、供应商依赖、最近供应商确认日期、供应商依赖产品名称、调整后风险评级以及误报。如果 CSP 不寻求延后截止日期或风险调整,这些字段通常在导出前保持为空。

此审阅步骤确保每条 POAM 记录通过自动化、手动输入或有条件的偏差处理方法均完整、准确,并符合 FedRAMP 报告要求。

5.在结果应用程序中自定义 POAM 记录视图

您可以使用内置的自定义功能(如条件格式、颜色编码、列重排和列可见性设置)在结果应用程序中个性化 POAM 记录视图。使用这些选项,您可以突出显示优先级漏洞、将常用字段置于前列,并隐藏不相关数据以减少视觉干扰。此外,您可以使用报告可视化图表跟踪趋势和修复进度,并添加解读以便为记录添加上下文或理由说明。这些功能有助于简化漏洞管理,并支持更有效的报告与决策。要了解更多信息,请参考查看表数据

6.将记录导出至 POAM 报告

完成所有记录并审阅其状态后,使用影响报告功能将 POAM 清单导出至 FedRAMP POAM Excel 模板。导出会根据 FedRAMP 要求自动排序开放与已关闭的漏洞。

可选过滤器或记录选择功能允许自定义导出,支持多个授权边界或定制的报告需求。

SAR 漏洞自动化机器人

配置 SAR 漏洞自动化机器人

SAR 漏洞自动化机器人从年度安全评估报告 (SAR) 中导入发现,并将其映射至相关的 FedRAMP 控制措施。

  1. 从机器人应用程序访问该机器人,并将 SAR 发现文件上传至工作数据选项卡。

  2. 配置机器人任务,指定 SAR 文件名和项目 ID。

  3. 机器人解析 SAR 内容并在结果应用程序中填充 POAM 清单。

  4. 使用调查问卷审阅和完善导入的记录,并将其关联至相应的控制措施。

这些记录被标记为 SAR 来源,并与特定控制措施关联以实现可追溯性。

POAM OSCAL 机器人

POAM OSCAL 机器人是 FedRAMP 报告工具包的一部分。它根据 FedRAMP 和 NIST 的要求,将 POAM 清单(位于结果应用程序中)的结构化漏洞数据转换为机器可读的 OSCAL(开放安全控制评估语言)格式。

1.准备 POAM 清单

准备 POAM 清单需确保 POAM 结果收集中的所有漏洞记录完整且最新。您必须确保已填写必需字段,如弱点名称、检测日期、修复步骤和里程碑等。如需其他信息,也可通过调查问卷查看并完善记录。

2.访问 POAM OSCAL 机器人

访问 Diligent One 中的机器人应用程序,找到作为 FedRAMP 报告工具包组成部分的 POAM OSCAL 导出机器人。

3.上传所需文件

工作数据选项卡中,上传所有必需的配置文件或模板。某些版本可能无需模板。您还必须确保 POAM 清单已正确链接到机器人,以支持准确的数据处理。

4.配置机器人参数

任务选项卡中,通过提供以下参数配置机器人:

  • 项目 ID标识与 POAM 数据关联的 FedRAMP 项目。

  • API 令牌使用您的 Diligent One HCL 令牌进行身份验证访问。

  • 反映您环境或导出偏好的任何其他参数。

5.运行机器人

触发机器人以启动导出流程。执行期间,机器人执行以下操作:

  • 从 POAM 清单中提取数据。

  • 将数据转换为有效的 OSCAL JSON 文件。

  • 根据 OSCAL 架构验证文件结构。

6.下载输出文件

任务完成后,您可导航至任务运行详情查看输出内容。系统将生成 OSCAL POAM JSON 文件供您下载。该文件符合 FedRAMP 提交要求,也可用于进一步验证。