Bu Help Net Security videosunda, Caveonix CEO’su Kaus Phaltankar, FedRAMP Rev. 5 Baselines’ın yakın zamanda onaylanmasının bulut güvenliği ve uyumluluk alanında nasıl önemli bir adım olduğunu tartışıyor.
CSP’ler ve üçüncü taraf değerlendirme kuruluşları için çıkarımlar şunları içerir:
Sürekli izleme: FedRAMP Rev 5, CSP’lerin otomasyonunu ve sürekli izlenmesini vurgular. Güvenlik kontrollerinin ve risk yönetimi uygulamalarının etkinliğini değerlendirmek için düzenli değerlendirmeler gerektirir. Bu değişim, ajansların güvenlik risklerini gerçek zamanlı olarak belirlemesine ve azaltmasına olanak tanıyan proaktif bir yaklaşımı teşvik ediyor.
Yetkilendirme sınırı: Yeni revizyon, bulut sistemlerinin yetkilendirme sınırının tanımlanması konusunda daha fazla netlik sağlar. Sistem bileşenlerinin ve bunların karşılıklı bağımlılıklarının daha iyi anlaşılmasını ve değerlendirilmesini sağlayarak, sistem sınırlarının kapsam belirleme sürecinde ortaya çıkabilecek potansiyel belirsizlikleri ele alır.
Entegre envanter: Tüm yetkili bulut hizmetlerinde kapsamlı görünürlük sağlamak için entegre bir envanter yaklaşımı sunar. Etkili güvenlik yönetimini ve doğru risk değerlendirmelerini kolaylaştırmak için CSP’lerin tüm sistemlerin ve bileşenlerin bir envanterini tutmasını gerektirir.
Tehdit modeli: Sistem geliştirme sırasında ve sistemin operasyonel yaşam döngüsü boyunca bir tehdit modelinin dahil edilmesini vurgular. Bu proaktif yaklaşım, CSP’lerin ve federal kurumların potansiyel tehditleri ve güvenlik açıklarını tespit etmelerini sağlayarak uygun güvenlik kontrollerini ve olay müdahale planlarını uygulamalarını sağlar.