Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Beheerde bestandsoverdracht > Beheerde bestandsoverdracht (MFT) voor FedRAMP-naleving
Beheerde bestandsoverdracht (MFT) voor FedRAMP-naleving

Beheerde bestandsoverdracht (MFT) voor FedRAMP-naleving

by Bob Ertl updated februari 20, 2024 Beheerde bestandsoverdracht
Reading Time: 6 minutes

Als u een Department of Defense (DoD) aannemer bent, moet de managed file transfer (MFT) oplossing die u gebruikt voor het uitwisselen van CUI en FCI voldoen aan de strenge FedRAMP vereisten. Als u dit niet doet, loopt u het risico op niet-naleving van CMMC, wat kan leiden tot hoge boetes en sancties, evenals het verlies van overheidscontracten. Kortom, niet-naleving moet te allen tijde worden vermeden.

Als uw managed file transfer software echter voldoet aan FedRAMP, bent u ervan verzekerd dat de federale gegevens die u overdraagt, worden verwerkt volgens de hoogste normen voor cloudbeveiliging.

In deze Blog Post bespreken we de functionele vereisten waaraan defensie- en andere overheidsaannemers en onderaannemers moeten voldoen in hun managed file transfer oplossing, zodat de software voldoet aan FedRAMP en daarmee in overeenstemming is met CMMC.

Het CMMC-certificeringsproces is zwaar, maar ons CMMC 2.0 stappenplan kan helpen.

Waarom FedRAMP Belangrijk Is

FedRAMP is een compliance framework dat door de federale overheid wordt vereist voor alle cloud service providers (CSP’s) die willen samenwerken met federale instanties. Het maakt gebruik van diverse technologische en beveiligingsspecificaties, voornamelijk NIST Special Publication 800-53, om beveiligingsvereisten te definiëren voor elke CSP die federale overheidsinformatie verwerkt.

Hoewel er meerdere aanvullende federale compliance frameworks zijn die relevant zijn voor IT-leveranciers in de federale sector, is FedRAMP een fundamenteel compliance framework voor cloudproviders die met een federale instantie willen samenwerken.

FedRAMP is van cruciaal belang voor alle overheidsinstanties en aannemers, maar vooral voor het DoD en voor defensie-aannemers en onderaannemers, omdat het ervoor zorgt dat gevoelige informatie met betrekking tot DoD-initiatieven en -programma’s vertrouwelijk blijft en buiten het bereik blijft van onbevoegde personen, waaronder cybercriminelen en vijandige staten.

Het FedRAMP-certificeringsproces is lang en grondig, en omvat noodzakelijke tests en audits door gekwalificeerde Third-Party Assessment Organizations (3PAO’s). Maar zodra de certificering is afgerond, wordt de CSP beschouwd als FedRAMP-geautoriseerd en zijn de producten goedgekeurd voor gebruik door federale instanties en samenwerkende aannemers en onderaannemers.

Vereisten voor FedRAMP-autorisatie

FedRAMP vereist in de kern dat CSP’s controles (gespecificeerd in NIST 800-53) implementeren met betrekking tot diverse potentiële inbraakgebieden. Dit omvat controles in families zoals:

  • Toegangscontrole
  • Bewustwording en training
  • Audit en verantwoording
  • Risicobeoordeling
  • Fysieke en omgevingsbescherming
  • En anderen

Deze controles geven aan wat een CSP moet implementeren, afhankelijk van de gegevens die zij beheren. Afhankelijk van deze informatie kan het zijn dat de CSP geavanceerdere controles moet toepassen om certificering te behalen.

Compliance and Certification Table

Is FedRAMP Verplicht?

Ja, FedRAMP is verplicht voor alle cloud service providers (CSP’s) die federale gegevens verwerken, opslaan of delen, inclusief controlled unclassified information (CUI). Alle cloud service aankopen van federale instanties moeten FedRAMP-autorisatie verkrijgen voordat ze in gebruik worden genomen. De implementatie van FedRAMP zorgt ervoor dat alle federale instanties een overeengekomen basisniveau van beveiligingsvereisten hebben voordat ze cloudservices mogen gebruiken. Het stelt instanties ook in staat om snel en kosteneffectief cloudoplossingen te adopteren, terwijl ze een veilige omgeving behouden en de gegevens van de overheid beschermen. Uiteindelijk helpt naleving van FedRAMP instanties hun netwerken en gegevens te beschermen tijdens de overstap naar de cloud.

FedRAMP Impact Levels: Welke Heb Ik Nodig?

Het FedRAMP-framework categoriseert systeemvereisten in verschillende “Impact Levels” die de nadruk leggen op diverse soorten gegevens die een CSP kan opslaan of beheren. Deze niveaus zijn gedefinieerd in FIPS 199, waarin gegevens en de verantwoordelijkheden van instanties die deze gegevens gebruiken, worden gecategoriseerd op basis van criteria zoals vertrouwelijkheid, beveiliging en noodzakelijke integriteit.

Op basis van deze criteria definieert FedRAMP drie Impact Levels: Laag, Matig en Hoog:

  1. Laag Impact verwijst naar controles die nodig zijn om informatie te beschermen waarvan verlies, diefstal of schade minimale impact heeft op de instantie of burgers. Over het algemeen zijn deze gegevens al op een bepaalde manier openbaar, maar ze vereisen nog steeds bescherming in een cloudomgeving.
  2. Matig Impact verwijst naar controles die gegevens beschermen waarvan verlies, diefstal of schade een aanzienlijke impact heeft op de werking van een instantie of haar betrokkenen. Deze controles dekken privégegevens die financiële of in sommige gevallen zelfs fysieke schade kunnen veroorzaken, afhankelijk van de informatie.
  3. Hoog Impact verwijst naar controles die privégegevens beschermen waarvan schade of diefstal een catastrofale impact heeft op een instantie of haar betrokkenen. Verlies van deze gegevens kan het vermogen van een instantie om te blijven functioneren aanzienlijk of volledig tenietdoen. Daarnaast kan verlies van deze gegevens ernstige financiële schade of lichamelijk letsel veroorzaken, inclusief verlies van mensenlevens.

Naarmate het belang van bescherming en naleving toeneemt binnen deze drie FedRAMP Impact-categorieën, neemt ook het aantal benodigde controles per categorie toe.

Het Impact Level en de hoeveelheid controles die u moet implementeren of hebben, hangt af van het soort gegevens dat u beheert voor een federale instantie.

De Gevolgen van FedRAMP voor Managed File Transfer

Elk cloudgebaseerd systeem dat wordt gebruikt om CUI en FCI te delen, over te dragen, te ontvangen of op te slaan, moet FedRAMP-geautoriseerd zijn. Dit geldt voor e-mail, bestandsoverdracht, secure file transfer protocol (SFTP) en uiteraard managed file transfer.

Minimaal moet elke FedRAMP-conforme CSP over een vorm van encryptie en beveiliging beschikken om de veiligheid van gegevens tijdens transport te waarborgen. De meeste managed file transfer oplossingen maken gebruik van een beveiligde bestandsoverdracht, zoals SFTP, die in een compliance strategie past.

Managed file transfer (MFT) speelt een cruciale rol in de samenwerkingsinspanningen van federale instanties met samenwerkende aannemers. Managed file transfer maakt het mogelijk om bestanden, inclusief gevoelige of vertrouwelijke gegevens, veilig, betrouwbaar en efficiënt tussen deze partijen uit te wisselen.

Managed file transfer biedt essentiële functies waarmee organisaties het uitwisselen van enkele bestanden, bulkbestanden of grote bestanden tussen personen, computers of locaties kunnen automatiseren, terwijl de integriteit, beveiliging en naleving van regelgeving wordt gewaarborgd.

Een beveiligde managed file transfer oplossing bevat diverse functies, zoals:

  1. Analytics om inzicht te geven in gegevensgebruik, overdrachtstijden, enzovoort.
  2. Uitgebreide audit logs en audits ter ondersteuning van beveiliging en compliance
  3. Autorisatie en encryptie voor inhoudsbeveiliging en privacy
  4. Dashboards voor datavisibiliteit en toegankelijkheid binnen de gehele organisatie

Het zou nu duidelijk moeten zijn dat managed file transfer een integraal onderdeel kan zijn van samenwerking tussen instanties en partners. Daarom moet de managed file transfer applicatie van een CSP voldoen aan de FedRAMP-vereisten. Gezien het werk dat nodig is voor CSP’s om FedRAMP-geautoriseerd te worden, moet een FedRAMP-geautoriseerde managed file transfer oplossing zich onderscheiden van niet-FedRAMP-geautoriseerde oplossingen die mogelijk deze voordelen niet bieden.

Een FedRAMP-geautoriseerde managed file transfer oplossing moet beschikken over geavanceerde functies zoals:

  1. Verbeterde beveiliging: FedRAMP-geautoriseerde managed file transfer oplossingen zorgen ervoor dat gegevens veilig worden opgeslagen en niet toegankelijk zijn voor onbevoegde gebruikers. De oplossingen zorgen er ook voor dat alle beveiligingsprotocollen voortdurend worden bijgewerkt met de nieuwste technologische ontwikkelingen.
  2. Naleving: FedRAMP-geautoriseerde managed file transfer oplossingen helpen organisaties te voldoen aan overheidsnormen voor beveiliging. Dit helpt organisaties tijd en geld te besparen bij het voldoen aan de vereisten van specifieke regelgeving of beleid.
  3. Verminderde complexiteit: Door gebruik te maken van een FedRAMP-geautoriseerde managed file transfer oplossing kunnen organisaties de complexiteit vermijden van het zelf opzetten en beheren van een managed file transfer oplossing. Dit omvat het omgaan met hardware- en software-updates, het waarborgen van up-to-date beveiligingsprotocollen en het monitoren van gebruikersactiviteiten en toegang.
  4. Automatisering: Automatisering is essentieel bij het beheren van bestandsoverdrachten. FedRAMP-geautoriseerde managed file transfer oplossingen bieden geautomatiseerde tools om gegevensoverdrachten te creëren, te monitoren en te analyseren. Dit maakt het eenvoudiger om overdrachtsactiviteiten te volgen, gegevensstromen te automatiseren en potentiële problemen te identificeren.
  5. Kostenbesparing: Tot slot kan het gebruik van een FedRAMP-geautoriseerde managed file transfer oplossing kosten besparen doordat u geen eigen managed file transfer systeem hoeft te implementeren, onderhouden, upgraden en monitoren. De kosten voor licenties en onderhoud van een managed file transfer oplossing kunnen aanzienlijk worden verlaagd wanneer u een FedRAMP-geautoriseerde aanbieder gebruikt.

Kiteworks FedRAMP-geautoriseerde Managed File Transfer Versterkt Samenwerking tussen Instanties en Aannemers

Het Kiteworks Private Content Network is FedRAMP-geautoriseerd voor Moderate Impact Level informatie, waardoor federale instanties en hun partners gevoelige CUI en FCI veilig kunnen verzenden, delen en opslaan.

Kiteworks secure managed file transfer beschikt over diverse essentiële beveiligings- en compliance mogelijkheden die vereist zijn voor FedRAMP-autorisatie, waaronder:

  • Logging en documentatie: Kiteworks bevat logging- en rapportagetools die FedRAMP-conform kunnen worden gemaakt. Sommige noodzakelijke beveiligingscontroles, met name die op het Moderate en High Impact Level, vereisen een FedRAMP audit log of documentatie om gegevensgebruik, toegang en datalekken te volgen.
  • Datavisibiliteit en toegankelijkheid: Het Kiteworks-dashboard is toegankelijk via de cloud en bevat tools op ondernemingsniveau om gegevens te beheren, te auditen en te controleren binnen een organisatie. Belangrijker nog, een visueel CISO-dashboard in combinatie met uitgebreide audit logs biedt meerdere effectieve lagen van gegevens- en gebeurtenisvisibiliteit, inclusief uploads, downloads en pogingen tot ongeautoriseerde toegang.
  • Beveiliging en compliance: Gegevens op Kiteworks-servers zijn versleuteld tot het vereiste niveau van compliance voor FedRAMP-gebruik, inclusief gegevens in rust op een server en onderweg via een SFTP voor FedRAMP-verbinding. Evenzo kunnen andere communicatievormen, zoals e-mail voor FedRAMP, ook worden gebruikt via versleutelde verbindingen.
  • Fysieke en administratieve waarborgen: Kiteworks handhaaft de vereiste fysieke en administratieve waarborgen voor FedRAMP-certificering. Dit betekent passende bescherming tegen ongeautoriseerde fysieke toegang tot een serverruimte of werkstation.
  • Private cloud-inzet: Gedeelde publieke clouds kunnen problemen opleveren voor instanties en aanbieders die willen garanderen dat hun gegevens geïsoleerd zijn van potentiële aanvalsvlakken. Met Kiteworks krijgt u private cloud-infrastructuur, inclusief private contentcommunicatie, bestandssystemen, databaseservices en visualisatie- en loggingtools om verkeer van derden dat uw systeem binnenkomt of verlaat te volgen.

Wilt u meer weten over de FedRAMP-geautoriseerde managed file transfer mogelijkheden van Kiteworks? Plan vandaag nog een demo op maat.

Veelgestelde Vragen

Beveiligde bestandsoverdracht is een proces waarmee bestanden veilig en efficiënt kunnen worden gedeeld of overgedragen via een netwerk of het internet, waarbij de beveiliging en integriteit van de gegevens wordt gewaarborgd. Het maakt gebruik van protocollen zoals Secure File Transfer Protocol (SFTP), File Transfer Protocol Secure (FTPS) of Hypertext Transfer Protocol Secure (HTTPS) om encryptie en beveiligde kanalen voor gegevensoverdracht te bieden. Deze methode is essentieel in diverse sectoren, waaronder R&D, hoger onderwijs en overheidsinstanties, waar gevoelige gegevens veilig moeten worden gedeeld. Belangrijke kenmerken van beveiligde bestandsoverdracht zijn encryptie, toegangscontroles en overdrachtsversnelling, wat veilige en efficiënte gegevensoverdracht mogelijk maakt, zelfs voor grote of complexe bestanden.

Het gebruik van beveiligde kanalen voor bestandsoverdracht helpt gegevens tijdens verzending te beschermen, waardoor privacy en integriteit worden gewaarborgd. Het biedt ook een overzicht van gegevensoverdrachten, wat nuttig is voor tracking- en monitoringdoeleinden en voor het aantonen van naleving van regelgeving voor gegevensbescherming.

Managed File Transfer (MFT) is een technologie die veilige en efficiënte gegevensoverdracht tussen systemen binnen en tussen organisaties mogelijk maakt. In tegenstelling tot standaardprotocollen voor bestandsoverdracht zoals FTP, bieden MFT-oplossingen verbeterde beveiliging en controle, door gebruik te maken van beveiligde protocollen zoals SFTP, FTPS en HTTPS voor gegevensoverdracht. Ze bieden ook functies zoals automatisering, planning, realtime monitoring en notificaties voor bestandsoverdrachtactiviteiten, waardoor organisaties het overdrachtsproces effectiever kunnen beheren. MFT is met name waardevol in sectoren die regelmatig grote hoeveelheden gevoelige gegevens overdragen, zoals de financiële sector, zorgprocessen en retail, en zorgt voor naleving van diverse regelgeving op het gebied van gegevensbeveiliging en privacy.

Secure File Transfer Protocol (SFTP) is een netwerkprotocol dat toegang tot, overdracht en beheer van bestanden mogelijk maakt via elke betrouwbare datastroom, meestal gebruikt met het SSH-2 protocol om beveiligde bestandsoverdracht te bieden. SFTP versleutelt zowel commando’s als gegevens, waardoor het open verzenden van wachtwoorden en gevoelige informatie over het netwerk wordt voorkomen en de integriteit en privacy van gegevens wordt gewaarborgd. In vergelijking met standaard FTP biedt SFTP robuustere functies zoals het hervatten van onderbroken overdrachten, directory-overzichten en het op afstand verwijderen van bestanden, waardoor het een veelzijdig hulpmiddel is voor het beheren van beveiligde bestandsoverdrachten. Binnen beveiligde bestandsoverdrachtoplossingen maakt SFTP, in combinatie met encryptie, toegangscontroles en overdrachtsversnelling, efficiënte en veilige gegevensoverdracht mogelijk, zelfs voor grote bestanden of complexe datasets.

Kiteworks biedt functies zoals AES 128-bit encryptie, beveiligde e-mail en een beveiligde container voor offline toegang. Het platform biedt ook uitgebreide, onveranderbare audit logs en integreert met bestaande beveiligingsinfrastructuur, waardoor het een robuuste oplossing is voor beveiligde bestandsoverdracht. Kiteworks ondersteunt de overdracht van grote bestanden tot 16 TB en biedt native mobiele apps voor Android en iOS met functies zoals beveiligde e-mail, bestandsoverdracht en offline toegang. Beheerders kunnen beveiligde formulieren aanmaken voor conforme bestandsuploads en het platform biedt mogelijkheden voor het aanpassen van branding, uiterlijk en tekst.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks