FedRAMP Audit Logging [Beste practices, oplossingen en tips]

Als u werkzaam bent in de federale sector, dan moeten u en uw serviceleveranciers FedRAMP-compliant zijn, en dat betekent het bijhouden van audittrail. Deze audittrail kunnen kostbaar en tijdrovend zijn, maar zijn verplicht om aan de naleving te voldoen.

Waarom zijn audittrail zo belangrijk voor FedRAMP-naleving? Audittrail helpen bedrijven om hun naleving aan te tonen tijdens audits, zowel aan regelgevende instanties als aan klanten. Audittrail kunnen ook helpen bij het achterhalen van feiten tijdens forensisch onderzoek na incidenten.

Wat is FedRAMP en waarom zijn audittrail belangrijk?

FedRAMP is een federaal nalevingskader dat specifiek gericht is op beveiliging voor cloudleveranciers die samenwerken met federale instanties. Onder deze definitie kunnen “cloud service providers” (CSP’s) een groot aantal verschillende bedrijven vertegenwoordigen met diverse diensten die gekoppeld zijn aan cloudtechnologie, waaronder opslag of Software-as-a-Service (SaaS)-applicaties.

Een cruciaal onderdeel van FedRAMP-naleving is auditing. CSP’s ondergaan audits via een externe beveiligingsorganisatie, genaamd de Third Party Assessor Organization (3PAO). 3PAO’s zijn gecertificeerde organisaties die de FedRAMP-vereiste kennen en samenwerken met CSP’s gedurende hun gehele nalevingstraject.

Een belangrijke rol van 3PAO’s is het testen, auditen en beoordelen van hun CSP-partners om drie zaken te waarborgen (afhankelijk van waar ze zich in het traject bevinden):

1. Dat de CSP geschikt is om het certificeringsproces te doorlopen (FedRAMP Ready)
2. Dat de CSP met succes testen en audits heeft ondergaan om hun certificering te bevestigen (de Authorized to Operate-aanduiding of ATO genoemd)
3. Dat de CSP de naleving blijft handhaven na certificering (Continu Onderhoud)

Bovendien zijn audittrail een noodzakelijk onderdeel van het voortdurende onderhoud van FedRAMP: een CSP moet niet alleen logs bijhouden van gebeurtenissen zoals gebruikers­toegang, datalekken of andere zaken met betrekking tot data, maar moet ook aantonen dat ze dit op diverse niveaus en schalen kunnen doen, afhankelijk van de gegevens die ze verwerken.

Op alle momenten in dit traject vereisen FedRAMP-regelgeving dat 3PAO’s een gedetailleerd overzicht maken van de wijzigingen, updates en implementaties van beveiligingsmaatregelen. En als u samenwerkt met federale instanties, moeten alle CSP’s of dienstverleners waarmee u samenwerkt voldoen aan deze minimale vereiste, inclusief FedRAMP-auditing.

CSP’s delen doorgaans de doorlopende 3PAO-rapportages en audits met klanten, zodat zij verzekerd zijn van een continu risicobeheer cyberbeveiliging.

Wanneer is FedRAMP-autorisatie vereist?

FedRAMP is een verplichte vereiste voor elke instantie of organisatie die van plan is cloud computing-diensten af te nemen van een cloud service provider die diensten levert aan federale instanties en hun partners om federale data te verwerken, delen of op te slaan, inclusief Controlled Unclassified Information (CUI). Het is ook vereist voor elke federale instantie die cloud-diensten voor interne doeleinden wil gebruiken.

Wat zijn FedRAMP-nalevingsvereiste?

FedRAMP-naleving vereist dat instanties ervoor zorgen dat de diensten die zij gebruiken voldoen aan de beveiligingsvereiste zoals gedefinieerd door het Federal Risk and Authorization Management Program (FedRAMP). Instanties moeten de beveiligingsstatus van de diensten verifiëren door een Systeembeveiligingsplan (SSP) op te stellen en, indien nodig, de dienst te certificeren met een Authority to Operate (ATO) van een geaccrediteerde 3PAO (Third Party Assessor Organization).

Bovendien moeten instanties ervoor zorgen dat de dienstverlener mogelijkheden en maatregelen implementeert die voldoen aan de FedRAMP-beveiligingsvereiste, waaronder het uitvoeren van regelmatige risicobeoordelingen en het implementeren van een Plan voor Continue Monitoring. Verder moeten instanties ervoor zorgen dat de dienstverlener up-to-date is met de meest actuele beveiligingsmaatregelen en voldoet aan de vereiste van de FedRAMP Tailored Baseline-standaard. Tot slot moeten instanties voorbereid zijn om de beveiligingsstatus van de dienstverlener te monitoren en ervoor zorgen dat alle beveiligingsvereiste consequent worden nageleefd.

FedRAMP Auditnaleving

FedRAMP auditnaleving is essentieel voor alle organisaties die cloud-diensten aan de federale overheid willen leveren. FedRAMP is ontworpen om beveiligingsstandaarden en richtlijnen te bieden voor hoe cloud service providers moeten opereren.

Om FedRAMP-compliant te worden, moeten organisaties zich houden aan strikte richtlijnen voor gegevensbescherming, wachtwoordbeheer, beveiligingspatches, systeemback-ups en meer.

Hier zijn slechts enkele van de vereiste om FedRAMP-naleving te behalen:

1. Adoptie van het NIST Cybersecurity Framework
2. Ontwikkeling van een Informatie Systeem Beveiligingsplan
3. Risico- en kwetsbaarheidsidentificatie
4. Uitgebreide systeemdocumentatie
5. Risico- en incidentresponsplannen
6. Gebruik van multi-factor authentication
7. Gebruik van encryptietechnologieën
8. Gedefinieerde gebruikersrollen en -rechten
9. Systeem- en netwerkmonitoring
10. Patchbeheer

Het belangrijkste doel van FedRAMP-naleving is het verkleinen van risico’s, het verhogen van de beveiliging en het waarborgen dat alle cloud-diensten aan de federale overheid voldoen aan de hoogste beveiligingsstandaarden.

Hoe kan ik audittrail aanmaken, onderhouden en beveiligen?

Er is geen “one-size-fits-all” auditoplossing voor elk bedrijf, en de vereiste voor logging verschillen op basis van de benodigde maatregelen.

Wat is een FedRAMP-beveiligingsmaatregel? NIST SP 800-53 definieert een reeks beveiligingsmaatregelen die een CSP moet toepassen om hun naleving aan te tonen. Wanneer u samenwerkt met een leverancier die FedRAMP-compliant is, zullen zij aangeven voor welk impactniveau zij zijn geautoriseerd.

Deze maatregelen worden breed toegepast op systemen, en niet alle partners hoeven alle functionaliteit te implementeren. Veel van deze functies zijn echter belangrijke onderdelen van beveiliging, en cloudleveranciers nemen ze vaak standaard op, ongeacht hun werkzaamheden. Het getuigt zelfs van hun betrouwbaarheid als uw leverancier kan uitleggen over hun geavanceerde mogelijkheden die verder gaan dan de minimale impactvereiste.

Er zijn bijvoorbeeld diverse manieren om “non-repudiation” in een systeem te creëren. Non-repudiation is de vereiste dat audittrail onweerlegbaar gekoppeld zijn aan een gebruiker of gebeurtenis, zodat de gebruiker niet kan ontkennen dat deze correct is. Dit omvat doorgaans een methode om te waarborgen dat een log niet is gemanipuleerd na aanmaak.

Sommige van deze methoden zijn effectiever dan andere. Sommige gebruiken een digitale hash-handtekening die aantoont dat het bestand niet is gemanipuleerd—een methode met beperkte effectiviteit en die het gebruik van hash-sleutels vereist om effectief te zijn. Deze methode helpt ook niet per se om te garanderen dat er geen logs ontbreken in een audittrail. Sommige leveranciers gebruiken nieuwe blockchaintechnologie als methode voor non-repudiation.

In dit specifieke geval is het aan de CSP, in overleg met hun 3PAO, om te bepalen dat een methode voor non-repudiation in logs veilig, effectief en binnen de reikwijdte van de FedRAMP-regelgeving valt.

Dat gezegd hebbende, moeten partnerleveranciers in staat zijn om hun auditmethoden toe te lichten aan de hand van enkele basiskenmerken. Deze omvatten:

1. Maak logs aan die voldoende gegevens bevatten om nuttig te zijn voor auditdoeleinden. Dit omvat zaken als datum en tijd, gebeurtenisregistraties, systeemstatus, gebruikers­toegang en andere informatie.
2. Automatiseer het genereren, back-uppen en beveiligen van logs. Hoewel het vanzelfsprekend lijkt dat een systeem automatisch logs genereert, moeten CSP’s ook redundantieplannen hebben voor logs die veilig en betrouwbaar zijn.
3. Gebruik een effectieve bewijsketen om integriteit te waarborgen. Of het nu hashes, blockchains of een ander hulpmiddel zijn, er moet altijd een beveiligingsmaatregel aanwezig zijn om de integriteit van een audittrail te garanderen.
4. Ken het FedRAMP Impact Level van uw leverancier. FedRAMP verdeelt via de Federal Information Processing Standards (FIPS)-publicatie de data-impactniveaus in Laag, Matig en Hoog, afhankelijk van de vereiste privacy voor de data en de potentiële schade als deze gecompromitteerd raakt.

Beste practices voor FedRAMP auditlogging

Om de beveiliging van cloud computing-diensten te waarborgen, moeten juiste auditlogging-praktijken worden geïmplementeerd en gemonitord. Deze set Beste Practices voor FedRAMP Audit Logging beschrijft de belangrijkste stappen die organisaties kunnen nemen om een effectief auditloggingsysteem te implementeren en te onderhouden.

1. Stel een auditbeleid op en documenteer dit: Ontwikkel en documenteer een auditbeleid dat alle vereiste voor auditlogging beschrijft. Dit moet de typen informatie en activiteiten die gelogd moeten worden omvatten, de frequentie van logging, de bewaartermijnen van logbestanden, de beveiliging van audittrail en de verantwoordelijken voor loganalyse en -beheer.
2. Implementeer een loggingsysteem: Implementeer een auditloggingsysteem dat in staat is om de vereiste loggegevens betrouwbaar vast te leggen. Dit moet processen omvatten voor het verzamelen, opslaan en overdragen van logs.
3. Voer regelmatige logreviews uit: Controleer regelmatig audittrail om te waarborgen dat ze correct worden vastgelegd en dat data veilig wordt opgeslagen. Eventuele afwijkingen moeten worden onderzocht om de integriteit van de data te verifiëren.
4. Gebruik de juiste beveiligingsmaatregelen: Gebruik passende beveiligingsmaatregelen om audittrail te beschermen tegen ongeautoriseerde toegang, manipulatie en vernietiging. Data moet waar mogelijk worden versleuteld en toegang moet worden beperkt tot geautoriseerd personeel.
5. Stel een incidentresponsplan op: Stel een incidentresponsplan op om snel en effectief auditlog-gerelateerde beveiligingsincidenten te detecteren, onderzoeken en erop te reageren.
6. Personeel opleiden: Bied training aan personeel over auditlogging en incidentresponsprocedures, zodat zij in staat zijn auditlog-gerelateerde problemen te herkennen en erop te reageren.

Kiteworks Geautomatiseerde Compliance Logging

Het Kiteworks-platform is een Low en Moderate Impact aanbieder van beheerde bestandsoverdracht (MFT) en SFTP voor FedRAMP, bestandsopslag en beveiligde e-mailtools voor FedRAMP die innovatie op ondernemingsniveau naar de federale sector brengt. Kiteworks biedt mogelijkheden op de volgende gebieden:

1. Beveiliging: Kiteworks hanteert een defense-in-depth aanpak met uitgebreide encryptie voor gevoelige data in beweging en in rust, een ingebouwde en geoptimaliseerde netwerkfirewall en webapplicatiefirewall (WAF), anti-malwaretechnologie, meerdere lagen serverhardening, zero-trust communicatie tussen interne diensten en clusternodes, en interne tripwires. Kiteworks stelt organisaties in staat om gevoelige bestanden te delen en over te dragen via diverse kanalen, of het nu gaat om beveiligde bestandsoverdracht, versleutelde e-mail, SFTP, beheerde bestandsoverdracht, webformulieren of application programming interfaces (API’s). Beheerders gebruiken rolgebaseerde maatregelen om beveiligings- en nalevingsbeleid af te dwingen en om eenvoudige verbindingen te configureren met beveiligingsinfrastructuurcomponenten zoals MFA. Kiteworks-klanten blijven up-to-date met de nieuwste patches via one-click updates, net als bij hun smartphones.
2. Naleving: Als u een aanbieder of instantie bent die samenwerkt met of binnen de federale overheid, dan kunt u Kiteworks gebruiken, dat voldoet aan tal van federale standaarden zoals de Cybersecurity Maturity Model Certification (CMMC), NIST 800-171, en meer. Kiteworks is ook FedRAMP Authorized voor FedRAMP Low en Moderate Impact, inclusief maatregelen voor belangrijke beveiligingsgebieden zoals toegangscontrole, systeem- en informatie-integriteit, en auditing en verantwoording.
3. Governance en zichtbaarheid: Kiteworks genereert, slaat op en beveiligt FedRAMP-compliant logs, terwijl het uitgebreide governance en volledige zichtbaarheid biedt via het CISO Dashboard. Dit omvat onder meer de mogelijkheid om geofencing af te dwingen door blocklists en allowlists voor IP-adresreeksen in te stellen, configuratie om gebruikersdata alleen in hun eigen land op te slaan, audittrail voor nalevingsrapportages, rapportages over welke bestanden antivirus hebben doorstaan of zijn afgekeurd, preventie van gegevensverlies, en advanced threat protection. Het CISO Dashboard monitort systeemtoegang, gegevensoverdracht en potentiële datalekken in real time. Het waarschuwt automatisch bij potentiële datalek-incidenten zoals interne tripwires en verdachte scenario’s van gegevensoverdracht. En voor organisaties die informatie over gevoelige inhoud willen consolideren bij verzending, delen en overdracht, handhaaft de geharde server van Kiteworks onveranderlijke logging en stuurt automatisch logs door naar uw security information and event management (SIEM)-systeem.
4. Private cloud: Voor extra beveiliging wordt elke Kiteworks-klant ingezet op een private cloud-omgeving, wat betekent dat zij de enige tenant zijn op uw cloudserver en hun data en metadata dus niet worden vermengd met die van andere Kiteworks-klanten. Tot slot wordt elke Kiteworks private cloud ingezet in een eigen Amazon Web Services (AWS) Virtual Private Cloud (VPC); uw infrastructuur wordt niet gedeeld met andere AWS- of Kiteworks-klanten.

Het Kiteworks-platform bevat geavanceerde beveiligingsfuncties zoals SOC 2-attestatie, gescheiden virtuele cloudsystemen, uitgebreide rapportages met jaarlijkse audits en continue testen, en een onveranderlijke audittrail om beveiliging en naleving te waarborgen.

Wilt u vandaag nog aan de slag met Kiteworks of wilt u meer informatie over Kiteworks FedRAMP Authorization, vraag dan een demo aan of bekijk onze FedRAMP Authorization-pagina.