借助 Keeper Security 加速 CMMC。
Keeper Security Government Cloud (KSGC) password manager and privileged access manager is FedRAMP High Authorized and addresses your Cybersecurity Maturity Model Certification (CMMC) requirements.
什么是 CMMC?
网络安全成熟度模型认证(CMMC)是美国国防部 (DoD) 的网络安全合规和认证计划,侧重于对国防承包商进行独立评估,以符合保护受控非机密信息 (CUI) 的 NIST 800-171 安全控制要求。
CMMC 是建立在现有 DFARS 252.204-7012 法规的基础上。访问控制和数据保护是该模型的重心,旨在降低网络威胁的风险。
要达到符合 CMMC 安全控制的要求,需要综合人员、流程和技术。通过实施 Keeper Security Government Cloud (KSGC),DoD 承包商可以涵盖 CMMC 2 级 110 个控制措施中的 26 个。请参阅下表,了解 KSGC 涵盖的控制措施的详细列表。
Keeper Security Government Cloud 如何帮助 DIB 承包商符合 CMMC 对密码安全的要求
CMMC 的大多数安全控制措施是基于 2020 年发布的 NIST 800-171 第 2 版。NIST 800-171 第 3 版将于 2024 年第一季度发布,其中包括新的密码安全要求。
许多 DIB IT 团队对其组织的密码安全状况缺乏了解。KSGC 可分析整个组织中存储的密码的强度和安全性。KSGC 根据复杂度、唯一性和在暗网上潜在暴露情况的标准对每个密码进行评估,为个人凭据和组织的整体密码安全状况提供全面的风险评分。IT 管理员通过详细的报告和控制面板获得可操作的信息,并突出显示了弱密码、重用密码或泄露密码,使他们能够主动执行密码策略,并采取纠正措施。
KSGC 的持续监视和警报系统可确保管理员能够快速响应潜在的安全漏洞,通过保持强大而安全的凭据来显著增强组织对网络威胁的防御。
Keeper Security Government Cloud 如何帮助 DIB 承包商符合 CMMC 对安全文件共享的要求
DIB 组织定期接收并与 DoD 合作处理 CUI 文件。CMMC 要求组织在共享 CUI 时遵循严格的安全协议,例如使用加密并仅限授权用户访问。
电子邮件通常未加密,这使得网络犯罪分子有可能拦截传输中的电子邮件和附件。通过电子邮件发送敏感信息还存在未经发件人许可被转发、保存或打印的风险。
一些承包商使用 Microsoft 加密电子邮件,可将接收人引导至一个安全登录界面,以访问包含文件的电子邮件。然而,在许多情况下,政府机器的内部控制不允许进行此登录过程,因此该机构将无法接收到信息。
或者,DIB 承包商可以创建一个加密的 PDF,然后通过普通文本电子邮件单独向该机构发送 PDF 的密码。此过程繁琐、不安全,对员工来说也不友好。
使用 KSGC 安全地存储和共享文件
KSGC 内置了经 FedRAMP 授权的文件共享功能,并提供了一种安全且对用户友好的文件共享方式。Keeper 通过椭圆曲线加密提供安全的保管库之间共享和单次共享,这意味着网络犯罪分子无法拦截传输中的密码或文件。只有预定的接收人方可访问共享记录。使用单次共享,接收人无需登录或获得 Keeper 的许可即可打开和下载加密的文件。
此外,Keeper 中的日志会显示所有用于单次共享的发送和接收信息。您还可以开启实时安全警报功能,当发生共享操作时,可通过短信、电子邮件或诸如 Slack 或 Teams 之类的消息平台通知系统管理员。
任何与 DoD 合作的组织都必须使用加密文件共享。Keeper 允许组织以加密格式存储和共享其机密文件,以简化合规和审核。
KSGC 涵盖的 CMMC 安全控制措施
CMMC 最终将采用 NIST 800-171 第 3 版,国防承包商将需要考虑新的要求。
未来的 CMMC 变更
- 确保新密码或更新的密码不在常用、预期或已泄露密码列表中
- 在密码遭到泄露时更改密码。
下表中的定义
- 符合 - Keeper 可作为符合系统安全计划 (SSP) 中安全控制的主要手段。
- 支持 - Keeper 可用于增强您的 SSP 的安全控制状况
安全控制和职责
总体状态
评论
AC.L2-3.1.1 授权访问控制 (CUI)
支持
Keeper 的 Enterprise Password Manage (EPM) 允许用户生成和存储用于支持用户身份验证的安全且唯一的密码。
AC.L2-3.1.11 会话终止
支持
Keeper 可按时间段提供特定于平台的会话终止控制。EPM 还为自动填充密码等操作提供重新身份验证选项。
AC.L2-3.1.12 控制远程访问
符合
KCM 是一个远程访问网关,用于根据最低特权原则向用户授予对资源的访问权限。它可使用 RDP、HTTPS、SSH、VNC、Telnet、Kubernetes、MySQL、PostgreSQL 和 SQL 等连接协议。
AC.L2-3.1.13 远程访问机密性
符合
KCM 使用经 FIPS 140-3 验证的加密来确保远程访问的机密性。
AC.L2-3.1.14 远程访问路由
符合
KCM 是一个远程访问网关,可用作管理访问控制点。
AC.L2-3.1.15 特权远程访问
符合
KCM 可以限制用户对特定连接的访问,限制对 RDP 会话中特定应用的访问,并可通过在连接时自动运行 SSH 命令来限制访问。
AU.L2-3.3.1 系统审核
支持
Keeper 的高级报告和警报模块 (ARAM) 提供对管理员和用户活动的企业级审核和报告。
AU.L2-3.3.5 审核关联
支持
Keeper 的 ARAM 可与 SIEM 解决方案无缝集成,实现长期存储和审核关联。
AU.L2-3.3.6 减少和报告
支持
Keeper 的 ARAM 提供了针对 200 多种事件类型的筛选器。
CM.L2-3.4.2 安全配置强制执行
支持
EPM 提供了广泛的基于组的策略,用于控制 Keeper 的使用方式。
CM.L2-3.4.6 最少功能
支持
KCM 可以将远程 RDP 会话限制在单个应用内,控制剪贴板行为,禁用打印功能等。
IA.L2-3.5.10 受加密保护的密码
符合
EPM 使用经 FIPS 140-3 验证的加密来安全地存储和传输密码。
IA.L2-3.5.11 模糊反馈
支持
EPM 可遮蔽密码和其他敏感信息。Keeper 还可以创建自定义记录类型,并对每个自定义字段进行遮蔽设置。
IA.L2-3.5.3 多步验证
支持
Keeper 支持多种 MFA 方法,包括 TOTP、RSA SecureID、Duo Security、FIDO2 安全密钥、Windows Hello 和移动设备生物识别身份验证。它还要求在使用新设备访问帐户时进行额外的批准。
IA.L2-3.5.4 防重放身份验证
符合
KSM 通过加密的 TLS 隧道传输机密信息。这些机密信息由用户设备解密。
IA.L2-3.5.7 密码复杂度
符合
EPM 提供可自定义的密码复杂度设置选项,可以针对主密码以及为特定的域名和 IP 地址生成的密码进行设置。安全审核报告可显示组织中密码的强度和弱点统计信息。
IA.L2-3.5.8 密码重用
符合
EPM 使组织能够通过为每个帐户生成唯一的密码来消除密码重用问题。安全审核报告可显示密码重用统计信息。
IA.L2-3.5.9 临时密码
支持
EPM 允许通过转移密码记录的所有权或单次共享来安全共享临时凭据。
SC.L2-3.13.10 密钥管理
支持
KSM 使用经 FIPS 140-3 验证的零知识加密来安全地存储和传输 SSH 密钥、API 密钥、加密密钥、密码等机密信息。KSM 还可以自动轮换机密。
SC.L2-3.13.11 CUI 加密
符合
EPM uses its FIPS 140-3 validated zero-knowledge encryption to encrypt any CUI and is FedRAMP Authorized at the High Impact level.
SC.L2-3.13.16 Data At Rest
符合
EPM uses FIPS 140-3 validated zero-knowledge encryption to encrypt any CUI stored in the system at rest and is FedRAMP Authorized at the High Impact level.
SC.L2-3.13.6 网络通信的异常处理
支持
启用 IP 地址允许列表可以限制网络访问。
SC.L2-3.13.8 Data In Transit
符合
EPM uses FIPS 140-3 validated zero-knowledge encryption to encrypt any CUI in transit and is FedRAMP Authorized at the High Impact level.
SC.L2-3.13.9 连接终止
符合
KCM 会话超时设置可根据需要进行配置。
SI.L2-3.14.3 安全警报和建议
支持
Keeper 的 BreachWatch 可监视密码是否存在泄露迹象,并在有任何密码受到泄露影响时提醒用户或管理员。
SI.L2-3.14.7 识别未经授权的使用
支持
Keeper 的 ARAM 允许基于 200 多种事件类型创建警报。EPM 的合规报告模块提供额外的报告功能,用于识别密码的未经授权共享或使用。
KSGC is FedRAMP High Authorized
Keeper Security Government Cloud password manager and privileged access manager is FedRAMP High Authorized and maintains the Keeper Security zero-trust security framework alongside a zero-knowledge security architecture.
KSGC 提供:
对员工密码强度的全面可见性和控制力
安全的文件共享和文件存储
细粒度、基于角色的访问控制 (RBAC)
零信任网络访问
暗网曝光警报
