借助 Keeper Security 加速 CMMC。
Keeper Security Government Cloud (KSGC) 密码管理程序和特权访问管理程序已获得 FedRAMP 授权,并符合网络安全成熟度模型认证 (CMMC) 要求。
什么是 CMMC?
网络安全成熟度模型认证(CMMC)是美国国防部 (DoD) 的网络安全合规和认证计划,侧重于对国防承包商进行独立评估,以符合保护受控非机密信息 (CUI) 的 NIST 800-171 安全控制要求。
CMMC 是建立在现有 DFARS 252.204-7012 法规的基础上。访问控制和数据保护是该模型的重心,旨在降低网络威胁的风险。
要达到符合 CMMC 安全控制的要求,需要综合人员、流程和技术。通过实施 Keeper Security Government Cloud (KSGC),DoD 承包商可以涵盖 CMMC 2 级 110 个控制措施中的 26 个。请参阅下表,了解 KSGC 涵盖的控制措施的详细列表。
Keeper Security Government Cloud 如何帮助 DIB 承包商符合 CMMC 对密码安全的要求
CMMC 的大多数安全控制措施是基于 2020 年发布的 NIST 800-171 第 2 版。NIST 800-171 第 3 版将于 2024 年第一季度发布,其中包括新的密码安全要求。
许多 DIB IT 团队对其组织的密码安全状况缺乏了解。KSGC 可分析整个组织中存储的密码的强度和安全性。KSGC 根据复杂度、唯一性和在暗网上潜在暴露情况的标准对每个密码进行评估,为个人凭据和组织的整体密码安全状况提供全面的风险评分。IT 管理员通过详细的报告和控制面板获得可操作的信息,并突出显示了弱密码、重用密码或泄露密码,使他们能够主动执行密码策略,并采取纠正措施。
KSGC 的持续监视和警报系统可确保管理员能够快速响应潜在的安全漏洞,通过保持强大而安全的凭据来显著增强组织对网络威胁的防御。
Keeper Security Government Cloud 如何帮助 DIB 承包商符合 CMMC 对安全文件共享的要求
DIB 组织定期接收并与 DoD 合作处理 CUI 文件。CMMC 要求组织在共享 CUI 时遵循严格的安全协议,例如使用加密并仅限授权用户访问。
电子邮件通常未加密,这使得网络犯罪分子有可能拦截传输中的电子邮件和附件。通过电子邮件发送敏感信息还存在未经发件人许可被转发、保存或打印的风险。
一些承包商使用 Microsoft 加密电子邮件,可将接收人引导至一个安全登录界面,以访问包含文件的电子邮件。然而,在许多情况下,政府机器的内部控制不允许进行此登录过程,因此该机构将无法接收到信息。
或者,DIB 承包商可以创建一个加密的 PDF,然后通过普通文本电子邮件单独向该机构发送 PDF 的密码。此过程繁琐、不安全,对员工来说也不友好。
使用 KSGC 安全地存储和共享文件
KSGC 内置了经 FedRAMP 授权的文件共享功能,并提供了一种安全且对用户友好的文件共享方式。Keeper 通过椭圆曲线加密提供安全的保管库之间共享和单次共享,这意味着网络犯罪分子无法拦截传输中的密码或文件。只有预定的接收人方可访问共享记录。使用单次共享,接收人无需登录或获得 Keeper 的许可即可打开和下载加密的文件。
此外,Keeper 中的日志会显示所有用于单次共享的发送和接收信息。您还可以开启实时安全警报功能,当发生共享操作时,可通过短信、电子邮件或诸如 Slack 或 Teams 之类的消息平台通知系统管理员。
任何与 DoD 合作的组织都必须使用加密文件共享。Keeper 允许组织以加密格式存储和共享其机密文件,以简化合规和审核。
KSGC 涵盖的 CMMC 安全控制措施
CMMC 最终将采用 NIST 800-171 第 3 版,国防承包商将需要考虑新的要求。
未来的 CMMC 变更
- 确保新密码或更新的密码不在常用、预期或已泄露密码列表中
- 在密码遭到泄露时更改密码。
下表中的定义
- 符合 - Keeper 可作为符合系统安全计划 (SSP) 中安全控制的主要手段。
- 支持 - Keeper 可用于增强您的 SSP 的安全控制状况
安全控制和职责
总体状态
评论
AC.L2-3.1.1 授权访问控制 (CUI)
支持
Keeper 的 Enterprise Password Manage (EPM) 允许用户生成和存储用于支持用户身份验证的安全且唯一的密码。
AC.L2-3.1.11
会话终止
支持
Keeper 可按时间段提供特定于平台的会话终止控制。EPM 还为自动填充密码等操作提供重新身份验证选项。
AC.L2-3.1.12
控制远程访问
符合
KCM 是一个远程访问网关,用于根据最低特权原则向用户授予对资源的访问权限。它可使用 RDP、HTTPS、SSH、VNC、Telnet、Kubernetes、MySQL、PostgreSQL 和 SQL 等连接协议。
AC.L2-3.1.13
远程访问机密性
符合
KCM 使用经 FIPS 140-2 验证的加密来确保远程访问的机密性。
AC.L2-3.1.14
远程访问路由
符合
KCM 是一个远程访问网关,可用作管理访问控制点。
AC.L2-3.1.15
特权远程访问
符合
KCM 可以限制用户对特定连接的访问,限制对 RDP 会话中特定应用的访问,并可通过在连接时自动运行 SSH 命令来限制访问。
AU.L2-3.3.1 系统审核
支持
Keeper 的高级报告和警报模块 (ARAM) 提供对管理员和用户活动的企业级审核和报告。
AU.L2-3.3.5
审核关联
支持
Keeper 的 ARAM 可与 SIEM 解决方案无缝集成,实现长期存储和审核关联。
AU.L2-3.3.6
减少和报告
支持
Keeper 的 ARAM 提供了针对 200 多种事件类型的筛选器。
CM.L2-3.4.2
安全配置强制执行
支持
EPM 提供了广泛的基于组的策略,用于控制 Keeper 的使用方式。
CM.L2-3.4.6
最少功能
支持
KCM 可以将远程 RDP 会话限制在单个应用内,控制剪贴板行为,禁用打印功能等。
IA.L2-3.5.10
受加密保护的密码
符合
EPM 使用经 FIPS 140-2 验证的加密来安全地存储和传输密码。
IA.L2-3.5.11
模糊反馈
支持
EPM 可遮蔽密码和其他敏感信息。Keeper 还可以创建自定义记录类型,并对每个自定义字段进行遮蔽设置。
IA.L2-3.5.3
多步验证
支持
Keeper 支持多种 MFA 方法,包括 TOTP、RSA SecureID、Duo Security、FIDO2 安全密钥、Windows Hello 和移动设备生物识别身份验证。它还要求在使用新设备访问帐户时进行额外的批准。
IA.L2-3.5.4
防重放身份验证
符合
KSM 通过加密的 TLS 隧道传输机密信息。这些机密信息由用户设备解密。
IA.L2-3.5.7
密码复杂度
符合
EPM 提供可自定义的密码复杂度设置选项,可以针对主密码以及为特定的域名和 IP 地址生成的密码进行设置。安全审核报告可显示组织中密码的强度和弱点统计信息。
IA.L2-3.5.8
密码重用
符合
EPM 使组织能够通过为每个帐户生成唯一的密码来消除密码重用问题。安全审核报告可显示密码重用统计信息。
IA.L2-3.5.9
临时密码
支持
EPM 允许通过转移密码记录的所有权或单次共享来安全共享临时凭据。
SC.L2-3.13.10
密钥管理
支持
KSM 使用经 FIPS 140-2 验证的零知识加密来安全地存储和传输 SSH 密钥、API 密钥、加密密钥、密码等机密信息。KSM 还可以自动轮换机密。
SC.L2-3.13.11
CUI 加密
符合
EPM 使用其经 FIPS 140-2 验证的零知识加密来加密任何 CUI,并已获得 FedRAMP 中等影响级别授权。
SC.L2-3.13.16
Data At Rest
符合
EPM 使用经 FIPS 140-2 验证的零知识加密来加密系统中静态存储的任何 CUI,并已获得 FedRAMP 中等影响级别授权。
SC.L2-3.13.6
网络通信的异常处理
支持
启用 IP 地址允许列表可以限制网络访问。
SC.L2-3.13.8
Data In Transit
符合
EPM 使用经 FIPS 140-2 验证的零知识加密来加密传输中的任何 CUI,并已获得 FedRAMP 中等影响级别授权。
SC.L2-3.13.9
连接终止
符合
KCM 会话超时设置可根据需要进行配置。
SI.L2-3.14.3
安全警报和建议
支持
Keeper 的 BreachWatch 可监视密码是否存在泄露迹象,并在有任何密码受到泄露影响时提醒用户或管理员。
SI.L2-3.14.7
识别未经授权的使用
支持
Keeper 的 ARAM 允许基于 200 多种事件类型创建警报。EPM 的合规报告模块提供额外的报告功能,用于识别密码的未经授权共享或使用。
KSGC 已获得 FedRAMP 授权
Keeper Security Government Cloud 密码管理程序和特权访问管理程序已获得了 FedRAMP 授权,并保持了 Keeper Security 的零信任安全框架以及零知识安全体系结构。
KSGC 提供:
对员工密码强度的全面可见性和控制力
安全的文件共享和文件存储
细粒度、基于角色的访问控制 (RBAC)
零信任网络访问
暗网曝光警报
