Kontinuierliches Monitoring bei Salesforce

Bei der Salesforce Government Cloud verstärken wir unser Engagement für Vertrauen durch strengere Konformitätskontrollen, die auf Organisationen des öffentlichen Sektors zugeschnitten sind. Erfahren Sie, wie Salesforce kontinuierliches Monitoring, Verfolgung und Berichterstattung gemäß FedRAMP vereinfacht und gleichzeitig Zeit und Geld spart.
Kontinuierliches Monitoring bei Salesforce

Vertrauen spielt für Salesforce eine große Rolle. Dies wird in unseren übergeordneten Richtlinien genauso wie durch unsere tägliche Arbeit deutlich. Bei der Salesforce Government Cloud verstärken wir unser Engagement für Vertrauen durch strengere Konformitätskontrollen, die auf Organisationen des öffentlichen Sektors zugeschnitten sind. Durch die Einhaltung von Standards wie der FedRAMP High Impact Baseline und der Department of Defense Impact Level 4 Baseline stellen wir sicher, dass unsere Produkte für den Schutz sensibler Behördendaten ausgelegt sind.

Es ist nicht leicht, eine FedRAMP-Autorisierung für ein IT-System zu erhalten. Normalerweise dauert es ein Jahr oder länger. Es ist mit beträchtlichen technischen und finanziellen Ressourcen verbunden, die erforderlichen Sicherheitskontrollen zu implementieren, sich von einer Drittanbieter-Überprüfungsorganisationen (Third-Party Assessment Organization, 3PAO) prüfen zu lassen und schließlich die Betriebserlaubnis (Authority to Operate, ATO) des autorisierenden Beauftragten (Authorizing Official, AO) zu erhalten. Wie bei allen IT-Systemen ist die regelmäßige Wartung des Sicherheitsverhaltens eines Systems ein ständiger Kreislauf. FedRAMP verlangt, dass Benutzer ihr System regelmäßig mithilfe eines Prozesses prüfen, der als kontinuierliches Monitoring bezeichnet wird.

Was ist kontinuierliches Monitoring?

Kontinuierliches Monitoring ist der Prozess der aktiven Überwachung eines von FedRAMP autorisierten Informationssystems in Bezug auf die Sicherheitsrisiken und das Sicherheitsverhalten. Cloud-Serviceanbieter (CSPs) wie Salesforce müssen ihre Informationssysteme nicht nur auf neue und bereits bekannte Schwachstellen überwachen, sondern diese Schwachstellen auch verfolgen und innerhalb eines bestimmten Zeitrahmens beheben. Schwachstellen mit hohem Schweregrad müssen beispielsweise innerhalb von 30 Tagen behoben werden. Darüber hinaus erstellen wir Aktionsplan- und Meilensteinberichte (POA&M) für den 3PAO, die unseren guten Ruf bei den Prüfern aufrechterhalten und unsere Lösungsstrategie sowie unsere Empfehlungen zur Vermeidung ähnlicher Probleme in Zukunft unterstützen.

Einführung von Louper

Zu den zahlreichen Merkmalen, die eine GovCloud-Umgebung kennzeichnen, gehört auch eine Barriere, die den Zugriff auf die Inhalte in dieser Umgebung einschränkt. Sie wird als Autorisierungsgrenze bezeichnet. Die Autorisierungsgrenze stellt eine Herausforderung für Cloud-Serviceanbieter dar, die diese Systeme auf Schwachstellen überwachen. Denn mit Standardtools, wie sie für klassische Customer 360-Angebote verwendet werden, erhalten sie keinen Einblick in die Umgebung und können nicht darauf zugreifen. Es ist zwar relativ einfach, Tools für die Schwachstellensuche einzurichten, die innerhalb der Autorisierungsgrenze funktionieren, doch die Verfolgung, Berichterstattung und Behebung sensibler Schwachstellen gestaltet sich weitaus schwieriger. Zudem können die Ergebnisse nicht für die Verwendung außerhalb der Autorisierungsgrenze exportiert werden.

Salesforce hat einen benutzerdefinierten Service namens Louper entwickelt, um die Schwierigkeiten beim Monitoring innerhalb einer Autorisierungsgrenze zu bewältigen. Louper automatisiert zwei primäre Prozesse für das kontinuierliche Monitoring, um Schwachstellen besser zu verfolgen und zu beheben. Zunächst nimmt Louper alle Ergebnisse von Schwachstellensuchen innerhalb der Umgebung auf. Louper untersucht die Ergebnisse und vergleicht die entdeckten Schwachstellen mit einer Datenbank bereits gefundener Schwachstellen. Bei neuen Schwachstellen benachrichtigt Louper das entsprechende Team darüber, dass Maßnahmen zur Behebung erforderlich sind.

Außerdem zeichnet Looper den Verlauf aller im System gefundenen Schwachstellen in einem Datensatz auf und kann so den POA&M-Bericht für den 3PAO generieren. Dieser Bericht enthält eine genaue Liste der einzelnen Schwachstellen und wird dynamisch mit den neuesten Daten aktualisiert. Da ein POA&M-Bericht Tausende von Einträgen enthalten kann, führt die automatische Erstellung des Berichts im Vergleich zur manuellen Erstellung zu erheblichen Zeit- und Kosteneinsparungen.

Vertrauen als höchste Priorität

Kontinuierliches Monitoring ist nur eine der Möglichkeiten, die wir bei Salesforce nutzen, um unsere Cloud sicherer zu gestalten. Mit dieser Erweiterung des robusten unternehmensweiten Sicherheitsverhaltens von Salesforce verstärken wir unser Engagement für Vertrauen als wichtigsten Unternehmenswert. Salesforce Government Cloud Plus bietet Behördenkunden und Auftragnehmern von Behörden Zugriff auf führende CRM-, Service-, Plattform- und Analyse-Anwendungen für den öffentlichen Sektor und andere Branchen, damit sie ihre Aufgaben erfolgreich ausführen und die digitale Transformation in der gesamten Branche vorantreiben können. 

Wenn Sie mehr über Salesforce Government Cloud-Angebote erfahren möchten, kontaktieren Sie einen unserer Experten für Behördenlösungen unter: 1-844-807-8829.



Empfohlene Artikel