随着网络威胁的数量和强度不断增加,并以各种新的形式出现,企业开始越来越重视电子邮件安全。对于处理敏感政府数据的组织来说尤其如此。一次或大或小的网络攻击可能会对政府的声誉造成毁灭性打击,同时也会将全体民众置于危险之中(尤其是在饱受冲突蹂躏的国家和地区)。
正因如此,联邦风险与授权管理计划(FedRAMP)开始投入大量精力和关注建立安全的电子邮件验证标准和协议,尤其强调基于域的消息验证、报告和一致性(DMARC)。本文将告诉你
- 什么是 FedRAMP 合规性?
- DMARC 在 FedRAMP 合规性中的作用
- 如何为符合 FedRAMP 标准的系统实施 DMARC
- 实施和合规的必要步骤
- 在 FedRAMP 框架内实施 DMARC 的挑战
什么是 FedRAMP 合规性?
FedRAMP 是针对云服务提供商和云平台的严格授权认证,为云产品和服务的安全评估、授权和持续监控提供了标准化方法。FedRAMP 合规性计划早在 2011 年就已建立,以支持联邦政府的 "云优先 "计划。云优先 "计划的目的是加快联邦机构采用安全云解决方案的速度。
FedRAMP 合规性的一些主要目标包括
- 使所有联邦机构的安全评估和授权方法标准化,并在不同利益攸关方之间实现最大程度的一致性
- 实施严格的安全控制和监测机制,在联邦机构中建立对云解决方案的信任
- 尽量减少重复的安全评估,以节省财政和非财政资源
- 灵活应对不断变化的网络威胁,并实时做出必要的改变
FedRAMP 合规的各个阶段
既然您已经熟悉了 FedRAMP 合规性的关键目标,那么了解 FedRAMP 合规性的不同阶段也很重要。
- 在第一阶段,云服务提供商 (CSP) 需要实施必要的安全控制,并在一份 系统安全计划(SSP) 中记录其系统。
- 在第二个评估阶段,第三方评估组织(3PAO)会进行独立的安全评估。
- 然后,FedRAMP 项目管理办公室(PMO)会仔细检查安全包,并授予操作权限(ATO)。
值得一提的是,CSP 必须通过定期评估和调整,不断确保遵守规定的安全标准。
DMARC 在 FedRAMP 合规性中的作用
DMARC 是 FedRAMP 框架范围内电子邮件安全的重要组成部分,甚至是不可或缺的组成部分。 FedRAMP 要求所有代表联邦政府发送电子邮件的云服务产品 (CSO) 实施可强制执行的 DMARC 政策.该要求只是众多 具有约束力的操作指令 (BOD) 18-01 网络安全和基础设施安全局 (CISA) 发布的众多约束性操作指令 (BOD 18-01) 要求之一。
整合 DMARC 背后的原因是多方面的。首先,DMARC 对检测和防止电子邮件网络钓鱼攻击有很大帮助。通过验证发件人身份的合法性,DMARC 确保收件人可以信任联邦电子邮件的来源。DMARC定期报告提供的洞察力还能让各机构发现重要的安全漏洞,并在为时已晚之前加以解决。这不仅能增强收件人的信任和信心,还能提高联邦电子邮件的可送达性,确保重要信息能送达预定的目标受众。
相关阅读:国家计算机安全委员会邮件检查变化及其对英国公共部门电子邮件安全的影响
如何为符合 FedRAMP 标准的系统实施 DMARC
以下是为符合 FedRAMP 要求而实施 DMARC 的全面分解。该过程涉及多个重要步骤和组成部分。
- 第一步是彻底评估当前的电子邮件基础设施。对用于代表联邦政府发送电子邮件的所有域和子域进行全面审计,确定所有电子邮件发送源(如第三方服务)。初步评估应包括当前电子邮件验证设置的概要,如任何现有的 SPF、DKIM 或其他配置。
- SPF 和 DKIM 实施阶段应包括为所有相关域配置 SPF 记录和为发出的电子邮件设置 DKIM 签名。在进入 DMARC 实施阶段之前,应测试 SPF 和 DKIM 配置,确保它们设置正确。
- 现在,让我们进入 DMARC 实施阶段。 在 DNS 中发布 DMARC 记录应遵循以下参数:
- p=拒收(即应拒收未通过 DMARC 的电子邮件)
- pct=100(即该策略应适用于 100% 的电子邮件)
- rua 电子邮件地址必须包括 mailto:[email protected]
- 对于准确的电子邮件服务器配置,请确保所有发出的电子邮件都 与DMARC、SPF 和 DKIM 配置正确对齐,并确保信封的发件人地址正确对齐。
- 始终按照 FedRAMP Rev5 在系统安全计划 (SSP) 附录 A 中记录 DMARC 的实施情况。确保在适当的控制措施下包含详细信息:
- SI-8 高基线和中基线
- SI-5用于低影响和 LiSaaS(低影响软件即服务)
- 您可以随时使用 DMARC 记录检查工具来帮助您进行正确的 DNS 配置。您还可以发送来自不同来源的测试邮件,以验证 DMARC 的执行情况,甚至可以自己编造欺骗尝试,以确保真正攻击来临时的安全。
有关在 FedRAMP 授权的 CSO 中实施 DMARC 的更多信息,请单击 此处.
在 FedRAMP 框架内实施 DMARC 的挑战
在 FedRAMP 框架内实施 DMARC 有诸多好处,但也面临着广泛的挑战。
拥有一个域名和子域
挑战:大多数组织都有一个以上的域和子域。更具有挑战性的是,每个域和子域都可能使用不同的电子邮件服务。
解决方案:绘制整个生态系统图,详细概述所有域和子域,并制定分阶段实施计划,逐步实现每个域的合规性。
第三方服务的使用
挑战:CSP 经常使用第三方服务进行各种电子邮件通信。
解决方案:只与值得信赖的第三方提供商合作,并要求他们实施 DKIM 签名和正确的信封发件人地址对齐。
旧的电子邮件系统
挑战:一些实体使用的电子邮件系统可能过于陈旧,无法支持 DKIM 和现代身份验证协议。
解决方案:由于更新或彻底改变现有电子邮件系统基础设施的成本非常高昂,您可以尝试使用电子邮件网关,在旧电子邮件系统的外发电子邮件中添加验证标题。
持续监测
挑战:由于 FedRAMP 要求您持续监控 DMARC 政策,因此您必须不断处理和分析大量 DMARC 报告。这可能会耗费大量的时间、财力和人力,并占用您用于其他重要任务的时间。
解决方案:为了减少 DMARC 报告处理和分析所花费的时间和资源,您可以使用以下工具 PowerDMARC 的免费 DMARC 报告分析器等工具,使处理过程更快、更高效。
建立必要的协议和机制
挑战:特别是在初始实施阶段,为电子邮件身份验证和 FedRAMP 合规性设置和配置所有必要的协议和机制可能非常困难。
解决方案:您可以选择与成熟可靠的电子邮件身份验证安全平台(如 PowerDMARC)合作。这类平台通常提供一体化的解决方案,并拥有自己的专业 IT 专家团队,可以负责所有的设置和配置流程,因此您可以在确保合规性的同时安心使用。
总结
尽管在 FedRAMP 框架内实施 DMARC 可能会遇到一些挑战和困难,但需要注意的是,如果您与可靠的专业人员合作,即使不是全部,也可以轻松克服大部分挑战。此外,一旦您成功实施了 DMARC 和其他协议,您很快就会意识到,准确的电子邮件身份验证的优势远远超过任何挑战、成本或技术障碍。
提高云服务提供商的电子邮件安全性不仅有助于确保合规和遵守 FedRAMP,还将为您的政府通信增加一个重要的安全层,提高您的声誉并增强民众的安全感。在政府层面展示对安全电子邮件实践的承诺,是迈向更好、更健康的数字生态系统以及降低网络攻击成功可能性的重要一步。
今天就联系我们如果您想了解更多有关贵组织正确实施 DMARC 的信息,无论是在 FedRAMP 范围内还是在更大范围内,我们都将帮助您确保在最短时间内取得最佳效果!
- MikroTik 僵尸网络利用 SPF 配置错误传播恶意软件- 2025 年 1 月 17 日
- 禁止发送 DMARC 未验证邮件 [解决]- 2025 年 1 月 14 日
- 如何修复 "DKIM 签名无效 "错误?- 2025 年 1 月 14 日