Security Requirements Guide (SRG) für Cloud Computing des Verteidigungsministeriums der USA
Übersicht
Immer mehr Militärkunden nutzen die AWS-Services, um Daten des US-Verteidigungsministeriums (Department of Defense, DoD) zu verarbeiten, zu speichern und zu übertragen. AWS ermöglicht Rüstungsunternehmen und ihren Geschäftspartnern den Aufbau von sicheren AWS-Umgebungen zum Verarbeiten, Verwalten und Speichern von DoD-Daten.
Der Security Requirements Guide (SRG) für Cloud Computing des US-Verteidigungsministeriums (Department of Defense, DoD) bietet einen formalisierten Bewertungs- und Zulassungsprozess für Cloud-Service-Anbieter (Cloud Service Provider, CSP) zur Erlangung einer vorläufigen DoD-Autorisierung, die anschließend von DoD-Kunden genutzt werden kann. Die vorläufige Autorisierung von AWS durch die Defense Information Systems Agency (DISA) stellt eine wiederverwendbare Zertifizierung bereit, die unsere Compliance mit DoD-Standards bestätigt und die Zeit verkürzt, die Inhaber eines DoD-Auftrags für die Bewertung und Autorisierung eines ihrer Systeme auf AWS benötigen. Weitere Informationen über den SRG, einschließlich der vollständigen Definition der Basiswerte für Sicherheitskontrollen für die Stufen 2, 4, 5 und 6, finden Sie in der Dokumentbibliothek auf der Webseite DoD-Cloud-Computing Sicherheit.
Als DoD-Kunde sind Sie für die Einhaltung der DoD-Sicherheitsrichtlinie innerhalb Ihrer AWS-Anwendungsumgebung verantwortlich, die Folgendes beinhalten muss:
• Die Verantwortlichkeiten des Auftragsinhabers, die im Whitepaper DoD-konforme Implementierungen in der AWS Cloud beschrieben sind
• Alle relevanten sicherheitstechnischen Implementierungsanleitungen (Security Technical Implementation Guides, STIGs) für das Betriebssystem
• Alle relevanten Anwendungs-STIGs
• DoD-Anweisungen zu Ports und Protokollen (DoD Instruction 8551.01)
Die Infrastruktur, Verwaltung und Betriebsumgebung von AWS wurden durch die FedRAMP- und DoD-Autorisierungsprozesse bewertet und genehmigt. Als Kunde, der eine Anwendung in der AWS-Infrastruktur bereitstellt, erhalten Sie die Kontrolle über die Sicherheit unseres physischen, umgebungs- und medienbezogenen Schutzes und müssen nicht mehr detailliert angeben, wie Sie die Compliance bei Kontrollen dieser Art realisieren. Die verbleibenden DoD-RMF-Kontrollen (Risk Management Framework) werden zwischen AWS und den Kunden aufgeteilt, da jede Organisation die Verantwortung für die Implementierung dieser Kontrollen in ihrem Teil des gemeinsamen IT-Sicherheitsmodells behält.
Häufig gestellte Fragen
-
Wie kann ich die AWS-Sicherheitsdokumentation und -richtlinien überprüfen?
Unsere DoD-Kunden und -Anbieter können unsere FedRAMP- und DoD-Autorisierungen nutzen, um ihre Zertifizierung und Akkreditierung zu beschleunigen. Um die Autorisierung von auf AWS gehosteten militärischen Systemen zu unterstützen, stellen wir dem Sicherheitspersonal des DoD Unterlagen zur Verfügung, anhand derer die Einhaltung der geltenden NIST 800-53-Kontrollen (Revision 4) und des DoD Cloud Computing SRG (Version 1, Release 3) durch AWS überprüft werden kann.
Wir stellen unseren DoD-Kunden ein Paket mit Sicherheitshinweisen und Unterlagen zu Sicherheit und Compliance zur Verfügung, damit sie AWS als DoD-Hostinglösung einsetzen können. Wir stellen eine AWS-FedRAMP-SSP-Vorlage basierend auf NIST 800-53 (Rev 4) bereit, die vorab mit der entsprechenden FedRAMP- und DoD-Kontrollbasis ausgefüllt wurde. Die übernommenen Kontrollen in der Vorlage werden von AWS vorab ausgefüllt. Für geteilte Kontrollen sind AWS und der Kunde verantwortlich. Für einige Kontrollen trägt der Kunde die alleinige Verantwortung.
Militärorganisationen oder Vertragspartner, die geschäftliche Beziehungen mit dem Verteidigungsministerium unterhalten, können einen Zugang zur AWS-Sicherheitsdokumentation anfordern. Wenden Sie sich dazu an den für Sie zuständigen AWS Account Manager, oder übermitteln Sie das AWS Compliance-Kontaktformular. Kunden, bei denen es sich nicht um Behörden handelt, z. B. AWS-Partner, können das FedRAMP Security Package für AWS-Partner auch über AWS Artifact beantragen.
-
Welche Vorteile bringt mir ein Wechsel zu AWS?
Wir glauben, dass die Migration in die Cloud für Sie als Regierungskunden eine Chance bietet, Ihre Sicherheit zu verbessern und das operative Risiko zu reduzieren. Die AWS-Betriebsumgebung ermöglicht Ihnen, eine Sicherheits- und Compliance-Stufe zu erreichen, die nur in einer Umgebung möglich ist, die von einer hochgradigen Automatisierung unterstützt wird. Anders als bei herkömmlichen Rechenzentren, in denen in regelmäßigen Abständen Bestandsaufnahmen und stichprobenartige Überprüfungen durchgeführt werden, haben AWS-Kunden die Möglichkeit, fortlaufend Überprüfungen durchzuführen. Diese Transparenz in Ihrer Umgebung verbessert die Datenkontrolle und bietet Ihnen die Sicherheit, dass nur autorisierte Benutzer Zugriff haben.
DoD-Auftragsinhaber können beispielsweise hohe Kontrollstufen für Anwendungen durch eine programmatische Durchsetzung von DoD-Sicherheits- und -Compliance-Richtlinien erreichen. Mit AWS können Sie vorab genehmigte Vorlagen für häufige Anwendungsfälle erstellen und so die Zeit zum Autorisieren neuer Anwendungen verkürzen. Dank der Vorlagen kann sichergestellt werden, dass Anwendungseigentümer keine wichtigen Sicherheitseinstellungen ändern, zum Beispiel Sicherheitsgruppen und Netzwerk-ACLs. Außerdem können sie die Verwendung STIG-bewährter Computer-Images erzwingen. Diese programmatische Durchsetzung der DoD-Sicherheitsrichtlinien reduziert den manuellen Konfigurationsaufwand, wodurch Fehlkonfiguration vermieden und das Gesamtrisiko für das DoD verringert werden kann.
-
Wie erhält ein Auftragsinhaber eine Betriebszulassung (Authorization to Operate, ATO)?
Als DoD-Auftragsinhaber sind Sie für das Erstellen eines Autorisierungspakets verantwortlich, das die Implementierung der Sicherheitskontrollen für Ihre Anwendung umfassend definiert. Wie bei einem herkömmlichen Autorisierungspaket müssen Sie Ihre Sicherheitskontrollbasiswerte mit einem Systemsicherheitsplan dokumentieren und diesen Plan sowie seine Implementierung von einem entsprechenden Zertifizierungsmitarbeiter aus Ihrer DoD-Organisation überprüfen lassen. Im Rahmen dieser Überprüfung können die Zertifizierungsmitarbeiter oder der Autorisierungsbefugte das AWS-Autorisierungspaket überprüfen, um sich einen ganzheitlichen Überblick über die Implementierung der Sicherheitskontrollen auf allen Ebenen zu verschaffen. Nach dem Überprüfen des Sicherheitsautorisierungspaketes und der Autorisierungspakete von AWS hat der Autorisierungsbefugte die erforderlichen Informationen, um eine Akkreditierungsentscheidung für Ihre Anwendung zu treffen und eine Betriebszulassung (ATO) zu gewähren.
Weitere Informationen zu den Verantwortlichkeiten der DoD-Anwendungseigentümer, die in AWS arbeiten, finden Sie im Whitepaper DoD-konforme Implementierungen in der AWS Cloud.
-
Warum ist der DoD Cloud Computing SRG so wichtig?
Der DoD Cloud Computing SRG unterstützt das Gesamtziel der US-Bundesregierung (die verstärkte Nutzung von Cloud Computing) und stellt dem DoD ein Mittel zur Verfügung, um dieses Ziel zu erreichen. Am 8. Februar 2011 hat das Office of Management and Budget (OMB) die Federal Cloud Computing Strategy eingerichtet, die eine Anleitung für alle Bundesbehörden zur Übernahme von Cloud-Technologien in Bundesbehörden bereitstellt. Diese Strategie wurde im Dezember 2011 durch die Veröffentlichung einer bundesstaatlichen Anforderung ergänzt, nämlich das Federal Risk and Authorization Management Program (FedRAMP). FedRAMP ist für Cloud-Bereitstellungen und -Servicemodelle von US-Bundesbehörden auf den Risikostufen "Low", "Moderate" und "High" obligatorisch.
Im Juli 2012 veröffentlichte das DoD die Cloud Computing Strategy seines DoD Chief Information Officer (CIO). Dadurch entstand die Joint Information Environment (JIE) und die DoD Enterprise Cloud Environment: "Die DoD Cloud Computing Strategy führt einen Ansatz zum Verschieben der Abteilung aus dem aktuellen Status einer umständlichen und kostenintensiven Gruppe aus Anwendungssilos in einen Endstatus ein, der einer flexiblen, sicheren und kostengünstigen Service-Umgebung entspricht, die schnell auf sich ändernde Auftragsanforderungen reagieren kann. Der DoD Chief Information Officer (CIO) ist entschlossen, die Umstellung auf das Cloud Computing innerhalb der Abteilung zu beschleunigen..."
Der DoD Cloud Computing SRG nutzt das FedRAMP-Programm, um einen standardisierten Ansatz für das DoD zur Bewertung von Cloud-Service-Anbietern (CSP) zu erhalten.
-
Erfüllen die AWS Cloud-Services die DoD-Anforderungen?
Ja, AWS wurde als Cloud-Service-Anbieter für die Regionen US Ost und US West bei Impact Level 2, AWS GovCloud (USA) bei Impact Level 4 und 5 sowie die Region AWS Secret bei Impact Level 6 bewertet und zugelassen.
- Bei Impact Level 2 wurden US-basierte AWS-Regionen (US Ost/West, AWS GovCloud (USA)) durch die DISA bewertet, und es wurden zwei vorläufige Autorisierungen ausgestellt, nachdem die Compliance mit den DoD-Anforderungen nachgewiesen worden war. Die Compliance von AWS mit den DoD-Anforderungen wurde mithilfe unserer vorhandenen vorläufigen Betriebszulassung (Provisional Authorization to Operate, P-ATO) des FedRAMP Joint Authorization Board (JAB) erzielt. Die vorläufigen Autorisierungen ermöglichen DoD-Behörden das Bewerten der Sicherheit von AWS und das Speichern, Verarbeiten und Verwalten ganz verschiedener DoD-Daten innerhalb der AWS Cloud.
- Bei Impact Level 4 und 5 wurde AWS GovCloud (USA) eine vorläufige Autorisierung der DISA ausgestellt, die es DoD-Kunden ermöglicht, Produktionsanwendungen mit der verbesserten Kontrollbasis entsprechend den CSM-Stufen des SRG bereitzustellen. DoD-Kunden mit in Aussicht stehenden Impact-Level-4- oder Impact-Level-5-Anwendungen sollten sich mit der DISA in Verbindung setzen, um den Genehmigungsprozess zu starten.
- Bei Impact Level 6 verfügt die Region AWS Secret über eine vorläufige DoD-Autorisierung für Workloads bis einschließlich der Stufe Secret. Ein Servicekatalog für die Region AWS Secret ist über den für Sie zuständigen AWS-Kontoverantwortlichen erhältlich.
-
Welche AWS-Regionen sind abgedeckt?
Unsere vorläufigen Autorisierungen decken mehrere Regionen innerhalb der kontinentalen Vereinigten Staaten ab, darunter AWS GovCloud (USA) (Impact Level 2, 4 und 5), AWS US Ost/West (Impact Level 2) und AWS Secret (Impact Level 6).
-
Welche Klassifizierungen von DoD-Systemen sind für AWS möglich?
Die AWS-Regionen US Ost und US West verfügen über eine vorläufige Autorisierung für Impact Level 2, die es Auftragsinhabern ermöglicht, öffentliche, nicht geheime Informationen in diesen AWS-Regionen mit der AWS-Autorisierung und der ATO der Auftragsanwendung bereitzustellen. AWS GovCloud verfügt jetzt über eine vorläufige Autorisierung für Impact Level 2, 4 und 5, die es Auftragsinhabern ermöglicht, alle kontrollierten, nicht geheimen Informationskategorien, die durch diese Level abgedeckt werden, bereitzustellen. Die Region AWS Secret verfügt über eine vorläufige Autorisierung für Impact Level 6 und erlaubt Workloads bis einschließlich der Klassifikation Secret.
-
Was heißt das für mich als DoD-Auftragsinhaber?
Unsere vorläufigen Autorisierungen mit Impact Level 2 ermöglichen es DoD-Kunden, konforme AWS-Infrastrukturen und -Services für die Bereitstellung von Workloads zu nutzen, einschließlich Daten, die zur Veröffentlichung freigegeben wurden, sowie einige private, nicht geheime Informationen des DoD. Durch die Umstellung Ihrer DoD-IT-Umgebung auf AWS kann Ihre Compliance-Aufsicht mithilfe der Services und Funktionen, die von AWS zur Verfügung gestellt werden, verbessert werden.
Unsere vorläufige Autorisierung für Impact Level 4 und 5 für AWS GovCloud (USA) bedeutet, dass unsere DoD-Kunden ihre Produktionsanwendungen bei AWS GovCloud (USA) bereitstellen können. Diese Genehmigung erlaubt es Kunden, sich an Aktivitäten hinsichtlich Konzeption, Entwicklung und Integration zu beteiligen, die erforderlich sind, um die Anforderungen von Impact Level 4 und 5 des DoD Cloud Computing SRG zu erfüllen.
Unsere vorläufige Autorisierung für Impact Level 6 für die AWS-Region Secret bedeutet, dass DoD-Kunden unsere Services nutzen können, um Daten bis hin zur Stufe Secret zu speichern, zu verarbeiten oder zu übertragen. Die Kunden können sich darauf verlassen, dass unsere Autorisierung alle Infrastrukturanforderungen für Impact Level 6 abdeckt. Das hilft ihnen bei der Verwaltung ihrer eigenen Compliance und Zertifizierung einschließlich Überprüfungs- und Sicherheitsmanagement.
-
Wie wirkt sich die vorläufige AWS-Autorisierung auf die ATO des Auftragsinhabers aus?
Wenn der DoD-Auftragsinhaber eine Anwendung in AWS im Sinne der gemeinsamen Verantwortung für die Sicherheit betreibt, ist er in geringerem Umfang für die Sicherheitskontrollen verantwortlich. AWS stellt eine sichere Hosting-Umgebung mit geltenden Sicherheitskontrollen für Auftragsinhaber und ihre Anwendungen bereit, befreit den Auftragsinhaber aber nicht von der Verantwortung, die Anwendung gemäß den DoD-Sicherheitskontrollen und der Compliance-Richtlinie sicher bereitzustellen, zu verwalten und zu überwachen.
Weitere Informationen zu den Verantwortlichkeiten der DoD-Anwendungseigentümer, die in AWS arbeiten, finden Sie im Whitepaper DoD-konforme Implementierungen in der AWS Cloud.
-
Können andere AWS-Services genutzt werden?
Ja, Kunden können ihre Verarbeitungslasten auf Eignung für andere AWS-Services prüfen. Jeder Auftragsinhaber kann das Risiko aller unserer Services bewerten und akzeptieren, die eingesetzt werden. Wenn Sie weitere Informationen zu Sicherheitskontrollen und Aspekte für die Akzeptanz von Risiken benötigen, wenden Sie sich bitte an die Abteilung AWS-Compliance.
-
Werden sich die Preise für AWS-Services durch die DoD-Compliance erhöhen?
Nein, durch Compliance-Programme werden sich die Kosten für AWS-Services nicht erhöhen.
-
Verwenden andere Abteilungen des US-Verteidigungsministeriums derzeit AWS?
Ja, zahlreiche DoD-Behörden und andere Organisationen, die dem DoD Systemintegration und andere Produkte und Services bereitstellen, setzen derzeit die große Palette von AWS-Services ein. AWS kann nur wenige der Kunden offenlegen, die Betriebszulassungen (ATOs) des DoD für Systeme in AWS erhalten haben, arbeitet aber regelmäßig mit Kunden und Bewertern bei der Planung, Bereitstellung, Zertifizierung und Akkreditierung ihrer DoD-Workloads in AWS zusammen.
-
Setzen ATOs einen physischen Durchlauf des Rechenzentrums des Service-Anbieters voraus?
DoD-Kunden können sich auf die Arbeit unserer FedRAMP-Drittanbieter-Bewertungsorganisationen (3rd Party Assessment Organizations, 3PAOs) verlassen, wozu auch eine umfangreiche Vor-Ort-Prüfung der physischen Sicherheit unserer Rechenzentren gehört. Dem DoD Cloud Computing SRG zufolge können DoD-Kunden ohne physische Begehung des Rechenzentrums des Service-Anbieters eine Betriebszulassung (ATO) erhalten, wenn bereits Zulassungen vorliegen.
-
Welche AWS-Services sind abgedeckt?
Eine vollständige Liste der abgedeckten Services finden Sie auf der Webseite AWS-Services in Scope nach Compliance-Programm.