Guida ai requisiti di sicurezza dei provider di servizi cloud del Dipartimento della Difesa

Riteniamo che, per i clienti della pubblica amministrazione, la migrazione al cloud sia un’opportunità per aumentare i livelli di sicurezza e ridurre i rischi operativi. L’ambiente operativo di AWS consente di raggiungere livelli di sicurezza e conformità possibili solo in un ambiente che supporta elevati livelli di automazione. Piuttosto che il tradizionale data center che esegue inventari periodici e audit "point-in-time", i clienti AWS hanno la possibilità di condurre audit su base continua. Un tale livello di visibilità nell’ambiente di lavoro migliora notevolmente il controllo sui dati e consente di accertarsi che solo gli utenti effettivamente autorizzati possano accedere.

I responsabili di missione del Dipartimento della Difesa, ad esempio, possono ottenere maggiori livelli di controllo sulle applicazioni tramite l’applicazione programmatica delle linee guida di sicurezza e conformità del DoD. Grazie alle funzionalità di AWS è possibile creare modelli preapprovati per diversi casi d’uso comuni, riducendo così il tempo necessario per autorizzare nuove applicazioni. Mediante questi modelli è anche possibile accertarsi che i proprietari delle applicazioni non modifichino impostazioni di sicurezza critiche come i gruppi di sicurezza e le liste di controllo degli accessi di rete, imponendo anche l'uso di immagini predefinite conformi alle linee guida STIG. L’applicazione programmatica delle linee guida di sicurezza del DoD riduce la necessità di apportare modifiche manuali alla configurazione, riducendo gli errori in fase di configurazione e, di conseguenza, i rischi generali per il Dipartimento della Difesa.

No, Il Dipartimento della Difesa può fare riferimento alle valutazioni realizzate da organizzazioni terze (3PAO) in relazione alla conformità al programma FedRAMP, che prevedono un esame approfondito in loco dei controlli di sicurezza fisici dei data center. In conformità con la SRG sul cloud computing del Dipartimento della Difesa, un cliente del Dipartimento della Difesa può ottenere un’autorizzazione operativa (ATO) senza una procedura dettagliata del data center proveniente da un fornitore di servizi che dispone già di autorizzazioni.

Sì, AWS è stata valutata e ha ricevuto l’approvazione di provider di servizi cloud per le regioni Stati Uniti orientali e Stati Uniti occidentali con Impact Level 2, per la regione AWS GovCloud (Stati Uniti) con Impact Level 4 e 5 e per la regione segreta AWS con Impact Level 6.

• Con un Impact Level 2, tutte le regioni AWS negli Stati Uniti (Stati Uniti orientali/occidentali e AWS GovCloud (Stati Uniti)) hanno ricevuto una valutazione positiva dalla DISA, oltre a due autorizzazioni provvisorie dopo aver dimostrato la conformità ai requisiti del Dipartimento della Difesa. La conformità di AWS ai requisiti del Dipartimento della Difesa è stata ottenuta utilizzando l’autorizzazione provvisoria esistente (P-ATO) della FedRAMP Joint Authorization Board (JAB). Le autorizzazioni provvisorie consentono alle agenzie del Dipartimento della Difesa di valutare la sicurezza di AWS e l’opportunità di memorizzare, elaborare e archiviare un’ampia gamma di dati del dipartimento all’interno del cloud di AWS.
• Con Impact Level 4 e 5, la regione AWS GovCloud (Stati Uniti) ha ricevuto un’autorizzazione provvisoria dalla DISA che consente ai clienti DoD di distribuire in produzione applicazioni con controlli di sicurezza minimi che corrispondono a quelli dei diversi livelli previsti dalla SRG. I clienti del Dipartimento della Difesa con applicazioni potenzialmente in grado di raggiungere un Impact Level 4 e 5 devono contattare la DISA per avviare la procedura di approvazione.
• Con un Impact Level 6, la regione segreta AWS ha ricevuto un’autorizzazione provvisoria del Dipartimento della Difesa per carichi di lavoro con massimi livelli di segretezza. È disponibile un catalogo dei servizi della regione segreta AWS tramite l’Account Executive di AWS.

La guida ai requisiti di sicurezza (SRG) sul cloud computing del DoD sostiene l’obiettivo del governo federale degli Stati Uniti di intensificare l’utilizzo del cloud computing e fornisce al DoD i mezzi per raggiungerlo. L’8 febbraio 2011 l’Office of Management and Budgets (OMB) ha pubblicato il documento The Federal Cloud Computing Strategy, che fornisce a tutte le agenzie federali una serie di linee guida per l’adozione di tecnologie cloud in tutto il governo federale. Questa strategia è stata quindi seguita da un requisito federale pubblicato a dicembre 2011, il quale istituisce il Federal Risk and Authorization Management Program (FedRAMP). Il programma FedRAMP è obbligatorio per le distribuzioni e i servizi su cloud da parte di agenzie federali secondo i rischi di impatto di livello basso/moderato/alto.

A luglio 2012, il Dipartimento della Difesa ha visto la pubblicazione della propria strategia di cloud computing da parte del responsabile dei servizi informatici. Viene istituito il Joint Information Environment (JIE) e l’ambiente cloud del Dipartimento della Difesa: “La strategia di cloud computing del Dipartimento della Difesa è volta a trasformare lo stato attuale del Dipartimento, un silo di applicazioni con procedure ridondanti, complesse e costose, in un ambiente di servizi agile, sicuro e con costi ridotti in grado di rispondere rapidamente alle mutevoli esigenze delle missioni. Il responsabile dei servizi informatici (CIO) del Dipartimento della Difesa si impegna ad accelerare l’adozione del cloud computing all’interno del Dipartimento...”

La SRG del Dipartimento della Difesa impiega il programma FedRAMP per stabilire un approccio standardizzato alla valutazione dei provider di servizi cloud (CSP).

Quando viene eseguita un’applicazione su AWS secondo il modello di responsabilità condivisa della sicurezza, il responsabile di missione DoD deve effettuare una quantità minore di controlli di sicurezza di base. AWS fornisce un ambiente di hosting sicuro con controlli di sicurezza applicati per consentire al responsabile di missione di distribuire un’applicazione; tuttavia, quest’ultimo avrà la responsabilità di distribuire, gestire e monitorare l’applicazione in conformità con i controlli di sicurezza e le policy di conformità previste dal Dipartimento della Difesa.

Per ulteriori informazioni sulle responsabilità dei proprietari di applicazioni del DoD che operano in AWS, consulta il whitepaper “Implementazioni conformi ai requisiti del Dipartimento della Difesa nel cloud AWS”.

Per consultare un elenco completo dei servizi coperti, visita la pagina web Servizi AWS coperti dal programma di conformità.

I nostri fornitori e clienti del Dipartimento della Difesa (DoD) possono impiegare le autorizzazioni FedRAMP e DoD per accelerare le procedure di certificazione e accreditamento. Per supportare l’autorizzazione dei sistemi militari ospitati su AWS, forniamo al personale di sicurezza del Dipartimento della Difesa la documentazione necessaria per consentirti di verificare la conformità di AWS con i controlli NIST 800-53 (Revisione 5) applicabili e alle indicazioni della guida ai requisiti di sicurezza (SRG) sul cloud computing del DoD (Versione 1, Versione 3).

Forniamo ai nostri clienti del Dipartimento della Difesa un pacchetto di istruzioni sulla sicurezza e la documentazione sulla sicurezza e conformità necessaria per l’utilizzo di AWS come soluzione di hosting per le applicazioni del Dipartimento della Difesa. In particolare, forniamo un modello SSP per il programma FedRAMP di AWS basato sulla norma NIST 800-53 (Rev. 5), precompilato con i controlli di sicurezza applicabili previsti dal programma FedRAMP e dal Dipartimento della Difesa. I controlli ereditati all’interno del modello sono precompilati da AWS; i controlli condivisi rappresentano una responsabilità sia di AWS che del cliente; alcuni controlli, infine, sono sotto la completa responsabilità del cliente.

Le organizzazioni militari o gli appaltatori che collaborano con il Dipartimento della Difesa possono richiedere l’accesso alla documentazione di sicurezza AWS contattando l’Account Manager AWS o presentando il modulo di contatto per la conformità AWS. I clienti non governativi, ad esempio i partner AWS, possono scaricare il pacchetto di sicurezza FedRAMP per i partner AWS tramite AWS Artifact.

No, i programmi di conformità di AWS non determineranno un aumento dei costi dei servizi.

È compito principale del responsabile di missione del Dipartimento della Difesa creare un pacchetto di autorizzazioni che definisca in modo completo l’implementazione dei controlli di sicurezza della propria applicazione. Come per i pacchetti di autorizzazione tradizionali, occorre documentare i controlli di sicurezza minimi applicati con un piano di protezione del sistema; inoltre il piano e la relativa implementazione devono essere approvati dal personale di certificazione della propria organizzazione del DoD. Come parte di questa recensione, il personale addetto alla certificazione o il funzionario autorizzato può rivedere il pacchetto di autorizzazione AWS per ottenere una visione olistica dell'implementazione del controllo di sicurezza dall'alto verso il basso. Dopo aver esaminato i pacchetti di autorizzazioni di sicurezza del cliente e quelli di AWS, il funzionario autorizzato avrà a propria disposizione le informazioni necessarie per prendere una decisione in merito all’accreditamento della richiesta e, quindi, per fornire un’autorizzazione operativa o ATO.

Per ulteriori informazioni sulle responsabilità dei proprietari di applicazioni del DoD che operano in AWS, consulta il whitepaper “Implementazioni conformi ai requisiti del Dipartimento della Difesa nel cloud AWS”.

Sì, molte agenzie collegate al Dipartimento della Difesa, così come altre organizzazioni che forniscono integrazione di sistemi e altri prodotti e servizi al dipartimento, usano già un’ampia gamma di servizi AWS. AWS non divulga i nomi dei clienti che hanno ottenuto autorizzazioni operative (ATO) per il Dipartimento della Difesa con sistemi distribuiti in AWS, ma collabora quotidianamente con i propri clienti e con le relative entità di controllo per pianificare, distribuire, certificare e accreditare i loro carichi di lavoro in AWS.

Con le autorizzazioni provvisorie con Impact Level 2, i clienti DoD possono avvalersi di infrastrutture e servizi AWS per distribuire carichi di lavoro contenenti dati non riservati e alcuni tipi di informazioni private riservate del Dipartimento della Difesa. Trasferire un ambiente IT del Dipartimento della Difesa in AWS può migliorare la conformità grazie ai servizi e alle funzionalità disponibili.

Le autorizzazioni provvisorie con Impact Level 4 e 5 per la regione AWS GovCloud (Stati Uniti) consentono ai clienti DoD di AWS di distribuire le loro applicazioni di produzione nella regione AWS GovCloud (Stati Uniti). Questa autorizzazione consente ai clienti di intraprendere le attività di progettazione, sviluppo e integrazione necessarie per ottenere la conformità ai requisiti con Impact Level 4 e 5 previsti dalla SRG sul cloud computing del DoD.

La nostra autorizzazione provvisoria con Impact Level 6 per la regione segreta AWS implica che i clienti DoD possono utilizzare i nostri servizi per archiviare, elaborare o trasmettere dati fino ai massimi livelli di segretezza. I clienti possono contare sulla nostra autorizzazione per coprire tutti i requisiti infrastrutturali definiti con Impact Level 6, aiutandoli a gestire la propria conformità e certificazione, inclusi audit e gestione della sicurezza.

Le autorizzazioni provvisorie coprono diverse regioni negli Stati Uniti continentali, tra cui AWS GovCloud (Stati Uniti) con Impact Level 2, 4 e 5, le regioni degli Stati Uniti orientali e Stati Uniti occidentali di AWS con Impact Level 2 e la regione segreta AWS con Impact Level 6.

Sì, i clienti possono verificare l’idoneità dei loro carichi di lavoro con altri servizi AWS. I responsabili di missione devono valutare e accettare il rischio assegnato ai servizi di AWS che decidono di utilizzare. Per ulteriori informazioni sui controlli di sicurezza e sulle considerazioni relative all’accettazione dei rischi, contatta l’ufficio Conformità di AWS.

Le regioni Stati Uniti orientali e Stati Uniti occidentali hanno ottenuto un’autorizzazione provvisoria con Impact Level 2, che consente ai responsabili di missione di distribuirvi informazioni pubbliche e non riservate con l’autorizzazione di AWS e l’autorizzazione a operare della richiesta di missione (ATO). La regione AWS GovCloud detiene un’autorizzazione provvisoria con Impact Level 2, 4 e 5, che consente ai responsabili di missione di distribuire un’ampia gamma di informazioni controllate e non riservate coperte da tali livelli. La regione segreta AWS dispone di un’autorizzazione provvisoria con Impact Level 6 per carichi di lavoro con massimi livelli di segretezza.