Guia de requisitos de segurança para provedores de serviços em nuvem do Departamento de Defesa

Acreditamos que, para os clientes governamentais, a migração para a nuvem é uma oportunidade de aumentar o nível de garantia de segurança e reduzir os riscos operacionais. O ambiente operacional da AWS permite obter um nível de segurança e conformidade que só é possível em um ambiente respaldado por altos níveis de automação. Em vez dos tradicionais inventários e auditorias pontuais realizadas pelos datacenters, os clientes da AWS podem realizar auditorias “point-in-time”. A disponibilidade desse nível de visibilidade sobre o ambiente aprimora o controle de dados e aumenta a capacidade de manter a garantia de que somente usuários autorizados têm acesso.

Por exemplo, os proprietários de missão do DoD podem obter níveis mais altos de controle sobre aplicações por meio da aplicação programática das diretrizes de segurança e conformidade do DoD. A AWS permite criar modelos pré-aprovados para casos de uso de aplicações comuns, reduzindo o tempo de autorização de novas aplicações. Os modelos podem ajudar a garantir que os proprietários de aplicativos não alterem definições vitais de segurança, como grupos de segurança e Network ACLs, como também obrigar o uso de imagens de máquina reforçadas de acordo com o STIG. Essa aplicação programática de diretrizes de segurança do DoD reduz os esforços de configuração manual, o que diminui as configurações inadequadas e o risco geral para o DoD.

Não. Os clientes do DoD podem confiar no trabalho executado pelas nossas organizações externas de avaliação (3PAO) do FedRAMP, que inclui uma extensa avaliação local da segurança física dos nossos data centers. De acordo com o SRG de computação em nuvem do DoD, um cliente do DoD pode obter uma autorização para operar (ATO) sem a necessidade de uma inspeção física no data center de um provedor de serviços que já possua autorizações.

Sim. A AWS foi avaliada e aprovada como provedor de serviços de nuvem para as regiões Leste dos EUA e Oeste dos EUA no nível de impacto 2, para a AWS GovCloud (EUA) nos níveis de impacto 4 e 5 e para a AWS Secret Region no nível de impacto 6.

• No nível de impacto 2, as regiões da AWS baseadas nos EUA (Leste/Oeste dos EUA e AWS GovCloud (EUA)) foram avaliadas pela DISA e receberam duas autorizações provisórias depois de demonstrar conformidade com os requisitos do DoD. A conformidade da AWS com os requisitos do DoD foi alcançada usando a nossa autorização provisória para operar (P-ATO) do Joint Authorization Board (JAB) do FedRAMP. As autorizações provisórias permitem que as entidades do DoD avaliem a segurança da AWS e a oportunidade de armazenar, processar e manter uma variedade de dados do DoD na Nuvem AWS.
• Nos níveis de impacto 4 e 5, a região AWS GovCloud (EUA) recebeu uma autorização provisória da DISA para permitir aos clientes do DoD implantar aplicações de produção com as linhas de base de controle aperfeiçoadas, correspondendo aos níveis do SRG mencionados. Os clientes do DoD com possíveis aplicações nos níveis de impacto 4 e 5 devem entrar em contato com a DISA para iniciar o processo de aprovação.
• No nível de impacto 6, a AWS Secret Region tem uma autorização provisória do DoD para workloads com nível secreto ou inferior. Um catálogo de serviços para a AWS Secret Region está disponível com o seu executivo de contas da AWS.

O SRG de computação em nuvem do DoD oferece suporte à meta geral do governo federal dos EUA de aumentar o uso da computação em nuvem e oferece os meios para que o DoD apoie essa meta. Em 8 de fevereiro de 2011, o Office of Management and Budget (OMB) estabeleceu a Federal Cloud Computing Strategy, que definiu a orientação para todas as agências federais adotarem tecnologias de nuvem em todo o governo federal. Esta estratégia foi seguida por um requisito federal, lançado em dezembro de 2011, estabelecendo o Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de risco e autorização). O FedRAMP é obrigatório para implantações e modelos de serviços na nuvem para os órgãos federais, com níveis de impacto de risco baixo, moderado e alto.

Em julho de 2012, o DoD lançou sua estratégia de computação em nuvem, criada pelo diretor de tecnologia da informação do DoD. Essa estratégia definiu o Joint Information Environment (JIE) e o Enterprise Cloud Environment do DoD: “a estratégia de computação em nuvem do DoD apresenta uma abordagem para mudar o departamento do estado atual de um conjunto de silos de aplicações oneroso, duplicado e inconveniente para um estado final de um ambiente de serviços ágil, seguro e econômico que pode reagir rapidamente à constante evolução das necessidades da missão. O diretor de tecnologia da informação do DoD está comprometido com a aceleração da adoção da computação em nuvem no departamento...”

O SRG de computação em nuvem do DoD utiliza o programa FedRAMP como um meio de estabelecer uma abordagem padronizada para que o DoD avalie os provedores de serviços de nuvem (CSPs).

Ao operar uma aplicação na AWS, no espírito da responsabilidade de segurança compartilhada, o proprietário de missão do DoD é responsável por uma linha de base reduzida de controles de segurança. A AWS fornece um ambiente de hospedagem seguro, com os controles de segurança aplicáveis, para que os proprietários de missão possam implantar suas aplicações, mas não os libera da sua responsabilidade de implantar, gerenciar e monitorar com segurança suas aplicações de acordo com os controles de segurança e a política de conformidade do DoD.

Para obter mais informações sobre a responsabilidade dos proprietários de aplicações do DoD que operam na AWS, consulte o whitepaper DoD-Compliant Implementations in the AWS Cloud.

Para obter uma lista completa dos serviços incluídos, acesse a página da web Serviços da AWS no escopo por programa de conformidade.

Nossos clientes e fornecedores do DoD podem usufruir de nossas autorizações do FedRAMP e do DoD para acelerar seus esforços de certificação e credenciamento. Para oferecer suporte à autorização de sistemas militares hospedados na AWS, fornecemos documentação ao pessoal de segurança do DoD para que você possa verificar a conformidade da AWS com os controles aplicáveis do NIST 800-53 (Revisão 5) e com o SRG de computação em nuvem do DoD (versão 1, release 3).

Oferecemos aos nossos clientes do DoD um pacote de orientações e documentação de segurança sobre como usar a AWS como uma solução de hospedagem do DoD mantendo a segurança e a conformidade. Especificamente, disponibilizamos um modelo de SSP do FedRAMP da AWS com base no NIST 800-53 (Rev. 5). Esse modelo é preenchido automaticamente com a linha de base de controles aplicáveis do FedRAMP e do DoD. Os controles herdados dentro do modelo são preenchidos automaticamente pela AWS, os controles compartilhados são responsabilidade da AWS e do cliente, e alguns controles são responsabilidade exclusiva do cliente.

Organizações militares ou prestadores de serviço com contratos ativos com o DoD podem solicitar acesso à documentação de segurança da AWS entrando em contato com o seu gerente de contas da AWS ou enviando o formulário de contato da conformidade da AWS. Clientes não governamentais, como os parceiros da AWS, podem fazer download do pacote de segurança do FedRAMP para parceiros da AWS usando o AWS Artifact.

Não, não há aumento nos custos do serviço para qualquer serviço como consequência dos programas de conformidade da AWS.

Como proprietário de missão do DoD, você é responsável pela criação de um pacote de autorização que defina completamente sua implementação dos controles de segurança aplicáveis para a sua aplicação. Como ocorre com qualquer pacote de autorização tradicional, você precisa documentar seus parâmetros de controle de segurança com um plano de segurança de sistema, e ter esse plano e sua implementação revisados pela equipe de certificação específica da sua organização do DoD. Como parte dessa revisão, o seu pessoal de certificação ou oficial de autorização pode examinar o pacote de autorização da AWS para obter uma visão holística, de cima para baixo, da implementação dos controles de segurança. Após a revisão do seu pacote de autorização e segurança e dos pacotes de autorização e segurança da AWS, seu agente de autorização terá as informações necessárias para tomar uma decisão sobre o credenciamento da sua aplicação e conceder uma ATO.

Para obter mais informações sobre a responsabilidade dos proprietários de aplicações do DoD que operam na AWS, consulte o whitepaper DoD-Compliant Implementations in the AWS Cloud.

Sim. Muitas entidades do DoD e outras organizações que oferecem integração de sistemas e outros produtos e serviços para o DoD usam hoje a ampla gama de serviços da AWS. A AWS não está autorizada a revelar diversos clientes que já obtiveram autorizações para operar (ATOs) do DoD para seus sistemas na AWS, mas trabalha regularmente com clientes e seus assessores em atividades de planejamento, implantação, certificação e credenciamento das suas workloads do DoD na AWS.

Nossas autorizações provisórias do nível de impacto 2 permitem que clientes do DoD usem infraestrutura e serviços em conformidade da AWS para implantar workloads que incluem dados liberados para divulgação pública e algumas informações confidenciais privadas do DoD. Transferir seu ambiente de TI do DoD para a AWS pode ajudar a melhorar suas próprias falhas de conformidade com os serviços e recursos disponibilizados pela AWS.

Nossas autorizações provisórias de níveis de impacto 4 e 5 para a AWS GovCloud (EUA) significam que nossos clientes do DoD podem implantar suas aplicações de produção na região AWS GovCloud (EUA). Essa autorização permite que os clientes se envolvam em atividades de projeto, desenvolvimento e integração de workloads que devem estar em conformidade com os níveis de impacto 4 e 5 do SRG de computação em nuvem do DoD.

A nossa autorização provisória para o nível de impacto 6 da AWS Secret Region significa que os clientes do DoD podem usar nossos serviços para armazenar, processar ou transmitir dados de nível secreto ou inferior. Os clientes podem confiar em nossa autorização para cumprir todos os requisitos de infraestrutura definidos pelo nível de impacto 6, o que os ajuda a gerenciar sua própria conformidade e certificação, incluindo o gerenciamento de auditorias e segurança.

Nossas autorizações provisórias abrangem várias regiões nos Estados Unidos continentais, incluindo a região AWS GovCloud (EUA) (níveis de impacto 2, 4 e 5), as regiões Leste/Oeste dos EUA (nível de impacto 2) da AWS, além da AWS Secret Region (nível de impacto 6).

Sim, os clientes podem avaliar a adequação de suas workloads com outros serviços da AWS. Cada proprietário de missão é capacitado para avaliar e aceitar os riscos apresentados por qualquer um de nossos serviços escolhidos para utilização. Para obter mais informações sobre considerações de controle de segurança e aceitação de riscos, entre em contato com a Conformidade da AWS.

As regiões Leste e Oeste dos EUA da AWS têm uma autorização provisória para o nível de impacto 2, o que permite aos proprietários de missão implantar informações públicas e não confidenciais nessas regiões da AWS, tanto com a autorização da AWS quanto com a ATO da aplicação da missão. A região AWS GovCloud tem uma autorização provisória para os níveis de impacto 2, 4 e 5, o que permite que proprietários de missão implantem toda a variedade de categorias de informações controladas e não confidenciais abrangidas por esses níveis. A AWS Secret Region tem uma autorização provisória para o nível de impacto 6 e permite workloads de nível secreto ou inferior.