FedRAMP

ภาพรวม


รัฐบาลกลางสหรัฐฯ นั้นทุ่มเทในการให้บริการแก่ชาวอเมริกันทุกคนด้วยแนวทางที่ล้ำสมัย ปลอดภัย และคุ้มค่าต่อต้นทุนที่สุด การประมวลผลระบบคลาวด์เป็นส่วนสำคัญที่ช่วยให้รัฐบาลกลางสามารถดำเนินงานได้อย่างมีประสิทธิภาพ และคิดค้นนวัตกรรมที่ต้องการในการพัฒนางานทั่วทั้งประเทศ นี่คือสาเหตุที่ทำให้ในปัจจุบันนี้หลายหน่วยงานรัฐบาลกลางใช้งานบริการระบบคลาวด์ AWS ในการประมวลผล จัดเก็บ และโอนถ่ายข้อมูลของรัฐบาลกลาง

คำถามที่พบบ่อย


  • Federal Risk and Authorization Management Program (FedRAMP) คือโปรแกรมการควบคุมงานของรัฐบาลสหรัฐฯ เพื่อการกำกับดูแลการประเมินความปลอดภัย การให้สิทธิ์อนุญาต และการเฝ้าตรวจสอบผลิตภัณฑ์และบริการระบบคลาวด์อย่างเป็นมาตรฐาน หน่วยงานรัฐบาลที่รับผิดชอบโครงการ FedRAMP ประกอบไปด้วยสำนักบริหารจัดการและงบประมาณ (OMB), องค์กรกำกับการบริหารงานภาครัฐแห่งประเทศสหรัฐอเมริกา (GSA), กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐอเมริกา (DHS), กระทรวงกลาโหมสหรัฐ (DoD), สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) และคณะกรรมการผู้บริหารเทคโนโลยีสารสนเทศระดับสูง (CIO)

    ผู้ให้บริการระบบคลาวด์ (CSP) ที่ต้องการนำเสนอข้อเสนอบริการระบบคลาวด์ (CSO) ของตนให้แก่รัฐบาลสหรัฐฯ จะต้องปฏิบัติงานอย่างสอดคล้องกับข้อกำหนดของ FedRAMP FedRAMP ใช้มาตรฐาน NIST Special Publication 800 และกำหนดให้ผู้ให้บริการระบบคลาวด์ต้องดำเนินการประเมินความปลอดภัยจากองค์กรประเมินความปลอดภัยภายนอก (3PAO) เป็นที่เรียบร้อยเพื่อให้แน่ใจว่าการให้สิทธิ์นั้นเป็นไปอย่างสอดคล้องกับบทบัญญัติรัฐบัญญัติการจัดการความปลอดภัยของข้อมูลกลาง (FISMA) สำหรับข้อมูลเพิ่มเติม โปรดดูที่เว็บไซต์ FedRAMP

  • เพื่อตอบรับกับนโยบาย Cloud First (ปัจจุบันคือกลยุทธ์ระบบคลาวด์อัจฉริยะ) หน่วยงาน Office of Management and Budget (OMB) ได้ออกประกาศนโยบาย FedRAMP (ปัจจุบันคือ กลยุทธ์การประมวลผลระบบคลาวด์ส่วนกลาง) เพื่อสร้างโปรแกรมสิทธิ์อนุญาตความปลอดภัยแรกของทั้งรัฐบาลสำหรับ Federal Information Security Modernization Act (FISMA) FedRAMP เป็นข้อบังคับของหน่วยงานของรัฐบาลกลางสหรัฐฯ และบริการระบบคลาวด์ทั้งหมด FedRAMP มีความสำคัญเนื่องจากเป็นโปรแกรมที่ช่วยเพิ่ม:

    • ความสม่ำเสมอและความเสถียรภาพในด้านความปลอดภัยของโซลูชันระบบคลาวด์ด้วยการใช้มาตรฐานที่กำหนดโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) และ FISMA
    • ความโปร่งใสระหว่างรัฐบาลสหรัฐฯ และผู้ให้บริการระบบคลาวด์
    • การตรวจสอบอัตโนมัติและแบบเรียลไทม์อย่างต่อเนื่อง
    • การใช้โซลูชั่นระบบคลาวด์ที่ปลอดภัยที่ผ่านการประเมินและการอนุญาต
  • นโยบาย Cloud First กำหนดให้หน่วยงานรัฐบาลกลางทั้งหมดใช้กระบวนการ FedRAMP ในการประเมิน อนุญาต และตรวจสอบความปลอดภัยของบริการระบบคลาวด์อย่างต่อเนื่อง หน่วยงาน FedRAMP Program Management Office (PMO) ได้สรุปข้อกำหนดต่อไปนี้เพื่อการปฏิบัติตามข้อกำหนดของ FedRAMP

    1. ผู้ให้บริการระบบคลาวด์ (CSP) ได้รับการอนุญาต Agency Authority to Operate (ATO) จากหน่วยงานรัฐบาลกลางสหรัฐฯ หรือ Provisional Authority to Operate (P-ATO) จากคณะกรรมการ Joint Authorization Board (JAB)
    2. CSP นั้นได้บรรลุข้อกำหนดด้านการควบคุมความปลอดภัยของ FedRAMP ดังที่ได้อธิบายไว้ในมาตรฐานควบคุมความปลอดภัยของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) 800-53, Rev. 4 สำหรับระดับผลกระทบปานกลางหรือสูง
    3. แพ็คเกจความปลอดภัยทั้งหมดของระบบจะต้องใช้แม่แบบ FedRAMP ที่กำหนดไว้
    4. CSP จะต้องได้รับการประเมินโดยองค์กรการประเมินภายนอก (3PAO) ที่ได้รับการรับรอง
    5. แพ็คเกจการประเมินความปลอดภัยโดยสมบูรณ์นั้นจะต้องอยู่ในพื้นที่จัดเก็บที่ปลอดภัยของ FedRAMP
  • การปฏิบัติงานอย่างสอดคล้องกับ FedRAMP สำหรับผู้ให้บริการระบบคลาวด์ (CSP) นั้นมีด้วยกันสองวิธี

    • การตรวจสอบโดยคณะกรรมการอนุญาตร่วม (JAB): ในการรับสิทธิ์อนุญาต Provisional Authority to Operate (P-ATO) จากคณะกรรมการ FedRAMP นั้น CSP จะต้องได้รับการประเมินจากองค์กร 3PAO ที่ FedRAMP รับรองแล้ว ได้รับการตรวจสอบโดยหน่วยงาน FedRAMP Program Management Office (PMO) และรับสิทธิ์อนุญาต P-ATO จาก JAB คณะกรรมการ JAB นั้นประกอบไปด้วยหัวหน้างาน Chief Information Officers (CIO) จากกระทรวงกลาโหม (Department of Defense – DoD) กระทรวงความมั่นคงแห่งมาตุภูมิ (Department of Homeland Security – DHS) และฝ่ายบริหารงานทั่วไป (General Services Administration – GSA)
    • การตรวจสอบโดยหน่วยงาน: เพื่อรับสิทธิ์อนุญาต FedRAMP Agency Authority to Operate (ATO) CSP จะต้องได้รับการตรวจสอบโดยหน่วยงาน Customer Agency CIO หรือ Delegated Authorizing Official เพื่อรับ ATO ที่สอดคล้องกับ FedRAMP ซึ่งตรวจสอบโดยหน่วยงาน FedRAMP Program Management Office (PMO)
  • หน่วยงานจากส่วนกลางหรือองค์กรของกระทรวงกลาโหม (DoD) สามารถใช้ประโยชน์จากข้อเสนอบริการระบบคลาวด์ (CSO) ของ AWS ขณะสร้างบล็อกสำหรับโซลูชันที่โฮสต์อยู่ในระบบคลาวด์ CSO แต่ละรายการของ AWS ได้รับการตรวจสอบสำหรับส่วนกลางและ DoD ใช้โดย FedRAMP และ DISA และการตรวจสอบจะถูกระบุไว้ใน Provisional Authority to Operate (P-ATO) CSP จะไม่ได้รับ Authority to Operate (ATO) สำหรับ CSO ของตน แต่จะได้รับ P-ATO แทน PATO เป็นการอนุมัติการจัดหาล่วงหน้าสำหรับหน่วยงานส่วนกลางหรือ DoD เพื่อใช้ CSO หน่วยงานส่วนกลางหรือองค์กร DoD สามารถใช้ประโยชน์จากแพ็คเกจความปลอดภัย FedRAMP ของ AWS เพื่อการตรวจสอบเอกสารสนับสนุน เพื่อระบุรายละเอียดของความรับผิดชอบร่วมกัน และดำเนินการตัดสินใจด้วยความเสี่ยงของตนเองเพื่อให้สิทธิ์อนุญาต ATO หากคุณมีคำถามอื่นๆ หรือต้องการข้อมูลเพิ่มเติม โปรดติดต่อผู้จัดการบัญชีฝ่ายขายของ AWS

    หน่วยงาน Authorizing Official (AO) สามารถใช้แพ็คเกจความปลอดภัย AWS FedRAMP เพื่อตรวจสอบเอกสารสนับสนุน เพื่อระบุรายละเอียดของความรับผิดชอบร่วมกัน และดำเนินการตัดสินใจด้วยความเสี่ยงของตนเองเพื่อให้สิทธิ์อนุญาต Agency Authority to Operate (ATO) แก่ AWS ได้ หน่วยงานต่างๆ มีความรับผิดชอบในการออก ATO ของตนให้แก่ AWS และมีความรับผิดชอบในการให้สิทธิ์อนุญาตโดยรวมสำหรับส่วนประกอบของระบบของตน หากคุณมีคำถามหรือต้องการข้อมูลเพิ่มเติม โปรดติดต่อผู้จัดการบัญชีฝ่ายขายของ AWS หรือATO กับทีม AWS

  • AWS คือผู้ให้บริการระบบคลาวด์ (CSP) ที่นำเสนอข้อเสนอบริการระบบคลาวด์ (CSO) ในฐานะ CSP AWS ปฏิบัติตามขั้นตอนของ FedRAMP เพื่อให้ CSO ของตนได้รับสิทธิ์สำหรับการใช้งานโดยหน่วยงานส่วนกลางหรือ DoD ขั้นตอนของ FedRAMP จะไม่ออก Authority to Operate (ATO) ให้กับ CSP แต่ขั้นตอนของ FedRAMP จะออก Provisional Authority to Operate (PATO) ให้แทน PATO เป็นการอนุมัติการจัดหาล่วงหน้าสำหรับหน่วยงานส่วนกลางหรือ DoD เพื่อใช้ CSO หน่วยงานส่วนกลางหรือ DoD จะใช้ PATO และการควบคุมแบบสืบทอดที่เกี่ยวข้องกับ PATO เมื่อปฏิบัติตามขั้นตอนเฟรมเวิร์กการบริหารจัดการความเสี่ยง (RMF) เพื่อรับ ATO ของตน โปรดทราบว่า PATO ของ AWS จะไม่อัปเกรดเป็น ATO เนื่องจากขั้นตอน FedRAMP ไม่มีการออก ATO ให้กับ CSP ATO จะถูกออกให้เป็นส่วนหนึ่งของขั้นตอนขั้นตอน RMF เท่านั้นและจะออกโดยหน่วยงานส่วนกลางหรือเจ้าหน้าที่ที่ได้รับอนุญาต (AO) ของ DoD ดูข้อมูลเพิ่มเติมเกี่ยวกับ FedRAMP ได้ที่เว็บไซต์ FedRAMP

  • FedRAMP เป็นขั้นตอนที่ผู้ให้บริการระบบคลาวด์ (CSP) ปฏิบัติตามเพื่อให้ข้อเสนอบริการระบบคลาวด์ (CSO) ของตนได้รับอนุมัติสำหรับหน่วยงานส่วนกลางหรือ DoD เพื่อใช้สร้างบล็อกสำหรับระบบที่โฮสต์อยู่ในระบบคลาวด์ เฟรมเวิร์กการบริหารจัดการความเสี่ยง (RMF) เป็นขั้นตอนที่หน่วยงานส่วนกลางหรือ DoD ปฏิบัติตามเพื่อให้ระบบ IT ของตนได้รับการอนุมัติเพื่อใช้งาน เฉพาะ CSP เท่านั้นที่ใช้ขั้นตอน FedRAMP และ CSP จะไม่ปฏิบัติตามขั้นตอน RMF หน่วยงานส่วนกลางหรือ DoD จะปฏิบัติตามขั้นตอน FedRAMP เท่านั้นหากกำลังสร้างบริการระบบคลาวด์ (ตัวอย่างเช่น MilCloud)

  • เราสนับสนุนให้ลูกค้าในหน่วยงานต่างๆ ใช้ประโยชน์จาก FedRAMP JAB ATO และแพ็คเกจการตรวจสอบที่มีอยู่เพื่อออกสิทธิ์อนุญาตในหารดำเนินการของตน

  • ใช่ AWS ให้บริการที่สอดคล้องกับโปรแกรม FedRAMP ซึ่งได้รับสิทธิ์อนุญาตแล้ว มีการจัดการการควบคุมความปลอดภัยของ FedRAMP (ตามมาตรฐาน NIST SP 800-53) ใช้แม่แบบที่กำหนดโดย FedRAMP สำหรับแพ็คเกจความปลอดภัยบน FedRAMP Repository ที่ปลอดภัย ได้รับการประเมินจากผู้ประเมินอิสระภายนอกที่ได้รับการรับรองแล้ว (3PAO) รวมถึงมีการปฏิบัติตามข้อกำหนดในการตรวจสอบอย่างต่อเนื่องของ FedRAMP:

  • ไม่ จะไม่มีการขึ้นราคาค่าบริการในรีเจี้ยนใดๆ เนื่องจากการปฏิบัติตามข้อกำหนดของ FedRAMP ของ AWS

  • มีการออก FedRAMP P-ATO สองรายการแยกกันแล้ว โดยรายการหนึ่งครอบคลุม AWS GovCloud (สหรัฐฯ) และอีกรายการหนึ่งครอบคลุมรีเจี้ยน AWS US East/West

  • ใช่ หน่วยงานรัฐบาลกว่า 2,000 แห่งและหน่วยงานอื่นๆ ที่ให้บริการผสานระบบรวมถึงผลิตภัณฑ์และบริการอื่นๆ แก่หน่วยงานรัฐบาลกำลังใช้บริการของ AWS หลากหลายบริการด้วยกันในปัจจุบัน คุณสามารถตรวจสอบดูกรณีศึกษาเกี่ยวกับหน่วยงานภาครัฐของสหรัฐอเมริกาที่ใช้ AWS ผ่านเว็บเพจความสำเร็จของลูกค้า AWS สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการปฏิบัติงานของ AWS ตามข้อกำหนดด้านความปลอดภัยระดับสูงของรัฐบาล โปรดดูที่เว็บเพจ AWS สำหรับรัฐบาล

  • บริการของ AWS ที่ครอบคลุมซึ่งอยู่ในขอบข่ายของ FedRAMP และ DoD SRG อยู่แล้วนั้นได้รับการระบุไว้ในขอบข่ายการบริการของ AWS ซึ่งเป็นไปตามโปรแกรมการปฏิบัติตามข้อกำหนด เมื่อคลิกที่แท็บ FedRAMP หรือ DoD SRG บริการที่มี '“✓” จะบ่งชี้ว่า FedRAMP JAB ได้ตรวจสอบว่าบริการเป็นไปตามข้อกำหนดพื้นฐานทั่วไปของ FedRAMP แล้ว (ตามด้วย DoD SRG IL2) สำหรับ AWS US East-West และ/หรือข้อกำหนดพื้นฐานขั้นสูงของ FedRAMP (ตามด้วย DoD SRG IL2, IL4, และ IL5) สำหรับ AWS GovCloud (สหรัฐฯ) บริการเหล่านี้อยู่ภายในคำอธิบายบริการสำหรับ AWS ใน FedRAMP Marketplace หากบริการมีเครื่องหมายเป็น "การประเมินโดย 3PAO" หรือ "อยู่ระหว่างการประเมิน" AWS จะไม่สามารถนำมาใช้หรือบำรุงรักษาการควบคุมของ FedRAMP ได้เนื่องจากบริการเหล่านั้นยังอยู่ในระหว่างการประเมิน หากบริการมีเครื่องหมายเป็น "การตรวจสอบโดย JAB" หรือ "การตรวจสอบโดย DISA" หมายความว่าบริการดังกล่าวได้ผ่านการประเมินโดย 3PAO เป็นที่เรียบร้อยและอยู่คิวของผู้ควบคุม สำหรับบริการเหล่านี้ AWS ได้นำมาใช้และได้ผ่านการประเมินสำหรับการควบคุมของ FedRAMP ที่เกี่ยวข้อง แต่บริการดังกล่าวไม่ได้รับการตรวจสอบโดบ JAB หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้ และ/หรือมีความสนใจใช้บริการอื่นๆ โปรดติดต่อฝ่ายขายและพัฒนาธุรกิจของ AWS

  • ได้ ลูกค้าสามารถประเมินปริมาณงานของตนเพื่อตรวจสอบความเหมาะสมกับบริการของ AWS อื่นๆ ได้ ติดต่อฝ่ายขายและพัฒนาธุรกิจของ AWS หากต้องการพูดคุยโดยละเอียดเกี่ยวกับข้อพิจารณาในการควบคุมความปลอดภัยและยอมรับความเสี่ยง

  • ใช่ ลูกค้าสามารถประเมินปริมาณงานที่มีผลกระทบสูงเพื่อตรวจสอบความเหมาะสมด้วย AWS ได้ ขณะนี้ ลูกค้าสามารถวางปริมาณงานที่มีผลกระทบสูงของตนได้บน AWS GovCloud (สหรัฐฯ) ซึ่งได้รับสิทธิ์อนุญาต Joint Authorization Board Provisional Authority-To- Operate (JAB P-ATO) สำหรับระดับผลกระทบขั้นสูง

  • ลูกค้าหน่วยงานรัฐบาลสหรัฐอเมริกา และผู้รับจ้างสามารถขอเข้าถึงแพ็กเกจความปลอดภัย FedRAMP ของ AWS จาก FedRAMP PMO ได้โดยการกรอกแบบฟอร์มขอเข้าถึงแพ็กเกจ แล้วส่งไปยัง info@fedramp.gov

    ลูกค้าและคู่ค้าเชิงพาณิชย์สามารถขอเข้าถึงแพ็คเกจคู่ค้า FedRAMP ของ AWS สำหรับคำแนะนำที่เกี่ยวข้องกับการสร้างเพิ่มเติมกับข้อเสนอและการช่วยเหลือของ AWS ในการสร้างบริการที่สอดคล้องกับ FedRAMP/DoD แพ็คเกจคู่ค้าสามารถพบได้ในบัญชี AWS ของคุณผ่าน AWS Artifact หรือโดยการขอผ่านผู้จัดการบัญชี AWS ของคุณ

  • ภายใน FedRAMP Concept of Operations (CONOPS) หลังจากที่ได้รับสิทธิ์อนุญาตแล้ว การดำเนินงานด้านความปลอดภัยของ CSP จะได้รับการตรวจสอบตามขั้นตอนการประเมินและให้สิทธิ์อนุญาต หากต้องการต่อสิทธิ์อนุญาต FedRAMP แบบปีต่อปี CSP จะต้องตรวจสอบการควบคุมความปลอดภัย ประเมินการควบคุมความปลอดภัยเป็นประจำ และแสดงให้เห็นว่าการดำเนินงานด้านความปลอดภัยของการให้บริการนั้นอยู่ในมาตรฐานที่ยอมรับได้อย่างต่อเนื่อง หน่วยงานรัฐบาลกลางที่ใช้โปรแกรมการตรวจสอบอย่างต่อเนื่อง FedRAMP และ Authorizing Officials (AO) รวมถึงทีมของตนที่ได้รับมอบหมายมีความรับผิดชอบในการตรวจสอบการปฏิบัติงานของ AWS ตามข้อกำหนดอย่างต่อเนื่อง AO และทีมที่ได้รับมอบหมายของตนจะต้องตรวจสอบสิ่งประดิษฐ์ที่นำเสนอระหว่างขั้นตอนการตรวจสอบ AWS FedRAMP อย่างต่อเนื่อง นอกเหนือจากหลักฐานในการปฏิบัติงานตามการควบคุมของหน่วยงานใดๆ ที่อยู่นอกการกำกับควบคุมของ FedRAMP สำหรับข้อมูลเพิ่มเติม โปรดดูโปรแกรมหรือนโยบายด้านความปลอดภัยของระบบข้อมูลของหน่วยงานของคุณ

  • ไม่ เคล็ดลับและคำแนะนำประจำสัปดาห์ของ FedRAMP เมื่อวันที่ 10 สิงหาคม 2016 นั้นระบุว่าการใช้งานระหว่าง CSP และหน่วยงานรัฐบาลกลางไม่จำเป็นต้องมี ISA

  • ลูกค้าสามารถเข้าถึงแพ็คเกจความปลอดภัย AWS FedRAMP ได้โดยใช้ AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับการเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact

    หากคุณมีคำถามเฉพาะเกี่ยวกับการปฏิบัติตามข้อกำหนด FedRAMP หรือ DoD โปรดติดต่อผู้จัดการบัญชี AWS ของคุณ หรือส่งแบบฟอร์มติดต่อเราเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS เพื่อติดต่อกับทีมการปฏิบัติตามข้อกำหนดของ FedRAMP

  • หน่วยงานรัฐบาลกลางจะได้รับการประเมินโดยสำนักงานผู้ตรวจสอบทั่วไป (OIG) และตัววัดที่มีพื้นฐานจากภายในซึ่งให้บริการโดยกระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) เกณฑ์สำหรับตัววัด FISMA OIG และ CIO คือ NIST SP 800 ฉบับพิเศษที่เน้น NIST SP 800-53 สำหรับหน่วยงานเหล่านี้ที่พึ่งพาการรักษาความปลอดภัยของ CSP FedRAMP เป็นโปรแกรมการปฏิบัติตามข้อกำหนดซึ่งสร้างขึ้นบนพื้นฐานของการควบคุม NIST SP 800-53 เพื่อให้สอดคล้องตามข้อกำหนดของ FISMA ภายในระบบคลาวด์

    โปรแกรมการปฏิบัติตามข้อกำหนด FedRAMP ถูกใช้โดย DoD เพื่อให้เป็นไปตามระดับผลกระทบในคู่มือข้อกำหนดด้านความปลอดภัยของการประมวลผลระบบคลาวด์ของกระทรวงกลาโหม (DoD CC SRG) ซึ่งกำหนดให้สอดคล้องกับ FIPS 140-2 สำหรับการควบคุมการเข้ารหัสบางรูปแบบ ข้อกฎหมาย Defense Federal Acquisition Regulation Supplement (DFARS) กำหนดให้ผู้รับจ้างของ DoD ที่ดำเนินการ จัดเก็บ หรือส่งต่อข้อมูลที่ไม่ได้จำแนกประเภทควบคุม (CUI) ให้เป็นไปตามกลุ่มมาตรฐานความปลอดภัยที่รวมถึงข้อกำหนด NIST SP 800-171 NIST SP 800-171 ให้ข้อกำหนดด้านความปลอดภัยที่แนะนำกับหน่วยงานต่างๆ สำหรับการปกป้องการรักษาความลับของข้อมูลที่ไม่ได้จำแนกประเภทควบคุม (CUI)

มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »