越来越多的军事客户正采用以 AWS 公用事业为基础的云服务来处理、存储和传输国防部 (DoD) 数据。
AWS 允许军事机构及其商业伙伴利用安全的 AWS 环境来处理、维护和存储 DoD 数据。AWS 已经获得美国国防信息系统局 (DISA) 的临时授权。
AWS 维护了两个由 DoD 临时授权涵盖的环境:美国东西部区域和 AWS GovCloud (美国) 区域 (有关更多详细信息,请参阅下面的“常见问题”):
- 美国东部/西部持有第 2 影响级别 (IL) 的 DoD 临时授权。在 AWS 按合规性计划提供的范围内服务中,可找到美国东部/西部提供的、已处于 DoD SRG IL2 授权边界范围内的 AWS 服务。
- AWS GovCloud (美国) 持有第 2 影响级别和第 4 影响级别的 DoD 临时授权。在 AWS 按合规性计划提供的范围内服务中,可找到 GovCloud (美国) 提供的、已处于 DoD SRG IL2 和 IL4 授权边界范围内的 AWS 服务。
作为 DoD 客户,您也有责任在 AWS 应用程序环境内部符合 DoD 安全准则,其中包含下列项目:
• DoD 云计算安全要求指南 (SRG) 中定义的任务所有者要求
• 所有相关操作系统安全技术实施指南 (STIG)
• 所有相关应用程序 STIG
• DoD 端口和协议指南 (DoDI 8551.01)
AWS 的基础设施、管治措施和操作环境已通过 FedRAMP 和 DoD 授权流程经过评估和授权。作为在 AWS 基础设施上部署应用程序的客户,您会完全沿用与我们的实体、环境和媒体保护控制相关的安全控制,而且不再需要提供您如何遵守这些控制的详细描述。其余的 DoD 风险管理框架 (RMF) 控制由 AWS 及其客户共同负责,每个组织都保留在共享 IT 安全模型中各自部分内实施这些控制的责任。
作为 AWS 客户,您需要负责设计、部署、管理和监控 AWS 环境以及利用 AWS 功能的应用程序和第三方功能,包括您自己的实用程序、软件和应用程序。使用由 AWS 和我们供应商的生态系统所提供的安全功能,就能够构建具备高可用性的系统,这些系统还能够根据组织的相关政策进行紧密控制和监控。
DoD 客户和供应商可以利用我们的 FedRAMP 和 DoD 授权来加速他们的认证和鉴定流程。为了支持 AWS 托管的军事系统的授权,我们根据适用的 NIST 控制(如 800-53 第 4 修订版的定义)和 DoD 云计算 SRG,为 DoD 安全人员提供安全文档,作为验证 AWS 安全性和合规性的方法。
为了支持我们的 DoD 客户群体,我们提供了安全指南和文档包来加强他们对使用 AWS 作为 DoD 托管解决方案的安全性与合规性的理解。我们还特别提供了一个基于 NIST 800-53v4 的 AWS FedRAMP SSP 模板,其中预先填充了适用的 FedRAMP 和 DoD 控制基准。模板中继承的控制由 AWS 预先填充;共享控制由 AWS 和客户共同负责;而最终有些控制由客户全权负责。
要获取 AWS 安全文档,因其与 DoD 客户 (即,军事机构或与 DoD 有业务往来的承包商) 相关,请联系 AWS 销售和业务发展部或直接给我们团队发送电子邮件:awscompliance@amazon.com。
我们的政府部门客户很快认识到迁移到云端是提高安全保证级别以及降低运营风险的机会。AWS 操作环境让客户认识到只有在高度自动化支持的环境中才能实现某一级别的安全性和合规性。我们的客户在 AWS 上能够持续进行审核,而因为大多数 DoD 客户都在传统数据中心进行审核,所以他们只能在“某个时间点”进行定期盘点和环境审核。当您的环境拥有这种级别的可见性时,可直接提高您对数据的控制级别,您还能够保持只有授权用户才能够获取访问权限的保证。
DoD 任务所有者认识到,通过以编程方式强制实施 DoD 安全性和合规性准则,能够对应用程序进行更高级别的控制。使用 AWS 功能,您可以针对常用的应用程序使用案例创建预先批准的模板,以缩短授权新应用程序的时间。通过使用此类模板,DoD 组织还可以确保应用程序所有者不会更改安全组和网络 ACL 等之类的重要安全设置,也能强制使用强化过 STIG 的系统映像。以编程方式强制实施 DoD 安全性准则,可以减少系统管理员手动配置的工作量,还能显著降低出现不当配置的风险,从而降低 DoD 的整体风险。我们的联邦客户已在 AWS 上实现更高级别的安全保证。
其他合规性计划中的客户还可直接受益于使用 AWS 实现其风险和合规性目标:
• HIPAA 合规性:Claritas Genomics 的预算有限,需要能够达到 HIPAA 要求的低成本 IT 资源。
• 金融服务合规性:由于受到稳定增长的市场容量和不断变动的法规所带来的挑战,FINRA 转向使用 AWS。
• 金融服务合规性:NASDAQ 需要能够让监管机构访问越来越详细的金融信息。
发布 DoD SRG 的目的是为 CSP 提供标准化的评估和授权流程,以便 DoD 客户获取之后可利用的 DoD 临时授权。DoD 指南下的临时授权提供了可证实我们符合 DoD 标准的可重复使用认证,从而缩短 DoD 任务所有者评估其中一个系统并授权在 AWS 上运行所需的时间。有关 SRG 的其他信息,包括为第 2 级、第 4 级、第 5 级和第 6 级定义的安全控制基准的完整定义,请参阅此处。
作为 DoD 任务所有者,您需要负责构建一个授权包,其中完整定义了适用于应用程序的安全控制实施。就像任何传统的授权包一样,您需要使用系统安全计划来记录安全控制基准,并让 DoD 组织中的相关认证人员对此计划及其实施进行审核。在此审核过程中,您的认证人员或授权官方人员在审核应用程序时可能也希望审核 AWS 授权包,以便从整体上审核整个安全控制实施。审核完 AWS 的安全授权包以及任务所有者之后,您的授权官方人员将获得对应用程序做出鉴定决策所需的信息,然后授予 ATO。
有关 DoD 应用程序所有者在 AWS 上操作的相关责任的更多信息,请参阅我们的 AWS 云中的 DoD 合规性实施白皮书。
作为已得到 DoD 授权的云服务提供商,AWS 需要根据 SRG 中建立的 FedRAMP+ 控制接受评估。AWS 完成了此评估并已获得完整的第 4 影响级临时授权,可使任务所有者迁移的生产工作负载包括:
- 导出受控数据
- 隐私信息
- 受保护的健康信息
- 以及其他需要 CUI 明确指定的信息:
- 仅供官方使用
- 仅供官方使用
- 执法敏感信息
- 关键基础设施信息
- 敏感的安全信息
对于联邦政府关于提高云计算使用率的总体目标,SRG 可以给于支持,并为 DoD 支持此目标提供了一种方法。行政管理和预算局 (OMB) 于 2011 年 2 月 8 日制定了联邦云计算战略,该战略针对所有联邦机构在整个联邦政府内采用云技术的操作制定了指南。在此战略之后,于 2011 年 12 月发布的联邦要求制定了联邦风险与授权管理计划 (FedRAMP)。对于联邦机构在低、中和高风险影响级别的云部署和服务模型,将强制执行 FedRAMP。
DoD 首席信息官于 2012 年 7 月发布了云计算战略。该战略建立了联合信息环境 (JIE) 和 DoD 企业云环境:“DoD 云计算战略引入了一种方法,它可将国防部从当前使用一组重复、繁琐且昂贵的应用程序竖井的状态转变为可快速应对不断变化的任务需求的灵活、安全且经济高效的服务环境终极状态。DoD 首席信息官 (CIO) 承诺加快在国防部采用云计算的速度。”
DoD SRG 将 FedRAMP 计划当作一种途径,帮助 DoD 建立一个评估云服务提供商的标准化方法。AWS 已通过 FedRAMP 的评估并得到批准,并且已获颁数个针对美国东部和西部的代理中级 ATO 及涵盖 AWS GovCloud (美国) 区域的 FedRAMP JAB 高级临时 ATO (pATO)。有关 AWS FedRAMP 合规性的更多信息,请参阅我们的 FedRAMP 常见问题页面。
是的,AWS 已通过评估并被审批为美国东部和西部第 2 影响级及 AWS GovCloud(美国)区域第 4 影响级云服务提供商。
• 在第 2 级,所有 AWS 美国区域 (美国东部/西部和 AWS GovCloud (美国)) 已通过 DISA 的评估,并在证实符合 DoD 要求后获得了两个临时授权。AWS 通过利用我们现有的 FedRAMP Agency ATO 和 FedRAMP High Baseline pATO 实现了 DoD 的合规性要求。临时授权允许 DoD 实体机构评估 AWS 的安全性以及在 AWS 云中存储、处理和维护各种 DoD 数据的机会。
• 在第 4 级别,AWS GovCloud (美国) 已从 DISA 获得一个临时授权,允许 DoD 客户部署具有增强的控制基准 (与 SRG 中的这些级别相对应) 的生产应用程序。拥有预期为第 4 影响级应用程序的 DoD 客户应与 DISA 联系,以开始审批流程。
我们的临时授权涵盖美国大陆内的所有区域,包括 AWS GovCloud(美国)(第 2 级和第 4 级)以及 AWS 美国东部/西部区域(第 2 级)。
美国东部和美国西部区域持有第 2 级临时授权,可允许任务所有者同时使用 AWS 授权和任务应用程序的 ATO 在这些区域部署未分类的公开信息。AWS GovCloud(美国)区域现在持有第 2 级和第 4 级临时授权,可允许任务所有者部署这些级别所涵盖的所有未分类的受控信息类别。
授权将肯定我们作出的为客户提供安全服务的长期承诺。已通过授权流程的事实可向客户证实,我们正在处理 DoD SRG 的安全控制工作,而且我们的管理实践符合 DoD 指南。我们已通过 SRG 第 4 影响级评估并获得由 DISA 颁发的第 4 影响级临时授权。
我们的第 2 级临时授权意味着那些使用我们的服务存储、处理或传输 DoD 数据的 DoD 客户在管理其自己的合规性和认证 (包括审核和安全管理) 时,可以依赖我们的 AWS 基础设施授权,它们涵盖了由第 2 级定义的所有要求。将您的 DoD IT 环境迁移到 AWS 有助于您使用 AWS 提供的服务和功能提高您自己的合规性监管水平。
我们的 AWS GovCloud(美国)第 4 级临时授权意味着我们的 DoD 客户可以将其生产应用程序部署到 AWS GovCloud(美国)区域中。获得此授权后,客户能够参与为符合 DoD 云计算 SRG 的第 4 影响级要求而所必需的工作负载设计、开发和整合活动。
本着安全责任共担的精神,在 AWS 运行应用程序时,DoD 任务所有者将对降低的安全控制基准负责。AWS 通过适用的安全控制为任务所有者提供安全的托管环境,用于部署其应用程序,但这并未免除任务所有者需根据 DoD 安全控制和合规性政策安全部署、管理和监控其应用程序的责任。
有关 DoD 应用程序所有者在 AWS 上运行的相关责任的更多信息,请参阅我们的 AWS 云中的 DoD 合规性实施白皮书。我们近期会根据 SRG 修订此白皮书。
是,客户可以评估其工作负载以确定是否适合使用其他 AWS 服务。每个任务所有者都有权评估和接受他们选择使用的任何服务的风险。如需详细讨论有关安全控制和风险承受注意事项,请联系 AWS 销售和业务发展部。
不会,任何区域的服务成本都不会因 AWS 的合规性计划而增加。
是,许多 DoD 实体机构以及向 DoD 提供系统集成以及其他产品和服务的其他组织如今都在使用各种各样的 AWS 服务。AWS 不能公开许多已获得 AWS 系统的 DoD ATO 的客户,但 AWS 定期与客户及其评估员一起规划、部署、认证和鉴定他们在 AWS 上的 DoD 工作负载。
否。根据 DoD SRG,DoD 客户可通过利用我们的授权获取 ATO,无需进行服务提供商数据中心的实际演练。DoD 客户可以依靠我们 FedRAMP 第三方评估组织 (3PAO) 所做的工作,其中包含对于我们数据中心的物理安全的广泛现场审核。
要获取 AWS 支持文档,请向 AWS 销售和业务发展部提交申请。
有关 AWS 所提供服务的完整列表,请访问 AWS 按合规性计划提供的范围内服务页面。
