DoD SRG

概览

140940_AWS_Multi-Logo Graphic_600x400_DoD

越来越多的军事客户正在采用 AWS 服务来处理、存储和传输国防部 (DoD) 数据。

AWS 让军事机构及其商业伙伴能够利用安全的环境来处理、维护和存储 DoD 数据。AWS 已经获得美国国防信息系统局 (DISA) 的临时授权。

获得 DoD 临时授权的 AWS 环境有三个:美国西部和美国东部区域、AWS GovCloud(美国)区域以及 AWS 机密区域。

美国东部/西部持有第 2 影响级别 (IL) 的 DoD 临时授权。在 AWS 按合规性计划提供的范围内服务中,可找到美国东部/西部提供的、已处于 DoD SRG IL2 授权边界范围内的 AWS 服务。

AWS GovCloud (US) 持有第 2 影响级别、第 4 影响级别和第 5 影响级别的 DoD 临时授权。在 AWS 按合规性计划提供的范围内服务中,可找到 GovCloud (美国) 提供的、已处于 DoD SRG 第 2 影响级别、第 4 影响级别和第 5 影响级别的授权边界范围内的 AWS 产品。

AWS 机密区域持有第 6 影响级别的 DoD 临时授权。AWS 机密区域的设计和构建符合 DoD 和情报机构对机密工作负载的特定安全要求。您可以向您的 AWS 客户经理索要该区域的服务目录。

作为 DoD 客户,您也有责任在 AWS 应用程序环境内遵守 DoD 安全准则,其中包括:

DoD 云计算安全要求指南 (SRG) 中定义的任务所有者要求
• 所有相关操作系统安全技术实施指南 (STIG)
• 所有相关应用程序 STIG
• DoD 端口和协议指南 (DoDI 8551.01)

AWS 的基础设施、管治措施和操作环境已通过 FedRAMP 和 DoD 授权流程经过评估和授权。作为在 AWS 基础设施上部署应用程序的客户,您会沿用与我们的实体、环境和媒体保护相关的安全控制措施,而且不再需要详细说明您如何遵守这些控制要求。其余的 DoD 风险管理框架 (RMF) 控制措施由 AWS 及其客户共同负责,每个组织都有责任在共享 IT 安全模型与自己对应的部分内实施这些控制措施。

  • 我该如何使用 AWS 安全文档和指南?

    DoD 客户和供应商可以利用我们的 FedRAMP 和 DoD 授权来加速他们的认证和鉴定流程。为了支持 AWS 托管的军事系统的授权,我们根据 800-53 rev4 和 DoD 云计算 SRG 规定的相应 NIST 控制措施,为 DoD 安全人员提供安全文档,作为验证 AWS 安全性和合规性的方法。

    为了支持我们的 DoD 客户群体,我们提供了安全指南和文档包来加强他们对使用 AWS 作为 DoD 托管解决方案的安全性与合规性的理解。我们还特别提供了一个基于 NIST 800-53v4 的 AWS FedRAMP SSP 模板,其中预先填充了适用的 FedRAMP 和 DoD 控制基准。模板中继承的控制由 AWS 预先填充;共享控制由 AWS 和客户共同负责;而最终有些控制由客户全权负责。

    要请求获取与 DoD 客户 (军事机构或与 DoD 有业务往来的承包商) 相关的 AWS 安全文档,请联系 AWS 销售和业务拓展团队或直接给我们团队发送电子邮件:awscompliance@amazon.com

  • 迁移到 AWS 能够让我获得什么价值?

    我们认为,对于政府客户而言,迁移到云是一个提高安全保障水平并降低运营风险的机会。AWS 操作环境让客户获得了只有在高度自动化支持的环境中才能实现的安全水平和合规性水平。在 AWS 上,客户能够进行持续审核,而不是像使用传统数据中心的大多数 DoD 客户一样进行定期的清单审核和“时间点”审核。获得对环境的这种可见性可以增强数据控制能力,并增强您保证只有授权用户才有权访问的能力。

    例如,DoD 任务所有者可以用编程方式强制实施 DoD 安全性和合规性准则,从而对应用程序实现更高程度的控制。使用 AWS 功能,您可以针对常用的应用程序使用案例创建预先批准的模板,从而缩短授权新应用程序的时间。此类模板可以确保应用程序所有者不会更改安全组和网络 ACL 等的重要安全设置,并强制使用按照 STIG 强化过的系统映像。此外,以编程方式强制实施 DoD 安全指南还可以减少手动配置工作,从而减少不合理的配置并降低 DoD 面临的总体风险。

    加入其他合规性计划的客户也会直接受益于使用 AWS 实现其风险和合规性目标:
    • HIPAA 合规性:Claritas Genomics 的预算有限,需要能够让其达到 HIPAA 要求的低成本 IT 资源。
    • 金融服务合规性:由于受到稳定增长的市场容量和不断变动的法规所带来的挑战,FINRA 改为使用 AWS
    • 金融服务合规性:NASDAQ 需要能够让监管机构访问越来越详细的金融信息。

  • 什么是 DoD 云计算 SRG?

    发布 DoD SRG 的目的是为 CSP 提供标准化的评估和授权流程,以便 DoD 客户获取之后可利用的 DoD 临时授权。DoD 指南下的临时授权提供了可证实我们符合 DoD 标准的可重复使用认证,从而缩短 DoD 任务所有者评估其中一个系统并授权在 AWS 上运行所需的时间。有关 SRG 的其他信息,包括为第 2 级、第 4 级、第 5 级和第 6 级定义的安全控制基准的完整定义,请参阅此处

    DoD_Hub_FedRAMP
  • 任务所有者的操作授权书 (ATO) 的授权路径

    作为 DoD 任务所有者,您需要负责构建一个授权包,其中完整定义了适用于应用程序的安全控制实施。就像任何传统的授权包一样,您需要使用系统安全计划来记录安全控制基准,并让 DoD 组织中的相关认证人员对此计划及其实施进行审核。在此审核过程中,您的认证人员或授权官方人员在审核应用程序时可能也希望审核 AWS 授权包,以便从整体上审核整个安全控制实施。审核完 AWS 的安全授权包以及任务所有者之后,您的授权官方人员将获得对应用程序做出鉴定决策所需的信息,然后授予 ATO。

    有关 DoD 应用程序所有者在 AWS 上操作的相关责任的更多信息,请参阅我们的 AWS 云中的 DoD 合规性实施白皮书

  • 云计算 SRG 的发布对当前的 AWS 临时授权有何影响?

    作为已获得 DoD 授权的云服务提供商,AWS 需要根据 SRG 中建立的 FedRAMP+ 控制接受评估。AWS 完成了这一评估并获得了第 4 影响级别和第 5 影响级别临时授权,允许任务所有者迁移以下生产工作负载:

    • 导出受控数据
    • 隐私信息
    • 受保护的健康信息
    • 以及需要有明确的受控非保密信息目的地的其他信息:
      • 仅供官方使用
      • 仅供官方使用
      • 执法敏感信息
      • 关键基础设施信息
      • 敏感的安全信息
  • SRG 为何十分重要?

    对于联邦政府关于提高云计算使用率的总体目标,SRG 可以给于支持,并为 DoD 支持此目标提供了一种方法。行政管理和预算局 (OMB) 于 2011 年 2 月 8 日制定了联邦云计算战略,该战略针对所有联邦机构在整个联邦政府内采用云技术的操作制定了指南。在此战略之后,于 2011 年 12 月发布的联邦要求制定了联邦风险与授权管理计划 (FedRAMP)。对于联邦机构在低、中和高风险影响级别的云部署和服务模型,将强制执行 FedRAMP。

    DoD 首席信息官于 2012 年 7 月发布了云计算战略。该战略建立了联合信息环境 (JIE) 和 DoD 企业云环境:“DoD 云计算战略引入了一种方法,它可将国防部从当前使用一组重复、繁琐且昂贵的应用程序竖井的状态转变为可快速应对不断变化的任务需求的灵活、安全且经济高效的服务环境终极状态。DoD 首席信息官 (CIO) 承诺加快在国防部采用云计算的速度……”

    DoD SRG 将 FedRAMP 计划当作一种途径,帮助 DoD 建立一个评估云服务提供商的标准化方法。AWS 已通过 FedRAMP 的评估并得到批准,并且已获颁数个针对美国东部和西部的代理中级 ATO 及涵盖 AWS GovCloud (美国) 区域的 FedRAMP JAB 高级临时 ATO (pATO)。有关 AWS FedRAMP 合规性的更多信息,请参阅我们的 FedRAMP 常见问题页面。

  • AWS 云服务是否满足 DoD 要求?

    是的,AWS 已通过评估并获批成为云服务提供商,美国西部和美国东部区域的影响级别为第 2 级,AWS GovCloud(美国)区域的影响级别为第 4 级和第 5 级,AWS 机密区域的影响级别为第 6 级。

    在第 2 级,所有 AWS 美国区域(美国东部/西部和 AWS GovCloud(美国))均已通过 DISA 的评估,并在证实符合 DoD 要求后获得了两个临时授权。AWS 利用我们现有的 FedRAMP JAB P-ATO 满足 DoD 的合规性要求。临时授权让 DoD 机构能够评估 AWS 的安全性以及在 AWS 云中存储、处理和维护各种 DoD 数据的机会。

    在第 4 级和第 5 级,AWS GovCloud(美国)已从 DISA 获得一个临时授权,允许 DoD 客户部署具有增强的控制基准(与 SRG 中的级别相对应)的生产应用程序。预计应用程序的影响级别为第 4 级或第 5 级的 DoD 客户应联系 DISA 启动审批流程。

    在第 6 级,AWS 机密区域持有第 6 影响级别的 DoD 临时授权,可以处理最高达到“机密”级别的工作负载。您可以向您的 AWS 客户经理索要该区域的服务目录。

  • 涵盖哪些 AWS 区域?

    我们的临时授权涵盖美国大陆境内的多个区域,包括 AWS GovCloud(美国)(第 2、4、5 级)、AWS 美国东部/西部区域(第 2 级)和 AWS 机密区域(第 6 级)。

  • DoD 系统的哪些分类项目可放置在 AWS 上?

    美国东部和美国西部区域持有第 2 级临时授权,允许任务所有者同时使用 AWS 授权和任务应用程序的 ATO 在这些区域部署公开的非机密信息。AWS GovCloud(美国)区域持有第 2、4、5 级临时授权,允许任务所有者部署这些级别涵盖的所有受控非机密信息。AWS 机密区域持有第 6 级临时授权,可以处理最高达到“机密”级别的工作负载。

  • 授权如何影响 AWS?

    授权将肯定我们作出的为客户提供安全服务的长期承诺。已通过授权流程的事实可向客户证实,我们正在处理 DoD SRG 的安全控制工作,而且我们的管理实践符合 DoD 指南。我们已通过 SRG 第 4、5、6 影响级别的评估,并获得了由 DISA 颁发的第 4、5、6 影响级别的临时授权。

  • 作为 DoD 任务所有者,这对我意味着什么?

    我们的第 2 级临时授权让 DoD 客户能够利用符合规定的 AWS 基础设施和服务来部署清除了数据可以公开发布的工作负载,还可以部署某些 DoD 专有的非机密信息。将您的 DoD IT 环境迁移到 AWS 有助于您使用 AWS 提供的服务和功能来提高自己的合规性监管水平。

    我们的 AWS GovCloud(美国)第 4、5 级临时授权意味着我们的 DoD 客户可以将其生产应用程序部署到 AWS GovCloud(美国)区域中。获得这一授权后,客户能够参与符合 DoD 云计算 SRG 的第 4 影响级别和第 5 影响级别要求所需的工作负载的设计、开发和集成活动。

    我们的 AWS 机密区域第 6 级临时授权意味着存储、处理或传输的数据最高达到“机密”级别的 DoD 客户在管理自己的合规性与认证(包括进行审核与安全管理)时,可以依靠我们的 AWS 基础设施授权来满足第 6 级规定的所有要求。

  • AWS 临时授权将如何影响任务所有者的 ATO?

    本着安全责任共担的精神,在 AWS 运行应用程序时,DoD 任务所有者将对降低的安全控制基准负责。AWS 通过适用的安全控制为任务所有者提供安全的托管环境,用于部署其应用程序,但这并未免除任务所有者需根据 DoD 安全控制和合规性政策安全部署、管理和监控其应用程序的责任。

    有关 DoD 应用程序所有者在 AWS 上运行的相关责任的更多信息,请参阅我们的《AWS 云中的 DoD 合规性实施》白皮书。我们近期会根据 SRG 修订此白皮书。

  • 是否可以使用其他 AWS 产品?

    可以,客户可以评估其工作负载以确定是否适合使用其他 AWS 产品。每个任务所有者都有权评估和接受他们选择使用的任何服务的风险。如需详细讨论有关安全控制和风险承受注意事项,请联系 AWS 销售和业务发展部

  • DoD 合规性是否会导致 AWS 产品的价格升高?

    不会,任何区域的服务成本都不会因 AWS 的合规性计划而增加。

  • 其他 DoD 实体现在是否也使用 AWS?

    是,许多 DoD 实体机构以及向 DoD 提供系统集成以及其他产品和服务的其他组织如今都在使用各种各样的 AWS 服务。AWS 不能公开许多已获得 AWS 系统的 DoD ATO 的客户,但 AWS 定期与客户及其评估员一起规划、部署、认证和鉴定他们在 AWS 上的 DoD 工作负载。

  • ATO 是否要求服务提供商数据中心的实际演练?

    不能。根据 DoD SRG,DoD 客户可通过利用我们的授权获取 ATO,无需进行服务提供商数据中心的实际演练。DoD 客户可以依靠我们 FedRAMP 第三方评估组织 (3PAO) 所做的工作,其中包含对于我们数据中心的物理安全的广泛现场审核。

  • 如何获取 AWS 授权和文档?

    要获取 AWS 支持文档,请向 AWS 销售和业务拓展团队提交申请。

  • 涵盖哪些 AWS 产品?

    有关 AWS 所提供服务的完整列表,请访问 AWS 按合规性计划提供的范围内服务页面。

compliance-contactus-icon
有问题?与 AWS 合规性代表联系
寻找合规性产品?
立即申请 »
想更新 AWS 合规性产品?
在 Twitter 上关注我们 »