FedRAMP

概览

FedRAMPLogoSmall

美国联邦政府致力于以最具创新性、最安全且最经济高效的方式向美国人民提供服务。云计算是助力联邦政府实现运营效率并按需创新以推进全国事务的关键因素。正因如此,现今许多联邦机构在使用 AWS 云服务来处理、存储和传输联邦政府数据。

  • 什么是 FedRAMP?

    联邦风险与授权管理计划 (FedRAMP) 是一项美国政府层面的计划,它提供一种标准方法来对云产品和云服务进行安全性评估、授权以及持续监控。FedRAMP 的理事机构包括:行政管理和预算局 (OMB)、美国总务署 (GSA)、美国国土安全部 (DHS)、美国国防部 (DOD)、国家标准与技术研究院 (NIST) 以及联邦首席信息官 (CIO) 理事会。

    想要向美国政府提供产品和服务的云服务提供商必须证明自己符合 FedRAMP 的规定。FedRAMP 使用 NIST 特别刊物 800 系列,要求云服务提供商接受由第三方评估机构 (3PAO) 执行的独立安全评估,以确保授权符合联邦信息安全管理法案 (FISMA)。有关更多信息,请参阅 FedRAMP 网站。

  • FedRAMP 为何十分重要?

    为了响应云优先政策,行政管理和预算局 (OMB) 颁布了 FedRAMP 政策备忘录,以针对 FISMA 制定首个政府层面的安全授权计划。所有美国联邦机构和所有云服务均须落实 FedRAMP。FedRAMP 之所以重要,是因为它可以:

    • 通过 NIST 和 FISMA 定义的标准提高云解决方案安全性方面的一致性,并增强用户对安全性的信心
    • 提高美国政府与云提供商之间的透明度
    • 实现自动化和近乎实时的持续监控
    • 通过反复评估和授权提高安全云解决方案的采用率
  • FedRAMP 合规性有哪些要求?

    云优先政策要求所有联邦机构均使用 FedRAMP 流程对云服务进行安全评估、授权和持续监控。FedRAMP 计划管理办公室 (PMO) 规定了以下 FedRAMP 合规性要求:

    1. 云服务提供商 (CSP) 已获得美国联邦机构授予的机构操作授权 (ATO),或者已获得联合授权委员会 (JAB) 授予的临时操作授权 (P-ATO)。
    2. CSP 符合 NIST 800-53 Rev. 4《中高影响级别的安全控制基准》中规定的 FedRAMP 安全控制要求。
    3. 所有系统安全包必须使用规定的 FedRAMP 模板。
    4. CSP 必须通过第三方评估机构 (3PAO) 的评估。
    5. 已完成的安全评估包必须发布到 FedRAMP 安全存储库中。
  • FedRAMP 合规性有哪些类型?

    CSP 可以通过两种途径来实现 FedRAMP 合规:

    1.JAB 授权

    要获得 FedRAMP 联合授权委员会 (JAB) 授予的临时操作授权 (P-ATO),CSP 需要通过 FedRAMP 计划管理办公室 (PMO) 进行的审核和 FedRAMP 认可的 3PAO 的评估,然后才可以获得 JAB 授予的 P-ATO。JAB 由来自国防部 (DoD)、国土安全部 (DHS) 和总务管理局 (GSA) 的首席信息官 (CIO) 组成。

    2.机构授权

    要获得 FedRAMP 机构操作授权 (ATO),CSP 需要通过客户机构 CIO 或指定授权官员的审核,才能获得符合 FedRAMP 规定的 ATO,该 ATO 经过 FedRAMP 计划管理办公室 (PMO) 的验证。

  • Amazon Web Services 是否符合 FedRAMP 的规定?

    符合。AWS 提供以下符合 FedRAMP 要求的系统,这些系统均已获得授权、满足 FedRAMP 的安全控制要求 (根据 NIST SP 800-53)、使用 FedRAMP 安全存储库中发布的安全包所需的 FedRAMP 模板,并且经过权威的独立第三方评估机构 (3PAO) 的评估,同时还符合 FedRAMP 的持续监控要求:

    AWS GovCloud(美国),已获得一项由联合授权委员会授予的临时操作授权 (JAB P-ATO) 和多项高影响级别的机构授权 (A-ATO)。在 AWS 按合规性计划提供的范围内服务中,可找到处于 AWS GovCloud (美国) JAB P-ATO 边界范围内、归入高基准安全分类的服务。

    AWS 美国东部和西部区域,已获得一项由联合授权委员会授予的临时操作授权 (JAB P-ATO) 和多项中影响级别的机构授权 (A-ATO)。在 AWS 按合规性计划提供的范围内服务中,可以找到处于 AWS 美国东部和西部区域 JAB P-ATO 范围内、归入中等基准安全分类的服务。

  • FedRAMP 合规性是否会增加我支付的 AWS 服务费用?

    不会,任何区域的服务费用都不会因 AWS 的 FedRAMP 合规性而增加。

  • 涵盖哪些 AWS 区域?

    已颁发两个单独的 FedRAMP 机构 ATO;一个覆盖 AWS GovCloud(美国)区域,另一个覆盖 AWS 美国东部/西部区域。

  • 美国政府机构现在是否在使用 AWS?

    是的,2000 多个政府机构以及向政府机构提供系统集成与其他产品和服务的其他实体如今都在使用各种各样的 AWS 服务。您可以查看关于使用 AWS 的美国政府机构的案例研究,这些机构包括美国国务院美国食品和药品管理局 (FDA)美国疾病控制和预防中心 (CDC)NASA/JPL 和沙漠研究和培训研究项目NASA JPL 和 Amazon SWF 以及 NASA/JPL 的火星好奇号任务。要查看所有案例研究,请参阅 AWS 客户成功案例 页面。要详细了解 AWS 如何满足政府部门的高安全要求,请参阅适用于政府的 AWS 页面。

  • 涵盖哪些服务?

    AWS 按合规性计划提供的范围内服务中,可找到所提供的已处于 FedRAMP 和 DoD SRG 边界范围内的 AWS 服务。如果您想要详细了解如何使用这些服务,且/或对其他服务感兴趣,请联系 AWS 销售和业务发展团队

  • 是否可以使用其他 AWS 产品?

    可以,客户可以评估其工作负载以确定是否适合使用其他 AWS 产品。如需详细讨论有关安全控制和风险承受注意事项,请联系 AWS 销售和业务拓展团队

  • 高影响级别的系统可否在 AWS 上运营?

    可以,客户可以评估其高影响的工作负载以确定是否适合 AWS。当前,FedRAMP 仅适用于 FISMA 低等和中等影响级别的云计算系统,但 AWS 已满足许多 NIST 800-53 高级控制要求。我们还为希望扩展 NIST 中等基准以构建 FISMA 高等应用程序和服务的客户开发了 AWS FISMA 高等业务手册,以帮助支持他们的关键工作负载。如需有关安全控制和风险承受注意事项的详细讨论,请联系我们的 AWS 销售和业务发展部

  • 可以在哪里找到 AWS FedRAMP 安全包?

    AWS 客户可通过联系 FedRAMP PMO 或自己的 AWS 销售客户经理,申请访问 AWS FedRAMP 安全包。

    美国政府机构客户可向 FedRAMP PMO 申请访问 AWS FedRAMP 安全包,具体方法是:填写安全包访问权限申请表并提交至 info@fedramp.gov,或者直接联系自己的 AWS 销售客户经理。

    AWS 合作伙伴和潜在客户也可以使用 AWS Artifact 申请访问 AWS 合作伙伴 FedRAMP 安全包。

  • 机构如何使用 AWS FedRAMP 授权?

    机构授权官员 (AO) 可以利用任何 AWS FedRAMP 安全包来查看支持文档,并根据风险自行决定是否向 AWS 授予机构操作授权 (ATO)。这些机构不但要负责向 AWS 颁发自己的 ATO,还要负责 AWS ATO 中未涵盖的系统组件的整体授权。如果您有问题或需要了解更多信息,请联系您的 AWS 销售客户经理。

  • FedRAMP 授权如何处理持续监控?

    在 FedRAMP 运营概念 (CONOPS) 中,授予某个权限后,就会根据评估和授权流程监控 CSP 的安全状况。要每年重新获取 FedRAMP 授权机构的授权,CSP 必须监控其安全控制情况、定期对其进行评估,并证实其服务产品的安全状况一直处于可接受的范围内。利用 FedRAMP 持续监控计划的联邦机构、授权官员 (AO) 及其指定团队负责审核 AWS 的持续合规性。AO 及其指定团队会持续审查 FedRAMP 控制措施范围之外的、特定于机构的所需控制措施的实施情况,还会持续审查通过 AWS FedRAMP 持续监控流程获得的信息。有关更多信息,请参阅您的机构的信息系统安全计划或策略。

  • 美国联邦机构是否需要与 AWS 签订《互连安全协议》(ISA)?

    不需要。FedRAMP PMO 指出,CSP 和联邦机构之间不需要签订 ISA。

  • 如果我需要与 AWS 探讨自己的组织中与 FedRAMP 相关的 AWS 工作负载或架构,应该怎么办?

    客户可以使用 AWS Artifact 来获取 AWS FedRAMP 安全包。AWS Artifact 是一个用于按需访问 AWS 合规性报告的自助服务门户。您可以在 AWS 管理控制台中登录 AWS Artifact,也可以在 AWS Artifact 入门中了解更多信息。

    如果您对 FedRAMP 或 DoD 合规性有具体的后续问题,请联系 awscompliance@amazon.com

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »