我想了解有关云中的 FedRAMP 的信息
FedRAMP AWS

美国联邦政府致力于以最具创新性、最安全且最经济高效的方式向美国人民提供服务。云计算依旧是助力联邦政府实现运营效率并按需创新以推进全国事务的主要促进因素。正因如此,现今许多联邦机构使用 AWS 基于实用工具的云服务来处理、存储和传输联邦政府数据。

govcloud_video

联邦风险与授权管理计划 (FedRAMP) 是一项政府层面的计划,它提供一种标准方法来对云产品和云服务进行安全性评估、授权以及持续监控。FedRAMP 的理事机构包括:行政管理和预算局 (OMB)、美国总务署 (GSA)、美国国土安全部 (DHS)、美国国防部 (DOD)、国家标准与技术研究院 (NIST) 以及联邦首席信息官理事会。

FedRAMP 使用 NIST 特别刊物 800 系列,要求云服务提供商接受由第三方评估机构 (3PAO) 执行的独立安全评估,以确保授权符合联邦信息安全管理法案 (FISMA)。想要向美国政府提供其产品和服务的云提供商必须证明自己符合 FedRAMP 要求。有关 FedRAMP 要求的更多信息,请访问 www.FedRAMP.gov

Amazon Web Services (AWS) 提供以下符合 FedRAMP 要求的系统:

AWS GovCloud(美国),已获得一项由联合授权董事会授予的临时授权 (JAB P-ATO),高影响级别。涵盖的服务包括:EC2、EBS、IAM、S3 和 VPC。

AWS 美国东西部,已获得多项代理授权,中等影响级别。涵盖的服务包括:EC2、EBS、IAM、Redshift、S3 和 VPC。

为了响应云优先政策,行政管理和预算局 (OMB) 颁布了 FedRAMP 政策备忘录,以针对 FISMA 制定首个政府层面的安全授权计划。所有美国联邦机构和所有云服务均须落实 FedRAMP。FedRAMP 之所以重要,是因为它可以:

  • 通过 NIST 和 FISMA 定义的标准提高云解决方案安全性方面的一致性,并增强用户对安全性的信心;
  • 提高美国政府与云提供商之间的透明度;
  • 加强自动化和近乎实时的持续监控;以及
  • 通过反复评估和授权提高安全云解决方案的采用率。

云优先政策要求所有联邦机构使用 FedRAMP 流程对云服务进行安全评估、授权和持续监控。FedRAMP 项目办事处规定了 FedRAMP 合规性的五项要求:

1. 云服务提供商 (CSP) 已获得由联邦机构授予的操作授权书 (ATO)。

2. CSP 满足 FedRAMP 安全控制要求,这些要求与中等影响级别的 NIST 800-53 Rev. 4 安全控制基准一致。

3. 所有系统安全包必须使用规定的 FedRAMP 模板。

4. CSP 经过独立审核人员的评估。

5. 已完成的安全评估包发布到 FedRAMP 安全存储库

FedRAMP 要求

CSP 可通过三种途径来实现 FedRAMP 合规:

1. JAB Provisional Authorizations (JAB P-ATO) 途径

选择 FedRAMP P-ATO 途径的 CSP 需接受 FedRAMP PMO 审核,由 FedRAMP 授权的 3PAO 进行评估,并获得来自 DHS、DOD 和 GSA CIO 的 P-ATO。

2. Agency FedRAMP Authorizations (A-ATO) 途径

选择 Agency Authorization 途径的 CSP 需接受客户机构 CIO 或委托的授权官员的审核,以获得经 FedRAMP PMO 认证的 FedRAMP 合规 ATO。

3. CSP Supplied Packages 途径

选择 CSP Supplied Package 途径的 CSP 需要向 FedRAMP PMO 提交经过 FedRAMP 授权的 3PAO 评估的完整安全评估包。

FedRAMP 云合规性

符合。AWS 提供以下符合 FedRAMP 要求的系统,这些系统均已获得授权、满足 FedRAMP 的安全控制要求 (根据 NIST SP 800-53)、使用 FedRAMP 安全存储库中发布的安全包所需的 FedRAMP 模板,并且经过权威的独立第三方评估机构 (3PAO) 的评估,同时还符合 FedRAMP 的持续监控要求:

AWS GovCloud (美国),已获得一项由联合授权董事会授予的临时操作授权 (JAB P-ATO) 以及多项高影响级别的代理授权 (A-ATO)。在 AWS 按合规性计划提供的范围内服务中,可找到处于 AWS GovCloud (美国) JAB P-ATO 边界范围内、归入高基准安全分类的服务。有关向 AWS GovCloud(美国)授予 ATO 的授权机构的完整列表,请访问 FedRAMP Compliant Systems

AWS 美国东西部,已获得多项代理 ATO,中等影响级别。在 AWS 按合规性计划提供的范围内服务中,可找到处于 AWS 美国西部授权边界范围内的服务。有关向 AWS 美国东西部授予 ATO 的授权机构的完整列表,请访问 FedRAMP Compliant Systems

不会,任何区域的服务成本都不会由于 AWS 的 FedRAMP 合规性而增加。

已颁发两个单独的 FedRAMP Agency ATO;一个覆盖 AWS GovCloud(美国)区域,另一个覆盖 AWS 美国东部/西部区域。

是,许多政府机构以及向政府机构提供系统集成以及其他产品和服务的其他实体机构如今都在使用各种各样的 AWS 服务。

FIPS AWS
CJIS AWS
FERPA AWS
DoD AWS
AWS 按合规性计划提供的范围内服务中,可找到所提供的已处于 FedRAMP 和 DoD SRG 边界范围内的 AWS 服务。如果您想要详细了解如何使用这些服务,且/或对其他服务感兴趣,请联系 AWS 销售和业务发展团队

是,客户可以评估其工作负载以确定是否适合使用其他 AWS 服务。如需详细讨论有关安全控制和风险承受注意事项,请联系 AWS 销售和业务发展部

可以,客户可以评估其高影响的工作负载以确定是否适合 AWS。当前,FedRAMP 仅适用于 FISMA 低等和中等影响级别的云计算系统,但 AWS 已满足许多 NIST 800-53 高级控制要求。我们还为希望扩展 NIST 中等基准以构建 FISMA 高等应用程序和服务的客户开发了 AWS FISMA 高等业务手册,以帮助支持他们的关键工作负载。如需有关安全控制和风险承受注意事项的详细讨论,请联系我们的 AWS 销售和业务发展部

AWS 提供了广泛的安全功能,客户可以使用这些功能根据联邦和 DoD 安全准则保护自己的数据。我们会继续对提供给客户的现有安全工具进行迭代,并定期推出针对现有安全功能的增强功能。有关保护云中数据安全的更多信息和解决方案,请参考以下 AWS 安全指导:

AWS 客户可通过联系 FedRAMP PMO 或自己的 AWS 销售客户经理,申请访问 AWS FedRAMP 安全包。

美国政府机构客户可向 FedRAMP PMO 申请访问 AWS FedRAMP 安全包,具体方法是:填写安全包访问权限申请表并提交至 info@fedramp.gov,或者直接联系自己的 AWS 销售客户经理。

AWS 合作伙伴和潜在客户也可以通过联系自己的 AWS 销售客户经理,申请访问 AWS 合作伙伴 FedRAMP 安全包。

官方授权机构 (AO) 可以利用任何 AWS FedRAMP 授权安全包来查看支持文档,并根据风险自行做出向 AWS 授予代理授权或 ATO 的决策。这些机构不但要负责向 AWS 颁发自己的 ATO,还要负责 AWS A-ATO 中未涵盖的系统组件的整体授权。要详细了解 AWS 责任共担模式,请联系您的 AWS 销售客户经理。

通过使用 AWS 提供的安全功能和我们的供应商生态系统,您可以控制和监控如何构建包含机构安全、隐私和/或企业风险管理策略的可用系统。

通过我们的客户、合作伙伴和系统集成商寻找答案 – 了解他们通过 AWS 获得的价值:

博客

Appian Cloud leverages Amazon Web Services' infrastructure and FedRAMP authorization.阅读更多

AWS 案例研究

美国国务院

美国食品药物管理局 (FDA)

美国疾病控制与预防中心 (CDC)

NASA/JPL 的沙漠研究和训练研究

NASA JPL 和 Amazon SWF

NASA/JPL 的好奇号火星任务

AWS 合规性

在 FedRAMP 运营概念 (CONOPS) 中,授予某个权限后,将根据评估和授权流程监控 CSP 的安全状况。要每年重新获取 FedRAMP 授权机构的授权,CSP 必须监控其安全控制情况、定期对其进行评估,并证实其服务产品的安全状况一直处于可接受的范围内。利用 FedRAMP 持续监控计划的联邦机构、授权官员 (AO) 及其指定团队将负责审核 AWS 的持续合规性。除了持续性地审核 FedRAMP 控制项目之外所需的关于实现任何特定于机构的控制项目的证据,AO 及其指定团队还将审核在 AWS FedRAMP 持续监控流程中提供的项目。有关其他信息,请参阅机构的信息系统安全计划或策略。

FedRAMP PMO 指出,制定 ISA 并非是供 CSP 和联邦代理双方使用。有关更多信息,请参阅 FedRAMP PMO 网站

对于 FedRAMP 的合规性相关问题,请查看 AWS Artifact 中的 AWS FedRAMP 合作伙伴资源包。如果您对 FedRAMP/DoD 合规性存有具体的后续问题,请联系 awscompliance@amazon.com。要查看和讨论 AWS 工作负载/架构,请联系您的销售代表获得进一步支持。

FedRAMP 资源

 

联系我们