Immer mehr Militärkunden übernehmen die auf Anwendungen basierenden Cloud-Services von AWS, um DoD-Daten (Department of Defense) zu verarbeiten, zu speichern und zu übertragen
AWS ermöglicht Militärorganisationen und ihren Geschäftspartnern die Nutzung der sicheren AWS-Umgebungen zum Verarbeiten, Verwalten und Speichern von DoD-Daten. AWS hat vorläufige Genehmigungen von der DISA (Defense Information Systems Agency) erhalten.
AWS verwaltet zwei Umgebungen, die durch die vorläufigen DoD-Autorisierungen abgedeckt werden: die Regionen "US East" und "US West" sowie die AWS GovCloud-Region (US) (weitere Informationen finden Sie in den FAQ weiter unten):
- USA Ost/West verfügt über eine vorläufige DoD-Autorisierung für Impact Level (IL) 2. Die in den Regionen USA Ost/West abgedeckten AWS-Services, die bereits innerhalb der DoD SRG-Autorisierungsgrenze IL2 zugelassen sind, finden Sie unter AWS-Services in Scope nach Compliance-Programm.
- AWS GovCloud (US) verfügt über vorläufige DoD-Autorisierungen der Impact Level 2 und 4. Die in der Regionen GovCloud (US) abgedeckten AWS-Services, die bereits innerhalb der DoD SRG-Autorisierungsgrenze IL2 und IL4 zugelassen sind, finden Sie unter AWS-Services in Scope nach Compliance-Programm.
Als DoD-Kunde sind Sie auch für die Einhaltung der DoD-Sicherheitsrichtlinie innerhalb Ihrer AWS-Anwendungsumgebung verantwortlich, die Folgendes beinhalten muss:
• Die Anforderungen des Auftragsinhabers, die im DoD Cloud Computing Security Requirements Guide (SRG) definiert werden
• Alle relevanten sicherheitstechnischen Implementierungsanleitungen (Security Technical Implementation Guides, STIGs) für das Betriebssystem
• Alle relevanten Anwendungs-STIGs
• Anleitungen zu DoD-Ports und -Protokollen (DoDI 8551.01)
Die Infrastruktur, Verwaltung und Betriebsumgebung von AWS wurden durch die FedRAMP- und DoD-Autorisierungsprozesse bewertet und genehmigt. Als Kunde, der eine Anwendung in der AWS-Infrastruktur bereitstellt, erhalten Sie die volle Kontrolle über die Sicherheit unserer physischen, umgebungs- und medienbezogenen Schutzkontrollen und müssen nicht mehr detailliert angeben, wie Sie die Compliance bei Kontrollen dieser Art realisieren. Die verbleibenden DoD-RMF-Kontrollen (Risk Management Framework) werden zwischen AWS und den Kunden aufgeteilt, da jede Organisation die Verantwortung für die Implementierung dieser Kontrollen in ihrem Teil des gemeinsamen IT-Sicherheitsmodells behält.
Als AWS-Kunde sind Sie für die Entwicklung, Bereitstellung, Verwaltung und Überwachung Ihrer AWS-Umgebung und -Anwendungen mithilfe von AWS-Funktionen und Drittanbieterfunktionen (inklusive ihrer eigenen Dienstprogramme, Software und Anwendungen) verantwortlich. Mithilfe der von AWS und unserem Anbieter-Ökosystem bereitgestellten Sicherheitsfunktionalität können Sie Systeme mit hoher Verfügbarkeit entwickeln, die gemäß den relevanten Richtlinien Ihrer Organisation präzise gesteuert und überwacht werden.
Unsere DoD-Kunden und -Anbieter können unsere FedRAMP- und DoD-Autorisierungen nutzen, um ihre Zertifizierung und Akkreditierung zu beschleunigen. Zur Unterstützung der Autorisierung von auf AWS gehosteten Militärsystemen stellen wir DoD-Sicherheitspersonal mit unserer Sicherheitsdokumentation für die Überprüfung von Sicherheit und Compliance von AWS gemäß der entsprechenden NIST-Kontrollen (nach Definition durch 800-53 rev4) und dem DoD Cloud Computing SRG bereit.
Zur Unterstützung unseres DoD-Kundenbestands stellen wir ein Paket mit Sicherheitsrichtlinien und -dokumentationen zur Verfügung, das das Verständnis für Sicherheit- und Compliance-Fragen bei der Nutzung von AWS als DoD-Hosting-Lösung vertiefen soll. Wir stellen eine AWS-FedRAMP-SSP-Vorlage basierend auf NIST 800-53v4 bereit, die vorab mit der entsprechenden FedRAMP- und DoD-Kontrollbasis ausgefüllt wurde. Die übernommenen Kontrollen in der Vorlage werden von AWS vorab ausgefüllt. Für geteilte Kontrollen sind AWS und der Kunde verantwortlich. Für einige Kontrollen trägt der Kunde die alleinige Verantwortung.
Um den Zugriff auf die Sicherheitsdokumentation von AWS anzufordern, die DoD-Kunden (Militärorganisationen oder Vertragsnehmer von DoD) vorbehalten ist, wenden Sie sich bitte an die AWS-Abteilung für Vertrieb und Geschäftsentwicklung oder senden Sie eine E-Mail direkt an unser Team unter awscompliance@amazon.com.
Unsere Behördenkunden erkennen schnell, dass die Migration zur Cloud eine Möglichkeit darstellt, ihre Sicherheitsstufe zu verbessern und das betriebliche Risiko zu reduzieren. Die AWS-Betriebsumgebung ermöglicht Kunden das Erkennen einer Sicherheits- und Compliance-Stufe, die nur in einer Umgebung möglich ist, die von einer hochgradigen Automatisierung unterstützt wird. Auf AWS haben unsere Kunden die Möglichkeit, regelmäßige Audits durchzuführen, anstatt regelmäßige Bestandsaufnahmen durchzuführen und ihre Umgebung zu einem bestimmten Zeitpunkt per Audit zu überprüfen – eine Vorgehensweise, die die meisten DoD-Kunden in einem herkömmlichen Rechenzentrum einsetzen. Wenn Sie in Ihrer Umgebung über eine derart hohe Transparenz verfügen, wird die Kontrollstufe für Ihre Daten und Ihre Fähigkeit, dafür zu sorgen, dass nur autorisierte Benutzer Zugriff erhalten, direkt verbessert.
DoD-Auftragsinhaber können hohe Kontrollstufen für Anwendungen durch eine programmatische Durchsetzung von DoD-Sicherheits- und -Compliance-Richtlinien erreichen. Mithilfe der AWS-Funktionalität können Sie vorab genehmigte Vorlagen für häufige Anwendungsfälle erstellen und so die Zeit zum Autorisieren neuer Anwendungen verkürzen. Durch die Verwendung solcher Vorlagen können DoD-Organisationen ebenfalls sicherstellen, dass Anwendungsinhaber keine wichtigen Sicherheitseinstellungen ändern, zum Beispiel Sicherheitsgruppen und Netzwerk-ACLs. Außerdem können sie die Verwendung bewährter STIG-Computer-Images erzwingen. Die programmatische Durchsetzung von DoD-Sicherheitsrichtlinien reduziert den manuellen Konfigurationsaufwand durch Systemadministratoren und reduziert die Chance auf eine nicht ordnungsgemäße Konfiguration beträchtlich, sodass das Gesamtrisiko für DoD reduziert wird. Unsere bundesstaatlichen Kunden erzielen mit AWS bereits höhere Sicherheitsstufen.
Kunden anderer Compliance-Programme, die ihre Risiko- und Compliance-Ziele erreichen müssen, profitieren ebenfalls direkt von AWS:
• HIPAA-Compliance: Claritas Genomics hatte ein begrenztes Budget und benötigte kostengünstige IT-Ressourcen, die das Erfüllen der HIPAA-Anforderungen ermöglichten.
• Compliance im Bereich Finanzdienstleistungen: Aufgrund der Herausforderungen durch ständig wachsende Marktanteile und sich ändernde Gesetze und Vorgaben wechselte FINRA zu AWS.
• Compliance im Bereich Finanzdienstleistungen: NASDAQ benötigte eine Möglichkeit, Regulatoren den Zugriff auf immer detailliertere Finanzdaten bereitzustellen.
AWS GovCloud (US) verdient die vorläufige Zulassung für das DoD Cloud Computing von Level 4
Der DoD SRG wurde veröffentlicht, um einen standardisierten Bewertungs- und Autorisierungsprozess für CSPs bereitzustellen und eine vorläufige DoD-Autorisierung zu erhalten, die in der Folge von DoD-Kunden genutzt werden kann. Eine vorläufige Autorisierung durch das CSM stellt eine wiederverwendbare Zertifizierung bereit, die unsere Compliance mit DoD-Standards bestätigt und die Zeit verkürzt, die Inhaber eines DoD-Auftrags für die Bewertung und Autorisierung eines ihrer Systeme für den AWS-Betrieb benötigen. Weitere Informationen zum SRG, einschließlich der vollständigen Definition der Sicherheitskontrollbasis für die Levels 2 bis 6, finden Sie hier.
Als DoD-Auftragsinhaber sind Sie für das Erstellen eines Autorisierungspakets verantwortlich, das die Implementierung der Sicherheitskontrollen für Ihre Anwendung definiert. Wie bei einem herkömmlichen Autorisierungspaket müssen Sie Ihre Sicherheitskontrollbasis mit einem Systemsicherheitsplan dokumentieren und diesen Plan sowie seine Implementierung von einem entsprechenden Zertifizierungsmitarbeiter aus Ihrer DoD-Organisation überprüfen lassen. Als Teil dieser Überprüfung kann der Zertifizierungsmitarbeiter oder der Autorisierungsbeamte auch das AWS-Autorisierungspaket als Teil der Anwendungsüberprüfung prüfen, um eine umfassende Ansicht der Sicherheitskontrollimplementierung zu erhalten. Nach dem Überprüfen der Sicherheitsautorisierungspakete von AWS und des Auftragsinhabers hat der Autorisierungsbeamte die erforderlichen Informationen, um eine Akkreditierungsentscheidung für Ihre Anwendung zu treffen und eine Betriebszulassung (ATO) zu gewähren.
Weitere Informationen zu den Verantwortlichkeiten von DoD-Anwendungsinhabern, die AWS einsetzen, finden Sie in unserem Whitepaper DoD Compliant Implementations in the AWS Cloud.
Als bereits vom DoD autorisierter Anbieter von Clouddiensten muss sich AWS einer Bewertung hinsichtlich der FedRAMP+-Kontrollen unterziehen, die im SRG festgelegt wurden. AWS hat diese Bewertung abgeschlossen und eine vollständige PA mit dem Impact Level 4 erhalten, was es den Auftragsinhabern ermöglicht, die folgenden Produktions-Workloads zu migrieren:
- Exportieren kontrollierter Daten
- Informationen zum Datenschutz
- Geschützte Gesundheitsdaten
- Zusätzlich weitere Informationen, für die eine explizite CUI-Bezeichnung erforderlich ist:
- Nur für den offiziellen Gebrauch
- Nur für den offiziellen Gebrauch
- Strafverfolgungsrelevant
- Kritische Informationen zur Infrastruktur
- Sensible Sicherheitsinformationen
Der SRG unterstützt das bundesstaatliche Gesamtziel (die größere Nutzung von Cloud Computing) und stellt DoD ein Mittel zur Unterstützung dieses Ziels bereit. Am 8. Februar 2011 hat das Office of Management and Budget (OMB) die Federal Cloud Computing Strategy eingerichtet, die eine Anleitung für alle Bundesbehörden zur Übernahme von Cloud-Technologien in Bundesbehörden bereitstellt. Diese Strategie wurde im Dezember 2011 durch die Veröffentlichung einer bundesstaatlichen Anforderung ergänzt, nämlich das Federal Risk and Authorization Management Program (FedRAMP). FedRAMP ist für US-Bundesbehörden für Cloud-Bereitstellungen und -Servicemodelle auf den Risikostufen "Low", "Moderate" und "High" obligatorisch.
Im Juli 2012 veröffentlichte das DoD seine Cloud Computing Strategy des DoD Chief Information Officer. Dadurch entstand die Joint Information Environment (JIE) und die DoD Enterprise Cloud Environment: „Die DoD Cloud Computing Strategy führt einen Ansatz zum Verschieben der Abteilung aus dem aktuellen Status einer umständlichen und kostenintensiven Gruppe aus Anwendungssilos in einen Endstatus ein, der einer flexiblen, sicheren und kostengünstigen Service-Umgebung entspricht, die schnell auf sich ändernde Auftragsanforderungen reagieren kann. Der DoD Chief Information Officer (CIO) ist entschlossen, die Umstellung auf das Cloud Computing innerhalb der Abteilung zu beschleunigen ...“
Der DoD SRG nutzt das FedRAMP-Programm, um einen standardisierten Ansatz für das DoD zur Bewertung von Clouddienstanbietern zu erhalten. AWS wurde unter FedRAMP bewertet und genehmigt, und es wurden verschiedene Agency Moderate ATOs für USA Ost und USA West sowie eine vorläufige FedRAMP JAB ATO (pATO) für AWS GovCloud (US) herausgegeben. Weitere Informationen zur FedRAMP-Compliance durch AWS finden Sie auf unserer Seite mit den Häufig gestellten Fragen (FAQ) zu FedRAMP.
Ja, AWS wurde bewertet und als Cloud-Service-Provider mit IL2 für USA Ost und USA West sowie mit IL4 für AWS GovCloud (USA) zugelassen.
• Auf Niveau 2 wurden alle US-basierten AWS-Regionen (US East/West & AWS GovCloud (US)) durch DISA bewertet, und es wurden zwei vorläufige Autorisierungen nach der Demonstration der Compliance mit DoD-Anforderungen ausgestellt. Die Einhaltung der DoD-Anforderungen durch AWS wurde durch Nutzung unserer vorhandenen FedRAMP Agency ATOs und FedRAMP High Baseline pATO erreicht. Die vorläufigen Autorisierungen ermöglichen DoD-Behörden das Bewerten der Sicherheit von AWS und das Speichern, Verarbeiten und Verwalten ganz verschiedener DoD-Daten innerhalb der AWS-Cloud.
• Auf Stufe 4 (Level 4) wurde AWS GovCloud (US) eine vorläufige Autorisierung von DISA ausgestellt, die es DoD-Kunden ermöglicht, Produktionsanwendungen mit der verbesserten Kontrollbasis entsprechend den CSM-Stufen des SRG bereitzustellen. DoD-Kunden mit in Aussicht stehenden IL-4-Anwendungen sollten sich mit DISA in Verbindung setzen, um den Genehmigungsprozess zu starten.
Unsere vorläufigen Autorisierungen decken alle Regionen des US-amerikanischen Kontinents ab, einschließlich AWS GovCloud (US) (Niveau 2 und 4) und AWS US East/West (Niveau 2).
Die Regionen US East und US West verfügen über eine vorläufige Autorisierung für Niveau 2, die es Auftragsinhabern ermöglicht, öffentliche, nicht vertrauliche Informationen in diesen Regionen mit der AWS-Autorisierung und dem ATO der Auftragsanwendung bereitzustellen. Die Region AWS GovCloud (US) verfügt jetzt über eine vorläufige Autorisierung für Niveau 2 und Niveau 4, die es Auftragsinhabern ermöglicht, alle kontrollierten, nicht geheimen Informationskategorien, die durch diese Niveaus abgedeckt werden, bereitzustellen.
Die Autorisierungen bestätigen unser stetes Engagement für die Sicherheit unserer Services für unsere Kunden. Durch das Durchlaufen des Autorisierungsprozesses wird bestätigt, dass wir uns um die Sicherheitskontrollen von DoD SRG kümmern und dass unsere Verwaltungsverfahren die DoD-Richtlinien einhalten. Wir wurden auf dem SRG IL4-Niveau bewertet und haben von DISA ein IL4 PA erhalten.
Unsere vorläufigen Stufe-2-Genehmigungen bedeuten, dass DoD-Kunden, die unsere Services zum Speichern, Verarbeiten oder Übertragen von DoD-Daten verwenden, sich auf unsere Genehmigungen für die AWS-Infrastruktur, die alle durch Stufe 2 definierten Anforderungen abdecken, verlassen können, da sie ihre eigene Compliance und Zertifizierung verwalten, einschließlich Audits und Sicherheitsmanagement. Durch die Umstellung Ihrer DoD-IT-Umgebung auf AWS kann Ihre Compliance-Aufsicht mithilfe der Services und Funktionen, die von AWS zur Verfügung gestellt werden, verbessert werden.
Unsere vorläufige Autorisierung von Level 4 für AWS GovCloud (US) bedeutet, dass unsere DoD-Kunden ihre Produktionsanwendungen bei AWS GovCloud (USA) bereitstellen können. Diese Genehmigung erlaubt es Kunden, sich an Aktivitäten hinsichtlich Design, Entwicklung und Integration zu beteiligen, die erforderlich sind, um die Anforderungen von Stufe 4 der DoD Cloud Computing SRG zu erfüllen.
Wenn der DoD-Auftragsinhaber eine Anwendung in AWS im Sinne der geteilten Sicherheitsverantwortung betreibt, ist er für eine reduzierte Basis der Sicherheitskontrollen verantwortlich. AWS stellt eine sichere Hosting-Umgebung mit geltenden Sicherheitskontrollen für Auftragsinhaber und ihre Anwendungen bereit, befreit den Auftragsinhaber aber nicht von der Verantwortung, die Anwendung gemäß den DoD-Sicherheitskontrollen und der Compliance-Richtlinie sicher bereitzustellen, zu verwalten und zu überwachen.
Weitere Informationen zur Verantwortung der DoD-Anwendungsinhaber in AWS finden Sie in unserem Whitepaper DoD Compliant Implementations in the AWS Cloud. Wir werden dieses Whitepaper schon bald gemäß SRG überarbeiten.
Ja, Kunden können ihre Verarbeitungslasten auf Eignung für andere AWS-Services prüfen. Jeder Auftragsinhaber kann das Risiko aller unserer Services bewerten und akzeptieren, die eingesetzt werden. Wenden Sie sich an die AWS-Abteilung für Vertrieb und Geschäftsentwicklung, wenn Sie an detaillierten Erläuterungen der Sicherheitskontrollen und Aspekten für die Akzeptanz von Risiken interessiert sind.
Nein, durch Compliance-Programme werden sich die Kosten für AWS-Services nicht erhöhen.
Ja, zahlreiche Behörden und andere Organisationen, die DoD Systemintegration und andere Produkte und Services bereitstellen, setzen derzeit die große Palette von AWS-Services ein. AWS kann nur wenige der Kunden offenlegen, die DoD ATOs für Systeme in AWS erreicht haben, arbeitet aber regelmäßig mit Kunden und Bewertern bei der Planung, Bereitstellung, Zertifizierung und Akkreditierung ihrer DoD-Arbeitslasten in AWS zusammen.
Nein. Gemäß Der DoD-SRG erhält ein DoD-Kunde durch Nutzung unserer Autorisierungen einen ATO ohne physischen Durchlauf des Rechenzentrums eines Service-Anbieters. DoD-Kunden können sich auf die Arbeit unserer FedRAMP-Drittanbieter-Bewertungsorganisationen (3rd Party Assessment Organizations, 3PAOs) verlassen, wozu auch eine umfangreiche Vor-Ort-Prüfung der physischen Sicherheit unserer Rechenzentren gehört.
Um die unterstützende AWS-Dokumentation anzufordern, senden Sie eine Anforderung an die AWS-Abteilung für Vertrieb und Geschäftsentwicklung.
Eine vollständige Liste der abgedeckten Services finden Sie auf der Seite des AWS-Services in Scope nach Compliance-Programms.
