Security Requirements Guide (SRG) für Cloud Computing des Verteidigungsministeriums der USA

Übersicht

Immer mehr Militärkunden nutzen die AWS-Services, um Daten des US-Verteidigungsministeriums (Department of Defense, DoD) zu verarbeiten, zu speichern und zu übertragen. AWS ermöglicht Rüstungsunternehmen und ihren Geschäftspartnern den Aufbau von sicheren AWS-Umgebungen zum Verarbeiten, Verwalten und Speichern von DoD-Daten.

Der Security Requirements Guide (SRG) für Cloud Computing des US-Verteidigungsministeriums (Department of Defense, DoD) bietet einen formalisierten Bewertungs- und Zulassungsprozess für Cloud-Service-Anbieter (Cloud Service Provider, CSP) zur Erlangung einer vorläufigen DoD-Autorisierung, die anschließend von DoD-Kunden genutzt werden kann. Die vorläufige Autorisierung von AWS durch die Defense Information Systems Agency (DISA) stellt eine wiederverwendbare Zertifizierung bereit, die unsere Compliance mit DoD-Standards bestätigt und die Zeit verkürzt, die Inhaber eines DoD-Auftrags für die Bewertung und Autorisierung eines ihrer Systeme auf AWS benötigen. Weitere Informationen über den SRG, einschließlich der vollständigen Definition der Basiswerte für Sicherheitskontrollen für die Stufen 2, 4, 5 und 6, finden Sie in der Dokumentbibliothek auf der Webseite DoD-Cloud-Computing Sicherheit.

Als DoD-Kunde sind Sie für die Einhaltung der DoD-Sicherheitsrichtlinie innerhalb Ihrer AWS-Anwendungsumgebung verantwortlich, die Folgendes beinhalten muss:

• Die Verantwortlichkeiten des Auftragsinhabers, die im Whitepaper DoD-konforme Implementierungen in der AWS Cloud beschrieben sind
• Alle relevanten sicherheitstechnischen Implementierungsanleitungen (Security Technical Implementation Guides, STIGs) für das Betriebssystem
• Alle relevanten Anwendungs-STIGs
• DoD-Anweisungen zu Ports und Protokollen (DoD Instruction 8551.01)

Die Infrastruktur, Verwaltung und Betriebsumgebung von AWS wurden durch die FedRAMP- und DoD-Autorisierungsprozesse bewertet und genehmigt. Als Kunde, der eine Anwendung in der AWS-Infrastruktur bereitstellt, erhalten Sie die Kontrolle über die Sicherheit unseres physischen, umgebungs- und medienbezogenen Schutzes und müssen nicht mehr detailliert angeben, wie Sie die Compliance bei Kontrollen dieser Art realisieren. Die verbleibenden DoD-RMF-Kontrollen (Risk Management Framework) werden zwischen AWS und den Kunden aufgeteilt, da jede Organisation die Verantwortung für die Implementierung dieser Kontrollen in ihrem Teil des gemeinsamen IT-Sicherheitsmodells behält. 

Haben Sie noch Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »