Ich hätte gern Informationen über FedRAMP in der Cloud
FedRAMP AWS

Die US-Bundesbehörden haben sich zum Ziel gesetzt, Ihre Services der amerikanischen Bevölkerung auf möglichst innovative, sichere und kosteneffiziente Weise zur Verfügung zu stellen. Cloud Computing ist weiterhin ein wichtiger Katalysator für das Erzielen von Betriebseffizienz und das landesweite Einführen von Neuerungen nach Bedarf durch die US-Bundesbehörden. Daher nutzen heute viele US-Bundesbehörden die nutzungsbedingten Cloud-Services von AWS zum Verarbeiten, Speichern und Übertragen von Behördendaten.

govcloud_video

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein US-Bundesprogramm zur Standardisierung der Sicherheitsprüfung, Autorisierung und laufenden Überwachung von Cloud-Produkten und -Services. Zu den Leitungsgremien der FedRAMP gehören das Office of Management and Budget (OMB), die U.S. General Services Administration (GSA), das U.S. Department of Homeland Security (DHS), das U.S. Department of Defense (DOD), die National Institutes of Standards & Technology (NIST) und der Federal CIO Council.

FedRAMP wendet die NIST Special Publication 800 an und fordert von Cloud-Serviceanbietern eine unabhängige Sicherheitsüberprüfung von einer dritten Prüforganisation (3PAO), damit sichergestellt ist, dass die Organisationen mit dem Federal Information Security Management Act (FISMA) konform sind. Cloud-Anbieter, die der US-Regierung ihre Produkte und Services bereitstellen möchten, müssen deren FedRAMP-Konformität nachweisen können. Weitere Informationen zu den FedRAMP-Anforderungen finden Sie unter www.FedRAMP.gov.

Amazon Web Services (AWS) stellt folgende FedRAMP-konforme Services zur Verfügung:

AWS GovCloud (US) wurde eine "Joint Authorization Board Provisional Authorization" (JAB P-ATO) für großen Einfluss verliehen. Die abgedeckten Services sind: EC2, EBS, IAM, S3 und VPC.

AWS US East-West wurden mehrere "Agency Authorizations" für durchschnittlichen Einfluss verliehen. Die abgedeckten Services sind: EC2, EBS, Redshift, IAM, S3 und VPC.

Als Reaktion auf die Politikrichtlinie "Cloud First" veröffentlichte das Office of Management and Budget (OMB) das FedRAMP Policy Memo, das das erste regierungsweite Sicherheitszulassungsprogramm für FISMA enthält. FedRAMP ist für sämtliche US-Bundesbehörden und alle Cloud-Services bindend. FedRAMP ist wichtig, da Folgendes gesteigert wird:

  • Konsistenz und Vertrauen in die Sicherheit der Cloud-Lösungen dank von NIST und FISMA festgelegter Normen,
  • Transparenz bei US-Regierungsbehörden und Cloud-Anbietern,
  • Automatisierung und kontinuierliche Überwachung nahezu in Echtzeit,
  • Annahme sicherer Cloud-Lösungen dank erneuten Einsatzes von Prüfungen und Zulassungen.

Die US-Regierungsrichtlinie Cloud First verlangt, dass alle US-Bundesbehörden zum Durchführen von Sicherheitsprüfungen, Autorisierungen und zur laufenden Überwachung von Cloud-Services den FedRAMP-Prozess nutzen. Das FedRAMP-Programmbüro beschreibt fünf Voraussetzungen für die FedRAMP-Compliance:

1. Dem Anbieter von Cloud Services (Cloud Service Provider, CSP) wurde von einer US-Bundesbehörde eine Betriebszulassung (Authority to Operate, ATO) erteilt.

2. Der CSP erfüllt die Voraussetzungen für FedRAMP-Sicherheitskontrollen, die mit den Basisanforderungen "NIST 800-53, Rev. 4" für Sicherheitskontrollen für die Stufe "Moderate" übereinstimmen.

3. Alle Pakete für Systemsicherheit müssen die erforderlichen FedRAMP-Vorlagen verwenden.

4. Der CSP wurde von einem unabhängigen Prüfer geprüft.

5. Das abgeschlossene Sicherheitsprüfungspaket wird im sicheren FedRAMP-Repository bereitgestellt.

FedRAMP-Anforderungen

Es gibt drei FedRAMP-Konformitätspfade für CSPs:

1. JAB Provisional Authorizations (JAB P-ATOs)

CSPs mit einem FedRAMP P-ATO-Pfad wurden durch das FedRAMP PMO geprüft, durch ein FedRAMP-akkreditiertes 3PAO bewertet und haben eine P-ATO von DHS-, DOD- und GSA-CIOs erhalten.

2. Agency FedRAMP Authorizations (A-ATOs)

CSPs mit einem Agency Authorization-Pfad wurden durch den CIO einer Kundenbehörde oder vertretende Autorisierungsbefugte geprüft, um eine FedRAMP-konforme ATO zu erlangen, die durch das FedRAMP PMO bestätigt wurde.

3. CSP Supplied Packages

Ein CSP mit einem CSP Supplied Package hat dem FedRAMP PMO ein abgeschlossenes Sicherheitsprüfungspaket übermittelt, das durch ein FedRAMP-akkreditiertes 3PAO bewertet wurde.

FedRAMP Cloud-Compliance

Ja, AWS bietet die folgenden konformen Systeme mit Zulassungen, die FedRAMP-Sicherheitskontrollen einhalten (basierend auf NIST SP 800-53), erforderliche FedRAMP-Vorlagen für Sicherheitspakete im sicheren FedRAMP-Verzeichnis verwenden, unabhängig von einem akkreditierten dritten Prüfer bewertet wurden (3PAO) und die kontinuierlichen Überwachungsanforderungen für FedRAMP erfüllen:

AWS GovCloud (US) wurde eine "Joint Authorization Board Provisional Authority-To-Operate" (JAB P-ATO) sowie mehrere "Agency Authorizations" (A-ATO) für großen Einfluss verliehen. Die innerhalb der AWS GovCloud (US) JAB P-ATO-Grenze zugelassenen Services in Kategorien mit hoher Sicherheitsstufe finden Sie unter AWS-Services in Scope nach Compliance-Programm. Eine vollständige Liste der Behörden, die AWS GovCloud (USA) eine ATO ausgestellt haben, finden Sie unter FedRAMP Compliant Systems.

AWS US East-West wurden mehrere "Agency ATOs" für durchschnittlichen Einfluss verliehen. Die innerhalb der AWS-Autorisierungsgrenze der Regionen USA Ost/West zugelassenen Services finden Sie unter AWS-Services in Scope nach Compliance-Programm. Eine vollständige Liste der Behörden, die AWS US East-West eine ATO ausgestellt haben, finden Sie unter FedRAMP Compliant Systems.

Nein, durch Konformität mit FedRAMP erhöhen sich in keiner Region die Kosten von AWS-Services.

Zwei getrennte FedRAMP Agency ATOs wurden ausgestellt, eine für die Region AWS GovCloud (USA) und die andere für die AWS-Regionen USA Ost und West.

Ja, zahlreiche Behörden und andere Stellen, die Behörden Systemintegration und andere Produkte und Services bieten, setzen derzeit die große Palette von AWS-Services ein.

FIPS AWS
CJIS AWS
FERPA AWS
DoD AWS
Die abgedeckten AWS-Services, die bereits innerhalb der FedRAMP- und DoD SRG-Autorisierungsgrenze zugelassen sind, finden Sie unter AWS-Services in Scope nach Compliance-Programm. Möchten Sie mehr über die Verwendung dieser Services erfahren und/oder interessieren Sie sich für andere Services, kontaktieren Sie die Abteilung AWS Sales and Business Development.

Ja, Kunden können ihre Verarbeitungslasten auf Eignung für andere AWS-Services prüfen. Wenden Sie sich an die AWS-Abteilung für Vertrieb und Geschäftsentwicklung, wenn Sie an detaillierten Erläuterungen der Sicherheitskontrollen und Aspekte für die Akzeptanz von Risiken interessiert sind.

Ja, Kunden können ihre geschäftswichtigen Verarbeitungslasten auf Eignung für AWS prüfen. Derzeit gilt FedRAMP nur für Cloud Computing-Systeme auf den FISMA-Stufen "Low" und "Moderate", doch AWS erfüllt bereits zahlreiche Anforderungen der NIST 800-53-Stufe "High". Für unsere Kunden, die die NIST-Grundstufe "Moderate" zur Unterstützung kritischer Verarbeitungslasten für Anwendungen und Services vom Typ "FISMA High" ausbauen möchten, haben wir die AWS-Arbeitsmappe "FISMA-High" erstellt. Wenden Sie sich an die AWS-Abteilung für Vertrieb und Geschäftsentwicklung, wenn Sie an detaillierten Erläuterungen der Sicherheitskontrollen und Aspekte für die Akzeptanz von Risiken interessiert sind.

AWS bietet zahlreiche Sicherheitsfunktionen, mittels derer unsere Kunden ihre Daten unter Einhaltung der Sicherheitsrichtlinien der Bundesbehörden und des US-Verteidigungsministeriums schützen können. Wir entwickeln die Sicherheits-Tools, die wir den Kunden zur Verfügung stellen, laufend weiter und geben regelmäßig Verbesserungen an den bereits vorhandenen Sicherheitsfunktionen heraus. Weitere Informationen und Lösungen für die Datensicherung in der Cloud finden Sie in den folgenden AWS-Sicherheitsrichtlinien:

AWS-Kunden können über den FedRAMP PMO oder ihren AWS-Kundenbetreuer Zugriff auf die AWS FedRAMP-Sicherheitspakete beantragen.

US-amerikanische Regierungsbehörden können über den FedRAMP PMO Zugriff auf die AWS FedRAMP-Sicherheitspakete beantragen, indem sie ein Antragsformular auf Paketzugriff ausfüllen und es an info@fedramp.gov senden, oder sich an ihren AWS-Kundenbetreuer wenden.

AWS-Partner und potenzielle Kunden können auch Zugriff auf die AWS Partner FedRAMP-Sicherheitspakete beantragen, indem sie sich an ihren AWS-Kundenbetreuer wenden.

Ein Agency Authoring Official (AO) kann beliebige der AWS FedRAMP Zulassungs-Sicherheitspakete dazu nutzen, unterstützende Dokumentation einzusehen und eigene, risikobasierte Entscheidungen zu treffen, die zur Verleihung einer behördlichen Zulassung oder ATO an AWS führen. Behörden sind selbst für die Ausstellung eigener ATOs an AWS zuständig und zudem auch für die Gesamtzulassung ihrer Systemkomponenten verantwortlich, die nicht von der AWS A-ATO abgedeckt werden. Möchten Sie mehr über das AWS-Modell übergreifende Verantwortlichkeit erfahren, wenden Sie sich an Ihren AWS-Kundenbetreuer.

Durch die Nutzung der durch AWS bereitgestellten Sicherheitsfunktionen und unser Ökosystem von Anbietern sind Sie in der Lage, den Aufbau verfügbarer Systemen zu steuern und zu überwachen, die die Sicherheits-, Datenschutz- und/oder Enterprise Risk Management-Richtlinien einbinden.

Lassen Sie sich das von unseren Kunden, Partnern und Systemintegratoren sagen – lesen Sie, was diese mit AWS erreicht haben:

Blog

Appian Cloud nutzt die Infrastruktur von Amazon Web Services und eine FedRAMP-Autorisierung. Weitere Informationen

AWS-Fallbeispiele

US-Außenministerium

US Food and Drug Administration (FDA)

Centers for Disease Control and Prevention (CDC)

NASA/JPLs Wüstenforschungs- und Schulungsstudien

NASA JPL und Amazon SWF

NASA/JPL's Mars Curiosity-Mission

AWS-Compliance

Im Rahmen des FedRAMP Concept of Operations (CONOPS) wird nach Erteilung der Autorisierung der Sicherheitsstand des Cloud-Serviceanbieters gemäß dem Bewertungs- und Autorisierungsprozess überwacht. Um eine FedRAMP-Autorisierung jährlich zu verlängern, müssen Cloud-Serviceanbieter ihre Sicherheitskontrollen überwachen, regelmäßig bewerten und nachweisen, dass der Sicherheitsstand ihres Serviceangebots durchgängig den Anforderungen entspricht. US-Bundesbehörden, die das FedRAMP-Programm zur laufenden Überwachung nutzen, sowie Autorisierungsbefugte (Authorizing Officials – AO) und deren benannte Teams sind für die Überprüfung der laufenden Compliance von AWS zuständig. AOs und deren benannte Teams überprüfen durch den laufenden FedRAMP-Überwachungsprozess von AWS gelieferte Artefakte zusätzlich zu Nachweisen zur Implementierung behördenspezifischer Kontrollen, die über die kontinuierlichen und laufenden FedRAMP-Kontrollen hinausgehen. Weitere Informationen dazu entnehmen Sie bitte dem Informationssystem-Sicherheitsprogramm oder der Sicherheitsrichtlinie Ihrer Behörde.

FedRAMP-PMO besagt, dass ISAs nicht für die Verwendung zwischen einem CSP und einer Bundesbehörde gedacht sind. Weitere Informationen finden Sie auf der FedRAMP-PMO-Website.

Antworten auf Fragen zur FedRAMP-Compliance finden Sie im AWS FedRAMP-Partner-Paket auf AWS Artifact. Wenden Sie sich an awscompliance@amazon.com, wenn Sie weiterführende Fragen zur FedRAMP-/DoD-Compliance haben. Wenden Sie sich an den zuständigen Vertriebsmitarbeiter, wenn Sie Fragen zu AWS-Verarbeitungslasten/-Architekturen haben oder weitere Informationen dazu benötigen.

FedRAMP-Ressourcen

 

Kontakt