FedRAMP

Übersicht

Die US-Bundesbehörden haben sich zum Ziel gesetzt, Ihre Services der amerikanischen Bevölkerung auf möglichst innovative, sichere und kosteneffiziente Weise zur Verfügung zu stellen. Cloud-Computing spielt eine wichtige Rolle bei der Erzielung der Betriebseffizienz und die landesweite, bedarfsorientierte Einführung von Neuerungen durch die US-Bundesbehörden. Daher nutzen heute viele US-Bundesbehörden die Cloud-Services von AWS zum Verarbeiten, Speichern und Übertragen von Behördendaten.

  • Das Federal Risk and Authorization Management Program (FedRAMP) ist ein US-Bundesprogramm zur Standardisierung der Sicherheitsprüfung, Autorisierung und laufenden Überwachung von Cloud-Produkten und -Services. Zu den Leitungsgremien der FedRAMP gehören das Office of Management and Budget (OMB), die U.S. General Services Administration (GSA), das U.S. Department of Homeland Security (DHS), das U.S. Department of Defense (DoD), die National Institutes of Standards & Technology (NIST) und der Federal Chief Information Officers (CIO) Council.

    Cloud-Service-Anbieter (CSAs), die ihre Cloud-Service-Angebote (CSOs) der US-Regierung anbieten wollen, müssen FedRAMP-Konformität nachweisen. FedRAMP wendet die NIST Special Publication 800 an und fordert von Cloud-Serviceanbietern eine unabhängige Sicherheitsüberprüfung von einer dritten Prüforganisation (3PAO), damit sichergestellt ist, dass die Organisationen mit dem Federal Information Security Management Act (FISMA) konform sind. Weitere Informationen finden Sie auf der FedRAMP-Website.

  • Als Reaktion auf die Cloud First Policy (jetzt Cloud Smart Strategy) hat das Office of Management and Budget (OMB) das FedRAMP Policy Memo (jetzt Federal Cloud Computing Strategy) herausgegeben, um das erste regierungsweite Sicherheitsautorisierungsprogramm für den Federal Information Security Modernization Act (FISMA) zu etablieren. FedRAMP ist für sämtliche US-Bundesbehörden und alle Cloud-Services bindend. FedRAMP ist wichtig, da Folgendes gesteigert wird:

    • Konsistenz und Vertrauen in die Sicherheit der Cloud-Lösungen dank von National Institutes of Standards & Technology (NIST) und FISMA festgelegter Normen
    • Transparenz bei US-Regierungsbehörden und Cloud-Anbietern
    • Automatisierung und kontinuierliche Überwachung nahezu in Echtzeit
    • Annahme sicherer Cloud-Lösungen dank erneuten Einsatzes von Prüfungen und Zulassungen
  • Die US-Regierungsrichtlinie Cloud First verlangt, dass alle US-Bundesbehörden zum Durchführen von Sicherheitsprüfungen, Autorisierungen und zur laufenden Überwachung von Cloud-Services den FedRAMP-Prozess nutzen. Das FedRAMP Program Management Office (PMO) hat die folgenden Anforderungen an die FedRAMP-Compliance festgelegt:

    1. Der Cloud-Service-Anbieter (CSA) hat von einer US-Bundesbehörde eine Agency Authority to Operate (ATO) oder vom Joint Authorization Board (JAB) eine Provisional Authority to Operate (P-ATO) erhalten.
    2. Der CSA erfüllt die Anforderungen der in National Institutes of Standards & Technology (NIST) 800-53, Rev. 4 beschriebenen FedRAMP-Sicherheitskontrolle.
    3. Alle Pakete für Systemsicherheit müssen die erforderlichen FedRAMP-Vorlagen verwenden.
    4. Der CSA muss von einer zugelassenen externen Prüfstelle (3PAO) bewertet werden.
    5. Das abgeschlossene Sicherheitsprüfungspaket muss im sicheren FedRAMP-Repository bereitgestellt werden.
  • Es gibt zwei Möglichkeiten für Cloud-Service-Anbieter (CSAs), um FedRAMP-konform zu werden:

    • Joint Authorization Board (JAB) Authorization: Um das FedRAMP Joint Authorization Board (JAB) Provisional Authority to Operate (P-ATO) zu erhalten, wird ein CSA von einem FedRAMP-akkreditierten 3PAO bewertet, vom FedRAMP Program Management Office (PMO) überprüft und erhält ein P-ATO vom JAB. Das JAB besteht aus den Chief Information Officers (CIOs) des Department of Defense (DoD), des Department of Homeland Security (DHS) und der General Services Administration (GSA).
    • Agency Authorization: Um die FedRAMP Agency Authority to Operate (ATO) zu erhalten, wird ein CSA von einem CIO der Kundenagentur oder einem oder mehreren delegierten Autorisierungsbeauftragten überprüft, um ein FedRAMP-konformes ATO zu erhalten, das vom FedRAMP Program Management Office (PMO) überprüft wird.
  • Eine Organisation der Bundesbehörde oder des Verteidigungsministeriums (DoD) kann die AWS Cloud Service Offerings (CSOs) als Bausteine für in der Cloud gehostete Lösungen nutzen. Jeder AWS-CSO ist von FedRAMP und DISA für die Nutzung auf Bundes- und DoD-Ebene autorisiert, und seine Autorisierung wird in einer Provisional Authority to Operate (P-ATO) dokumentiert. CSAs erhalten keine Betriebsgenehmigung (ATO) für ihre CSOs, stattdessen erhalten sie P-ATOs. Ein PATO ist eine Vorab-Beschaffungsgenehmigung für Bundes- oder DoD-Organisationen zur Nutzung von CSOs. Bundesbehörden oder DoD-Organisationen können die AWS-FedRAMP-Sicherheitspakete nutzen, um die unterstützende Dokumentation zu überprüfen, die Details zur geteilten Verantwortung enthält, und ihre eigene risikobasierte Entscheidung zur Gewährung eines ATO zu treffen. Wenn Sie Fragen haben oder weitere Informationen benötigen, wenden Sie sich bitte an Ihren AWS Sales Account Manager.

    Ein autorisierender Beamter (Authorizing Official, AO) einer Behörde kann jedes der AWS-FedRAMP-Sicherheitspakete nutzen, um die unterstützende Dokumentation zu überprüfen, einschließlich Details zur geteilten Verantwortung, und seine eigene risikobasierte Entscheidung zu treffen, AWS eine Agency Authority to Operate (ATO) zu erteilen. Behörden sind für die Ausstellung ihrer eigenen ATO auf AWS verantwortlich und sind auch für die Gesamtautorisierung ihrer Systemkomponenten zuständig. Wenn Sie Fragen haben oder weitere Informationen benötigen, wenden Sie sich bitte an Ihren AWS Sales Account Manager oder das ATO on AWS-Team.

  • AWS ist ein Cloud-Service-Anbieter (CSA), der Cloud Service Offerings (CSOs) anbietet. Als CSA befolgt AWS das FedRAMP-Verfahren, um seine CSOs für die Verwendung auf Bundes- oder DoD-Ebene autorisieren zu lassen. Im Rahmen des FedRAMP-Prozesses wird keine Betriebsgenehmigung (ATO) für CSAs ausgestellt, sondern eine vorläufige Betriebsgenehmigung (Provisional Authority to Operate, PATO). Die PATO ist eine Vorab-Beschaffungsgenehmigung für Bundesbehörden oder das DoD zur Verwendung von CSOs. Bundesbehörden oder das DoD verwenden die PATO und die geerbten Kontrollen, die mit der PATO verbunden sind, wenn sie dem Risk Management Framework (RMF)-Prozess folgen, um ihre eigene ATO zu erhalten. Beachten Sie, dass die AWS PATO nicht zu einer ATO hochgestuft wird, da der FedRAMP-Prozess keine ATOs an CSAs ausstellt. ATOs werden nur als Teil des RMF-Prozesses ausgestellt und sie werden von den Authorizing Officers (AOs) der Bundesbehörden oder des DoD ausgestellt. Weitere Informationen zu FedRAMP finden Sie auf der FedRAMP-Website.

  • FedRAMP ist der Prozess, den Cloud-Service-Anbieter (CSAs) befolgen, um ihre Cloud Service Offerings (CSOs) für Bundesbehörden oder das DoD zur Nutzung eines Bausteins für in der Cloud gehostete Systeme zuzulassen. Das Risk Management Framework (RMF) ist der Prozess, dem Bundesbehörden oder das DoD folgen, um ihre IT-Systeme zum Betrieb zuzulassen. Nur CSOs verwenden den FedRAMP-Prozess und CSAs folgen nicht dem RMF-Prozess. Bundesbehörden oder das DoD folgen dem FedRAMP-Prozess nur dann, wenn sie Cloud-Dienste (z. B. MilCloud) erstellen.

  • Wir empfehlen Behördenkunden, das bestehende FedRAMP-JAB-ATO- und Autorisierungspaket zu nutzen, um ihre eigene Betriebsgenehmigung (Authorization to Operate, ATO) auszustellen.

  • Ja, AWS bietet die folgenden FedRAMP-konformen Services an, für die Berechtigungen erteilt wurden, die die FedRAMP-Sicherheitskontrollen (basierend auf NIST SP 800-53) adressiert haben, die erforderlichen FedRAMP-Vorlagen für die Sicherheitspakete verwendet haben, die im sicheren FedRAMP-Repository veröffentlicht wurden, von einem akkreditierten unabhängigen Drittprüfer (3PAO) bewertet wurden und die kontinuierlichen Überwachungsanforderungen von FedRAMP einhalten:

    • AWS GovCloud(USA) wurden eine "Joint Authorization Board Provisional Authority-To-Operate" (JAB P-ATO) sowie mehrere "Agency Authorizations" (A-ATO) für großen Einfluss verliehen. Die innerhalb der AWS GovCloud (USA) JAB-P-ATO-Grenze zugelassenen Services in Kategorien mit hoher Sicherheitsstufe finden Sie unter AWS-Services in Scope nach Compliance-Programm.
    • AWS USA Ost-West (Nord-Virginia, Ohio, Oregon, Nordkalifornien) wurde eine "Joint Authorization Board Provisional Authority-To-Operate" (JAB P-ATO) sowie mehrere "Agency Authorizations" (A-ATO) für moderaten Einfluss verliehen. Die innerhalb der AWS US Ost-West JAB P-ATO-Grenze zugelassenen Services in Kategorien mit moderater Sicherheitsstufe finden Sie unter AWS-Services in Scope nach Compliance-Programm.  
  • Nein, durch Konformität mit FedRAMP erhöhen sich in keiner Region die Kosten von AWS-Services.

  • Zwei getrennte FedRAMP P-ATOs wurden ausgestellt, eine für die Region AWS GovCloud (USA) und die andere für die AWS-Regionen USA Ost und West.

  • Ja, über 2 000 Behörden und andere Stellen, die Behörden Systemintegration und andere Produkte und Services bieten, setzen derzeit die große Palette von AWS-Services ein. Sie können Fallstudien über US-Regierungsbehörden, die AWS verwenden, auf der Webseite AWS-Kundenerfolge einsehen. Weitere Informationen darüber, wie AWS die hohen Sicherheitsanforderungen von Regierungen erfüllt, finden Sie auf der Webseite AWS for Government.

  • Die abgedeckten AWS-Services, die bereits innerhalb der FedRAMP- und DoD SRG-Autorisierungsgrenze zugelassen sind, finden Sie unter AWS-Services in Scope nach Compliance-Programm. Wenn Sie entweder auf die Registerkarte FedRAMP oder DoD SRG klicken, zeigen Services mit einem "✓" an, dass der FedRAMP JAB den Service als ausreichend autorisiert hat, um die FedRAMP mäßigen Ausgangsanforderungen (nachfolgend DoD SRG IL2) für AWS USA Osten-Westen und/oder FedRAMP hohen Ausgangsanforderungen (nachfolgend DoD SRG IL2, IL4 und IL5) für AWS GovCloud (USA) zu erfüllen. Diese Services sind unter der Servicebeschreibung für AWS auf FedRAMP Marketplace veröffentlicht. Wenn die Services als "3PAO Assessment" oder "Under Assessment" markiert sind, behauptet AWS nicht, dass die FedRAMP-Kontrollen implementiert oder aufrechterhalten werden, da diese Services noch bewertet werden. Wenn der Service als "JAB Review" oder "DISA Review" gekennzeichnet ist, hat er die 3PAO-Bewertung abgeschlossen und befindet sich derzeit in der Warteschlange unserer Regulierungsbehörde. Für diese Services hat AWS die relevanten FedRAMP-Kontrollen basierend auf der Umgebung implementiert und wurde dafür bewertet, wurde jedoch nicht vom JAB autorisiert. Möchten Sie mehr über die Verwendung dieser Services erfahren und/oder interessieren Sie sich für andere Services, kontaktieren Sie die Abteilung AWS Sales and Business Development.

  • Ja, Kunden können ihre Workloads auf Eignung für andere AWS-Services prüfen. Wenden Sie sich an die Abteilung AWS Sales and Business Development, wenn Sie an detaillierten Erläuterungen der Sicherheitskontrollen und Aspekte für die Akzeptanz von Risiken interessiert sind.

  • Ja, Kunden können ihre geschäftskritischen Workloads auf Eignung für AWS prüfen. Derzeit können Kunden ihre High-Impact-Workloads auf AWS GovCloud (USA) platzieren, die eine Joint Authorization Board Provisional Authority-To-Operate (JAB P-ATO) für High-Impact-Level erhalten hat.

  • USA Mitarbeiter und Auftragnehmer von Behörden können den Zugriff auf das AWS FedRAMP-Sicherheitspaket beim FedRAMP PMO beantragen, indem sie ein Antragsformular für den Paketzugriff ausfüllen und es an info@fedramp.gov senden.

    Kommerzielle Kunden und Partner können Zugriff auf das AWS-FedRAMP-Partnerpaket beantragen, um Anleitungen zum Aufbau auf AWS-Angebote und Unterstützung bei der Architektur von FedRAMP/DoD-konformen Services auf AWS zu erhalten. Das Partnerpaket finden Sie in Ihrem AWS-Konto über AWS Artifact oder auf Anfrage über Ihren AWS-Kundenbetreuer.

  • Für die Regionen AWS USA Ost-West lautet die FedRAMP-ID AGENCYAMAZONEW. Für die Region AWS GovCloud (USA) lautet die FedRAMP-ID F1603047866.

  • Im Rahmen des FedRAMP Concept of Operations (CONOPS) wird nach Erteilung der Autorisierung der Sicherheitsstand des Cloud-Serviceanbieters gemäß dem Bewertungs- und Autorisierungsprozess überwacht. Um eine FedRAMP-Autorisierung jährlich zu verlängern, müssen CSAs ihre Sicherheitskontrollen überwachen, regelmäßig bewerten und nachweisen, dass der Sicherheitsstand ihres Serviceangebots durchgängig den Anforderungen entspricht. US-Bundesbehörden, die das FedRAMP-Programm zur laufenden Überwachung nutzen, sowie Autorisierungsbefugte (Authorizing Officials – AO) und deren benannte Teams sind für die Überprüfung der laufenden Compliance von AWS zuständig. Auf kontinuierlicher, fortwährender Basis überprüfen AOs und ihre designierten Teams Artefakte, die durch den kontinuierlichen Überwachungsprozess von AWS FedRAMP zur Verfügung gestellt werden, zusätzlich zum Nachweis der Implementierung aller agenturspezifischen Kontrollen, die über die FedRAMP-Kontrollen hinaus erforderlich sind. Weitere Informationen dazu entnehmen Sie bitte dem Informationssystem-Sicherheitsprogramm oder der Sicherheitsrichtlinie Ihrer Behörde.

  • Nein. Laut den FedRAMP Weekly Tips & Cues vom 10. August 2016 sind ISAs für die Verwendung zwischen einem CSP und einer Bundesbehörde nicht erforderlich.

  • Das AWS FedRAMP-Sicherheitspaket ist für Kunden über AWS Artifact verfügbar, ein Self-Service-Portal für den On-Demand-Zugriff auf AWS-Compliance-Berichte. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

    Wenn Sie spezielle Fragen zur FedRAMP- oder DoD-Compliance haben, wenden Sie sich bitte an Ihren AWS-Kundenbetreuer oder senden Sie das AWS-Compliance-Kontaktformular, um Kontakt mit unserem FedRAMP-Compliance-Team aufzunehmen.

  • Bundesbehörden werden von ihrem Office of Inspector General (OIG) und intern auf der Grundlage von Metriken bewertet, die vom Department of Homeland Security (DHS) bereitgestellt werden. Kriterien für die FISMA OIG- und CIO-Metriken sind die NIST SP 800-Sonderveröffentlichungen, wobei der Schwerpunkt auf NIST SP 800-53 liegt. Damit sich diese Behörden auf die Sicherheit des CSA verlassen können, ist FedRAMP ein Compliance-Programm, das auf einer Baseline von NIST SP 800-53-Kontrollen aufbaut, um die FISMA-Anforderungen innerhalb der Cloud zu erfüllen.

    Das FedRAMP-Compliance-Programm wird vom DoD genutzt, um die Impact Levels des Department of Defense Cloud Computing Security Requirements Guide (DoD CC SRG) zu erfüllen, die beide die Einhaltung von FIPS 140-2 für bestimmte Verschlüsselungskontrollen erfordern. Das Defense Federal Acquisition Regulation Supplement (DFARS) verlangt von DoD-Vertragspartnern, die Controlled Unclassified Information (CUI) verarbeiten, speichern oder übertragen, die Einhaltung bestimmter Sicherheitsstandards, zu denen auch die Anforderungen der NIST SP 800-171 gehören. NIST SP 800-171 bietet Behörden empfohlene Sicherheitsanforderungen zum Schutz der Vertraulichkeit von Controlled Unclassified Information (CUI).

Haben Sie noch Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »