FedRAMP

Übersicht

FedRAMPLogoSmall

Die US-Bundesbehörden haben sich zum Ziel gesetzt, Ihre Services der amerikanischen Bevölkerung auf möglichst innovative, sichere und kosteneffiziente Weise zur Verfügung zu stellen. Cloud-Computing spiele eine wichtige Rolle bei der Erzielung der Betriebseffizienz und die landesweite Einführung von Neuerungen nach Bedarf durch die US-Bundesbehörden. Daher nutzen heute viele US-Bundesbehörden die Cloud-Services von AWS zum Verarbeiten, Speichern und Übertragen von Behördendaten.

  • Was ist FedRAMP?

    Das Federal Risk and Authorization Management Program (FedRAMP) ist ein US-Bundesprogramm zur Standardisierung der Sicherheitsprüfung, Autorisierung und laufenden Überwachung von Cloud-Produkten und -Services. Zu den Leitungsgremien der FedRAMP gehören das Office of Management and Budget (OMB), die U.S. General Services Administration (GSA), das U.S. Department of Homeland Security (DHS), das U.S. Department of Defense (DOD), die National Institutes of Standards & Technology (NIST) und der Federal Chief Information Officers (CIO) Council.

    Cloud-Services-Anbieter, die der US-Regierung ihre Produkte und Services bereitstellen möchten, müssen deren FedRAMP-Konformität nachweisen können. FedRAMP wendet die NIST Special Publication 800 an und fordert von Cloud-Serviceanbietern eine unabhängige Sicherheitsüberprüfung von einer dritten Prüforganisation (3PAO), damit sichergestellt ist, dass die Organisationen mit dem Federal Information Security Management Act (FISMA) konform sind. Weitere Informationen finden Sie auf der FedRAMP-Website.

  • Warum ist FedRAMP wichtig?

    Als Reaktion auf die "Cloud First"-Richtlinie veröffentlichte das Office of Management and Budget (OMB) das FedRAMP Policy Memo zur Einführung des ersten regierungsweiten Sicherheitszulassungsprogramms für FISMA. FedRAMP ist für sämtliche US-Bundesbehörden und alle Cloud-Services bindend. FedRAMP ist wichtig, da Folgendes gesteigert wird:

    • Konsistenz und Vertrauen in die Sicherheit der Cloud-Lösungen dank von NIST und FISMA festgelegter Normen
    • Transparenz bei US-Regierungsbehörden und Cloud-Anbietern
    • Automatisierung und kontinuierliche Überwachung nahezu in Echtzeit
    • Annahme sicherer Cloud-Lösungen dank erneuten Einsatzes von Prüfungen und Zulassungen
  • Welche Voraussetzungen gelten für FedRAMP-Compliance?

    Die US-Regierungsrichtlinie Cloud First verlangt, dass alle US-Bundesbehörden zum Durchführen von Sicherheitsprüfungen, Autorisierungen und zur laufenden Überwachung von Cloud-Services den FedRAMP-Prozess nutzen. Das FedRAMP Program Management Office (PMO) hat die folgenden Anforderungen an die FedRAMP-Compliance festgelegt:

    1. Der Cloud-Service-Anbieter (CSA) hat von einer US-Bundesbehörde eine Agency Authority to Operate (ATO) oder vom Joint Authorization Board (JAB) eine Provisional Authority to Operate (P-ATO) erhalten.
    2. Der CSA erfüllt die Anforderungen der FedRAMP-Sicherheitskontrolle, wie in der NIST 800-53, Rev. 4 beschrieben.
    3. Alle Pakete für Systemsicherheit müssen die erforderlichen FedRAMP-Vorlagen verwenden.
    4. Das CSA muss von einer externen Prüfstelle (3PAO) bewertet werden.
    5. Das abgeschlossene Sicherheitsprüfungspaket muss im sicheren FedRAMP-Repository bereitgestellt werden.
  • Welche Arten von FedRAMP-Compliance gibt es?

    Es gibt zwei FedRAMP-Konformitätspfade für CSPs:

    1. JAB-Autorisierung

    Um das FedRAMP Joint Authorization Board (JAB) Provisional Authority to Operate (P-ATO) zu erhalten, wird ein CSA vom FedRAMP Program Management Office (PMO) überprüft, von einem FedRAMP-akkreditierten 3PAO bewertet und erhält ein P-ATO vom JAB. Das JAB besteht aus den Chief Information Officers (CIOs) des Department of Defense (DoD), des Department of Homeland Security (DHS) und der General Services Administration (GSA).

    2. Agency Authorization

    Um die FedRAMP Agency Authority to Operate (ATO) zu erhalten, wird ein CSA von einem CIO der Kundenagentur oder einem oder mehreren delegierten Autorisierungsbeauftragten überprüft, um ein FedRAMP-konformes ATO zu erhalten, das vom FedRAMP Program Management Office (PMO) überprüft wird.

  • Sind Amazon Web Services mit FedRAMP konform?

    Ja, AWS bietet die folgenden konformen Systeme mit Zulassungen, die FedRAMP-Sicherheitskontrollen einhalten (basierend auf NIST SP 800-53), erforderliche FedRAMP-Vorlagen für Sicherheitspakete im sicheren FedRAMP-Verzeichnis verwenden, unabhängig von einem akkreditierten dritten Prüfer bewertet wurden (3PAO) und die kontinuierlichen Überwachungsanforderungen für FedRAMP erfüllen:

    AWS GovCloud (US) wurde eine "Joint Authorization Board Provisional Authority-To-Operate" (JAB P-ATO) sowie mehrere "Agency Authorizations" (A-ATO) für großen Einfluss verliehen. Die innerhalb der AWS GovCloud (US) JAB P-ATO-Grenze zugelassenen Services in Kategorien mit hoher Sicherheitsstufe finden Sie unter AWS-Services in Scope nach Compliance-Programm.

    AWS US Ost-West wurde eine "Joint Authorization Board Provisional Authority-To-Operate" (JAB P-ATO) sowie mehrere "Agency Authorizations" (A-ATO) für moderaten Einfluss verliehen. Die innerhalb der AWS US Ost-West JAB P-ATO-Grenze zugelassenen Services in Kategorien mit moderater Sicherheitsstufe finden Sie unter AWS-Services in Scope nach Compliance-Programm.

  • Erhöhen sich durch Konformität mit FedRAMP die Kosten meiner AWS-Services?

    Nein, durch Konformität mit FedRAMP erhöhen sich in keiner Region die Kosten von AWS-Services.

  • Welche AWS-Regionen sind abgedeckt?

    Zwei getrennte FedRAMP Agency ATOs wurden ausgestellt, eine für die Region AWS GovCloud (USA) und die andere für die AWS-Regionen USA Ost und West.

  • Gibt es US-Behörden, die AWS derzeit nutzen?

    Ja, über 2 000 Behörden und andere Stellen, die Behörden Systemintegration und andere Produkte und Services bieten, setzen derzeit die große Palette von AWS-Services ein. Sie können Fallstudien über US-Regierungsstellen mit AWS einsehen, einschließlich US Department of State, US Food and Drug Administration (FDA), US Centers for Disease Control and Prevention (CDC), NASA/JPL's Desert Research and Training Studies, NASA JPL und Amazon SWF und NASA/JPL's Mars Curiosity Mission. Alle verfügbaren Fallstudien finden Sie auf der Webseite AWS Customer Success . Weitere Informationen darüber, wie AWS die hohen Sicherheitsanforderungen von Regierungen erfüllt, finden Sie auf der Webseite AWS for Government.

  • Welche Services sind abgedeckt?

    Die abgedeckten AWS-Services, die bereits innerhalb der FedRAMP- und DoD SRG-Autorisierungsgrenze zugelassen sind, finden Sie unter AWS-Services in Scope nach Compliance-Programm. Möchten Sie mehr über die Verwendung dieser Services erfahren und/oder interessieren Sie sich für andere Services, kontaktieren Sie die Abteilung AWS Sales and Business Development.

  • Können andere AWS-Services genutzt werden?

    Ja, Kunden können ihre Verarbeitungslasten auf Eignung für andere AWS-Services prüfen. Wenden Sie sich an die AWS-Abteilung für Vertrieb und Geschäftsentwicklung, wenn Sie an detaillierten Erläuterungen der Sicherheitskontrollen und Aspekte für die Akzeptanz von Risiken interessiert sind.

  • Können Systeme der Auswirkungsstufe "High" in AWS betrieben werden?

    Ja, Kunden können ihre geschäftswichtigen Verarbeitungslasten auf Eignung für AWS prüfen. Derzeit gilt FedRAMP nur für Cloud Computing-Systeme auf den FISMA-Stufen "Low" und "Moderate", doch AWS erfüllt bereits zahlreiche Anforderungen der NIST 800-53-Stufe "High". Für unsere Kunden, die die NIST-Grundstufe "Moderate" zur Unterstützung kritischer Verarbeitungslasten für Anwendungen und Services vom Typ "FISMA High" ausbauen möchten, haben wir die AWS-Arbeitsmappe "FISMA-High" erstellt. Wenden Sie sich an die AWS-Abteilung für Vertrieb und Geschäftsentwicklung, wenn Sie an detaillierten Erläuterungen der Sicherheitskontrollen und Aspekte für die Akzeptanz von Risiken interessiert sind.

  • Wie erhalte ich Zugriff auf die AWS FedRAMP-Sicherheitspakete?

    AWS-Kunden können über den FedRAMP PMO oder ihren AWS-Kundenbetreuer Zugriff auf die AWS FedRAMP-Sicherheitspakete beantragen.

    US-amerikanische Regierungsbehörden können über den FedRAMP PMO Zugriff auf die AWS FedRAMP-Sicherheitspakete beantragen, indem sie ein Antragsformular auf Paketzugriff ausfüllen und es an info@fedramp.gov senden, oder sich an ihren AWS-Kundenbetreuer wenden.

    AWS Partner und Interessenten können den Zugang zum AWS Partner FedRAMP Security Package auch über AWS Artifact beantragen.

  • Wie nutzen Behörden die AWS FedRAMP-Zulassung?

    Ein Agency Authoring Official (AO) kann beliebige der AWS FedRAMP Zulassungs-Sicherheitspakete dazu nutzen, unterstützende Dokumentation einzusehen und eigene, risikobasierte Entscheidungen zu treffen, die zur Verleihung einer behördlichen Zulassung oder ATO an AWS führen. Behörden sind selbst für die Ausstellung eigener ATOs an AWS zuständig und zudem auch für die Gesamtzulassung ihrer Systemkomponenten verantwortlich, die nicht von der AWS ATO abgedeckt werden. Wenn Sie Fragen haben oder weitere Informationen benötigen, wenden Sie sich bitte an Ihren AWS Sales Account Manager.

  • Wie erfolgt die kontinuierliche Überwachung mit FedRAMP-Autorisierungen?

    Im Rahmen des FedRAMP Concept of Operations (CONOPS) wird nach Erteilung der Autorisierung der Sicherheitsstand des Cloud-Serviceanbieters gemäß dem Bewertungs- und Autorisierungsprozess überwacht. Um eine FedRAMP-Autorisierung jährlich zu verlängern, müssen Cloud-Serviceanbieter ihre Sicherheitskontrollen überwachen, regelmäßig bewerten und nachweisen, dass der Sicherheitsstand ihres Serviceangebots durchgängig den Anforderungen entspricht. US-Bundesbehörden, die das FedRAMP-Programm zur laufenden Überwachung nutzen, sowie Autorisierungsbefugte (Authorizing Officials – AO) und deren benannte Teams sind für die Überprüfung der laufenden Compliance von AWS zuständig. Auf kontinuierlicher, fortwährender Basis überprüfen AOs und ihre designierten Teams Artefakte, die durch den kontinuierlichen Überwachungsprozess von AWS FedRAMP zur Verfügung gestellt werden, zusätzlich zum Nachweis der Implementierung aller agenturspezifischen Kontrollen, die über die FedRAMP-Kontrollen hinaus erforderlich sind. Weitere Informationen dazu entnehmen Sie bitte dem Informationssystem-Sicherheitsprogramm oder der Sicherheitsrichtlinie Ihrer Behörde.

  • Benötige ich als US-amerikanische Bundesbehörde ein Interconnection Security Agreement (ISA) mit AWS?

    Nein. FedRAMP-PMO besagt, dass ISAs nicht für die Verwendung zwischen einem CSA und einer Bundesbehörde benötigt werden.

  • Was geschieht, wenn ich die FedRAMP-spezifischen AWS-Verarbeitungslasten oder -Architekturen meines Unternehmens mit AWS besprechen muss?

    Kunden, die AWS Artifact nutzen, können auch das AWS FedRAMP Security Package nutzen. AWS Artifact ist ein Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

    Wenden Sie sich an awscompliance@amazon.com, wenn Sie weiterführende Fragen zur FedRAMP-/DoD-Compliance haben.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Compliance-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »