Die NIST-konformen Cloud-Infrastruktur-Services von AWS wurden durch Tests von Drittanbietern validiert, die gemäß der Anforderungen der NIST 800-53 Rev. 4-Kontrollen plus FedRAMP durchgeführt wurden. AWS hat für die Regionen AWS GovCloud (US) und AWS US East/West von mehreren Autorisierungsagenturen FedRAMP Authorizations to Operate (ATO) erhalten. Weitere Informationen finden Sie unter den folgenden Links:

•   Eine vollständige Aufzählung der Autorisierungsagenturen für die AWS East/West-Regionen finden Sie hier

•   Eine vollständige Aufzählung der Autorisierungsagenturen für die AWS GovCloud-Regionen finden Sie hier

•   AWS GovCloud JAB P-ATO für die hohe Basisstruktur finden Sie hier

Weitere Informationen über das FedRAMP-Programm von AWS finden Sie auf unserer FedRAMP-Webseite.

Obwohl einige Kontrollen speziell von AWS vererbt werden, handelt es sich bei vielen der Kontrollen um eine übergreifende Vererbung zwischen Ihnen und AWS. Unter NDA stellt AWS eine AWS FedRAMP SSP-Vorlage auf Grundlage von NIST 800-53 Rev. 4 bereit. In diese wurden die geltenden NIST 800-5 Rev. 4-Kontrollstandards (niedrig/mittel/hoch) bereits eingetragen. Die Kontrollzuständigkeiten liegen dabei wie folgt:

• Übergreifende Verantwortlichkeit: Sie stellen die Sicherheit und Konfigurationen Ihrer Software-Komponenten und AWS die Sicherheit für die Infrastruktur bereit.

• Alleinige Kundenverantwortung: Sie sind voll verantwortlich für Gastbetriebssysteme, bereitgestellte Anwendungen und ausgewählte Netzwerkressourcen (zum Beispiel Firewalls). Genauer gesagt, sind Sie allein für die Konfiguration und Verwaltung der Sicherheit „innerhalb“ der Cloud verantwortlich.

• Alleinige AWS-Verantwortlichkeit: AWS verwaltet die Cloud-Infrastruktur, einschließlich des Netzwerks, des Datenspeichers, der Systemressourcen, der Rechenzentren, der physischen Sicherheit, Zuverlässigkeit und der Unterstützung von Hard- und Software. Anwendungen die auf dem AWS-System erstellt werden, erben die Funktionen und konfigurierbaren Optionen, die AWS bietet. AWS ist allein für die Konfiguration und Verwaltung der Sicherheit „der Cloud selbst“ verantwortlich.

Aus Gründen der Sicherheitsautorisierung obliegt die Compliance mit den FedRAMP-Anforderungen (auf Grundlage der niedrigen/mittleren/hohen Kontrollstandards von NIST 800-53 rev 4) der vollständigen Implementierung von alleiniger AWS und übergeordneter Kontrollen durch AWS und der Implementierung alleiniger Kunden und übergeordneter Kontrollen durch Sie. Eine von FedRAMP akkreditierte 3PAO (Drittanbieterbewertungsorganisation) hat die Implementierung der Kontrollverantwortung von AWS bewertet und autorisiert. Der Ihrer Verantwortung unterliegende Anteil der übergreifenden Kontrollen sowie Kontrollen bezüglich der von Ihnen auf der AWS-Infrastruktur implementierten Anwendungen muss von Ihnen getrennt in Übereinstimmung mit NIST 800-37 sowie kundenspezifischen Sicherheitsautorisierungsrichtlinien und -prozeduren bewertet und autorisiert werden.

AWS FedRAMP konforme Systemen wurden Autorisierungen gewährt, haben die FedRAMP-Sicherheitskontrollen (NIST SP 800-53) umgesetzt, verwenden die erforderlichen FedRAMP-Vorlagen für im FedRAMP-Repository geposteten Sicherheitspakete, wurden durch einen akkreditierten unabhängigen Drittanbieterbewerter (3PAO) bewertet und erfüllen die FedRAMP-Anforderungen für fortlaufende Überwachung.

Laut des AWS-Modells der übergreifenden Verantwortlichkeit verwaltet AWS die Sicherheit der Cloud und Sie sind für die Sicherheit in der Cloud verantwortlich. Zur Unterstützung Ihrer Implementierung der übergreifenden Verantwortlichkeit bietet AWS Quick Starts (von AWS CloudFormation zur Verfügung gestellt) einen Automatisierung der Bereitstellung von wichtigen Technologien auf der AWS Cloud durch einen einzelnen Klick. Jeder Quick Start umfasst den Start, die Konfiguration und die Ausführung von Datenverarbeitungs-, Netzwerk-, Speicher- und weiteren Services von AWS, die zur Bereitstellung einer Arbeitslast auf AWS erforderlich sind, um der Notwendigkeit der Compliance-Erfüllung mit üblichen Sicherheitsstandards und Frameworks wie PCI DSS und NIST 800-53 gerecht zu werden.

Mit Quick Starts werden sichere Basisstandards mit ausführlichen Regelsätzen, die systematisch erzwungen werden können, optimiert, automatisiert und implementiert. Der Quick Start Standardisierte Architektur für NIST-basierte Berwertungs-Frameworks auf der AWS Cloud umfasst beispielsweise AWS CloudFormation-Vorlagen. Diese Vorlagen können in den AWS Service Catalog integriert werden, um die Erstellung einer standardisierten Baseline-Architekturarbeitslast zu automatisieren, die in den Rahmen für NIST 800-53 (Revision 4) and NIST 800-171 fällt. Der Quick Start umfasst zudem eine Sicherheitskontrollreferenz, die Architekturentscheidungen für Sicherheitskontrollen, Funktionen und die Konfiguration der Baseline zuordnet. Diese kann auf eine Weise zur Unterstützung Ihrer Compliance-Bemühungen in AWS verwendet werden, die für die AWS Cloud-Sicherheits- und Compliance-Ziele Ihrer Organisation sinnvoll ist.

Sowohl öffentliche Einrichtungen als auch Wirtschaftsunternehmen können dieses Whitepaper zur Bewertung der Compliance ihrer AWS-Umgebung mit dem NIST CSF verwenden und im Zuge dessen die von ihnen implementierten und getroffenen Sicherheitsvorkehrungen (auch als "Sicherheit in der Cloud" bezeichnet) verbessern. Hierzu fassen wir die Angebote der AWS Cloud wie auch die Verantwortungsbereiche seitens des Kunden bzw. seitens AWS übersichtlich zusammen, um die Übernahme des NIST CSF zu erleichtern. Dieses Whitepaper beinhaltet auch ein Attest eines externen Prüfers, das dem Angebot der AWS Cloud Konformität mit den Risikomanagementverfahren des NIST CSF (auch als "Sicherheit in der Cloud" bezeichnet) bescheinigt. Durch diese Konformität wird ein angemessener Schutz der Organisationsdaten in AWS garantiert.

Organisationen von Landes- zu Bundesbehörden, über andere regulierte Institute bis hin zu großen Unternehmen können dieses Whitepaper als Richtlinie zur Implementierung der AWS-Lösungen unter Einhaltung der Risikomanagementvorgaben des NIST CSF nutzen.