Deseo información sobre la conformidad con la SRG del DoD en la nube



DoD y AWS

Cada vez más clientes militares están adaptando los servicios en la nube de AWS basados en utilidades para procesar, almacenar y transmitir datos del Ministerio de Defensa (DoD).

AWS permite a las organizaciones militares y a sus socios empresariales aprovechar el entorno seguro de AWS para procesar, mantener y almacenar datos del DoD. AWS ha obtenido autorizaciones provisionales de la Agencia de Sistemas de Información de Defensa (DISA).

AWS mantiene dos entornos cubiertos por las autorizaciones provisionales del DoD: las regiones EE.UU. Este y EE.UU. Oeste y la región AWS GovCloud (EE.UU.) (para más información, consulte las preguntas frecuentes más abajo):

  • La región EE.UU. Este/Oeste posee una autorización provisional de nivel de impacto (IL) 2 del DoD. En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS cubiertos en la región EE.UU. Este/Oeste que ya se encuentran dentro del ámbito de la autorización IL 2 SRG del DoD.
  • AWS GovCloud (EE.UU.) posee autorizaciones provisionales de nivel de impacto 2, 4 y 5 del DoD. En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS cubiertos en la región GovCloud (EE.UU.) que ya se encuentran dentro del ámbito de la autorización IL 2, 4 y 5 SRG del DoD.

Como cliente del DoD, también es responsable de cumplir con la guía de seguridad del DoD en su entorno de aplicaciones de AWS, incluido lo siguiente:

• Los requisitos de propietario de misión definidos en la Guía de requisitos de seguridad (SRG) de informática en la nube del DoD)
• Todas las guías de implementación técnica de seguridad del sistema operativo pertinentes (STIG)
• Todas las STGI de aplicaciones pertinentes
• Orientaciones de puertos y protocolos del DoD (DoDI 8551.01)

La infraestructura, la gobernanza y el entorno operativo de AWS se han evaluado y autorizado mediante los procesos de autorización del FedRAMP y el DoD. Al implementar una aplicación en la infraestructura de AWS como cliente, se beneficia por completo de los controles de seguridad de nuestros controles de protección físicos, del entorno y de los medios, por lo que no es necesario que proporcione una descripción detallada sobre su conformidad con estos tipos de controles. Los demás controles del Marco de administración de riesgos (RMF) del DoD se comparten entre AWS y sus clientes, ya que cada organización es responsable de la implementación de estos controles en su parte del modelo de seguridad compartida de TI.

Como cliente de AWS, es responsable de diseñar, implementar, gestionar y monitorizar su entorno de AWS y sus aplicaciones que utilizan las características de AWS o capacidades de terceros, incluyendo sus propias utilidades, software y aplicaciones. Con la funcionalidad de seguridad que proporciona AWS y nuestro ecosistema de distribuidores, puede crear sistemas de alta disponibilidad controlados y monitorizados exhaustivamente de acuerdo con las políticas pertinentes de su organización.

Nuestros clientes y distribuidores del DoD pueden utilizar nuestras autorizaciones del FedRAMP y el DoD para acelerar sus actividades de certificación y acreditación. Para respaldar la autorización de sistemas militares alojados en AWS, proporcionamos al personal de seguridad del DoD con nuestra documentación de seguridad a fin de verificar la seguridad y conformidad de AWS de acuerdo con los controles NIST aplicables tal y como aparecen definidos en 800-53 rev4) y la Guía de requisitos de seguridad (SRG) de informática en la nube del DoD.

A fin de respaldar a nuestros clientes del DoD, ofrecemos un paquete de orientación y documentación sobre seguridad que mejorará su comprensión de los aspectos de seguridad y conformidad en el uso de una solución de alojamiento del DoD de AWS. En concreto, proporcionamos una plantilla SSP del FedRAMP de AWS basada en NIST 800-53v4, que viene previamente cumplimentada con los requisitos básicos de control del FedRAMP y el DoD. AWS cumplimenta previamente los controles heredados de la plantilla, mientras que los controles compartidos son responsabilidad de tanto AWS como del cliente. Por último, algunos controles son responsabilidad absoluta del cliente.

Para solicitar acceso a la documentación de seguridad de AWS relacionada con los clientes del DoD, ya se trate de una organización militar como de un contratista que colabore con el DoD, póngase en contacto con el departamento de desarrollo empresarial y ventas de AWS o envíe un email directamente a nuestro equipo a la dirección awscompliance@amazon.com.

CSM del DoD

Nuestros clientes gubernamentales se están dando cuenta rápidamente de que la migración a la nube supone una oportunidad de mejora de su nivel de garantía de la seguridad y de reducción de los riesgos operativos. El entorno operativo de AWS permite a los clientes alcanzar un nivel de seguridad y conformidad que solo son posibles en un entorno respaldado por niveles elevados de automatización. Con AWS, nuestros clientes pueden realizar auditorías de forma constante en lugar de realizar inventarios y auditorías periódicos de su entorno en un "momento determinado", como la mayoría de los clientes del DoD realizan en centros de datos tradicionales. Al disponer de tal nivel de visibilidad del entorno, se mejora directamente el nivel de control de los datos y la garantía de que solo los usuarios autorizados disfrutan de acceso.

Los propietarios de misión del DoD pueden beneficiarse de mayores niveles de control de las aplicaciones a través del cumplimiento mediante programación de las orientaciones de seguridad y conformidad del DoD. Gracias a la funcionalidad de AWS, puede crear plantillas aprobadas previamente para casos de uso comunes de aplicaciones, reduciendo así el tiempo que se tarda en autorizar aplicaciones nuevas. Al usar estas plantillas, las organizaciones del DoD también pueden asegurarse de que los propietarios de aplicaciones no cambien ajustes de seguridad cruciales, como los grupos de seguridad y ACL de red, además de garantizar el uso de imágenes de máquina más robustas conforme a STIG. El cumplimiento mediante programación de las orientaciones de seguridad del DoD reduce el nivel de configuración manual realizada por los administradores del sistema, con lo que se reducen significativamente las probabilidades de que se efectúe una configuración inadecuada, disminuyendo así el riesgo general para el DoD. Nuestros clientes federales ya están logrando mayores niveles de garantía de la seguridad en AWS.

Los clientes de otros programas de conformidad también se están beneficiando del uso de AWS para lograr sus objetivos de riesgo y conformidad:
• Conformidad con HIPAA: Claritas Genomics disponía de un presupuesto limitado y necesitaba recursos de TI de bajo costo que le permitieran cumplir con los requisitos de la ley HIPAA.
• Conformidad con los servicios financieros: FINRA, que afrontaba desafíos relacionados con el incremento en los volúmenes de mercado y las cambiantes regulaciones, acudió a AWS.
• Conformidad con los servicios financieros: NASDAQ necesitaba poder proporcionar acceso a los reguladores a información financiera cada vez más detallada.

AWS GovCloud (US) obtiene la autorización provisional de informática en la nube de nivel 4 del DoD

La SRG del DoD se publicó para proporcionar un proceso estandarizado de evaluación y autorización para que los CSP obtuvieran una autorización provisional del DoD, de la que pudieran beneficiarse los clientes del DoD. Las autorizaciones provisionales concedidas al amparo de las directrices del DoD constituyen certificaciones reutilizables que atestiguan nuestra conformidad con los estándares del DoD, lo que reduce el tiempo que necesita uno de sus responsables para valorar y autorizar la operación de uno de sus sistemas en AWS. Puede encontrar aquí información adicional sobre la SRG, incluida una definición exhaustiva de los requisitos básicos de control de la seguridad establecidos para los niveles 2, 4, 5 y 6.

El DoD en la nube de AWS

Como propietario de misión del DoD, es responsable de crear un paquete de autorización que defina por completo su implementación de los controles de seguridad aplicables a su aplicación. Al igual que con cualquier paquete de autorización tradicional, debe documentar sus requisitos básicos de control con un plan de seguridad del sistema. Además, el plan y su implementación deberán ser inspeccionados por personal de certificación pertinente de su organización del DoD. Como parte de la inspección, el personal de certificación u oficial autorizador podría revisar el paquete de autorización de AWS durante la inspección de su aplicación a fin de obtener una visión holística de la implementación integral de controles de seguridad. Tras inspeccionar los paquetes de autorización de seguridad de AWS y el propietario de misión, el oficial autorizador tendrá la información necesaria para decidir si concede la acreditación a la aplicación y otorga una ATO.

Para obtener más información acerca de la responsabilidad de los propietarios de la aplicación del DoD que funciona en AWS, consulte nuestro Documento técnico sobre implementaciones en la nube de AWS conformes con el DoD.

Como proveedor de servicios en la nube ya autorizado por el DoD, AWS debe someterse a los controles del FedRAMPP+ establecidos en la SRG. AWS ha completado esta evaluación y ha recibido una PA de IL4 completa, que permite a los propietarios de la misión migrar cargas de trabajo de producción, incluidas:

  • Datos controlados de exportación
  • Información de privacidad
  • Información sanitaria protegida
  • Además de otra información que requiere una designación CUI explícita:
    • Para uso exclusivo oficial
    • Uso exclusivo oficial
    • Información confidencial de cumplimiento de la ley
    • Información de infraestructura crítica
    • Información confidencial de seguridad
FedRAMP en la nube de AWS

La SRG está online con el objetivo general del gobierno federal de aumentar la utilización de la informática en la nube y ofrece un mecanismo para que el DoD apoye este objetivo. El 8 de febrero de 2011, la Oficina de Administración y Presupuestos (OMB) presentó la Estrategia federal de informática en la nube, que establecía que todas las agencias federales debían adoptar tecnologías en la nube. A esta estrategia la sucedió un requisito federal publicado en diciembre de 2011 que establecía el Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP). El FedRAMP es obligatorio para las implementaciones y los modelos de servicio en la nube de la Agencia Federal a niveles de impacto del riesgo bajos, moderados y elevados.

En julio de 2012, el DoD publicó su Estrategia de informática en la nube a través del Jefe de información. Mediante esta estrategia, se estableció el Joint Information Environment (Entorno conjunto de información, JIE) y el DoD Enterprise Cloud Environment (Entorno empresarial en la nube del DoD): "La DoD Cloud Computing Strategy (Estrategia de cloud computing del DoD) consiste en transformar el estado actual del departamento (que cuenta con silos de aplicaciones duplicados, complejos y costosos) para lograr un entorno de servicios ágil, seguro y rentable que pueda responder con rapidez a las necesidades cambiantes. El director de informática del DoD está decidido a acelerar la adopción de la cloud computing en el departamento ..."

La SRG del DoD utiliza el programa FedRAMP como mecanismo para establecer un enfoque estandarizado para la valoración de proveedores de servicios en la nube por parte del DoD. AWS ha sido evaluado y aprobado conforme al FedRAMP, y ha obtenido numerosas ATO de impacto moderado de agencia para las regiones EE.UU. Este y EE.UU. Oeste, así como una ATO provisional de alto impacto del Consejo Conjunto de Autorización (JAB) del FedRAMP (P-ATO) que abarca AWS GovCloud (EE.UU.). Puede encontrar más información acerca de la conformidad con el programa FedRAMP por parte de AWS en la página de preguntas frecuentes sobre FedRAMP.

Sí, AWS ha sido evaluado y aprobado como proveedor de servicios en la nube de nivel de impacto 2 para las regiones EE.UU. Este y EE.UU. Oeste y de impacto 4 para AWS GovCloud (EE.UU.).

En el nivel 2, DISA ha valorado todas las regiones de AWS en Estados Unidos (EE.UU. Este/Oste y AWS GovCloud (EE.UU.)) y ha emitido dos autorizaciones provisionales tras demostrarse la conformidad con los requisitos del DoD. La conformidad de AWS con los requisitos del DoD se obtuvo al utilizar nuestras ATO de agencia de FedRAMP y pATO de alto impacto de FedRAMP. Las autorizaciones provisionales permiten a las entidades del DoD evaluar la seguridad de AWS y brindan la oportunidad de almacenar, procesar y mantener diversos datos del DoD en la nube de AWS.

En llos niveles 4 y 5, AWS GovCloud (EE.UU.) ha recibido una autorización provisional de la DISA que permite a los clientes del DoD implementar aplicaciones de producción con los requisitos básicos de control mejorado correspondientes a estos niveles de la SRG. Los clientes del DoD con proyectos de aplicaciones de nivel de impacto 4 deben ponerse en contacto con DISA para comenzar el proceso de aprobación.

Nuestras autorizaciones provisionales cubren todas las regiones dentro de los Estados Unidos continentales, incluidos AWS GovCloud (EE.UU.) (niveles 2 y 4) y las regiones AWS EE.UU. Este y Oeste (nivel 2).

Las regiones EE.UU. Este y EE.UU. Oeste disponen de autorización provisional para el nivel 2, lo que permite a propietarios de misiones implementar información pública no clasificada en estas regiones, con la autorización de AWS y las ATO de la aplicación de la misión. La región AWS GovCloud (EE.UU.) dispone ya de autorización provisional para los niveles 2, 4 y 5, y permite a los propietarios de misiones implementar la gama completa de categorías de información controlada y no clasificada cubiertas por estos niveles.

Estas autorizaciones confirman nuestro compromiso duradero con los clientes respecto a la seguridad de nuestros servicios. El hecho de haber superado el proceso de autorización confirma que estamos aplicando los controles de seguridad establecidos por la SRG del DoD y que nuestras prácticas de administración cumplen las directrices del DoD.  Hemos sido evaluados en los niveles IL 4 y 5 de la SRG, y DISA ha emitido una PA de IL 4 e IL 5.

Nuestras autorizaciones provisionales para el nivel 2 implican que los clientes del DoD que utilizan nuestros servicios para almacenar, procesar o transmitir datos del DoD pueden estar seguros de que la infraestructura de AWS cumple todos los requisitos definidos por el nivel 2, ya que administra su propia conformidad y certificación, incluidas las auditorías y la administración de la seguridad. Transferir el entorno de TI del Departamento de Defensa (DoD) de Estados Unidos a AWS puede contribuir a superar las propias deficiencias de conformidad gracias a los servicios y características disponibles a través de AWS.

Nuestras autorizaciones provisionales de nivel 4 y nivel 5 para AWS GovCloud (EE.UU.) significan que nuestros clientes del DoD pueden implementar sus aplicaciones de producción a AWS GovCloud (EE.UU.) Esta autorización permite a los clientes participar en las actividades de diseño, desarrollo e integración necesarias para cargas de trabajo que han de cumplir con los requisitos de los niveles 4 y 5 de la SRG de informática en la nube del DoD.

Autorización provisional de AWS

Al operar una aplicación en AWS con el espíritu deresponsabilidad de seguridad compartida, el propietario de misiones del DoD es responsable de un conjunto básico reducido de controles de seguridad. AWS proporciona un entorno de hospedaje seguro y con controles de seguridad apropiados para que los propietarios de misión implementen sus aplicaciones, pero no libera a dichos propietarios de la responsabilidad de implementar, administrar y monitorizar sus aplicaciones de acuerdo con los controles de seguridad y las políticas de conformidad de DoD.

Para obtener más información acerca de la responsabilidad de los propietarios de la aplicación del DoD que operan en AWS, consulte nuestro documento técnico sobre implementaciones en la nube de AWS conformes con el DoD. En un futuro próximo revisaremos este documento técnico en función de la SRG.

Sí, los clientes pueden evaluar sus cargas de trabajo para confirmar si son idóneas para otros servicios de AWS. Cada propietario de misión puede evaluar y aceptar el riesgo de cualquiera de nuestros servicios que decida utilizar.  Contacte con el equipo de ventas y desarrollo empresarial de AWS para obtener información detallada sobre los controles de seguridad y la aceptación del riesgo.

No, no se incrementará el costo de ningún servicio como resultado de la conformidad de AWS con el DoD.

Sí, muchas entidades del DoD y organizaciones que ofrecen integración de sistemas y otros productos y servicios al DoD utilizan la amplia variedad de servicios de AWS en la actualidad. AWS no puede revelar el nombre de muchos de los clientes que han recibido ATO del DoD para sistemas basados en AWS, pero colabora regularmente con los clientes y los asesores de estos en la planificación, implementación, certificación y acreditación de sus cargas de trabajo del DoD en AWS.

No. De conformidad con la SRG del DoD, los clientes del DoD obtienen las ATO sin necesidad de un recorrido físico por el centro de datos del proveedor de servicios, mediante nuestras autorizaciones. Los clientes del DoD pueden recurrir al trabajo realizado por las organizaciones de evaluación externas (3PAO) del FedRAMP, que incluye una revisión exhaustiva in situ de la seguridad física de nuestros centros de datos.

Para obtener una lista completa de los servicios cubiertos, visite la página de los Servicios de AWS en el ámbito del programa de conformidad.

 

Contacte con nosotros