Guía de requisitos de seguridad para la informática en la nube del Departamento de Defensa

Información general

Cada vez más clientes del sector militar están incorporando los servicios de AWS para procesar, almacenar y transmitir datos del Departamento de Defensa (DoD) de EE.UU. AWS permite a las organizaciones de defensa y a sus socios empresariales crear entornos seguros para procesar, mantener y almacenar datos del DoD.

La Guía de requisitos de seguridad (SRG) para la computación en la nube del Departamento de Defensa (DoD) ofrece un proceso estandarizado de evaluación y autorización para que los proveedores de servicios en la nube (CSP) obtengan una autorización provisional del DoD que les permite atender a los clientes que trabajan para el DoD. La autorización provisional de AWS concedida por la Agencia de Sistemas de Información de Defensa (DISA) suministra una certificación reutilizable que certifica la conformidad de AWS con los estándares del DoD, lo que reduce el tiempo que necesita un responsable de la misión del DoD para evaluar y autorizar el funcionamiento de uno de sus sistemas en AWS. Si desea obtener más información sobre la SRG, incluida la definición completa de las referencias de control de seguridad definidas para los niveles 2, 4, 5 y 6, consulte la Biblioteca de documentos en la página web de la seguridad para la informática en la nube de DoD.

Como cliente que trabaja para el DoD, es responsable de cumplir con la guía de seguridad del DoD en su entorno de aplicaciones de AWS, incluido lo siguiente:

• Las responsabilidades del responsable de la misión descritas en el documento técnico Implementaciones en conformidad con DoD en la nube de AWS
• Todas las guías de implementación técnica de seguridad (STIG) para sistemas operativos pertinentes
• Todas las STIG para aplicaciones pertinentes
• Guía sobre protocolos y puertos del DoD (instrucción 8551.01 del DoD)

La infraestructura, la gobernanza y el entorno operativo de AWS se han evaluado y autorizado mediante los procesos de autorización del FedRAMP y el DoD. Al implementar una aplicación en la infraestructura de AWS como cliente, se beneficia de los controles de seguridad de nuestros sistemas de protección físicos, del entorno y de los medios, por lo que ya no es necesario que proporcione una descripción detallada sobre su conformidad con estos tipos de controles. Los demás controles del marco de gestión de riesgos (RMF) del DoD se comparten entre AWS y sus clientes. Cada organización es responsable de la implementación de estos controles en su parte del modelo de seguridad compartida de TI. 

  • Nuestros clientes y distribuidores que trabajan para el DoD pueden utilizar nuestras autorizaciones del FedRAMP y el DoD para acelerar sus actividades de certificación y acreditación. A los fines de respaldar la autorización de sistemas militares hospedados en AWS, suministramos al personal de seguridad del DoD documentación para que pueda verificar la conformidad de AWS con los controles de NIST 800-53 (revisión 4) correspondientes y la SRG para la informática en la nube del DoD (versión 1, edición 3).

    Proveemos a los clientes que trabajan para el DoD un paquete con documentación y directrices de seguridad sobre conformidad y seguridad para usar AWS como una solución de hospedaje para el DoD. En concreto, proporcionamos una plantilla SSP del FedRAMP de AWS basada en NIST 800-53 (Rev. 4) que viene previamente completada con la referencia de control del FedRAMP y el DoD. AWS completa previamente los controles heredados en la plantilla, mientras que los controles compartidos son responsabilidad de AWS como del cliente. Por último, algunos controles son responsabilidad absoluta del cliente.

    Las organizaciones militares o los contratistas de negocios con DoD pueden solicitar el acceso a la documentación de seguridad de AWS al contactar a su gerente de cuentas de AWS o enviar el formulario en conformidad con AWS para ponerse en contacto con nosotros. Los clientes no gubernamentales, como los socios de AWS, pueden descargar el paquete de seguridad del FedRAMP para AWS para socios mediante AWS Artifact.

  • Creemos que, para los clientes que trabajan para el gobierno, la migración a la nube es una oportunidad para mejorar su nivel de control de seguridad y reducir el riesgo operativo. El entorno operativo de AWS le permite alcanzar un nivel de seguridad y conformidad que solo es posible en un entorno respaldado por niveles elevados de automatización. En vez de los centros de datos tradicionales que realizan auditorías de un momento dado e inventarios periódicos, los clientes de AWS tienen la posibilidad de realizar auditorías de manera continua. Tener este grado de visibilidad del entorno mejora el control de los datos y aumenta la capacidad para garantizar que solo los usuarios autorizados tengan acceso.

    Por ejemplo, los responsables de misiones del DoD pueden beneficiarse de mayores niveles de control sobre las aplicaciones a través del cumplimiento mediante programación de las orientaciones de seguridad y conformidad del DoD. AWS le permite crear plantillas aprobadas previamente para casos de uso comunes de aplicaciones, con lo que se reduce el tiempo que se tarda en autorizar aplicaciones nuevas. Estas plantillas pueden ayudar a asegurar que los propietarios de aplicaciones no cambien ajustes de seguridad cruciales, como los grupos de seguridad y ACL de red, además de imponer el uso de imágenes de máquinas reforzadas mediante las STIG. El cumplimiento mediante programación de las orientaciones de seguridad del DoD reduce los procesos de configuración manuales, lo que puede disminuir el número de configuraciones inadecuadas y el nivel de riesgo general para el DoD.

  • Como responsable de misión del DoD, debe crear un paquete de autorización que defina por completo su implementación de los controles de seguridad correspondientes a su aplicación. Al igual que con cualquier paquete de autorización tradicional, debe documentar su referencia de control de seguridad con un plan de seguridad del sistema. Además, el plan y su implementación deberán ser inspeccionados por personal de certificación pertinente de su organización del DoD. Como parte de esta inspección, el personal de certificación o el oficial de autorización podría revisar el paquete de autorización de AWS para obtener un panorama integral de la implementación del control de seguridad de principio a fin. Tras inspeccionar su paquete de autorización de seguridad y los paquetes de autorización de seguridad de AWS, el oficial de autorización tendrá la información necesaria para decidir si concede la acreditación a la aplicación y otorga una ATO.

    Si desea obtener más información sobre la responsabilidad de los propietarios de aplicaciones que trabajan para el DoD en AWS, consulte el documento técnico Implementaciones en conformidad con DoD en la nube de AWS.

  • La SRG para la informática en la nube del DoD respalda el objetivo general del Gobierno Federal de EE.UU. de aumentar su nivel de uso de la informática en la nube y ofrece un mecanismo para que el DoD apoye este objetivo. El 8 de febrero de 2011, la Oficina de Administración y Presupuestos (OMB) presentó la Estrategia federal de cloud computing, que establecía que todas las agencias federales debían adoptar tecnologías en la nube. A esta estrategia la sucedió un requisito federal publicado en diciembre de 2011 que establecía el Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP). El FedRAMP es obligatorio para las implementaciones y los modelos de servicio en la nube de la agencia federal a niveles de impacto de riesgo bajos, moderados y elevados.

    En julio de 2012, el DoD publicó su Estrategia para la informática en la nube a través del director de información (CIO) de la institución. Mediante esta estrategia, se estableció el Joint Information Environment (Entorno conjunto de información, JIE) y el DoD Enterprise Cloud Environment (Entorno empresarial en la nube del DoD): "La DoD Cloud Computing Strategy (Estrategia para la informática en la nube del DoD) consiste en transformar el estado actual del departamento (que cuenta con silos de aplicaciones duplicados, complejos y costosos) para lograr un entorno de servicios ágil, seguro y rentable que pueda responder con rapidez a las necesidades cambiantes. El director de información (CIO) del DoD está decidido a acelerar la adopción de la informática en la nube en el departamento...".

    La SRG para la informática en la nube del DoD utiliza el programa FedRAMP como mecanismo para establecer un enfoque estandarizado para la evaluación de proveedores de servicios en la nube (CSP) por parte del DoD.

  • Sí, AWS se ha sometido a una evaluación y ha recibido la autorización pertinente como proveedor de servicios en la nube para las regiones EE.UU. Este y EE.UU. Oeste con el nivel de impacto 2, AWS GovCloud (EE.UU.) con los niveles de impacto 4 y 5, y la región secreta de AWS con el nivel de impacto 6.

    • En el nivel de impacto 2, DISA ha evaluado las regiones de AWS en Estados Unidos (este, oeste y AWS GovCloud) y ha emitido dos autorizaciones provisionales tras demostrarse la conformidad con los requisitos del DoD. La conformidad de AWS con los requisitos del DoD se logró mediante el uso de nuestra autorización provisional para operar (P-ATO) existente del Consejo Conjunto de Autorización (JAB) de FedRAMP. Las autorizaciones provisionales permiten a las entidades del DoD evaluar la seguridad de AWS y brindan la oportunidad de almacenar, procesar y mantener diversos datos del DoD en la nube de AWS.
    • En los niveles de impacto 4 y 5, AWS GovCloud (EE.UU.) ha recibido una autorización provisional de DISA que permite a los clientes que trabajan para el DoD implementar aplicaciones de producción con las referencias de control mejoradas correspondientes a estos niveles de la SRG. Los clientes que trabajan para el DoD con proyectos de aplicaciones de nivel de impacto 4 o 5 deben contactar con DISA para comenzar el proceso de aprobación.
    • En el nivel de impacto 6, la región secreta de AWS posee una autorización provisional del DoD para las cargas de trabajo que lleguen, como máximo, a la clasificación de nivel Secreto. Puede conseguir un catálogo de servicios de la región secreta de AWS a través de su ejecutivo de cuentas de AWS.

  • Nuestras autorizaciones provisionales abarcan varias regiones de los Estados Unidos continentales, incluidas AWS GovCloud (EE.UU.) (niveles de impacto 2, 4 y 5), las regiones este y oeste de AWS de EE.UU. (nivel de impacto 2), y la región secreta de AWS (nivel de impacto 6).

  • Las regiones este y oeste de EE.UU. de AWS disponen de una autorización provisional para el nivel de impacto 2, lo que permite a los responsables de misión implementar información pública no clasificada en estas regiones de AWS, con la autorización de AWS y las ATO de la aplicación de la misión. La región AWS GovCloud (EE.UU.) cuenta con una autorización provisional para los niveles de impacto 2, 4 y 5, y permite a los responsables de misión implementar la gama completa de categorías de información controlada y no clasificada cubiertas por estos niveles. La región secreta de AWS posee una autorización provisional para el nivel de impacto 6 y permite las cargas de trabajo que lleguen, como máximo, a la clasificación de secreto.

  • Nuestras autorizaciones provisionales de nivel de impacto 2 permiten a los clientes que trabajan para el DoD utilizar la infraestructura y los servicios conformes de AWS para implementar cargas de trabajo con datos aptos para su divulgación pública, así como algunos datos privados no clasificados del DoD. Migrar su entorno de TI para el DoD a AWS puede contribuir a superar sus propias deficiencias de conformidad gracias a los servicios y a las características disponibles a través de AWS.

    Nuestras autorizaciones provisionales de nivel de impacto 4 y 5 para AWS GovCloud (EE.UU.) permiten que clientes que trabajan para el DoD puedan implementar sus aplicaciones de producción en AWS GovCloud (EE.UU.). Esta autorización permite a los clientes participar en las actividades de diseño, desarrollo e integración necesarias para cargas de trabajo que deban cumplir con los requisitos de los niveles de impacto 4 y 5 de la SRG para informática en la nube del DoD.

    Nuestra autorización provisional de nivel de impacto 6 para la región secreta de AWS permite a los clientes que trabajan para el DoD usar nuestros servicios para almacenar, procesar o transmitir datos como máximo hasta la clasificación de secreto. Los clientes pueden confiar en nuestra autorización para cubrir todos los requisitos de infraestructura definidos por el nivel de impacto 6, que los ayuda a administrar sus propios asuntos de conformidad y certificación, incluidas las auditorías y la administración de la seguridad.

  • Al usar una aplicación en AWS con el modelo de seguridad de responsabilidad compartida, el responsable de misiones del DoD es responsable de un conjunto básico reducido de controles de seguridad. AWS proporciona un entorno de hospedaje seguro con controles de seguridad apropiados para que los responsables de misión implementen sus aplicaciones, pero no los exime de la responsabilidad de implementar, administrar y monitorear sus aplicaciones de acuerdo con los controles de seguridad y las políticas de conformidad del DoD.

    Si desea obtener más información sobre la responsabilidad de los propietarios de aplicaciones que trabajan para el DoD en AWS, consulte el documento técnico Implementaciones en conformidad con DoD en la nube de AWS.

  • Sí, los clientes pueden evaluar sus cargas de trabajo para confirmar si son idóneas para otros servicios de AWS. Cada propietario de misión puede evaluar y aceptar el riesgo de cualquiera de nuestros servicios que decida utilizar. Si desea obtener más información sobre las consideraciones de aceptación de riesgos y controles de seguridad, contacte con el área de conformidad de AWS.

  • No, no se incrementará el costo de ningún servicio como resultado de los programas de conformidad de AWS.

  • Sí, muchas entidades del DoD y organizaciones que ofrecen integración de sistemas y otros productos y servicios al DoD utilizan actualmente la amplia variedad de servicios de AWS. AWS no puede revelar el nombre de muchos de los clientes que han recibido autorizaciones para operar (ATO) del DoD para sistemas basados en AWS, pero colabora regularmente con los clientes y los asesores de estos en la planificación, implementación, certificación y acreditación de sus cargas de trabajo del DoD en AWS.

  • No. Los clientes que trabajan para el DoD pueden recurrir al trabajo realizado por las organizaciones de evaluación externas (3PAO) del FedRAMP, que incluye una revisión exhaustiva in situ de la seguridad física de nuestros centros de datos. De acuerdo con la SRG para informática en la nube del DoD, un cliente que trabaja para el DoD puede lograr una autorización para operar (ATO) sin necesidad de realizar un chequeo físico del centro de datos de un proveedor de servicios que ya cuenta con autorizaciones.

  • Para obtener una lista completa de los servicios cubiertos, visite la página de los Servicios de AWS en el ámbito del programa de conformidad.

Recursos de la SRG del DoD

Acelerador de zona de aterrizaje en AWS
Implementaciones en conformidad con la DoD en la nube de AWS: Arquitecturas de referencia
AWS Well-Architected Framework
Introducción a los recursos de seguridad de AWS
Documentación de seguridad de AWS
¿Tiene preguntas? Pónganse en contacto con un representante empresarial de AWS
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »