Me gustaría recibir información sobre FedRAMP en la nube
FedRAMP y AWS

El gobierno federal de los Estados Unidos se esfuerza por proporcionar sus servicios a los ciudadanos estadounidenses de la forma más innovadora, segura y rentable. La informática en la nube sigue definiendo la manera en la que el gobierno federal puede adquirir mayor eficacia operativa e innovar de acuerdo con la demanda para cumplir su misión en toda la nación. Por eso, hoy en día, numerosas agencias federales utilizan los servicios en la nube basados en utilidades de AWS para procesar, almacenar y transmitir datos gubernamentales federales.

govcloud_video

El Federal Risk and Authorization Management Program (FedRAMP) es un amplio programa del gobierno de EE.UU. que ofrece un enfoque estandarizado para la monitorización continua, la autorización y la evaluación de la seguridad de servicios y productos en la nube. Las entidades gubernamentales que conforman el FedRAMP son la Oficina de gestión y presupuestos (OMB), la Administración de servicios generales (GSA) estadounidense, el Departamento de seguridad interna (DHS) estadounidense, el Departamento de defensa (DOD) estadounidense, el Instituto nacional de normas y tecnología (NIST) y el Consejo federal de CIO.

FedRAMP, que utiliza la serie 800 de NIST Special Publication, exige a los proveedores de servicios en la nube que sean sometidos a una evaluación de seguridad independiente por parte de una organización de evaluación externa (3PAO) para garantizar la conformidad de las autorizaciones con la Ley Federal de Seguridad de la Información (FISMA). Los proveedores en la nube que quieran ofrecer sus productos y servicios al gobierno de EE.UU. deben demostrar su conformidad con FedRAMP. Si desea más información sobre los requisitos de FedRAMP, visite www.FedRAMP.gov.

Amazon Web Services (AWS) ofrece los siguientes sistemas conformes con FedRAMP:

AWS GovCloud (US) ha recibido una autorización provisional del consejo Joint Authorization Board (JAB P-ATO) para un nivel de alto impacto. Los servicios que cubre son: EC2, EBS, IAM, S3 y VPC.

Las regiones este y oeste de EE.UU. de AWS han recibido varias autorizaciones de agencia para un nivel de impacto moderado. Los servicios que cubre son EC2, EBS, IAM, Redshift, S3 y VPC.

En respuesta a la Cloud First Policy, la Oficina de gestión y presupuestos (OMB) publicó el FedRAMP Policy Memo para fundar el primer programa de autorizaciones en materia de seguridad de ámbito gubernamental para FISMA. FedRAMP es obligatorio para todas las agencias federales estadounidenses y todos los servicios en la nube. FedRAMP es importante porque aumenta:

  • La uniformidad y la confianza en la seguridad de las soluciones en la nube que utilizan NIST y las normas definidas en la ley FISMA
  • La transparencia entre el gobierno de EE.UU. y los proveedores en la nube
  • La automatización y una monitorización continua casi en tiempo real
  • La adopción de soluciones en la nube seguras a través de la reutilización de evaluaciones y autorizaciones.

La política Nube primero exige que todas las agencias federales utilicen el proceso del FedRAMP para realizar evaluaciones de seguridad, autorizaciones y la supervisión constante de los servicios en la nube. La oficina del programa del FedRAMP ha descrito cinco requisitos de conformidad con el FedRAMP:

1. El proveedor de servicios en la nube (CSP) debe contar con la autoridad para operar (ATO) de una agencia federal.

2.El proveedor de servicios en la nube afronta los requisitos de control de seguridad de FedRAMP alineados con la línea base de control de la seguridad NIST 800-53, Rev. 4 para niveles de impacto moderados.

3. Todos los paquetes de seguridad del sistema deben utilizar las plantillas que exige el FedRAMP.

4. El proveedor de servicios en la nube debe someterse a la evaluación de un auditor independiente.

5. El paquete de evaluación de seguridad debe publicarse en el repositorio seguro del FedRAMP.

Requisitos de FedRAMP

Los proveedores de servicios en la nube pueden lograr la conformidad con el FedRAMP siguiendo tres rutas distintas:

1. Ruta de autorización provisional de la JAB (JAB P-ATO)

Los proveedores de servicios en la nube con ruta P-ATO de FedRAMP son inspeccionados por la PMO de FedRAMP, evaluados por una 3PAO de FedRAMP acreditada y reciben una P-ATO de los directores de información de DHS, DOD y GSA.

2. Ruta de autorización de una agencia del FedRAMP (A-ATO)

Los proveedores de servicios en la nube con una ruta de autorización de agencia son inspeccionados por el director de información u oficial(es) autorizador delegado de una agencia cliente para conseguir una ATO conforme a FedRAMP verificada por la PMO de FedRAMP.

3. Ruta del paquete provisto por el proveedor de servicios en la nube

Los proveedores de servicios en la nube que elijan la ruta del paquete provisto deberán entregar un paquete de evaluación de la seguridad completo a la PMO del FedRAMP, que haya sido evaluado por una organización 3PAO acreditada por el FedRAMP.

Conformidad con FedRAMP en la nube

Sí, AWS ofrece varios sistemas conformes con FedRAMP. Estos sistemas, que han recibido autorizaciones, han pasado los controles de seguridad de FedRAMP (de acuerdo con NIST SP 800-53), han utilizado las plantillas necesarias de FedRAMP para los paquetes de seguridad enviados al repositorio seguro de FedRAMP, han sido evaluados por un asesor independiente externo y acreditado (3PAO), y cumplen los requisitos de monitorización continua de FedRAMP, son los siguientes:

AWS GovCloud (US) ha recibido una autorización provisional para operar del consejo Joint Authorization Board (JAB P-ATO), así como varias autorizaciones de agencias (A-ATO), para un nivel de alto impacto. En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios cubiertos en el ámbito de la JAB P-ATO de AWS GovCloud (EE.UU.) en la categoría de seguridad elevada. Para ver la lista completa de las agencias autorizadoras que han emitido una ATO en AWS GovCloud (US), visite FedRAMP Compliant Systems.

Las regiones este y oeste de EE.UU. de AWS han recibido varias ATO de agencia para un nivel de impacto moderado. En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS cubiertos en el ámbito de la autorización de la región EE.UU. Este/Oeste. Para ver la lista completa de las agencias autorizadoras que han emitido una ATO en las regiones este y oeste de EE.UU. de AWS, visite FedRAMP Compliant Systems.

No, el costo de los servicios en cualquier región no se incrementará como resultado de la conformidad con el FedRAMP por parte de AWS.

Se han emitido dos ATO de agencias basadas en el FedRAMP: una para la región de AWS GovCloud (EE.UU.) y otra para las regiones de AWS EE.UU. Este y EE.UU. Oeste.

Sí, numerosas agencias gubernamentales y entidades que ofrecen integración de sistemas y otros productos y servicios a las agencias gubernamentales utilizan la amplia variedad de servicios de AWS en la actualidad.

FIPS y AWS
CJIS y AWS
FERPA y AWS
DoD y AWS
En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS cubiertos en el ámbito de la autorización del FedRAMP y SRG del DoD. Si desea más información sobre el uso de estos servicios o sobre otros servicios, contacte con el equipo de ventas y desarrollo empresarial de AWS.

Sí, los clientes pueden evaluar sus cargas de trabajo para confirmar si son idóneas para otros servicios de AWS. Póngase en contacto con el equipo de ventas y desarrollo empresarial de AWS para obtener información detallada sobre los controles de seguridad y la aceptación del riesgo.

Sí, los clientes pueden evaluar sus cargas de trabajo con un alto nivel de impacto para confirmar si son idóneas para AWS. En la actualidad, el FedRAMP solo se aplica a sistemas de informática en la nube con niveles de impacto bajo y moderado FISMA. Sin embargo, AWS ya cumple con muchos de los controles de alto nivel NIST 800-53 y hemos desarrollado el cuaderno AWS FISMA-High para aquellos de nuestros clientes que desean ampliar la referencia de nivel moderado NIST y crear aplicaciones y servicios de nivel alto FISMA que respalden sus cargas de trabajo críticas. Póngase en contacto con el equipo de ventas y desarrollo empresarial de AWS para obtener información detallada sobre los controles de seguridad y la aceptación del riesgo.

AWS proporciona una amplia gama de funcionalidades de seguridad que nuestros clientes pueden utilizar para proteger sus datos de acuerdo con las directrices de seguridad federales y de DoD. Probamos constantemente las herramientas de seguridad existentes que proporcionamos a nuestros clientes y publicamos mejoras de las funcionalidades de seguridad. Si desea obtener información y soluciones adicionales para proteger sus datos en la nube, consulte las siguientes guías de seguridad de AWS:

Los clientes de AWS pueden solicitar el acceso a los paquetes de seguridad de FedRAMP para AWS a través del PMO de FedRAMP o del gestor de cuentas del equipo de ventas de AWS.

Los clientes de agencias gubernamentales de EE.UU. pueden solicitar el acceso al paquete de seguridad de FedRAMP para AWS al PMO de FedRAMP rellenando un formulario de solicitud de acceso a los paquetes y enviándolo a info@fedramp.gov o contactando con el gestor de cuentas del equipo de ventas de AWS.

Los socios y los posibles futuros clientes de AWS también pueden solicitar el acceso al paquete de seguridad de FedRAMP para AWS contactando con el gestor de cuentas del equipo de ventas de AWS.

Un oficial autorizado (AO) de una agencia puede utilizar cualquiera de los paquetes de seguridad de autorización de FedRAMP para AWS con el fin de revisar documentación complementaria y tomar la decisión, por propia cuenta y riesgo, de conceder a AWS una autorización de agencia o ATO. Las agencias son las responsables de emitir su propia ATO para AWS, así como de la autorización global de los componentes del sistema que no están cubiertos por la A-ATO de AWS. Si desea más información sobre el modelo de responsabilidad compartida de AWS, contacte con el gestor de cuentas del equipo de ventas de AWS.

Gracias a la funcionalidad de seguridad que le proporcionan AWS y nuestro ecosistema de distribuidores, puede controlar y supervisar la creación de sistemas disponibles que incorporen las políticas de seguridad, privacidad y/o gestión del riesgo empresarial de su compañía.

Escuche lo que opinan nuestros clientes, socios e integradores de sistemas. Descubra el valor que han obtenido gracias a AWS.

Blog

Appian Cloud se beneficia de la infraestructura de Amazon Web Services y la autorización del FedRAMP. Más información

Casos prácticos de AWS

Departamento de Estado de EE.UU.

Administración de Medicamentos y Alimentos (FDA)

Centros para el control y la prevención de enfermedades de EE.UU. (CDC)

Investigación y estudios de formación en el desierto de la NASA/JPL

NASA JPL y Amazon SWF

Misión del Curiosity en Marte de la NASA/JPL

Conformidad de AWS

En el ámbito del Concept of Operations (CONOPS, Concepto de operaciones) del FedRAMP, una vez que se ha concedido una autorización, la seguridad del proveedor de servicios en la nube se supervisa conforme al proceso de valoración y autorización. Para renovar anualmente una autorización basada en el FedRAMP, el proveedor de servicios en la nube debe monitorizar los controles de seguridad, valorarlos regularmente y demostrar que la seguridad de su oferta de servicios es aceptable de manera continua. Las agencias federales que utilicen el programa de supervisión constante del FedRAMP y los oficiales autorizados (AO) y sus equipos designados serán responsables de examinar la constante conformidad de AWS. Los oficiales autorizados revisarán de manera continua los mecanismos facilitados a través del proceso de supervisión continua del FedRAMP para AWS, así como las pruebas de la implementación de todos los controles específicos de las agencias requeridos además de los controles del FedRAMP. Para más información, consulte la política o el programa de seguridad del sistema de información de su agencia.

La PMO de FedRAMP establece que los ISA no están diseñados para ser utilizados entre un proveedor de servicios en la nube y una agencia federal. Para obtener más información, consulte el sitio web de la PMO de FedRAMP.

Para las preguntas específicas acerca de la conformidad con FedRAMP, consulte el paquete de socios de FedRAMP de AWS dentro de los mecanismos de AWS. Si tiene preguntas de seguimiento específico en relación con la conformidad con FedRAMP/DoD, póngase en contacto con awscompliance@amazon.com. Para revisar y discutir las cargas de trabajo y las arquitecturas de AWS, póngase en contacto con su representante de ventas para obtener mayor asistencia.

Recursos de FedRAMP

 

Contacte con nosotros