Los servicios de la infraestructura en la nube de AWS que se ajustan a las normativas de NIST se han validado a través de pruebas externas realizadas con arreglo a los controles de NIST 800-53 Rev. 4 y los requisitos de FedRAMP. AWS ha recibido la autorización para operar (ATO) de FedRAMP por parte de diferentes agencias de autorización tanto para la región AWS GovCloud (EE.UU.) como para las regiones EE.UU. Este y EE.UU. Oeste de AWS. Para obtener más información, consulte los enlaces siguientes:

•   Para consultar un listado completo de las agencias de autorización de las regiones Este y Oeste de AWS, haga clic aquí

•   Para consultar un listado completo de las agencias de autorización de la región AWS GovCloud, haga clic aquí

•   Para obtener información sobre la autorización para operar (ATO) AWS GovCloud JAB P con la referencia alta, haga clic aquí

Para obtener más información sobre el programa FedRAMP de AWS, visite nuestra página web sobre FedRAMP.

Aunque algunos controles son propios de AWS, muchos otros se comparten entre usted y AWS. Bajo un acuerdo de confidencialidad, AWS proporciona una plantilla de AWS FedRAMP SSP basada en NIST 800-53 Rev. 4, que ya contiene la referencia de control bajo, moderado y alto de NIST 800-5 Rev. 4 aplicable. La responsabilidad del control es la siguiente:

• Responsabilidad compartida: usted se encargará de la seguridad y las configuraciones de sus componentes de software, mientras que AWS se encargará de la seguridad de su infraestructura.

• Responsabilidad exclusiva de los clientes: usted es el único responsable de los sistemas operativos invitados, de las aplicaciones implementadas y de una selección de recursos de red (por ejemplo, los firewalls). Concretamente, usted es el único responsable de configurar y administrar la seguridad “en” la nube.

• Responsabilidad exclusiva de AWS: AWS administra la infraestructura de la nube, incluida la red, el almacenamiento de información, los recursos del sistema, los centros de datos, la seguridad física, la fiabilidad y el hardware y software auxiliar. Las aplicaciones creadas en un sistema de AWS heredan las características y las opciones configurables que AWS proporciona. AWS es el único responsable de configurar y administrar la seguridad "de" la nube.

A efectos de la autorización de la seguridad, la conformidad con los requisitos de FedRAMP (según la referencia de control bajo, moderado y alto de NIST 800-53 rev. 4) depende de que AWS implemente los controles propios de AWS así cómo los compartidos y de que usted implemente los controles propios del cliente y los compartidos. Una asesoría externa (3PAO) acreditada por FedRAMP ha valorado y autorizado la implantación por parte de AWS de la responsabilidad sobre los controles. Usted debe evaluar y autorizar por separado el conjunto de controles compartidos que están bajo su responsabilidad y los controles relacionados con las aplicaciones que se implementan en la infraestructura de AWS conforme a NIST 800-37 y las políticas y procedimientos de autorización de la seguridad específicos del cliente.

Los sistemas de AWS que se ajustan a FedRAMP han obtenido las autorizaciones correspondientes, han superado los controles de seguridad de FedRAMP (NIST SP 800-53), utilizan las plantillas obligatorias de FedRAMP en los paquetes de seguridad que se publican en el repositorio seguro de FedRAMP, han sido evaluados por un asesor externo e independiente (3PAO), y aplican los requisitos de monitorización continua de FedRAMP.

Según el modelo de responsabilidad compartida de AWS, AWS se encarga de administrar la seguridad de la nube, aunque usted es el responsable. Para ayudarle a implantar las responsabilidades compartidas están los Quick Starts de AWS (con tecnología AWS CloudFormation), que, con solo un clic, permiten automatizar la implementación de tecnologías clave en la nube de AWS. Cada uno de estos Quick Starts abre, configura y ejecuta la computación, las redes, el almacenamiento y otros servicios de AWS que son necesarios para implementar en AWS una carga de trabajo que debe ajustarse a los marcos y estándares de seguridad comunes, como PCI DSS y NIST 800-53.

Los Quick Starts optimizan, automatizan e implementan referencias seguras con un exhaustivo conjunto de reglas que se puede aplicar de forma sistemática. Por ejemplo, el Quick Start de Arquitectura estandarizada de acuerdo con los marcos de garantía de NIST en la nube de AWS contiene plantillas de AWS CloudFormation. Estas plantillas pueden integrarse con AWS Service Catalog para automatizar la creación de una carga de trabajo de arquitectura de referencia estandarizada que recaiga en el ámbito de NIST 800-53 (Revisión 4) y NIST 800-171. El Quick Start incluye también una referencia de los controles de seguridad, que asigna las decisiones de la arquitectura, las características y la configuración de referencia de dichos controles. Estos controles pueden utilizarse como ayuda para lograr ajustarse a los esfuerzos de conformidad de AWS de forma coherente con los objetivos de conformidad y seguridad de AWS Cloud de su organización.

Organizaciones tanto del sector público como del comercial pueden usar este documento técnico para analizar el entorno de AWS en relación con el CSF del NIST y mejorar las medidas de seguridad que implementan y utilizan (también conocido como seguridad en la nube). Ofrecemos un análisis detallado de las ofertas de la nube de AWS y de las correspondientes responsabilidades del cliente y de AWS para facilitar el alineamiento con el CSF del NIST. El documento técnico también brinda un documento de un auditor externo que acredita la conformidad de la oferta de la nube de AWS con las prácticas de gestión de riesgo del CSF del NIST (también conocido como seguridad en la nube), lo que le permite a las organizaciones proteger adecuadamente sus datos en AWS.

Todo tipo de organizaciones, desde agencias estatales y federales a entidades reguladas y grandes empresas pueden usar este documento técnico como una guía para la implementación de soluciones de AWS y lograr así los resultados de gestión de riesgos del CSF del NIST.