Department of Defense Cloud Computing Security Requirements Guide (SRG)

Présentation

140940_AWS_Multi-Logo Graphic_600x400_DoD

De plus en plus de clients de l'armée utilisent les services AWS pour traiter, stocker et transmettre des données relatives au département américain de la Défense (DoD). AWS permet aux organisations militaires et à leurs partenaires commerciaux de créer des environnements sécurisés pour traiter, maintenir et stocker des données relatives au DoD.

Le Department of Defense (DoD) Cloud Computing Security Requirements Guide (SRG) fournit un processus normalisé d'évaluation et d'autorisation, afin que les fournisseurs de services de cloud (CSP) obtiennent une autorisation provisoire du DoD afin de pouvoir ensuite servir leurs clients DoD. L'autorisation provisoire AWS de la Defense Information Systems Agency (DISA) fournit une certification réutilisable qui démontre notre conformité aux normes du département américain de la Défense, réduisant ainsi la durée nécessaire à un porteur de projets du département pour évaluer et autoriser le fonctionnement de l'un de ses systèmes sur AWS. Pour plus d'informations sur le SRG, y compris la définition complète des bases des contrôles de sécurité définies pour les niveaux 2, 4, 5 et 6, consultez la page Web relative à la Cloud Computing Security du DoD du site de l'Information Assurance Support Environment (IASE).

En tant que client associé au DoD, vous êtes tenu de suivre les directives de sécurité du DoD au sein de votre environnement d'application AWS, en incluant les éléments suivants :

• Les responsabilités du porteur de projets décrites dans le livre blancImplémentation conforme au DoD dans le cloud AWS
• Tous les guides d'implémentation technique de sécurité (STIG) pour systèmes d'exploitation en vigueur
• Tous les STIG d'application en vigueur
• Les directives sur les ports et protocoles du DoD (Instruction DoD 8551.01)

L'infrastructure, la gouvernance et l'environnement d'exploitation d'AWS ont été évalués et autorisés via les processus d'autorisations de FedRAMP et du DoD. En tant que client déployant une application sur l'infrastructure d'AWS, vous bénéficiez des contrôles de sécurité associés à notre protection physique, environnementale et de support, et vous n'êtes plus tenu de fournir une description détaillée de votre conformité avec ces catégories de contrôles. Les autres contrôles du cadre de gestion des risques (RMF) du DoD sont partagés entre AWS et ses clients, car chaque organisation demeure responsable de l'implémentation de ces contrôles dans sa portion du modèle de sécurité informatique partagé.

  • Comment puis-je consulter les guides et documents de sécurité d'AWS ?

    Nos clients du DoD et nos fournisseurs peuvent utiliser nos autorisations de FedRAMP et du DoD pour accélérer leurs efforts de certification et d'accréditation. Pour aider à l'autorisation des systèmes militaires hébergés sur AWS, nous fournissons du personnel de sécurité DoD ainsi que de la documentation afin que vous puissiez vérifier la conformité d'AWS avec les contrôles applicables du manuel NIST 800-53 (révision 4) et du DoD Cloud Computing SRG (version 1, 3ème édition).

    Nous fournissons à nos clients DoD un package de guides et de documents de sécurité concernant la sécurité et la conformité dans l'utilisation d'AWS en tant que solution d'hébergement DoD. Plus particulièrement, nous fournissons un modèle AWS FedRAMP SSP basé sur la norme NIST 800-53 (révision 4) et prérempli avec les contrôles FedRAMP et DoD de référence applicables. Les contrôles qu'apporte le modèle sont préremplis par AWS. Les contrôles partagés sont la responsabilité d'AWS et du client et certains contrôles sont la responsabilité exclusive du client.

    Pour demander l'accès à la documentation de sécurité d'AWS liée aux clients du DoD, qu'il s'agisse d'une organisation militaire ou d'un sous-traitant faisant affaire avec le DoD, contactez le service Conformité AWS ou envoyez directement un e-mail à notre équipe à l'adresse awscompliance@amazon.com.

  • Qu'ai-je à gagner en passant sur AWS ?

    Nous pensons que la migration des organisations gouvernementales vers le cloud est une opportunité pour améliorer leur niveau d'assurance de sécurité et réduire le risque opérationnel. L'environnement d'exploitation d'AWS permet aux clients d'obtenir un degré de sécurité et de conformité uniquement atteignable dans un environnement soutenu par une importante automatisation. Plutôt que d'avoir un centre de données classique effectuant des inventaires périodiques et des audits « à un instant donné », les clients AWS ont la possibilité de mener des audits en continu. En ayant ce niveau de visibilité dans votre environnement, vous améliorez le contrôle des données et vous développez votre capacité à maintenir l'assurance que seuls les utilisateurs enregistrés y ont accès.

    Par exemple, les porteurs de projets du DoD peuvent obtenir un niveau de contrôle supérieur sur leurs applications en appliquant de manière programmatique les directives de conformité et de sécurité du DoD. AWS vous permet de créer des modèles préapprouvés pour les cas d'utilisation d'application les plus courants, afin de réduire le délai d'autorisation de nouvelles applications. Ce type de modèles permet de s'assurer que les propriétaires d'application ne modifient pas des paramètres de sécurité essentiels, comme les groupes de sécurité et les ACL réseau, et de renforcer l'utilisation d'images machine renforcée par les STIG. Cette application par programmation des directives de sécurité du DoD réduit les efforts de configuration manuelle, ce qui diminue les configurations incorrectes et réduit le risque général du DoD.

  • Comment un porteur de mission obtient-il une autorisation d'exploitation (ATO) ?

    En tant que porteur de projets pour le département américain de la Défense, vous êtes responsable de la création d'un package d'autorisation définissant toute l'implémentation des contrôles de sécurité applicables dans votre application. Comme pour tout package d'autorisation traditionnel, vous allez devoir documenter vos contrôles de sécurité de référence avec un plan de sécurité système. Ce plan et son implémentation seront ensuite étudiés par le service de certification de votre organisation associée au DoD. Dans le cadre de cette étude, votre service de certification ou responsable des approbations peut examiner le package d'autorisations AWS pour obtenir une vision holistique de l'implémentation des contrôles de sécurité. Après avoir examiné votre package d'autorisation de sécurité et les packages d'autorisation de sécurité d'AWS, votre responsable des approbations disposera de toutes les informations nécessaires pour accorder une accréditation et une autorisation ATO.

    Pour plus d'informations sur la responsabilité des porteurs de projets du DoD utilisant AWS, consultez notre livre blanc DoD Compliant Implementations in the AWS Cloud.

  • Pourquoi le DoD Cloud Computing SRG est-il important ?

    Le DoD Cloud Computing SRG soutient l'objectif fédéral américain global d'augmenter l'utilisation du cloud computing. Il constitue pour le département américain de la Défense un moyen d'atteindre ce but. Le 8 février 2011, l'Office of Management and Budget (OMB) a publié le document Federal Cloud Computing Strategy, qui comprend des directives poussant toutes les agences fédérales américaines à adopter les technologies du cloud. Cette stratégie a été suivie d'une exigence fédérale, publiée au mois de décembre 2011 et donnant naissance au Federal Risk and Authorization Management Program (FedRAMP). FedRAMP est obligatoire pour les déploiements et les modèles de service dans le cloud au niveau des agences fédérales, lorsque les risques peuvent avoir un impact faible, modéré et élevé.

    En juillet 2012, le DoD a défini sa stratégie en manière de cloud computing par le biais de son directeur informatique. Sont alors nés le Joint Information Environment (JIE) et le DoD Enterprise Cloud Environment : « La stratégie du DoD en manière de cloud computing cherche à faire passer le département de son état actuel, avec des silos d'application redondants, lourds et coûteux, à un état final composé d'un environnement de service agile, sécurisé, économique et pouvant évoluer rapidement en fonction des besoins. Le directeur informatique (CIO) du DoD s'engage à accélérer l'adoption du cloud computing au sein du département... »

    Le DoD Cloud Computing SRG utilise le programme FedRAMP comme un moyen d'établir une approche standardisée pour évaluer les fournisseurs de services de cloud (CSP).

  • Les services de Cloud d'AWS répondent-ils aux critères du DoD ?

    Oui. Amazon a été évalué et approuvé en tant que fournisseur de services cloud pour les régions USA Est et USA Ouest au niveau d'impact 2, la région AWS GovCloud (US) aux niveaux d'impact 4 et 5, ainsi que la région secrète AWS au niveau d'impact 6.

    • Au niveau d'impact 2, toutes les régions AWS des États-Unis (USA Est/Ouest et AWS GovCloud [US]) ont été évaluées par la DISA et ont reçu deux autorisations provisoires après avoir démontré leur conformité aux exigences du DoD. La conformité d'AWS avec les exigences DoD a été remplie en exploitant notre autorisation provisoire (P-ATO) du conseil d'autorisation commun (JAB) du FedRAMP. Les autorisations provisoires permettent aux entités du DoD d'évaluer la sécurité d'AWS et la possibilité de stocker, traiter et maintenir toute une gamme de données relatives au DoD dans le cloud AWS.
    • Aux niveaux d'impact 4 et 5, la région AWS GovCloud (US) a reçu une autorisation provisoire de la DISA permettant aux clients du DoD de déployer des applications de production avec les contrôles de référence renforcés correspondants à ces niveaux du SRG. Les clients du DoD désirant déployer des applications de niveau d'impact 4 ou 5 doivent contacter la DISA pour démarrer le processus d'approbation.
    • Au niveau d'impact 6, la région secrète AWS possède une autorisation provisoire DoD pour les charges de travail de niveau Secret et inférieur. Un catalogue de services pour la région secrète AWS est disponible par l'intermédiaire de votre chargé de compte AWS.
  • Quelles sont les régions AWS couvertes ?

    Nos autorisations provisoires couvrent plusieurs régions des États-Unis continentaux, notamment AWS GovCloud (US) (niveaux d'impact 2, 4 et 5), les régions AWS USA Est/Ouest (niveau d'impact 2) et la région secrète AWS (niveau d'impact 6).

  • Quelles sont les catégories de systèmes DoD pouvant être déployées sur AWS ?

    Les régions AWS USA Est et USA Ouest détiennent une autorisation provisoire de niveau d'impact 2, qui permet aux porteurs de projets de déployer des informations publiques et non confidentielles dans ces régions AWS avec l'autorisation d'AWS et l'autorisation ATO de l'application du projet. La région AWS GovCloud (US) détient maintenant une autorisation provisoire pour les niveaux d'impact 2, 4 et 5, et permet aux porteurs de projets de déployer toute la gamme de catégories d'informations contrôlées et non confidentielles couvertes par ces niveaux. La région secrète AWS détient une autorisation provisoire de niveau d'impact 6 et autorise les charges de travail de classification Secret et inférieure.

  • Qu'est-ce que cela implique pour les porteurs de projets ?

    Nos autorisations provisoires de niveau d'impact 2 permettent aux clients DoD de tirer profit des infrastructures et des services AWS conformes pour déployer des charges de travail comprenant des données effacées pour la parution publique, ainsi que certaines informations non classées privées du DoD. La migration d'un environnement informatique relevant du DoD vers AWS peut améliorer votre propre contrôle de la conformité avec les services et fonctions proposés par AWS.

    Nos autorisations provisoires de niveau d'impact 4 et 5 obtenues pour la région AWS GovCloud (US) signifient que les clients du DoD peuvent déployer leurs applications de production dans la région AWS GovCloud (US). Cette autorisation permet aux clients de mener toutes les activités de conception, de développement et d'intégration pour les charges de travail nécessaires aux niveaux d'impact 4 et 5 du Cloud Computing SRG du DoD.

    Notre autorisation provisoire de niveau d'impact 6 signifie que les clients du DoD peuvent utiliser nos services pour stocker, traiter ou transmettre des données allant jusqu'au niveau Secret. Nos clients peuvent compter sur notre autorisation pour que les infrastructures couvrent toutes les exigences définies par le niveau d'impact 6, tandis qu'ils gèrent leurs propres conformité et certification, notamment les audits et la gestion de la sécurité.

  • Quel est l'effet de l'autorisation provisoire d'AWS sur l'autorisation ATO du porteur de projets ?

    Quand vous exécutez une application dans AWS dans le cadre d'une responsabilité partagée en matière de sécurité, le porteur de projets du DoD est responsable d'un nombre réduit de contrôles de sécurité. AWS fournit un environnement d'hébergement sécurisé, avec des contrôles de sécurité pouvant être utilisés par les porteurs de projets pour lancer leurs applications, mais ne dédouane pas le porteur de projets de sa responsabilité de déployer, gérer et superviser son application conformément aux contrôles de sécurité et à la politique de conformité du DoD.

    Pour plus d'informations sur la responsabilité des porteurs de projets du DoD utilisant AWS, consultez notre livre blanc DoD Compliant Implementations in the AWS Cloud.

  • Est-il possible d'utiliser d'autres services AWS ?

    Oui. Les clients ont la possibilité d'évaluer la compatibilité de leurs charges de travail avec d'autres services AWS. Chaque porteur de mission est habilité à évaluer et à accepter le risque de tous nos services qu'il choisit d'employer. Pour plus d'informations sur les contrôles de sécurité et l'acceptation des risques, contactez le service Conformité AWS.

  • La conformité avec le DoD va-t-elle contribuer à une augmentation des tarifs des services AWS ?

    Non. Aucune région ne verra ses coûts de service augmenter à cause des programmes de conformité d'AWS.

  • D'autres entités du DoD utilisent-elles AWS en ce moment-même ?

    Oui. A l'heure actuelle, de nombreuses entités du département américain de la Défense et autres organismes chargés de l'intégration de systèmes et d'autres produits et services pour le DoD utilisent les nombreux services AWS. Nous ne pouvons pas divulguer le nom de plusieurs des clients ayant obtenu des autorisations (ATO) du DoD pour des systèmes hébergés sur AWS, mais nous travaillons régulièrement avec nos clients et leurs évaluateurs pour la planification, le déploiement, la certification et l'accréditation des charges de travail du DoD sur AWS.

  • Les autorisations ATO nécessitent-elles d'inspecter physiquement le centre de données d'un fournisseur de services ?

    Non. Les clients du DoD peuvent s'appuyer sur le travail réalisé par nos évaluateurs tiers et indépendants (3PAO) pour le programme FedRAMP, qui inclut une analyse approfondie sur site de la sécurité physique dans nos centres de données. Conformément au DoD Cloud Computing SRG, un client DoD peut obtenir une ATO sans inspection physique du centre de données d'un fournisseur de services qui possède déjà des autorisations.

  • Quels sont les services AWS couverts ?

    Pour une liste complète des services couverts, consultez la page Web Services AWS concernés par le programme de conformité.

compliance-contactus-icon
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »