De plus en plus de clients de l'armée utilisent les services de cloud utilitaires d'AWS pour traiter, stocker et transmettre des données relatives au département de la Défense (DoD) américain.
AWS permet aux organisations militaires et à leurs partenaires commerciaux d'utiliser les environnements AWS sécurisés pour traiter, maintenir et stocker des données relatives au département américain de la Défense. AWS a obtenu des autorisations provisoires de la part de la Defense Information Systems Agency (DISA).
AWS maintient deux environnements couverts par les autorisations provisoires du DoD : les régions USA Est et USA Ouest et la région AWS GovCloud (US) (pour en savoir plus, consultez la FAQ ci-dessous) :
- La région USA Est/Ouest détient une autorisation provisoire du Département de la Défense pour le niveau d'impact 2. Les services AWS couverts dans la région USA Est/Ouest qui appartiennent déjà au champ d'application de la limite d'autorisation SRG du Département de la Défense des Etats-Unis pour le niveau d'impact 2 sont indiqués à la page Services AWS concernés par le programme de conformité.
- La région AWS GovCloud (US) détient des autorisations provisoires du Département de la Défense des Etats-Unis pour les niveaux d'impact 2 et 4. Les services AWS couverts dans la région GovCloud (US) qui appartiennet déjà au champ d'application de la limite d'autorisation SRG du Département de la Défense des Etats-Unis pour les niveaux d'impact 2 et 4 sont indiqués à la page Services AWS concernés par le programme de conformité.
En tant que client associé au DoD, vous êtes également tenu de suivre les directives de sécurité du DoD au sein de votre environnement d'application AWS, en incluant les éléments suivants :
• Les exigences du porteur de projets, définies dans le document Cloud Computing Security Requirements Guide (SRG) du DoD
• Tous les guides d'implémentation technique de sécurité (STIG) pour systèmes d'exploitation en vigueur
• Tous les STIG d'application en vigueur
• Les directives sur les ports et protocoles du DoD (DoDI 8551.01)
L'infrastructure, la gouvernance et l'environnement d'exploitation d'AWS ont été évalués et autorisés via les processus d'autorisations de FedRAMP et du DoD. En tant que client déployant une application sur l'infrastructure d'AWS, vous bénéficiez entièrement des contrôles de sécurité associés à nos contrôles physiques, environnementaux et de support, et vous n'êtes plus tenu de fournir une description détaillée de votre conformité avec ces catégories de contrôles. Les autres contrôles du cadre de gestion des risques (RMF) du DoD sont partagés entre AWS et ses clients, car chaque organisation demeure responsable de l'implémentation de ces contrôles dans sa portion du modèle de sécurité informatique partagé.
En tant que client d'AWS, vous êtes responsable de la conception, du déploiement, de la gestion et de la supervision de votre environnement AWS et des applications exploitant les fonctionnalités d'AWS et des capacités tierces, y compris vos propres utilitaires, logiciels et applications. Grâce aux fonctionnalités de sécurité fournies par AWS et à notre écosystème de fournisseurs, vous pouvez créer des systèmes à la fois hautement disponibles et rigoureusement contrôlés et supervisés, conformément aux politiques en vigueur dans votre organisation.
Nos clients du DoD et nos fournisseurs peuvent exploiter nos autorisations de FedRAMP et du DoD pour accélérer leurs efforts de certification et d'accréditation. En réponse à l'autorisation accordée pour l'hébergement de systèmes militaires sur AWS, nous offrons au personnel de sécurité du DoD notre documentation de sécurité pour leur permettre de confirmer la sécurité et la conformité d'AWS avec les contrôles NIST en vigueur, comme défini par la publication 800-53 rev4, et par le document Cloud Computing SRG du DoD.
Afin de mieux servir nos clients au sein du département américain de la Défense, nous fournissons un package de guides et de documents de sécurité permettant d'approfondir leurs connaissances sur la sécurité et la conformité tout en utilisant AWS comme solution d'hébergement pour le DoD. Plus particulièrement, nous fournissons un template AWS FedRAMP SSP basé sur la norme NIST 800-53v4 et prérempli avec les contrôles FedRAMP et DoD de référence applicables. Les contrôles qu'apporte le template sont préremplis par AWS. Les contrôles partagés sont la responsabilité d'AWS et du client. Enfin, certains contrôles sont la responsabilité exclusive du client.
Pour demander l'accès à la documentation de sécurité d'AWS liée aux clients du DoD, qu'il s'agisse d'une organisation militaire ou d'un sous-traitant faisant affaire avec le DoD, contactez le service AWS de développement commercial et de ventes ou envoyez directement un e-mail à notre équipe à l'adresse awscompliance@amazon.com.
Nos clients au sein du gouvernement américain réalisent vite que la migration sur le cloud est un bon moyen de renforcer la sécurité et de limiter les risques opérationnels. L'environnement d'exploitation d'AWS permet aux clients d'obtenir un degré de sécurité et de conformité uniquement atteignable dans un environnement soutenu par une importante automatisation. Sur AWS, nos clients ont la possibilité de mener des audits en continu au lieu de faire un inventaire et un audit périodiques de leur environnement à un instant donné, comme le font la plupart des clients du DoD avec un centre de données traditionnel. Ce degré de visibilité dans son environnement renforce directement le contrôle des données et la capacité à s'assurer que seuls les utilisateurs autorisés y ont accès.
Les porteurs de projets du DoD peuvent obtenir un niveau de contrôle supérieur sur leurs applications en appliquant de manière programmatique les directives de conformité et de sécurité du DoD. Avec les fonctionnalités proposées par AWS, vous pouvez créer des templates pré-approuvés pour les cas d'utilisation d'application les plus courants, afin de réduire le délai d'autorisation de nouvelles applications. En utilisant ce type de template, les organisations du DoD peuvent également s'assurer que les responsables des applications ne modifient pas des paramètres de sécurité essentiels, comme les groupes de sécurité et les ACL réseau, et forcer l'utilisation d'images machine STIG sécurisées. L'application programmatique des directives de sécurité du DoD limite l'étendue des configurations manuelles menées par les administrateurs système. Ainsi, le risque de configuration incorrecte est considérablement réduit, ce qui atténue à son tour les risques en général pour le DoD. Nos clients fédéraux atteignent déjà un degré de sécurité supérieur sur AWS.
Les clients régis par d'autres programmes de conformité bénéficient eux aussi directement de l'utilisation d'AWS pour atteindre leurs objectifs de conformité et de risque :
• Conformité HIPAA : Claritas Genomics disposait d'un budget limité et avait besoin de ressources informatiques à bas prix pour satisfaire les critères HIPAA.
• Conformité des services financiers : face à un marché dont le volume grossit en continu et à des règlementations en évolution, la FINRA a opté pour AWS.
• Conformité des services financiers : le NASDAQ devait être en mesure de fournir aux organismes de règlementation des informations financières de plus en plus détaillées.
AWS GovCloud (US) Earns DoD Cloud Computing Level 4 Provisional Authorization
Le SRG du département américain de la Défense a été publié pour fournir un processus normalisé d'évaluation et d'autorisation pour permettre aux fournisseurs de services de cloud de recevoir une autorisation provisoire du DoD, qui pourra ensuite être exploitée par les clients du DoD. L'autorisation provisoire reçue dans le cadre des directives du DoD fournit une certification réutilisable qui démontre notre conformité aux normes du département américain de la Défense, réduisant ainsi la durée nécessaire à un porteur de projets du département pour évaluer et autoriser le fonctionnement de l'un de ses systèmes sur AWS. Consultez cette page pour en savoir plus sur le SRG, notamment la définition complète des exigences de base en matière de contrôle de la sécurité définies pour les niveaux 2, 4, 5 et 6.
En tant que porteur de projets pour le département américain de la Défense, vous êtes responsable de la création d'un package d'autorisation définissant toute l'implémentation des contrôles de sécurité applicables dans votre application. Comme pour tout package d'autorisation traditionnel, vous allez devoir documenter vos contrôles de sécurité de référence avec un plan de sécurité système. Ce plan et son implémentation seront ensuite étudiés par le service de certification de votre organisation associée au DoD. Dans le cadre de cette étude, le service de certification ou le responsable des approbations pourra demander à inspecter le package d'autorisation AWS en même temps que votre application, afin de bénéficier d'une vision holistique de l'implémentation des contrôles de sécurité. Après avoir examiné les packages d'autorisation de sécurité d'AWS et du porteur de projets, votre responsable des approbations disposera de toutes les informations nécessaires pour accorder une accréditation et une autorisation ATO.
Pour en savoir plus sur la responsabilité des responsables d'application du DoD opérant sur AWS, consultez notre livre blanc DoD Compliant Implementations in the AWS Cloud.
En tant que fournisseur de services de cloud ayant déjà été autorisé par le DoD, AWS doit faire l'objet d'une évaluation pour les contrôles FedRAMP+ établis dans le SRG. AWS s'est soumis à cette évaluation et a obtenu une autorisation PA complète de niveau 4 (IL4) qui permet ses porteurs de mission de migrer des charges de production, notamment :
- Exportation de données contrôlées
- Informations au sujet de la confidentialité
- Données de santé protégées
- Et d'autres informations nécessitant une désignation CUI explicite :
- Pour usage officiel uniquement
- Usage officiel uniquement
- Informations sensibles sur l'application de la loi
- Informations sur les infrastructures critiques
- Informations sensibles relatives à la sécurité
Le SRG soutient l'objectif fédéral global d'augmenter l'utilisation du cloud computing. Il constitue pour le département américain de la Défense un moyen d'atteindre ce but. Le 8 février 2011, l'Office of Management and Budget (OMB) a publié le document Federal Cloud Computing Strategy, qui comprend des directives poussant toutes les agences fédérales américaines à adopter les technologies du cloud. Cette stratégie a été suivie d'une exigence fédérale, publiée au mois de décembre 2011 et donnant naissance au Federal Risk and Authorization Management Program (FedRAMP). FedRAMP est obligatoire pour les déploiements et les modèles de service dans le cloud au niveau des agences fédérales, lorsque les risques peuvent avoir un impact faible, modéré et élevé.
En juillet 2012, le DoD a défini sa stratégie en manière de cloud computing par le biais de son directeur informatique. Sont alors nés le Joint Information Environment (JIE) et le DoD Enterprise Cloud Environment : « La stratégie du DoD en manière de cloud computing cherche à faire passer le département de son état actuel, avec des silos d'application redondants, lourds et coûteux, vers un état final composé d'un environnement de service agile, sécurisé, économique et pouvant évoluer rapidement en fonction des besoins. Le directeur informatique (CIO) du DoD s'engage à accélérer l'adoption du cloud computing au sein du département... »
Le SRG du DoD utilise le programme FedRAMP comme un moyen d'établir une approche standardisée pour évaluer les fournisseurs de services de cloud. AWS a été évalué et approuvé dans le cadre du programme FedRAMP, et a reçu de nombreuses autorisations ATO d'agence pour le niveau d'impact modéré, pour les régions USA Est et USA Ouest, et une autorisation ATO FedRAMP JAB High Provisional (pATO) pour la région AWS GovCloud (US). Pour en savoir plus sur la conformité FedRAMP d'AWS, consultez notre page de FAQ sur FedRAMP.
Oui, AWS a été évalué et approuvé en tant que fournisseur de services de cloud de niveau 2 (IL2) pour les régions USA Est et USA Ouest et de niveau 4 (IL4) pour la région AWS GovCloud (US).
• Au niveau 2, toutes les régions AWS des Etats-Unis (USA Est/Ouest et AWS GovCloud [US]) ont été évaluées par la DISA et ont reçu deux autorisations provisoires après avoir démontré leur conformité avec les exigences du DoD. La conformité d'AWS avec les exigences du DoD a été obtenue en utilisant nos ATO d'agence FedRAMP et notre pATO FedRAMP High Baseline. Les autorisations provisoires permettent aux entités du DoD d'évaluer la sécurité d'AWS et la possibilité de stocker, traiter et maintenir toute une gamme de données relatives au DoD dans le cloud AWS.
• Au niveau 4, la région AWS GovCloud (US) a reçu une autorisation provisoire de DISA permettant aux clients du DoD de déployer des applications de production avec les contrôles de référence renforcés correspondant à ces niveaux du SRG. Les clients du DoD désirant déployer des applications de niveau 4 (IL4) doivent contacter la DISA pour démarrer le processus d'approbation.
Nos autorisations provisoires couvrent toutes les régions du territoire continental des Etats-Unis, y compris les régions AWS GovCloud (USA) (niveaux 2 et 4) et AWS USA Est/Ouest (niveau 2).
Les régions USA Est et USA Ouest détiennent une autorisation provisoire de niveau 2, qui permet aux porteurs de projets de déployer des informations publiques et non confidentielles dans ces régions avec l'autorisation d'AWS et l'autorisation ATO de l'application utilisée. La région AWS GovCloud (USA) détient maintenant une autorisation provisoire pour les niveaux 2 et 4, et permet aux porteurs de projets de déployer toute la gamme de catégories d'informations contrôlées et non confidentielles couvertes par ces niveaux.
Les autorisations attestent de notre volonté d'offrir des services sûrs à nos clients. En suivant le processus d'autorisation, nous confirmons que nous tenons compte des contrôles de sécurité du SRG du département américain de la Défense et que nos méthodes de gestion sont conformes aux directives du DoD. Nous avons réussi l'évaluation de niveau 4 (IL4) du SRG et une autorisation provisoire de niveau 4 (IL4) nous a été délivrée par la DISA.
Nos autorisations provisoires de niveau 2 signifient que les clients du DoD utilisant nos services pour stocker, traiter ou transmettre des données du DoD ont la certitude que l'infrastructure AWS couvre toutes les exigences définies pour le niveau 2 dans leurs activités de gestion et de certification, y compris pour les audits et la gestion de la sécurité. La migration d'un environnement informatique relevant du DoD vers AWS peut améliorer votre propre contrôle de la conformité avec les services et fonctionnalités proposés par AWS.
Grâce à l'autorisation provisoire de niveau 4 obtenue pour la région AWS GovCloud (US), les clients du DoD peuvent déployer leurs applications de production dans la région AWS GovCloud (US). Cette autorisation permet aux clients de mener toutes les activités de conception, de développement et d'intégration pour les charges de travail nécessaires au niveau d'impact 4 du Cloud Computing SRG du département américain de la Défense.
Quel est l'effet de l'autorisation provisoire d'AWS sur l'autorisation ATO du porteur de projets ?
Quand vous exécutez une application sur AWS dans le cadre d'une responsabilité partagée en matière de sécurité, le porteur de projets du DoD est responsable d'un nombre réduit de contrôles de sécurité. AWS fournit un environnement d'hébergement sécurisé, avec des contrôles de sécurité pouvant être utilisés par les porteurs de projets pour lancer leurs applications, mais ne dédouane pas le porteur de projets de sa responsabilité de déployer, gérer et superviser son application conformément aux contrôles de sécurité et à la politique de conformité du DoD.
Pour plus d'informations sur la responsabilité des porteurs de projets du DoD utilisant AWS, consultez notre livre blanc DoD Compliant Implementations in the AWS Cloud. Ce livre blanc sera révisé conformément au SRG d'ici peu.
Oui. Les clients ont la possibilité d'évaluer la compatibilité de leurs charges de travail avec d'autres services AWS. Chaque porteur de mission est habilité à évaluer et à accepter le risque de tous nos services qu'il choisit d'employer. Contactez l'équipe AWS en charge des ventes et du développement commercial pour plus d'informations sur les contrôles de sécurité et l'acceptation des risques.
Non. Aucune région ne verra ses coûts de service augmenter à cause des programmes de conformité d'AWS.
Oui. A l'heure actuelle, de nombreuses entités du département américain de la Défense et autres organismes chargés de l'intégration de systèmes et d'autres produits et services pour le DoD utilisent les nombreux services AWS. Nous ne pouvons pas divulguer le nom de plusieurs des clients ayant obtenu des autorisations du DoD pour des systèmes hébergés sur AWS, mais nous travaillons régulièrement avec nos clients et leurs évaluateurs pour la planification, le déploiement, la certification et l'accréditation des charges de travail du DoD sur AWS.
Non. Conformément au SRG, un client du DoD peut obtenir une autorisation ATO sans inspecter physiquement le centre de données d'un fournisseur de services, grâce à nos propres autorisations. Les clients du DoD peuvent s'appuyer sur le travail réalisé par nos évaluateurs tiers et indépendants (3PAO) pour le programme FedRAMP, qui inclut une analyse approfondie sur site de la sécurité physique dans nos centres de données.
Pour demander la documentation AWS associée, envoyez une demande au service AWS de développement commercial et de ventes.
Pour une liste complète des services couverts, consultez la page Services AWS concernés par le programme de conformité.
