La conformité des services d'infrastructure de cloud d'AWS à la norme NIST a été validée par une évaluation menée par des tiers par rapport aux contrôles NIST 800-53 Rev. 4 et aux exigences FedRAMP. Dans le cadre du programme FedRAMP, AWS a reçu des ATO (Agency Authority to Operate) de la part de plusieurs agences d'autorisation pour les régions AWS GovCloud (US) et AWS USA Est/Ouest. Pour plus d'informations, consultez les liens suivants :

•   Pour obtenir la liste complète des agences d'autorisation pour les régions AWS Est/Ouest, cliquez ici

•   Pour obtenir la liste complète des agences d'autorisation pour AWS GovCloud, cliquez ici

•   Pour consulter les autorisations provisoires P-ATO du conseil d'autorisation commun pour AWS GovCloud, cliquez ici

Pour plus d'informations sur le programme AWS FedRAMP, consultez la page web FedRAMP.

Certains contrôles sont hérités spécifiquement d'AWS. L'héritage de nombreux autres contrôles se partage entre vous et AWS. Dans le cadre d'un accord de non-divulgation, AWS fournit un modèle SSP AWS FedRAMP basé sur la norme NIST 800-53 Rev. 4. La base de contrôle faible/modéré/élevé est préremplie avec la norme NIST 800-5 Rev. 4 applicable. La responsabilité des contrôles est partagée de la façon suivante :

• Responsabilité partagée : vous assurez la sécurité et fournissez les configurations de vos composants logiciels et AWS assure la sécurité de son infrastructure.

• Responsabilité unique du client : vous êtes entièrement responsable des systèmes d'exploitation invités, des applications déployées et de certaines ressources du réseau définies (par exemple, les pare-feux). Plus précisément, vous êtes entièrement responsable de la configuration et de la gestion de la sécurité « dans » le cloud.

• Responsabilité unique d'AWS : AWS gère l'infrastructure du cloud, y compris le réseau, le stockage de données, les ressources du système, les centres de données, la sécurité physique, la fiabilité et la prise en charge du matériel et des logiciels. Les applications conçues sur le système AWS héritent des fonctionnalités et des options configurables fournies par AWS. AWS est entièrement responsable de la configuration et de la gestion de la sécurité « du » cloud.

Pour des raisons d'autorisation de sécurité, la conformité avec les exigences FedRAMP (en fonction de la base de contrôle faible/modéré/élevé de la norme NIST 800-53 rev 4) dépend de l'implémentation complète par AWS des contrôles réservés à AWS et des contrôles partagés, et de l'implémentation par vous-même des contrôles réservés au client et des contrôles partagés. Un organisme d'évaluation tiers (3PAO, Third-party Assessment Organization) accrédité par FedRAMP a évalué et autorisé l'implémentation par AWS de la responsabilité de contrôle qui lui incombe. La partie des contrôles partagés qui vous incombe, ainsi que les contrôles liés aux applications que vous implémentez sur l'infrastructure AWS, doivent faire l'objet d'une évaluation et d'une autorisation distinctes gérée par vous-même, conformément à la norme NIST 800-37 et aux procédure et aux stratégies d'autorisation de sécurité propres aux clients.

Les systèmes AWS conformes à FedRAMP ont reçu des autorisations, satisfont les contrôles de sécurité FedRAMP (NIST SP 800-53), utilisent les modèles FedRAMP requis pour les packages de sécurité publiés dans le registre sécurisé du programme FedRAMP, ont été évalués par un organisme d'évaluation tiers agréé (3PAO) et satisfont aux exigences de surveillance continue de FedRAMP.

Selon le modèle de responsabilité partagée AWS, AWS gère la sécurité du cloud et vous êtes responsable de la sécurité dans le cloud. Pour vous aider à implémenter votre part des responsabilités partagées, les Démarrages rapides d'AWS (basés sur AWS CloudFormation) proposent une procédure simplifiée en un clic pour automatiser le déploiement de technologies clés sur le cloud AWS. Chaque Démarrage rapide lance, configure et exécute les services de calcul, de réseau, de stockage et d'autres services AWS nécessaires pour déployer une charge de travail sur AWS afin de répondre aux exigences de conformité aux normes et infrastructures de sécurité courantes, comme PCI DSS et NIST 800-53.

Les Démarrages rapides simplifient, automatisent et implémentent des bases de sécurité par le biais d'ensembles de règles complets pouvant être systématiquement appliqués. Par exemple, le Démarrage rapide Architecture normalisée pour les infrastructures d'assurance NIST sur le cloud AWS comprend des modèles AWS CloudFormation. Ces modèles peuvent être intégrés à AWS Service Catalog pour automatiser la création d'une charge de travail pour une architecture de base standardisée conforme aux normes NIST 800-53 (Rev 4) et NIST 800-171. Le Démarrage rapide inclut également une référence aux contrôles de sécurité, qui met en correspondance les décisions, fonctionnalités et configurations en matière d'architecture des contrôles de sécurité. Cela soutient vos efforts en matière de conformité dans AWS, de manière pertinente pour les objectifs de conformité et de sécurité du cloud AWS de votre organisation.

Les entreprises du secteur privé comme public peuvent s'appuyer sur ce livre blanc afin d'évaluer l'environnement AWS par rapport au framework CSF du NIST et d'améliorer les mesures de sécurité qu'elles ont mises en œuvre (aussi appelées sécurité dans le cloud). Nous proposons une description détaillée des offres du cloud AWS et des responsabilités associées tant de la part du client que d'AWS, facilitant ainsi l'alignement sur le CSF du NIST. Le livre blanc contient également un courrier d'un auditeur tiers attestant de la conformité des offres du cloud AWS aux pratiques de gestion des risques du CSF du NIST (aussi appelées sécurité du cloud), ce qui permet aux entreprises d'assurer une protection adaptée de leurs données sur l'ensemble des services AWS.

Des administrations nationales et locales aux entités réglementées, en passant par les grandes entreprises, toutes les organisations peuvent s'appuyer sur ce livre blanc pour mettre en œuvre les solutions AWS de manière à obtenir les résultats en matière de gestion des risques prévus par le CSF du NIST.