Panduan Persyaratan Keamanan Komputasi Cloud Department of Defense

Gambaran Umum

Semakin banyak pelanggan militer mengadopsi layanan AWS untuk memproses, menyimpan, dan mentransmisikan data Department of Defense (DoD) AS. AWS memungkinkan organisasi pertahanan dan asosiasi bisnis mereka membuat lingkungan yang aman guna memproses, mempertahankan, dan menyimpan data DoD.

Cloud Computing Security Requirements Guide (SRG) Department of Defense (DoD) menyediakan proses penilaian dan otorisasi terstandardisasi untuk penyedia layanan cloud (CSP) agar mendapatkan otorisasi sementara DoD, sehingga mereka dapat melayani pelanggan DoD. Otorisasi sementara AWS dari Defense Information Systems Agency (DISA) menyediakan sertifikasi yang dapat digunakan kembali yang membuktikan kepatuhan AWS dengan standar DoD, sehingga mengurangi waktu yang diperlukan bagi pemilik misi DoD guna menilai dan mengotorisasi salah satu sistem mereka untuk operasi di AWS. Untuk informasi lebih lanjut tentang SRG, termasuk definisi lengkap baseline kontrol keamanan yang ditetapkan untuk Tingkat 2, 4, 5, dan 6, kunjungi Pustaka Dokumen di halaman web DoD Cloud Computing Security.

Sebagai pelanggan DoD, Anda bertanggung jawab untuk mematuhi panduan keamanan DoD dalam lingkungan aplikasi AWS Anda, yang mencakup:

• Tanggung jawab pemilik misi yang dijelaskan di whitepaper Implementasi yang Memenuhi Standar DoD di AWS Cloud
• Semua Panduan Implementasi Teknis Keamanan (Security Technical Implementation Guides/STIG) sistem operasi yang relevan
• Semua STIG aplikasi yang relevan
• Panduan port dan protokol DoD (DoD Instruction 8551.01)

Lingkungan infrastruktur, pemerintah, dan operasi AWS telah dinilai dan diotorisasi melalui proses otorisasi FedRAMP dan DoD. Sebagai pelanggan yang menyebarkan aplikasi pada infrastruktur AWS, Anda mewarisi kontrol keamanan yang berkaitan dengan perlindungan fisik, lingkungan, dan media, serta tidak perlu lagi menyediakan deskripsi mendetail tentang cara Anda mematuhi jajaran kontrol ini. Kontrol Risk Management Framework (RMF) DoD yang tersisa dibagikan antara AWS dan pelanggan, dengan setiap organisasi mempertahankan tanggung jawab untuk penerapan kontrol dalam porsi model keamanan IT bersama mereka. 

  • Pelanggan dan vendor DoD kami dapat menggunakan otorisasi FedRAMP dan DoD untuk mempercepat upaya sertifikasi dan akreditasi mereka. Untuk mendukung otorisasi sistem militer yang di-hosting di AWS, kami memberikan dokumentasi kepada personel keamanan DoD sehingga Anda dapat memverifikasi kepatuhan AWS dengan kontrol NIST 800-53 (Revisi 4) dan DoD Cloud Computing SRG (Versi 1, Rilis 3) yang berlaku.

    Kami memberi pelanggan DoD kami paket panduan dan dokumentasi keamanan tentang keamanan dan kepatuhan menggunakan AWS sebagai solusi hosting DoD. Secara khusus, kami memberikan template AWS FedRAMP SSP berdasarkan NIST 800-53 (Rev 4), yang sudah diisi sebelumnya dengan baseline kontrol FedRAMP dan DoD yang berlaku. Kontrol yang diwariskan dalam template sudah diisi sebelumnya oleh AWS; kontrol bersama adalah tanggung jawab AWS dan pelanggan; dan beberapa kontrol sepenuhnya merupakan tanggung jawab pelanggan.

    Organisasi militer atau kontraktor yang melakukan bisnis dengan DoD dapat meminta akses ke dokumentasi keamanan AWS dengan menghubungi Account Manager AWS Anda atau mengirimkan AWS Compliance Contact Us Form. Pelanggan nonpemerintah, seperti mitra AWS, dapat mengunduh AWS Partner FedRAMP Security Package menggunakan AWS Artifact.

  • Kami yakin bahwa untuk pelanggan pemerintahan, migrasi ke cloud merupakan peluang untuk meningkatkan tingkat jaminan keamanan dan mengurangi risiko operasional Anda. Lingkungan pengoperasian AWS memungkinkan Anda memiliki tingkat keamanan dan kepatuhan yang hanya mungkin dilakukan di lingkungan yang didukung oleh tingkat otomatisasi tinggi. Dibandingkan dengan pusat data tradisional yang melakukan inventaris berkala dan audit "titik waktu," pelanggan AWS memiliki kemampuan untuk melakukan audit secara terus-menerus. Memiliki tingkat visibilitas ini di dalam lingkungan Anda akan menambah kontrol data dan meningkatkan kemampuan Anda untuk mempertahankan jaminan yang aksesnya hanya dimiliki oleh pengguna sah.

    Misalnya, pemilik misi DoD dapat mencapai tingkat kontrol yang lebih tinggi di aplikasi melalui pemberlakuan terprogram pedoman keamanan dan kepatuhan DoD. AWS memungkinkan Anda membuat template yang disetujui sebelumnya untuk kasus penggunaan aplikasi umum, sehingga mengurangi waktu untuk mengotorisasi aplikasi baru. Template ini dapat membantu memastikan bahwa pemilik aplikasi tidak mengubah pengaturan keamanan penting seperti grup keamanan dan ACL jaringan, serta dapat memberlakukan penggunaan image mesin yang diperkuat STIG. Pemberlakuan terprogram pedoman keamanan DoD ini mengurangi upaya konfigurasi manual, sehingga mampu mengurangi konfigurasi yang salah dan mengurangi keseluruhan risiko bagi DoD.

  • Sebagai pemilik misi DoD, Anda bertanggung jawab untuk membuat paket otorisasi yang sepenuhnya menentukan penerapan kontrol keamanan yang berlaku untuk aplikasi Anda. Sama seperti paket otorisasi tradisional mana pun, Anda harus mendokumentasikan baseline kontrol keamanan Anda dengan rencana keamanan sistem, dan mengizinkan rencana ini beserta penerapannya ditinjau oleh personel sertifikasi yang relevan dari organisasi DoD Anda. Sebagai bagian dari tinjauan ini, personel sertifikasi atau pejabat pengotorisasi Anda dapat meninjau paket otorisasi AWS untuk memperoleh pandangan menyeluruh atas penerapan kontrol keamanan dari atas hingga bawah. Setelah meninjau paket otorisasi keamanan Anda dan paket otorisasi keamanan AWS, pejabat pengotorisasi Anda akan memiliki informasi yang diperlukan untuk membuat keputusan akreditasi bagi aplikasi Anda dan memberikan ATO.

    Untuk informasi lebih lanjut tentang tanggung jawab pemilik aplikasi DoD yang beroperasi di AWS, lihat whitepaper Penerapan yang Memenuhi Standar DoD di AWS Cloud.

  • DoD Cloud Computing SRG mendukung seluruh tujuan Pemerintah Federal AS untuk meningkatkan penggunaan komputasi cloud mereka dan menyediakan sarana bagi DoD untuk mendukung tujuan ini. Pada 8 Februari 2011, Office of Management and Budget (OMB) mendirikan Federal Cloud Computing Strategy yang membuat panduan bagi semua lembaga federal untuk mengadopsi teknologi cloud di seluruh pemerintah federal. Strategi ini diikuti oleh persyaratan federal yang dirilis pada Desember 2011 yang menetapkan Federal Risk and Authorization Management Program (FedRAMP). FedRAMP wajib untuk penyebaran cloud dan model layanan lembaga federal pada tingkat dampak risiko rendah, sedang, dan tinggi.

    Pada Juli 2012, DoD mengeluarkan Cloud Computing Strategy dari DoD Chief Information Officer (CIO). Strategi ini membentuk Joint Information Environment (JIE) dan DoD Enterprise Cloud Environment: "DoD Cloud Computing Strategy memperkenalkan pendekatan untuk mengalihkan Departemen dari kondisi saat ini yang merupakan serangkaian silo aplikasi yang terduplikasi, rumit, dan mahal ke kondisi akhir yang berupa lingkungan layanan tangkas, aman, dan hemat biaya yang dapat merespons kebutuhan misi yang berubah dengan cepat. DoD Chief Information Officer (CIO) berkomitmen untuk mempercepat adopsi komputasi cloud di dalam Departemen..."

    DoD Cloud Computing SRG memanfaatkan program FedRAMP sebagai sarana untuk menetapkan pendekatan standar bagi DoD untuk menilai Cloud Service Provider (CSP).

  • Ya, AWS telah dinilai dan disetujui sebagai penyedia layanan cloud untuk Wilayah Timur AS dan Barat AS pada Tingkat Dampak 2, Wilayah AWS GovCloud (AS) di Tingkat Dampak 4 dan 5, dan AWS Secret Region di Tingkat Dampak 6.

    • Pada Tingkat Dampak 2, Wilayah AWS berbasis AS Timur/Barat AS, AWS GovCloud (AS) telah dinilai oleh DISA dan diberikan dua otorisasi sementara setelah menunjukkan kepatuhan terhadap persyaratan DoD. Kepatuhan AWS terhadap persyaratan DoD dicapai dengan memanfaatkan FedRAMP Joint Authorization Board (JAB) Provisional Authorization to Operate (P-ATO) kami yang ada saat ini. Otorisasi sementara ini memungkinkan entitas DoD mengevaluasi keamanan AWS dan kesempatan untuk menyimpan, memproses, dan memelihara beragam data DoD di AWS Cloud.
    • Pada Tingkat Dampak 4 dan 5, AWS GovCloud (AS) telah mengeluarkan otorisasi sementara dari DISA untuk memungkinkan pelanggan DoD menyebarkan aplikasi produksi dengan baseline kontrol yang ditingkatkan sesuai dengan tingkat SRG tersebut. Pelanggan DoD dengan aplikasi Tingkat Dampak 4 atau Tingkat Dampak 5 prospektif harus menghubungi DISA untuk memulai proses persetujuan.
    • Pada Tingkat Dampak 6, AWS Secret Region memiliki otorisasi sementara DoD untuk beban kerja hingga dan termasuk tingkat Rahasia. Katalog layanan untuk AWS Secret Region tersedia dari Eksekutif Akun AWS Anda.
  • Otorisasi sementara kami mencakup beberapa wilayah dalam Amerika Serikat daratan, termasuk AWS GovCloud (AS) (Tingkat Dampak 2, 4, dan 5), wilayah Timur/Barat AS AWS (Tingkat Dampak 2), dan AWS Secret Region (Tingkat Dampak 6).

  • Wilayah AWS Timur AS dan Barat AS memiliki otorisasi sementara untuk Tingkat Dampak 2, yang memungkinkan pemilik misi menyebarkan informasi publik yang tidak terklasifikasi di Wilayah AWS ini dengan otorisasi AWS dan ATO aplikasi misi. AWS GovCloud memiliki otorisasi sementara untuk Tingkat Dampak 2, 4, dan 5, serta memungkinkan pemilik misi menyebarkan kategori informasi lengkap yang terkontrol dan tidak terklasifikasi yang dicakup oleh tingkat tersebut. AWS Secret Region memiliki otorisasi sementara untuk Tingkat Dampak 6 dan memungkinkan beban kerja hingga dan termasuk klasifikasi Rahasia.

  • Otorisasi sementara Tingkat Dampak 2 kami memungkinkan pelanggan DoD menggunakan infrastruktur dan layanan AWS kami yang memenuhi standar untuk menyebarkan beban kerja termasuk data yang diizinkan untuk rilis publik, serta beberapa informasi DoD pribadi yang tidak terklasifikasi. Memindahkan lingkungan IT DoD Anda ke AWS dapat membantu meningkatkan pengawasan kepatuhan Anda sendiri terhadap layanan dan fitur yang disediakan AWS.

    Otorisasi sementara Tingkat Dampak 4 dan 5 kami untuk AWS GovCloud (AS) berarti bahwa pelanggan DoD kami dapat menyebarkan aplikasi produksi mereka ke AWS GovCloud (AS). Otorisasi ini memungkinkan pelanggan terlibat dalam kegiatan desain, pengembangan, dan integrasi untuk beban kerja yang diwajibkan mematuhi Tingkat Dampak 4 dan 5 DoD Cloud Computing SRG.

    Otorisasi sementara Tingkat Dampak 6 kami untuk AWS Secret Region berarti pelanggan DoD dapat menggunakan layanan kami untuk menyimpan, memproses, atau mengirimkan data hingga dan termasuk tingkat Rahasia. Pelanggan dapat mengandalkan otorisasi kami untuk mencakup semua persyaratan infrastruktur yang ditetapkan oleh Tingkat Dampak 6, yang membantu mereka mengelola kepatuhan dan sertifikasi mereka sendiri, termasuk audit dan manajemen keamanan.

  • Saat mengoperasikan aplikasi di AWS, dengan semangat tanggung jawab keamanan bersama, pemilik misi DoD bertanggung jawab atas baseline kontrol keamanan yang dikurangi. AWS menyediakan lingkungan hosting yang aman dengan kontrol keamanan yang berlaku bagi pemilik misi untuk menggunakan aplikasi mereka, tetapi ini tidak membebaskan pemilik misi dari tanggung jawab mereka untuk menyebarkan, mengelola, dan memantau aplikasi mereka secara aman sesuai dengan kontrol keamanan dan kebijakan kepatuhan DoD.

    Untuk informasi lebih lanjut tentang tanggung jawab pemilik aplikasi DoD yang beroperasi di AWS, lihat whitepaper DoD-Compliant Implementations in the AWS Cloud.

  • Ya, pelanggan dapat mengevaluasi beban kerja mereka untuk disesuaikan dengan layanan AWS lain. Setiap pemilik misi diberdayakan untuk mengevaluasi dan menerima risiko dari setiap layanan kami yang mereka pilih untuk disebarkan. Untuk informasi lebih lanjut tentang kontrol keamanan dan pertimbangan penerimaan risiko, hubungi AWS Compliance.

  • Tidak, tidak ada peningkatan biaya layanan untuk layanan apa pun sebagai hasil dari program kepatuhan AWS.

  • Ya, banyak entitas DoD dan organisasi lain yang menyediakan integrasi sistem dan produk serta layanan lain kepada DoD menggunakan berbagai layanan AWS saat ini. AWS tidak dapat mengungkapkan banyak pelanggan yang telah mencapai DoD Authorizations to Operate (ATO) untuk sistem di AWS, tetapi kami secara rutin bekerja dengan pelanggan dan penilai mereka dalam merencanakan, menyebarkan, menyertifikasi, dan mengakreditasi beban kerja DoD mereka di AWS.

  • Tidak. Pelanggan DoD dapat mengandalkan pekerjaan yang dilakukan oleh FedRAMP Third-Party Assessment Organization (3PAO) kami, yang mencakup peninjauan di lokasi secara menyeluruh untuk memastikan keamanan fisik pusat data kami. Sesuai dengan DoD Cloud Computing SRG, pelanggan DoD dapat mencapai Authorization to Operate (ATO) tanpa inspeksi fisik terhadap pusat data penyedia layanan yang sudah memiliki otorisasi.

  • Untuk daftar lengkap layanan tercakup, lihat laman web AWS Services in Scope by Compliance Program.

Ada pertanyaan? Hubungi perwakilan bisnis AWS
Ingin menyelami lebih jauh pentingnya kepatuhan?
Daftar sekarang »
Ingin info terbaru tentang AWS Compliance?
Ikuti kami di Twitter »