Panduan Persyaratan Keamanan Komputasi Cloud Department of Defense

Ikhtisar

140940_AWS_Multi-Logo Graphic_600x400_DoD

Semakin banyak pelanggan militer mengadopsi layanan AWS untuk memroses, menyimpan, dan mentransmisikan data Department of Defense (DoD) AS. AWS memungkinkan organisasi pertahanan dan asosiasi bisnis mereka membuat lingkungan yang aman guna memroses, mempertahankan, dan menyimpan data DoD.

Cloud Computing Security Requirements Guide (SRG) Department of Defense (DoD) menyediakan proses penilaian dan otorisasi terstandardisasi untuk Cloud Service Provider (CSP) agar mendapatkan otorisasi sementara DoD, sehingga mereka dapat melayani pelanggan DoD. Otorisasi sementara AWS dari Defense Information Systems Agency (DISA) memberikan sertifikasi yang dapat digunakan kembali yang membuktikan kepatuhan AWS dengan standar DoD, sehingga mengurangi waktu yang diperlukan bagi pemilik misi DoD untuk menilai dan mengesahkan salah satu sistem mereka untuk operasi di AWS. Untuk informasi lebih lanjut tentang SRG, termasuk definisi lengkap dasar kontrol keamanan yang ditetapkan untuk Tingkat 2, 4, 5, dan 6, lihat halaman web Information Assurance Support Environment (IASE) DoD Cloud Computing Security.

Sebagai pelanggan DoD, Anda bertanggung jawab mematuhi panduan keamanan DoD dalam lingkungan aplikasi AWS Anda, yang mencakup:

• Tanggung jawab pemilik misi yang dijelaskan di whitepaper Penerapan yang Memenuhi Standar DoD di AWS Cloud
• Semua Security Technical Implementation Guides (STIGs) sistem operasi yang relevan
• Semua STIGs aplikasi yang relevan
• Panduan port dan protokol DoD (DoD Instruction 8551.01)

Lingkungan infrastruktur, pemerintah, dan operasi AWS telah dinilai dan diotorisasi melalui proses otorisasi FedRAMP dan DoD. Sebagai pelanggan yang menyebarkan aplikasi pada infrastruktur AWS, Anda mewarisi kontrol keamanan yang berkaitan dengan perlindungan fisik, lingkungan, dan media, serta tidak perlu lagi menyediakan deskripsi mendetail tentang cara Anda mematuhi jajaran kontrol ini. Kontrol Risk Management Framework (RMF) DoD yang tersisa dibagikan antara AWS dan pelanggan, dengan setiap organisasi mempertahankan tanggung jawab untuk penerapan kontrol dalam porsi model keamanan IT bersama mereka.

  • Bagaimana saya meninjau dokumentasi dan panduan keamanan AWS?

    Pelanggan dan vendor DoD kami dapat menggunakan otorisasi FedRAMP dan DoD untuk mempercepat upaya sertifikasi dan akreditasi mereka. Untuk mendukung otorisasi sistem militer yang di-hosting di AWS, kami memberikan dokumentasi kepada personel keamanan DoD sehingga Anda dapat memverifikasi kepatuhan AWS dengan kontrol NIST 800-53 (Revisi 4) dan Cloud Computing SRG DoD (Versi 1, Rilis 3) yang berlaku.

    Kami memberi pelanggan DoD kami paket panduan dan dokumentasi keamanan tentang keamanan dan kepatuhan menggunakan AWS sebagai solusi hosting DoD. Secara khusus, kami memberikan template FedRAMP SSP AWS berdasarkan NIST 800-53 (Rev 4), yang sudah diisi sebelumnya dengan dasar garis kontrol FedRAMP dan DoD yang berlaku. Kontrol yang diwariskan dalam template sudah diisi sebelumnya oleh AWS; kontrol bersama adalah tanggung jawab AWS dan pelanggan; dan kontrol tertentu sepenuhnya merupakan tanggung jawab pelanggan.

    Untuk meminta akses ke dokumentasi keamanan AWS yang berkaitan dengan pelanggan DoD, baik organisasi militer maupun kontraktor yang menjalankan bisnis dengan DoD, hubungi Kepatuhan AWS atau kirim email secara langsung ke tim kami di awscompliance@amazon.com.

  • Apa saja nilai yang saya dapatkan dengan beralih ke AWS?

    Kami yakin bahwa untuk pelanggan pemerintahan, migrasi ke cloud merupakan peluang untuk meningkatkan tingkat jaminan keamanan dan mengurangi risiko operasional Anda. Lingkungan pengoperasian AWS memungkinkan Anda memiliki tingkat keamanan dan kepatuhan yang hanya mungkin dilakukan di lingkungan yang didukung oleh tingkat otomatisasi tinggi. Dibandingkan dengan pusat data biasa yang melakukan inventaris berkala dan audit "titik waktu", pelanggan AWS memiliki kemampuan untuk melakukan audit secara terus-menerus. Memiliki tingkat visibilitas ini di dalam lingkungan Anda akan meningkatkan kontrol data dan menambah kemampuan Anda untuk mempertahankan jaminan yang aksesnya hanya dimiliki oleh pengguna sah.

    Misalnya, pemilik misi DoD dapat mencapai tingkat kontrol yang lebih tinggi di aplikasi melalui pemberlakuan terprogram pedoman keamanan dan kepatuhan DoD. AWS memungkinkan Anda membuat template yang disetujui sebelumnya untuk kasus penggunaan aplikasi umum, sehingga mengurangi waktu untuk mengotorisasi aplikasi baru. Template ini dapat membantu memastikan bahwa pemilik aplikasi tidak mengubah pengaturan keamanan penting seperti grup keamanan dan ACL jaringan. Selain itu, template ini dapat memberlakukan penggunaan image mesin yang diperkuat STIG. Pemberlakuan terprogram pedoman keamanan DoD ini mengurangi upaya konfigurasi manual, sehingga mampu mengurangi konfigurasi yang salah dan mengurangi keseluruhan risiko bagi DoD.

  • Bagaimana cara pemilik misi mencapai ATO (Authorization to Operate)?

    Sebagai pemilik misi DoD, Anda bertanggung jawab untuk membentuk paket otorisasi yang sepenuhnya menentukan penerapan kontrol keamanan yang berlaku untuk aplikasi Anda. Sama seperti paket otorisasi biasa mana pun, Anda harus mendokumentasikan dasar kontrol keamanan Anda dengan rencana keamanan sistem, lalu meminta rencana ini dan penerapannya ditinjau oleh personel sertifikasi yang relevan dari organisasi DoD Anda. Sebagai bagian dari tinjauan ini, personel sertifikasi atau pejabat pengotorisasi Anda dapat meninjau paket otorisasi AWS untuk memperoleh pandangan menyeluruh atas penerapan kontrol keamanan dari atas hingga bawah. Setelah meninjau paket otorisasi keamanan Anda dan paket otorisasi keamanan AWS, pejabat pengotorisasi Anda akan memiliki informasi yang diperlukan untuk membuat keputusan akreditasi untuk aplikasi Anda dan memberikan ATO.

    Untuk informasi lebih lanjut tentang tanggung jawab pemilik aplikasi DoD yang beroperasi di AWS, lihat whitepaper Penerapan yang Memenuhi Standar DoD di AWS Cloud.

  • Mengapa DoD Cloud Computing SRG penting?

    DoD Cloud Computing SRG mendukung keseluruhan tujuan Pemerintah Federal AS untuk meningkatkan penggunaan komputasi cloud dan menyediakan sarana bagi DoD untuk mendukung tujuan ini. Pada 8 Februari 2011, Office of Management and Budget (OMB) mendirikan Federal Cloud Computing Strategy yang membentuk panduan bagi semua lembaga federal untuk mengadopsi teknologi cloud di seluruh pemerintah federal. Strategi ini diikuti oleh persyaratan federal yang dirilis pada Desember 2011 yang menetapkan Federal Risk and Authorization Management Program (FedRAMP). FedRAMP wajib untuk penyebaran cloud dan model layanan lembaga federal pada tingkat dampak risiko rendah, sedang, dan tinggi.

    Pada Juli 2012, DoD mengeluarkan Cloud Computing Strategy dari Chief Information Officer (CIO) DoD. Strategi ini membentuk Joint Information Environment (JIE) dan DoD Enterprise Cloud Environment: "DoD Cloud Computing Strategy memperkenalkan pendekatan untuk mengalihkan Departemen dari kondisi saat ini yang merupakan serangkaian silo aplikasi yang terduplikasi, rumit, dan mahal ke kondisi akhir yang berupa lingkungan layanan tangkas, aman, dan hemat biaya yang dapat dengan cepat merespons kebutuhan misi yang berubah. Chief Information Officer (CIO) DoD berkomitmen untuk mempercepat adopsi komputasi cloud di dalam Departemen..."

    DoD Cloud Computing SRG memanfaatkan program FedRAMP sebagai sarana untuk menetapkan pendekatan standar bagi DoD untuk menilai Cloud Service Provider (CSP).

  • Apakah layanan AWS Cloud memenuhi persyaratan DoD?

    Ya, AWS telah dinilai dan disetujui sebagai penyedia layanan cloud untuk Wilayah Timur AS dan Barat AS pada Tingkat Dampak 2, Wilayah AWS GovCloud (AS) di Tingkat Dampak 4 dan 5 dan Wilayah Rahasia AWS di Tingkat Dampak 6.

    • Pada Tingkat Dampak 2, Wilayah AWS berbasis AS Timur/Barat AS dan AWS GovCloud (AS) telah dinilai oleh DISA dan diberikan dua otorisasi sementara setelah menunjukkan kepatuhan terhadap persyaratan DoD. Kepatuhan AWS terhadap persyaratan DoD dicapai dengan memanfaatkan FedRAMP Joint Authorization Board (JAB) Provisional Authorization to Operate (P-ATO) kami yang ada saat ini. Otorisasi sementara ini memungkinkan entitas DoD mengevaluasi keamanan AWS dan kesempatan untuk menyimpan, memroses, dan memelihara beragam data DoD di AWS Cloud.
    • Pada Tingkat Dampak 4 dan 5, AWS GovCloud (AS) telah mengeluarkan otorisasi sementara dari DISA untuk memungkinkan pelanggan DoD menyebarkan aplikasi produksi dengan dasar kontrol yang ditingkatkan sesuai dengan tingkat SRG tersebut. Pelanggan DoD dengan aplikasi Tingkat Dampak 4 atau Tingkat Dampak 5 prospektif harus menghubungi DISA untuk memulai proses persetujuan.
    • Pada Tingkat Dampak 6, Wilayah Rahasia AWS memiliki otorisasi sementara DoD untuk beban kerja hingga dan termasuk tingkat Rahasia. Katalog layanan untuk Wilayah Rahasia AWS tersedia dari Eksekutif Akun AWS Anda.
  • Mana saja Wilayah AWS yang tercakup?

    Otorisasi sementara kami mencakup beberapa wilayah dalam Amerika Serikat daratan, termasuk AWS GovCloud (AS) (Tingkat Dampak 2, 4, dan 5), wilayah Timur/Barat AS AWS (Tingkat Dampak 2), dan Wilayah Rahasia AWS (Tingkat Dampak 6).

  • Apa saja klasifikasi sistem DoD yang dapat diterapkan di AWS?

    Wilayah AWS Timur AS dan Barat AS memiliki otorisasi sementara untuk Tingkat Dampak 2, yang memungkinkan pemilik misi menyebarkan informasi publik yang tidak terklasifikasi di Wilayah AWS ini dengan otorisasi AWS dan ATO aplikasi misi. Wilayah AWS GovCloud (AS) memegang otorisasi sementara untuk Tingkat Dampak 2, 4, dan 5, serta memungkinkan pemilik misi menyebarkan berbagai kategori informasi lengkap yang terkontrol dan tidak terklasifikasi yang dicakup oleh berbagai tingkat tersebut. Wilayah Rahasia AWS memegang otorisasi sementara untuk Tingkat Dampak 6 dan memungkinkan beban kerja hingga dan termasuk klasifikasi Rahasia.

  • Apa artinya ini bagi saya sebagai pemilik misi DoD?

    Otorisasi sementara Tingkat Dampak 2 kami memungkinkan pelanggan DoD menggunakan infrastruktur dan layanan AWS kami yang memenuhi standar untuk menyebarkan beban kerja termasuk data yang diizinkan untuk rilis publik, serta beberapa informasi DoD pribadi yang tidak terklasifikasi. Memindahkan lingkungan IT DoD Anda ke AWS dapat membantu meningkatkan pengawasan kepatuhan Anda sendiri terhadap layanan dan fitur yang disediakan AWS.

    Otorisasi sementara Tingkat Dampak 4 dan 5 kami untuk Wilayah AWS GovCloud (AS) berarti bahwa pelanggan DoD kami dapat menyebarkan aplikasi produksi mereka ke AWS GovCloud (AS). Otorisasi ini memungkinkan pelanggan terlibat dalam kegiatan desain, pengembangan, dan integrasi untuk beban kerja yang diwajibkan mematuhi Tingkat Dampak 4 dan 5 DoD Cloud Computing SRG.

    Otorisasi sementara Tingkat Dampak 6 kami untuk Wilayah Rahasia AWS berarti pelanggan DoD dapat menggunakan layanan kami untuk menyimpan, memroses, atau mengirimkan data hingga dan termasuk tingkat Rahasia. Pelanggan dapat mengandalkan otorisasi kami untuk mencakup semua persyaratan infrastruktur yang ditetapkan Tingkat Dampak 6, yang membantu mereka mengelola kepatuhan dan sertifikasi mereka sendiri, termasuk manajemen audit dan keamanan.

  • Bagaimana otorisasi sementara AWS memengaruhi ATO pemilik misi?

    Saat mengoperasikan aplikasi di AWS, dengan semangat tanggung jawab keamanan bersama, pemilik misi DoD bertanggung jawab atas dasar kontrol keamanan yang dikurangi. AWS menyediakan lingkungan hosting yang aman dengan kontrol keamanan yang berlaku bagi pemilik misi untuk menggunakan aplikasi mereka, tetapi ini tidak membebaskan pemilik misi dari tanggung jawab mereka untuk menyebarkan, mengelola, dan memantau aplikasi mereka secara aman sesuai dengan kontrol keamanan dan kebijakan kepatuhan DoD.

    Untuk informasi lebih lanjut tentang tanggung jawab pemilik aplikasi DoD yang beroperasi di AWS, lihat whitepaper Penerapan yang Memenuhi Standar DoD di AWS Cloud.

  • Dapatkah layanan AWS lainnya digunakan?

    Ya, pelanggan dapat mengevaluasi beban kerja mereka untuk disesuaikan dengan layanan AWS lain. Setiap pemilik misi diberdayakan untuk mengevaluasi dan menerima risiko dari setiap layanan kami yang mereka pilih untuk disebarkan. Untuk informasi lebih lanjut tentang kontrol keamanan dan pertimbangan penerimaan risiko, hubungi Kepatuhan AWS.

  • Apakah kepatuhan DoD akan meningkatkan harga layanan AWS?

    Tidak, tidak ada peningkatan biaya layanan untuk layanan apa pun sebagai hasil dari program kepatuhan AWS.

  • Apakah entitas DoD lainnya menggunakan AWS sekarang?

    Ya, banyak entitas DoD dan organisasi lain yang menyediakan integrasi sistem dan produk dan layanan lain kepada DoD menggunakan berbagai layanan AWS saat ini. AWS tidak dapat mengungkapkan banyak pelanggan yang telah mencapai DoD Authorizations to Operate (ATO) untuk sistem di AWS, tetapi kami secara rutin bekerja dengan pelanggan dan penilai mereka dalam merencanakan, menyebarkan, menyertifikasi, dan mengakreditasi beban kerja DoD mereka di AWS.

  • Apakah ATO mewajibkan inspeksi fisik di pusat data penyedia layanan?

    Tidak. Pelanggan DoD dapat mengandalkan pekerjaan yang dilakukan oleh Third-Party Assessment Organization (3PAO) FedRAMP kami yang mencakup peninjauan di lokasi secara menyeluruh untuk memastikan keamanan fisik pusat data kami. Sesuai dengan DoD Cloud Computing SRG, pelanggan DoD dapat mencapai Authorization to Operate (ATO) tanpa inspeksi fisik terhadap pusat data penyedia layanan yang sudah memiliki otorisasi.

  • Mana saja layanan AWS yang tercakup?

    Untuk daftar lengkap layanan tercakup, lihat halaman web Layanan dalam Lingkup AWS menurut Program Kepatuhan.

compliance-contactus-icon
Ada Pertanyaan? Terhubung dengan Perwakilan Bisnis AWS
Menjelajahi peran kepatuhan?
Daftar sekarang »
Ingin mendapatkan info terbaru tentang Kepatuhan AWS?
Ikuti Kami di Twitter »