Guida ai requisiti di sicurezza del cloud computing del Dipartimento della Difesa

Panoramica

I servizi AWS vengono adottati sempre più spesso da clienti del settore militare per elaborare, immagazzinare e trasmettere dati del Dipartimento della Difesa o DoD (Department of Defense). AWS consente a organismi militari e relativi partner di utilizzare gli ambienti protetti di AWS per elaborare, conservare e memorizzare dati del Dipartimento della Difesa.

La guida ai requisiti di sicurezza del cloud computing (SRG) del Dipartimento della Difesa statunitense (DoD) fornisce una valutazione formale e un processo di autorizzazione per i provider di servizi cloud (CSP), al fine di ottenere un'autorizzazione DoD provvisoria che può essere quindi utilizzata dai clienti DoD. Un'autorizzazione provvisoria AWS della Defense Information System Agency (DISA) fornisce una certificazione riutilizzabile che attesta la nostra conformità agli standard delle linee guida del Dipartimento della Difesa (DoD), riducendo i tempi necessari ai responsabili di missione DoD per valutare e autorizzare un sistema per le operazioni in AWS. Per ulteriori informazioni sull'SRG, inclusa la definizione completa delle baseline dei controlli di sicurezza definiti per i Livelli 2, 4, 5 e 6, consulta la pagina web Document Library sulla pagina web di DoD Cloud Computing Security.

Il cliente del Dipartimento della Difesa, inoltre, è ritenuto responsabile della conformità alle loro linee guida di sicurezza all'interno del proprio ambiente applicativo di AWS, inclusi:

• Responsabilità del proprietario della missione descritte nel whitepaper Implementazioni conformi al Dod in AWS Cloud
• Tutte le linee guida di sicurezza per l'implementazione tecnica o STIG (Security Technical Implementation Guide) del sistema operativo applicabili
• Tutte le STIG applicabili
• Guida alle porte e ai protocolli DoD (Istruzione DoD 8551.01)

L'infrastruttura, la governance e l'ambiente operativo di AWS sono stati valutati e autorizzati tramite le procedure di FedRAMP e DoD. Il cliente che distribuisce un'applicazione nell'infrastruttura AWS eredita i controlli di sicurezza relativi alla protezione dell'ambiente, dell'infrastruttura fisica e dei supporti, e non è tenuto a fornire la documentazione attestante la propria conformità ai requisiti correlati. I controlli relativi alla procedura RMF (Risk Management Framework) del Dipartimento della Difesa sono condivisi tra AWS e i clienti, poiché ciascuna organizzazione mantiene la responsabilità per l'implementazione di questi controlli nella propria porzione di modello di sicurezza IT condivisa. 

  • I clienti e fornitori di AWS per il Dipartimento della Difesa possono impiegare le autorizzazioni FedRAMP e DoD ottenute a Amazon per accelerare le procedure di certificazione e accreditamento. Per supportare l'autorizzazione dei sistemi militari ospitati su AWS, forniamo al personale di sicurezza DoD la documentazione in modo da poter verificare la conformità di AWS con i controlli NIST 800-53 (Revisione 4) applicabili e SRG sul cloud computing del DoD (SRG sul cloud computing del DoD Versione 1, Versione 3).

    Forniamo ai nostri clienti del Dipartimento della Difesa un pacchetto di istruzioni sulla sicurezza e documentazione sulla sicurezza e conformità per l'utilizzo di AWS come soluzione di hosting DoD. In particolare, forniamo un modello SSP per il programma FedRAMP di AWS basato sulla norma NIST 800-53 (Rev. 4), precompilato con i controlli di sicurezza applicabili previsti dal programma FedRAMP e dal Dipartimento della Difesa. I controlli ereditati all'interno del modello sono precompilati da AWS; i controlli condivisi sono di responsabilità sia di AWS sia del cliente; alcuni controlli, infine, sono completa responsabilità del cliente.

    Le organizzazioni militari o gli appaltatori in affari con il DoD possono richiedere l'accesso alla documentazione di sicurezza AWS contattando l‘Account Manager AWS o presentando il modulo di contatto per conformità AWS. I clienti non governativi, come ad esempio i partner di AWS, possono scaricare il pacchetto di sicurezza FedRAMP di AWS per i partner tramite AWS Artifact.

  • Riteniamo che, per i clienti all'interno della pubblica amministrazione, la migrazione al cloud sia un'opportunità per aumentare i livelli di sicurezza e ridurre i rischi operativi. L'ambiente operativo di AWS consente di raggiungere livelli di sicurezza e conformità possibili solo in un ambiente che supporta elevati livelli di automazione. Piuttosto che il tradizionale data center che esegue inventari periodici e audit "point-in-time", i clienti AWS hanno la possibilità di condurre audit su base continua. Un tale livello di visibilità nell'ambiente di lavoro migliora significativamente il controllo sui dati e sulle autorizzazioni in accesso degli utenti.

    I responsabili di missione del Dipartimento della Difesa, ad esempio, possono ottenere maggiori livelli di controllo sulle applicazioni tramite l'applicazione programmatica delle linee guida di sicurezza e conformità del Dipartimento. Grazie alle funzionalità di AWS, è possibile creare modelli preapprovati per diversi casi d'uso comuni, riducendo così il tempo necessario per autorizzare nuove applicazioni. Mediante questi modelli è anche possibile accertarsi che i proprietari delle applicazioni non modifichino impostazioni di sicurezza critiche come i gruppi di sicurezza e le liste di controllo degli accessi di rete, imponendo anche l'uso di immagini predefinite conformi alle linee guida STIG. L'applicazione programmatica delle linee guida di sicurezza del DoD riduce la necessità di apportare modifiche manuali alla configurazione, riducendo gli errori di impostazione e, di conseguenza, il rischio generale del Dipartimento della Difesa.

  • È compito principale del responsabile di missione del Dipartimento della Difesa preoccuparsi della creazione di un pacchetto di autorizzazione che definisca in modo completo l'implementazione dei controlli di sicurezza di un'applicazione. Come per i pacchetti di autorizzazione tradizionali, occorre documentare i controlli di sicurezza minimi applicati con un piano di protezione del sistema; inoltre il piano e la sua implementazione devono essere approvati dal personale di certificazione della propria organizzazione del DoD. Come parte di questa recensione, il personale addetto alla certificazione o il funzionario autorizzato può rivedere il pacchetto di autorizzazione AWS per ottenere una visione olistica dell'implementazione del controllo di sicurezza dall'alto verso il basso. Dopo aver esaminato i pacchetti di autorizzazioni di sicurezza del cliente e quelli di AWS, il funzionario autorizzato avrà a propria disposizione le informazioni necessarie per prendere una decisione in merito all'accreditamento della richiesta e, quindi, per fornire un'autorizzazione operativa o ATO.

    Per ulteriori informazioni sulla responsabilità dei proprietari di applicazioni del DoD che operano in AWS, consulta il whitepaper Implementazioni conformi al Dod in AWS Cloud.

  • La SRG sostiene l'obiettivo del governo federale di aumentare l'utilizzo del cloud computing e fornisce al DoD i mezzi per sostenere questo proposito. L'8 febbraio 2011 l'OMB (Office of Management and Budgets) ha pubblicato il documento The Federal Cloud Computing Strategy, che fornisce a tutte le agenzie federali delle linee guida per adottare tecnologie cloud in tutto il governo federale. Questa strategia è stata quindi seguita da un requisito federale pubblicato a dicembre 2011, il quale istituisce il Federal Risk and Authorization Management Program (FedRAMP). Il programma FedRAMP è obbligatorio per le distribuzioni e i servizi su cloud da parte di agenzie federali secondo i rischi di impatto di livello basso/moderato/alto.

    A luglio 2012, il Dipartimento della Difesa ha visto la pubblicazione della propria strategia di cloud computing da parte del responsabile dei servizi informatici. Viene istituito il Joint Information Environment (JIE) e l'ambiente cloud del Dipartimento della Difesa: "La strategia di cloud computing del Dipartimento della Difesa è volta a trasformare lo stato attuale del Dipartimento, un silo di applicazioni con procedure ridondanti, complesse e costose, in un ambiente di servizi agile, sicuro e con costi ridotti in grado di rispondere rapidamente alle mutevoli esigenze delle missioni. Il responsabile dei servizi informatici (CIO) del Dipartimento della Difesa si impegna ad accelerare l'adozione del cloud computing all'interno del dipartimento..."

    La SRG del Dipartimento della Difesa impiega il programma FedRAMP per stabilire un approccio standardizzato alla valutazione dei fornitori di servizi cloud (CSP).

  • Sì, AWS è stata valutata e ha ricevuto l'approvazione di provider di servizi cloud per le regioni Stati Uniti orientali e Stati Uniti occidentali con Impact Level 2, per la regione AWS GovCloud (Stati Uniti) con Impact Level 4 e 5 e con Impact Level 6 per la regione segreta di AWS.

    • Con un Impact Level 2, tutte le regioni AWS negli USA (Stati Uniti orientali/occidentali e AWS GovCloud (Stati Uniti)) hanno ricevuto una valutazione positiva dalla DISA oltre a due autorizzazioni provvisorie dopo aver dimostrato la conformità ai requisiti del Dipartimento della Difesa. La conformità di AWS ai requisiti DoD è stata ottenuta sfruttando l'autorizzazione provvisoria esistente (P-ATO) della FedRAMP Joint Authorization Board (JAB) esistente. Le autorizzazioni provvisorie consentono alle agenzie del Dipartimento della Difesa di valutare la sicurezza di AWS e l'opportunità di memorizzare, elaborare e archiviare un'ampia gamma di dati del dipartimento all'interno del cloud di AWS.
    • Con Impact Level 4 e 5, la regione AWS GovCloud (Stati Uniti) ha ricevuto un'autorizzazione provvisoria dalla DISA che consente ai clienti del Dipartimento della Difesa di distribuire in produzione applicazioni con controlli di sicurezza minimi che corrispondono a quelli dei diversi livelli previsti dalla SRG. I clienti del Dipartimento della Difesa con applicazioni potenzialmente di Impact Level 4 e 5 devono contattare la DISA per avviare la procedura di approvazione.
    • Con un Impact Level 6, la regione segreta di AWS ha ricevuto un'autorizzazione provvisoria del Dipartimento della Difesa per carichi di lavoro con massimi livelli di segretezza. È disponibile un catalogo dei servizi della regione segreta di AWS tramite l'Account Executive di AWS.

  • Le autorizzazioni provvisorie coprono diverse regioni negli Stati Uniti continentali: AWS GovCloud (Stati Uniti) con Impact Level 2, 4 e 5, le regioni degli Stati Uniti orientali e Stati Uniti occidentali di AWS con Impact Level 2 e la regione segreta di AWS con Impact Level 6.

  • Le regioni Stati Uniti orientali e Stati Uniti occidentali hanno ottenuto un'autorizzazione provvisoria con Impact Level 2, che consente ai responsabili di missione di distribuirvi informazioni pubbliche e non riservate con l'autorizzazione di AWS e l'autorizzazione a operare della richiesta di missione (ATO). La regione AWS GovCloud detiene un'autorizzazione provvisoria di Impact Level 2, 4 e 5, che consente ai responsabili di missione di distribuire un'ampia gamma di informazioni controllate e non riservate coperte da tali livelli. La regione segreta di AWS dispone di un'autorizzazione provvisoria con Impact Level 6 per carichi di lavoro con massimi livelli di segretezza.

  • Con le autorizzazioni provvisorie con Impact Level 2, i clienti che orbitano attorno al DoD possono avvalersi di infrastruttura e servizi AWS per distribuire carichi di lavoro contenenti dati non riservati e alcuni tipi di informazioni private riservate del Dipartimento della Difesa. Trasferire un ambiente IT DoD in AWS può migliorare la conformità grazie ai servizi e alle caratteristiche disponibili.

    Le autorizzazioni provvisorie con Impact Level 4 e 5 per la regione AWS GovCloud (Stati Uniti) consentono ai clienti di AWS per il Dipartimento della Difesa di distribuire le loro applicazioni di produzione nella regione AWS GovCloud (Stati Uniti). Questa autorizzazione consente ai clienti di intraprendere le attività di progettazione, sviluppo e integrazione necessarie per ottenere la conformità ai requisiti con Impact Level 4 e 5 della SRG sul cloud computing del DoD.

    La nostra autorizzazione provvisoria con Impact Level 6 per la regione segreta di Amazon implica che i clienti DoD possono utilizzare i nostri servizi per archiviare, elaborare o trasmettere dati fino a livelli massimi di sicurezza. I clienti possono contare sulla nostra autorizzazione per coprire tutti i requisiti infrastrutturali definiti con Impact Level 6, aiutandoli a gestire la propria conformità e certificazione (inclusi audit e gestione della sicurezza.)

  • Quando viene eseguita un'applicazione su AWS secondo il modello di responsabilità condivisa della sicurezza, il responsabile di missione DoD ha il principale compito di preoccuparsi di una quantità minore di controlli di sicurezza di base. AWS fornisce un ambiente di hosting sicuro con controlli di sicurezza applicati per consentire al responsabile di missione di distribuire un'applicazione; tuttavia rimane dovere di quest'ultimo distribuire, gestire e monitorare l'applicazione in conformità ai controlli di sicurezza e alle policy di conformità previste dal Dipartimento della Difesa.

    Per ulteriori informazioni sulla responsabilità dei proprietari di applicazioni del DoD che operano in AWS, consulta il whitepaper Implementazioni conformi al Dod in AWS Cloud.

  • Sì, i clienti possono verificare l'idoneità dei loro carichi di lavoro con altri servizi AWS. I responsabili di missione devono valutare e accettare il rischio assegnato ai servizi di AWS che decide di impiegare. Per ulteriori informazioni sui controlli di sicurezza e le considerazioni sull'accettazione dei rischi, contatta l'ufficio diConformità di AWS.

  • No, i programmi di conformità di AWS non provocheranno alcun aumento dei costi di alcun servizio.

  • Sì, molte agenzie collegate al Dipartimento della Difesa, così come altre organizzazioni che forniscono integrazione di sistemi e altri prodotti e servizi al dipartimento, usano già un'ampia gamma di servizi AWS. AWS non divulga i nomi dei clienti che hanno ottenuto autorizzazioni operative (ATO) per il Dipartimento della Difesa con sistemi distribuiti in AWS, ma collabora quotidianamente con i propri clienti e con le relative entità di controllo per pianificare, distribuire, certificare e accreditare i loro carichi di lavoro in AWS.

  • No, Il cliente DoD (Dipartimento della Difesa) può basarsi sulle valutazioni dell'organizzazione di terzi (3PAO) della conformità al programma FedRAMP, che includono un esame approfondito in situ dei controlli di sicurezza fisici dei data center. In conformità con il SRG sul cloud computing del DoD, un cliente del Dipartimento della Difesa può ottenere un'autorizzazione operativa (ATO) senza una procedura dettagliata del data center proveniente da un fornitore di servizi che dispone già di autorizzazioni.

  • Per consultare un elenco completo dei servizi coperti, visita la pagina web Servizi AWS coperti dal programma di conformità.

Risorse per la SRG del dipartimento della difesa

Acceleratore zona di destinazione su AWS
Implementazioni conformi a DoD nel cloud AWS - Architetture di riferimento
Canone di architettura AWS
Introduzione alla sicurezza su AWS
Documentazione sulla sicurezza AWS
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »