Guida ai requisiti di sicurezza del cloud computing del Dipartimento della Difesa

Panoramica

140940_AWS_Multi-Logo Graphic_600x400_DoD

I servizi AWS vengono adottati sempre più spesso da clienti del settore militare per elaborare, immagazzinare e trasmettere dati del Dipartimento della Difesa o DoD (Department of Defense). AWS consente a organismi militari e relativi partner di utilizzare gli ambienti protetti di AWS per elaborare, conservare e memorizzare dati del Dipartimento della Difesa.

Laguida ai requisiti di sicurezza del cloud computing (SRG) del Dipartimento della Difesa statunitense (DoD) fornisce una valutazione formale e un processo di autorizzazione per i provider di servizi cloud (CSP), al fine di ottenere un'autorizzazione DoD provvisoria che può essere quindi utilizzata dai clienti DoD. Un'autorizzazione provvisoria secondo il modello delle linee guida del DoD fornisce una certificazione riutilizzabile che attesta la nostra conformità agli standard del Dipartimento della Difesa, riducendo i tempi necessari ai responsabili di missione per valutare e autorizzare un sistema in AWS. Per ulteriori informazioni sull'SRG, inclusa la definizione completa delle baseline dei controlli di sicurezza definiti per i Livelli 2, 4, 5 e 6, consulta la pagina web di Information Assurance Support Environment (IASE) DoD Cloud Computing Security.

Il cliente del Dipartimento della Difesa, inoltre, è ritenuto responsabile della conformità alle loro linee guida di sicurezza all'interno del proprio ambiente applicativo di AWS, inclusi:

• Responsabilità del responsabile della missione descritte nelwhitepaper Implementazioni conformi al Dod in AWS Cloud.
• Tutte le linee guida di sicurezza per l'implementazione tecnica o STIG (Security Technical Implementation Guide) del sistema operativo applicabili
• Tutte le STIG applicabili
• Guida alle porte e ai protocolli DoD (Istruzione DoD 8551.01)

L'infrastruttura, la governance e l'ambiente operativo di AWS sono stati valutati e autorizzati tramite le procedure di FedRAMP e DoD. Il cliente che distribuisce un'applicazione nell'infrastruttura AWS eredita i controlli di sicurezza relativi alla protezione dell'ambiente, dell'infrastruttura fisica e dei supporti, e non è tenuto a fornire la documentazione attestante la propria conformità ai requisiti correlati. I controlli relativi alla procedura RMF (Risk Management Framework) del Dipartimento della Difesa sono condivisi tra AWS e i clienti, poiché ciascuna organizzazione mantiene la responsabilità per l'implementazione di questi controlli nella propria porzione di modello di sicurezza IT condivisa.

  • Come si consultano documentazione e linee guida di AWS sulla sicurezza?

    I clienti e fornitori di AWS per il Dipartimento della Difesa possono impiegare le autorizzazioni FedRAMP e DoD ottenute a Amazon per accelerare le procedure di certificazione e accreditamento. Per supportare l'autorizzazione dei sistemi militari ospitati su AWS, forniamo al personale di sicurezza DoD la documentazione in modo da poter verificare la conformità di AWS con i controlli NIST 800-53 (Revisione 4) applicabili e SRG sul cloud computing del DoD (SRG sul cloud computing del DoD Versione 1, Versione 3).

    Forniamo ai nostri clienti del Dipartimento della Difesa un pacchetto di istruzioni sulla sicurezza e documentazione sulla sicurezza e conformità per l'utilizzo di AWS come soluzione di hosting DoD. In particolare, forniamo un modello SSP per il programma FedRAMP di AWS basato sulla norma NIST 800-53 (Rev. 4), precompilato con i controlli di sicurezza applicabili previsti dal programma FedRAMP e dal Dipartimento della Difesa. I controlli ereditati all'interno del modello sono precompilati da AWS; i controlli condivisi sono di responsabilità sia di AWS sia del cliente; alcuni controlli, infine, sono completa responsabilità del cliente.

    Per richiedere l'accesso alla documentazione sulla sicurezza di AWS per il Dipartimento della Difesa, in relazione sia agli organismi militari sia ai contractor che collaborano con il Dipartimento della Difesa, contatta l'ufficiodi conformità di AWS, oppure invia un'e-mail all'indirizzo awscompliance@amazon.com.

  • Qual è il valore aggiunto di AWS?

    Riteniamo che, per i clienti all'interno della pubblica amministrazione, la migrazione al cloud sia un'opportunità per aumentare i livelli di sicurezza e ridurre i rischi operativi. L'ambiente operativo di AWS consente di raggiungere livelli di sicurezza e conformità possibili solo in un ambiente che supporta elevati livelli di automazione. Piuttosto che il tradizionale data center che esegue inventari periodici e audit "point-in-time", i clienti AWS hanno la possibilità di condurre audit su base continua. Un tale livello di visibilità nell'ambiente di lavoro migliora significativamente il controllo sui dati e sulle autorizzazioni in accesso degli utenti.

    I responsabili di missione del Dipartimento della Difesa, ad esempio, possono ottenere maggiori livelli di controllo sulle applicazioni tramite l'applicazione programmatica delle linee guida di sicurezza e conformità del Dipartimento. Grazie alle funzionalità di AWS, è possibile creare modelli preapprovati per diversi casi d'uso comuni, riducendo così il tempo necessario per autorizzare nuove applicazioni. Mediante questi modelli è anche possibile accertarsi che i proprietari delle applicazioni non modifichino impostazioni di sicurezza critiche come i gruppi di sicurezza e le liste di controllo degli accessi di rete, imponendo anche l'uso di immagini predefinite conformi alle linee guida STIG. L'applicazione programmatica delle linee guida di sicurezza del DoD riduce la necessità di apportare modifiche manuali alla configurazione, riducendo gli errori di impostazione e, di conseguenza, il rischio generale del Dipartimento della Difesa.

  • In che modo il responsabile di una missione ottiene un'autorizzazione operativa (ATO)?

    È compito principale del responsabile di missione del Dipartimento della Difesa preoccuparsi della creazione di un pacchetto di autorizzazione che definisca in modo completo l'implementazione dei controlli di sicurezza di un'applicazione. Come per i pacchetti di autorizzazione tradizionali, occorre documentare i controlli di sicurezza minimi applicati con un piano di protezione del sistema; inoltre il piano e la sua implementazione devono essere approvati dal personale di certificazione della propria organizzazione del DoD. Come parte di questa recensione, il personale addetto alla certificazione o il funzionario autorizzato può rivedere il pacchetto di autorizzazione AWS per ottenere una visione olistica dell'implementazione del controllo di sicurezza dall'alto verso il basso. Dopo aver esaminato i pacchetti di autorizzazioni di sicurezza del cliente e quelli di AWS, il funzionario autorizzato avrà a propria disposizione le informazioni necessarie per prendere una decisione in merito all'accreditamento della richiesta e, quindi, per fornire un'autorizzazione operativa o ATO.

    Per ulteriori informazioni sulla responsabilità dei responsabili delle applicazioni DoD che operano in AWS, consulta ilwhitepaper Implementazioni conformi al Dod in AWS Cloud.

  • Perché la SRG sul cloud computing del DoD è importante?

    La SRG sostiene l'obiettivo del governo federale di aumentare l'utilizzo del cloud computing e fornisce al DoD i mezzi per sostenere questo proposito. L'8 febbraio 2011 l'OMB (Office of Management and Budgets) ha pubblicato il documento The Federal Cloud Computing Strategy, che fornisce a tutte le agenzie federali delle linee guida per adottare tecnologie cloud in tutto il governo federale. Questa strategia è stata quindi seguita da un requisito federale pubblicato a dicembre 2011, il quale istituisce il Federal Risk and Authorization Management Program (FedRAMP). Il programma FedRAMP è obbligatorio per le distribuzioni e i servizi su cloud da parte di agenzie federali secondo i rischi di impatto di livello basso/moderato/alto.

    A luglio 2012, il Dipartimento della Difesa ha visto la pubblicazione della propria strategia di cloud computing da parte del responsabile dei servizi informatici. Viene istituito il Joint Information Environment (JIE) e l'ambiente cloud del Dipartimento della Difesa: "La strategia di cloud computing del Dipartimento della Difesa è volta a trasformare lo stato attuale del Dipartimento, un silo di applicazioni con procedure ridondanti, complesse e costose, in un ambiente di servizi agile, sicuro e con costi ridotti in grado di rispondere rapidamente alle mutevoli esigenze delle missioni. Il responsabile dei servizi informatici (CIO) del Dipartimento della Difesa si impegna ad accelerare l'adozione del cloud computing all'interno del dipartimento..."

    La SRG del Dipartimento della Difesa impiega il programma FedRAMP per stabilire un approccio standardizzato alla valutazione dei fornitori di servizi cloud (CSP).

  • I servizi cloud di AWS soddisfano i requisiti del Dipartimento della Difesa?

    Sì, AWS ha ricevuto l'approvazione di provider di servizi cloud per le regioni Stati Uniti orientali e Stati Uniti occidentali con Impact Level 2, per la regione AWS GovCloud (Stati Uniti) con Impact Level 4 e 5 e con Impact Level 6 per la regione segreta di AWS.

    • Con un Impact Level 2, tutte le regioni AWS negli USA (Stati Uniti orientali/occidentali e AWS GovCloud (Stati Uniti)) hanno ricevuto una valutazione positiva dalla DISA oltre a due autorizzazioni provvisorie dopo aver dimostrato la conformità ai requisiti del Dipartimento della Difesa. La conformità di AWS ai requisiti DoD è stata ottenuta sfruttando l'autorizzazione provvisoria esistente (P-ATO) della FedRAMP Joint Authorization Board (JAB) esistente. Le autorizzazioni provvisorie consentono alle agenzie del Dipartimento della Difesa di valutare la sicurezza di AWS e l'opportunità di memorizzare, elaborare e archiviare un'ampia gamma di dati del dipartimento all'interno del cloud di AWS.
    • Con Impact Level 4 e 5, la regione AWS GovCloud (Stati Uniti) ha ricevuto un'autorizzazione provvisoria dalla DISA che consente ai clienti del Dipartimento della Difesa di distribuire in produzione applicazioni con controlli di sicurezza minimi che corrispondono a quelli dei diversi livelli previsti dalla SRG. I clienti del Dipartimento della Difesa con applicazioni potenzialmente di Impact Level 4 e 5 devono contattare la DISA per avviare la procedura di approvazione.
    • Con un Impact Level 6, la regione segreta di AWS ha ricevuto un'autorizzazione provvisoria del Dipartimento della Difesa per carichi di lavoro con massimi livelli di segretezza. È disponibile un catalogo dei servizi della regione segreta di AWS tramite l'Account Executive di AWS.
  • Quali regioni AWS sono coperte?

    Le autorizzazioni provvisorie coprono diverse regioni nel continente americano: AWS GovCloud (Stati Uniti) con Impact Level 2, 4 e 5, le regioni degli Stati Uniti orientali e Stati Uniti occidentali di AWS con Impact Level 2 e la regione segreta di AWS con Impact Level 6.

  • Quale livello di riservatezza è consentito nei sistemi del Dipartimento della Difesa in AWS?

    Le regioni Stati Uniti orientali e Stati Uniti occidentali hanno ottenuto un'autorizzazione provvisoria con Impact Level 2, che consente ai responsabili di missione di distribuirvi informazioni pubbliche e non riservate con l'autorizzazione di AWS e l'autorizzazione operativa dell'applicazione (ATO). La regione AWS GovCloud (Stati Uniti) detiene un'autorizzazione provvisoria di Impact Level 2, 4 e 5, che consente ai responsabili di missione di distribuire un'ampia gamma di informazioni controllate e non riservate. La regione segreta di AWS dispone di un'autorizzazione provvisoria con Impact Level 6 per carichi di lavoro con massimi livelli di segretezza.

  • Cosa significa per i responsabili di missione del Dipartimento della Difesa?

    Con le autorizzazioni provvisorie con Impact Level 2, i clienti che orbitano attorno al DoD possono avvalersi di infrastruttura e servizi AWS per distribuire carichi di lavoro contenenti dati non riservati e alcuni tipi di informazioni private riservate del Dipartimento della Difesa. Trasferire un ambiente IT DoD in AWS può migliorare la conformità grazie ai servizi e alle caratteristiche disponibili.

    Le autorizzazioni provvisorie con Impact Level 4 e 5 per la regione AWS GovCloud (Stati Uniti) consentono ai clienti di AWS per il Dipartimento della Difesa di distribuire le loro applicazioni di produzione nella regione AWS GovCloud (Stati Uniti). Questa autorizzazione consente ai clienti di intraprendere le attività di progettazione, sviluppo e integrazione necessarie per ottenere la conformità ai requisiti con Impact Level 4 e 5 della SRG sul cloud computing del DoD.

    La nostra autorizzazione provvisoria con Impact Level 6 per la regione segreta di Amazon implica che i clienti DoD possono utilizzare i nostri servizi per archiviare, elaborare o trasmettere dati fino a livelli massimi di sicurezza. I clienti possono contare sulla nostra autorizzazione per coprire tutti i requisiti infrastrutturali definiti con Impact Level 6, aiutandoli a gestire la propria conformità e certificazione (inclusi audit e gestione della sicurezza.)

  • In che modo un'autorizzazione provvisoria di AWS interessa l'autorizzazione operativa di un responsabile di missione?

    Quando viene eseguita un'applicazione su AWS secondo il modello di responsabilità condivisa della sicurezza, il responsabile di missione DoD ha il principale compito di preoccuparsi di una quantità minore di controlli di sicurezza di base. AWS fornisce un ambiente di hosting sicuro con controlli di sicurezza applicati per consentire al responsabile di missione di distribuire un'applicazione; tuttavia rimane dovere di quest'ultimo distribuire, gestire e monitorare l'applicazione in conformità ai controlli di sicurezza e alle policy di conformità previste dal Dipartimento della Difesa.

    Per ulteriori informazioni sulla responsabilità dei proprietari di applicazioni del DoD che operano in AWS, consulta il whitepaperImplementazioni conformi al Dod in AWS Cloud.

  • È possibile usare altri servizi AWS?

    Sì, i clienti possono verificare l'idoneità dei loro carichi di lavoro con altri servizi AWS. I responsabili di missione devono valutare e accettare il rischio assegnato ai servizi di AWS che decide di impiegare. Per ulteriori informazioni sui controlli di sicurezza e le considerazioni sull'accettazione dei rischi, contatta l'ufficio diConformità di AWS.

  • La conformità ai requisiti del Dipartimento della Difesa causerà un aumento dei prezzi dei servizi di AWS?

    No, i programmi di conformità di AWS non provocheranno alcun aumento dei costi di alcun servizio.

  • Molte agenzie del Dipartimento della Difesa usano AWS?

    Sì, molte agenzie collegate al Dipartimento della Difesa, così come altre organizzazioni che forniscono integrazione di sistemi e altri prodotti e servizi al dipartimento, usano già un'ampia gamma di servizi AWS. AWS non divulga i nomi dei clienti che hanno ottenuto autorizzazioni operative (ATO) per il Dipartimento della Difesa con sistemi distribuiti in AWS, ma collabora quotidianamente con i propri clienti e con le relative entità di controllo per pianificare, distribuire, certificare e accreditare i loro carichi di lavoro in AWS.

  • Per ottenere un'autorizzazione operativa è necessaria un'ispezione fisica del data center del fornitore di servizi?

    No. Il cliente DoD (Dipartimento della Difesa) può basarsi sulle valutazioni del valutatore di terze parti della conformità al programma FedRAMP, che includono un esame approfondito in situ dei controlli di sicurezza fisici dei data center. In conformità con il SRG sul cloud computing del DoD, un cliente del Dipartimento della Difesa può ottenere un'autorizzazione operativa (ATO) senza una procedura dettagliata del data center proveniente da un fornitore di servizi che dispone già di autorizzazioni.

  • Quali servizi AWS sono coperti?

    Per consultare un elenco completo dei servizi coperti, visita la pagina webServizi AWS coperti dal programma di conformità.

compliance-contactus-icon
Hai domande? Contatta un rappresentante di conformità di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »