Desidero informazioni sulla SRG del Dipartimento della Difesa statunitense nel cloud



AWS DoD

I servizi cloud di AWS vengono adottati sempre più spesso da clienti del settore militare per elaborare, immagazzinare e trasmettere dati del Dipartimento della Difesa o DoD (Department of Defense).

AWS consente a organismi militari e relativi partner di utilizzare gli ambienti protetti di AWS per elaborare, conservare e memorizzare dati del Dipartimento della Difesa. AWS ha ottenuto più autorizzazioni provvisorie della Defense Information Systems Agency (DISA).

AWS dispone di due ambienti coperti dalle autorizzazioni provvisorie del DoD: le regioni Stati Uniti orientali e occidentali e la regione AWS GovCloud (US); per ulteriori informazioni, consulta le domande frequenti di seguito.

  • Le regioni Stati uniti orientali e occidentali dispongono di un'autorizzazione provvisoria del DoD con Impact Level 2. I servizi AWS coperti negli Stati Uniti nell'ambito della SRG del dipartimento della difesa statunitense con Impact Level 2 sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS.
  • AWS GovCloud (US) dispone di autorizzazioni provvisorie del dipartimento della difesa con Impact Level 2, 4 e 5. I servizi AWS coperti nella regione GovCloud (US) nell'ambito della SRG del dipartimento della difesa statunitense con Impact Level 2, 4 e 5 sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS.

Il cliente del Dipartimento della Difesa, inoltre, è ritenuto responsabile della conformità alle loro linee guida di sicurezza all'interno del proprio ambiente applicativo di AWS, inclusi:

• I requisiti per i responsabili di missione definiti nella Security Requirements Guide (SRG) del DoD sul cloud computing
• Tutte le linee guida di sicurezza per l'implementazione tecnica o STIG (Security Technical Implementation Guide) del sistema operativo applicabili
• Tutte le STIG applicabili
• Le linee guida del DoD su porte e protocolli (DoDI 8551.01)

L'infrastruttura, la governance e l'ambiente operativo di AWS sono stati valutati e autorizzati tramite le procedure di FedRAMP e DoD. Il cliente che distribuisce un'applicazione nell'infrastruttura AWS eredita in modo completo i controlli di sicurezza relativi alla protezione dell'ambiente, dell'infrastruttura fisica e dei supporti, e non è tenuto a fornire la documentazione attestante la propria conformità ai requisiti correlati. I controlli relativi alla procedura RMF (Risk Management Framework) del Dipartimento della Difesa sono condivisi tra AWS e i clienti, poiché ciascuna organizzazione mantiene la responsabilità per l'implementazione di questi controlli nella propria porzione di modello di sicurezza IT condivisa.

In qualità di cliente AWS, sarai responsabile della progettazione, della distribuzione, della gestione e del monitoraggio dell'ambiente AWS, nonché delle applicazioni che impiegano le caratteristiche di AWS e le funzionalità offerte da terze parti, inclusi i tuoi prodotti software, utility o applicazioni. Grazie alle funzionalità di sicurezza offerte da AWS e all'ecosistema di fornitori, potrai creare sistemi altamente disponibili dotati di controlli e monitoraggio estesi in conformità con le policy aziendali.

I clienti e fornitori di AWS per il Dipartimento della Difesa possono impiegare le autorizzazioni FedRAMP e DoD ottenute a Amazon per accelerare le procedure di certificazione e accreditamento. A supporto delle autorizzazioni per sistemi di carattere militare ospitati in AWS, offriamo al personale di sicurezza del Dipartimento della Difesa la nostra documentazione sulla sicurezza per consentire di verificare i livelli di protezione e conformità di AWS secondo i controlli NIST applicabili definiti nella norma 800-53 rev4 e la SRG sul cloud computing del DoD.

AWS offre ai propri clienti del Dipartimento della Difesa anche un pacchetto di linee guida e documentazione sulla sicurezza per illustrare le funzionalità di sicurezza e conformità che rendono AWS una soluzione ottimale per l'hosting di dati militari. In particolare, forniamo un modello SSP per il programma FedRAMP di AWS basato sulla norma NIST 800-53v4, precompilato con i controlli di sicurezza applicabili previsti dal programma FedRAMP e dal Dipartimento della Difesa. I controlli ereditati all'interno del modello sono precompilati da AWS; i controlli condivisi sono di responsabilità sia di AWS sia del cliente; alcuni controlli, infine, sono completa responsabilità del cliente.

Per richiedere l'accesso alla documentazione sulla sicurezza di AWS per il Dipartimento della Difesa, in relazione sia agli organismi militari sia ai contractor che collaborano con il Dipartimento della Difesa, contatta l'ufficio commerciale e di sviluppo aziendale, oppure invia un'e-mail all'indirizzo awscompliance@amazon.com.

Certificazione DoD CSM

Sempre più clienti all'interno della pubblica amministrazione stanno migrando al cloud perché riconoscono che è un'opportunità per aumentare i livelli di sicurezza e ridurre i rischi operativi. L'ambiente operativo di AWS consente ai clienti di raggiungere livelli di sicurezza e conformità possibili solo in un ambiente che supporta elevati livelli di automazione. In AWS, i nostri clienti hanno la possibilità di condurre audit in modo continuo, invece di programmare controlli di inventario e audit periodici dell'ambiente in un determinato momento, come invece fanno la maggior parte dei clienti del Dipartimento della Difesa all'interno dei loro data center. Avendo a disposizione un livello così elevato di visibilità all'interno dell'ambiente, il controllo sui dati risulta molto maggiore, così come sulle autorizzazioni di accesso degli utenti.

I responsabili di missione del Dipartimento della Difesa possono ottenere maggiori livelli di controllo sulle applicazioni tramite l'applicazione programmatica delle linee guida di sicurezza e conformità del Dipartimento. Grazie alle funzionalità di AWS, è possibile creare modelli preapprovati per diversi casi d'uso comuni, riducendo così il tempo necessario per autorizzare nuove applicazioni. Mediante questi modelli, le organizzazioni che orbitano attorno al DoD possono anche accertarsi che i proprietari dell'applicazione non modifichino impostazioni di sicurezza critiche come i gruppi di sicurezza e le liste di controllo degli accessi, imponendo anche l'uso di immagini predefinite conformi alle STIG. L'applicazione programmatica delle linee guida di sicurezza del DoD riducono inoltre la configurazione manuale necessaria da parte degli amministratori di sistema, riducendo in modo significativo gli errori di configurazione e, di conseguenza, il rischio generale del dipartimento. I nostri clienti federali hanno già raggiunto livelli più elevati di sicurezza grazie ad AWS.

I clienti in altri programmi di conformità hanno inoltre ottenuto benefici diretti dall'uso di AWS per soddisfare gli obiettivi di rischio e di conformità:
• Standard HIPAA: Claritas Genomics aveva un budget limitato e necessitava di risorse IT a costi contenuti che consentissero di soddisfare i requisiti dello standard HIPAA.
• Servizi finanziari: per far fronte a volumi di mercato in continua ascesa e a normative in continua evoluzione, FINRA si è rivolta a AWS.
• Servizi finanziari: al NASDAQ occorreva la possibilità di fornire alle autorità normative l'accesso a informazioni finanziarie sempre più dettagliate.

AWS GovCloud (US) ottiene l'autorizzazione provvisoria DoD per il cloud computing con Impact Level 4

La SRG (Security Requirements Guide) del Dipartimento della Difesa statunitense è stata pubblicata per fornire una valutazione e un processo di autorizzazione standardizzati per i fornitori di servizi cloud che desiderano ottenere autorizzazioni provvisorie del Dipartimento della Difesa, conferendo quindi le autorizzazioni anche ai clienti del DoD. Un'autorizzazione provvisoria secondo il modello delle linee guida del DoD fornisce una certificazione riutilizzabile che attesta la nostra conformità agli standard del Dipartimento della Difesa, riducendo i tempi necessari ai responsabili di missione per valutare e autorizzare un sistema in AWS. Per ulteriori informazioni sulla SRG, nonché per una definizione completa dei controlli di sicurezza minimi definiti per gli Impact Level 2, 4, 5 e 6, consulta questa pagina.

Dipartimento della Difesa e cloud AWS

È responsabilità del responsabile di missione del Dipartimento della Difesa la creazione di un pacchetto di autorizzazione che definisca in modo completo l'implementazione dei controlli di sicurezza di un'applicazione. Come per i pacchetti di autorizzazione tradizionali, occorre documentare i controlli di sicurezza minimi applicati con un piano di protezione del sistema; inoltre il piano e la sua implementazione devono essere approvati dal personale di certificazione della propria organizzazione del DoD. Il personale di certificazione aziendale o i funzionari autorizzati, durante il processo di approvazione, potranno consultare il pacchetto di autorizzazione di AWS per avere una visione organica e completa dell'implementazione dei controlli di sicurezza. Dopo aver esaminato i pacchetti di autorizzazioni di sicurezza di AWS e del responsabile di missione, il funzionario autorizzato avrà a propria disposizione le informazioni necessarie per prendere una decisione in merito all'accreditamento della richiesta e, quindi, per fornire un'autorizzazione operativa o ATO.

Per ulteriori informazioni sulla responsabilità dei proprietari di applicazioni DoD che operano in AWS, consulta il whitepaper DoD Compliant Implementations in the AWS Cloud.

In qualità di fornitore di servizi cloud già autorizzato dal Dipartimento della Difesa, AWS deve sottoporsi a ulteriori valutazioni di conformità ai controlli FedRAMP+, come stabilito nella SRG. AWS ha completato questa valutazione e ha ottenuto l'autorizzazione provvisoria completa IL4, perciò i responsabili di missione potranno eseguire la migrazione dei loro carichi di lavoro di produzione, ad esempio:

  • Esportazione di dati controllati
  • Informazioni sulla privacy
  • Informazioni sanitarie protette
  • Altre informazioni da contrassegnare esplicitamente come informazioni controllate non classificate o CUI (Controlled Unclassified Information):
    • For Official Use Only
    • Official Use Only
    • Law Enforcement Sensitive
    • Critical Infrastructure Information
    • Sensitive Security Information
Cloud AWS per il programma FedRAMP

La SRG sostiene l'obiettivo del governo federale di aumentare l'utilizzo del cloud computing e fornisce al DoD i mezzi per sostenere questo proposito. L'8 febbraio 2011 l'OMB (Office of Management and Budgets) ha pubblicato il documento The Federal Cloud Computing Strategy, che fornisce a tutte le agenzie federali delle linee guida per adottare tecnologie cloud in tutto il governo federale. Questa strategia è stata quindi seguita da un requisito federale pubblicato a dicembre 2011, il quale istituisce il Federal Risk and Authorization Management Program (FedRAMP). Il programma FedRAMP è obbligatorio per le distribuzioni e i servizi su cloud da parte di agenzie federali secondo i rischi di impatto di livello Low, Moderate e High.

A luglio 2012, il Dipartimento della Difesa ha visto la pubblicazione della propria strategia di cloud computing da parte del responsabile dei servizi informatici. Viene istituito il Joint Information Environment (JIE) e l'ambiente cloud del Dipartimento della Difesa: "La strategia di cloud computing del Dipartimento della Difesa è volta a trasformare lo stato attuale del Dipartimento, un silo di applicazioni con procedure ridondanti, complesse e costose, in un ambiente di servizi agile, sicuro e con costi ridotti in grado di rispondere rapidamente alle mutevoli esigenze delle missioni. Il responsabile dei servizi informatici (CIO) del Dipartimento della Difesa si impegna ad accelerare l'adozione del cloud computing all'interno del dipartimento..."

La SRG del Dipartimento della Difesa impiega il programma FedRAMP per stabilire un approccio standardizzato alla valutazione dei fornitori di servizi cloud. I servizi di AWS sono stati esaminati e approvati secondo il programma FedRAMP; AWS ha ricevuto diversi Agency ATO di livello Moderate che coprono le regioni Stati Uniti orientali e Stati Uniti occidentali, e un'autorizzazione operativa provvisoria JAB FedRAMP di livello High che copre la regione AWS GovCloud (US). Per ulteriori informazioni sulla conformità di AWS al programma FedRAMP, consulta la relativa pagina di domande frequenti.

Sì, AWS ha ricevuto l'approvazione di fornitore di servizi cloud con IL2 per le regioni Stati Uniti orientali e Stati Uniti occidentali, e con IL4 per la regione AWS GovCloud (US).

A livello 2, tutte le regioni AWS negli USA (Stati Uniti orientali/occidentali e AWS GovCloud) hanno ricevuto una valutazione positiva dalla DISA e hanno ricevuto due autorizzazioni provvisorie dopo aver dimostrato la conformità ai requisiti del Dipartimento della Difesa. La conformità di AWS ai requisiti del DoD è stata raggiunta grazie alle Agency ATO del programma FedRAMP e alle autorizzazioni operative provvisorie FedRAMP di livello High esistenti. Le autorizzazioni provvisorie consentono alle agenzie del Dipartimento della Difesa di valutare la sicurezza di AWS e l'opportunità di memorizzare, elaborare e archiviare un'ampia gamma di dati del dipartimento all'interno del cloud di AWS.

Ai livelli 4 e 5, AWS GovCloud (US) ha ricevuto un'autorizzazione provvisoria dalla DISA che consente ai clienti del Dipartimento della Difesa di distribuire in produzione applicazioni con controlli di sicurezza minimi che corrispondono a quelli dei diversi livelli previsti dalla SRG. I clienti del Dipartimento della Difesa con applicazioni potenzialmente IL4 devono contattare la DISA per avviare la procedura di approvazione.

Le nostre autorizzazioni provvisorie coprono tutte le regioni negli Stati Uniti continentali, inclusa la regione AWS GovCloud (Stati Uniti) a livello 2 e 4 e le regioni Stati Uniti orientali e occidentali a livello 2.

Le regioni Stati Uniti orientali e Stati Uniti occidentali hanno ottenuto un'autorizzazione provvisoria di livello 2, che consente ai responsabili di missione di distribuirvi informazioni pubbliche e non riservate con l'autorizzazione di AWS e l'autorizzazione operativa dell'applicazione. La regione AWS GovCloud (Stati Uniti) detiene un'autorizzazione provvisoria di livello 2, 4 e 5, che consente ai responsabili di missione di distribuire un'ampia gamma di informazioni controllate e non riservate.

Le autorizzazioni confermano il nostro impegno di lunga data nella sicurezza dei nostri servizi per i nostri clienti. Il completamento del processo di autorizzazione conferma che AWS mette in pratica i controlli di sicurezza previsti nella SRG DoD e che la gestione operativa è conforme alle linee guida del Dipartimento della Difesa.I servizi di AWS sono stati valutati secondo la SRG IL4 e IL5 e hanno ricevuto un'autorizzazione operativa IL 4 e IL5 dalla DISA.

Con l'autorizzazione provvisoria di livello 2, i clienti DoD che usano i nostri servizi per memorizzare, elaborare o trasmettere dati del dipartimento e che devono sottostare a requisiti di conformità e certificazioni (inclusa la gestione di audit e della protezione) possono fare affidamento sulle autorizzazioni ottenute dall'infrastruttura AWS secondo quanto definito nel livello 2. Trasferire un ambiente IT DoD in AWS può migliorare la conformità grazie ai servizi e alle caratteristiche disponibili.

Le autorizzazioni provvisorie IL 4 e IL 5 per la regione AWS GovCloud (US) significano che i clienti di AWS del Dipartimento della Difesa possono distribuire le loro applicazioni di produzione nella regione AWS GovCloud (US). Questa autorizzazione consente ai clienti di intraprendere le attività di progettazione, sviluppo e integrazione necessarie per ottenere la conformità ai requisiti IL 4 e IL 5 della SRG sul cloud computing del DoD.

Autorizzazione provvisoria di AWS

Quando viene eseguita un'applicazione in AWS secondo il modello di responsabilità condivisa della sicurezza, il responsabile di missione DoD è responsabile per una quantità minore di controlli di sicurezza di base. AWS fornisce un ambiente di hosting sicuro con controlli di sicurezza applicati per consentire al responsabile di missione di distribuire un'applicazione; tuttavia rimane dovere di quest'ultimo distribuire, gestire e monitorare l'applicazione in conformità ai controlli di sicurezza e alle policy di conformità previste dal Dipartimento della Difesa.

Per ulteriori informazioni sulla responsabilità dei proprietari di applicazioni DoD che operano in AWS, consulta il whitepaper DoD Compliant Implementations in the AWS Cloud. Il whitepaper sarà sottoposto a revisione dal momento dell'entrata in vigore della SRG.

Sì, i clienti possono verificare l'idoneità dei loro carichi di lavoro con altri servizi AWS. I responsabili di missione devono valutare e accettare il rischio assegnato ai servizi di AWS che decide di impiegare. Contatta l'ufficio commerciale e di sviluppo aziendale per avviare una discussione su controlli di sicurezza e accettabilità dei rischi.

No, i programmi di conformità di AWS non provocheranno alcun aumento dei costi di alcun servizio.

Sì, molte agenzie collegate al Dipartimento della Difesa, così come altre organizzazioni che forniscono integrazione di sistemi e altri prodotti e servizi al dipartimento, usano già un'ampia gamma di servizi AWS. AWS non divulga i nomi dei clienti che hanno ottenuto autorizzazioni operative per il Dipartimento della Difesa con sistemi distribuiti in AWS, ma collabora quotidianamente con i propri clienti e con le relative entità di controllo per pianificare, distribuire, certificare e accreditare i loro carichi di lavoro in AWS.

No. In conformità con la SRG del Dipartimento della Difesa, un cliente DoD può ottenere un'autorizzazione operativa senza alcuna ispezione fisica del data center del fornitore di servizi sfruttando le autorizzazioni di AWS. Il cliente DoD può basarsi sulle valutazioni del valutatore di terze parti della conformità al programma FedRAMP, che includono un esame approfondito in situ dei controlli di sicurezza fisici dei data center.

Per consultare un elenco completo dei servizi coperti, visita la pagina Servizi AWS coperti dal programma di compliance.

 

Contattaci