Desidero informazioni su FedRAMP nel cloud
FedRAMP AWS

Il governo federale degli Stati Uniti offre i propri servizi ai cittadini americani utilizzando tecnologie efficienti, innovative e sicure. Il cloud computing rappresenta un catalizzatore per raggiungere un livello ottimale di efficienza e innovare in modo continuo, e permette alla pubblica amministrazione di raggiungere i propri obiettivi in tutta la nazione. Per questo molte agenzie federali impiegano i servizi cloud basati sulle utility di AWS per elaborare, immagazzinare e trasmettere informazioni relative al governo federale.

govcloud_video

FedRAMP sta per Federal Risk and Authorization Management Program; si tratta di un programma federale per la gestione di rischio e autorizzazioni applicato a livello di pubblica amministrazione che fornisce un approccio standardizzato a valutazioni di sicurezza, assegnazione di autorizzazioni e monitoraggio continuo nell'ambito di servizi e prodotti cloud. Gli organi competenti per il programma FedRAMP sono l'Ufficio per la gestione e il bilancio, la U.S. General Services Administration (GSA), il Dipartimento della sicurezza interna degli Stati Uniti, il Dipartimento della Difesa degli Stati Uniti (DoD), il National Institute of Standards and Technology (NIST) e il Federal CIO Council.

Il programma FedRAMP applica la pubblicazione speciale 800 del NIST e richiede ai fornitori di servizi cloud di sottoporsi a una valutazione di sicurezza indipendente condotta da un ente valutatore di terze parti per accertare che le autorizzazioni siano conformi alle norme FISMA (Federal Information Security Management Act). I fornitori di servizi cloud che desiderano offrire i propri prodotti e servizi all'amministrazione statunitense devono dimostrare la propria conformità al programma FedRAMP. Per ulteriori informazioni sui requisiti del programma FedRAMP, visita il sito www.FedRAMP.gov.

Amazon Web Services (AWS) offre i seguenti sistemi conformi al programma FedRAMP:

Regione AWS GovCloud (US): ha ricevuto un'autorizzazione provvisoria del Joint Authorization Board (JAB P-ATO) per il livello di impatto High. I servizi coperti sono EC2, EBS, IAM, S3 e VPC.

Regioni AWS Stati Uniti occidentali/orientali: hanno ricevuto diverse autorizzazioni di agenzie per il livello di impatto Moderate. I servizi coperti sono EC2, EBS, IAM, Redshift, S3 e VPC.

In risposta alla policy Cloud First, l'OMB (Office of Management and Budget) ha rilasciato il FedRAMP Policy Memo, un documento che istituisce il primo programma di autorizzazioni di sicurezza governativo per le norme FISMA. FedRAMP è un programma obbligatorio per tutte le agenzie federali statunitensi e tutti i servizi cloud. Il programma FedRAMP è importante perché favorisce:

  • Solidità e affidabilità della sicurezza delle soluzioni cloud grazie a standard definiti da NIST e FISMA
  • Trasparenza tra governo USA e fornitori cloud
  • Automazione e monitoraggio quasi in tempo reale
  • Adozione di soluzioni cloud sicure mediante valutazioni e autorizzazioni

La policy Cloud First impone a tutte le agenzie federali di applicare le procedure FedRAMP quando conducono valutazioni del rischio, assegnano autorizzazioni e monitorano i servizi cloud. L'ufficio responsabile del programma FedRAMP ha delineato cinque requisiti di conformità:

1. Il fornitore di servizi cloud o CSP (Cloud Service Provider) ha ricevuto un'autorizzazione operativa o ATO (Authority to Operate) da un'agenzia federale.

2. Il CSP provvede ai controlli di sicurezza previsti dal programma FedRAMP in linea con la normativa NIST 800-53, Rev. 4 di livello Moderate.

3. Tutti i pacchetti dei sistemi di sicurezza devono impiegare i modelli stabiliti dal programma FedRAMP.

4. Il CSP è stato valutato da un'entità di controllo indipendente.

5. Il pacchetto di valutazione di sicurezza completato deve essere pubblicato nel repository di sicurezza FedRAMP.

Requisiti FedRAMP

I CSP possono ottenere la conformità al programma FedRAMP seguendo tre percorsi:

1. Autorizzazioni provvisorie JAB (JAB P-ATO)

I fornitori di servizi cloud con un'autorizzazione provvisoria FedRAMP vengono esaminati dal FedRAMP PMO, valutati da un ente di valutazione di terze parti accreditato FedRAMP e ricevono un'autorizzazione P-ATO dai CIO DHS, DOD e GSA.

2. Autorizzazioni di agenzie FedRAMP (A-ATO)

I fornitori di servizi cloud con autorizzazioni di agenzie vengono esaminati dal CIO dell'agenzia o da funzionari delegati autorizzati per ottenere ATO conformi al programma FedRAMP verificati dal FedRAMP PMO.

3. Pacchetti forniti dal CSP

I fornitori di servizi cloud con pacchetti forniti dal CSP hanno inviato al FedRAMP PMO un pacchetto di valutazione della sicurezza completo che sia stato valutato da un ente di valutazione di terze parti accreditato FedRAMP.

Conformità cloud FedRAMP

Sì, sono disponibili alcuni sistemi che hanno ricevuto l'autorizzazione; AWS ha soddisfatto i controlli di sicurezza previsti dal programma FedRAMP (basati su NIST SP 800-53), ha impiegato modelli predefiniti per i pacchetti di sicurezza pubblicati nel repository FedRAMP, ha sostenuto la valutazione di un'entità di controllo indipendente accreditata e soddisfa i requisiti di monitoraggio continuo del programma FedRAMP. I sistemi conformi sono i seguenti:

AWS GovCloud (US) ha ricevuto un'autorizzazione provvisoria del Joint Authorization Board (JAB P-ATO) e diverse autorizzazioni operative per il livello di impatto High. I servizi coperti dall'autorizzazione provvisoria del Joint Authorization Board nella regione AWS GovCloud (US) sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS. Per consultare un elenco completo delle agenzie che hanno rilasciato autorizzazioni operative per la regione AWS GovCloud (US), visita la pagina FedRAMP Compliant Systems.

Regioni AWS Stati Uniti occidentali/orientali: hanno ricevuto diverse autorizzazioni operative per il livello di impatto Moderate. I servizi coperti dalle autorizzazioni provvisorie per le regioni AWS Stati Uniti occidentali/orientali sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS. Per consultare un elenco completo delle agenzie che hanno rilasciato autorizzazioni operative per le regioni AWS Stati Uniti occidentali/orientali, visita la pagina FedRAMP Compliant Systems.

No, la conformità al programma FedRAMP da parte di AWS non provocherà alcun aumento dei costi in alcuna regione.

AWS ha ottenuto due Agency ATO FedRAMP separate, una a copertura della regione AWS GovCloud (Stati Uniti), l'altra delle regioni Stati Uniti occidentali e orientali.

Sì, molte agenzie governative, così come altre entità che forniscono integrazione di sistemi e altri prodotti e servizi alle agenzie stesse, usano già un'ampia gamma di servizi AWS.

FIPS AWS
CJIS AWS
FERPA AWS
AWS DoD
I servizi AWS coperti nell'ambito della SRG del dipartimento della difesa statunitense e del programma FedRAMP sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS. Per ulteriori informazioni sull'utilizzo di questi servizi, oppure se sei interessato ad altri servizi, contatta l' ufficio commerciale e di sviluppo aziendale di AWS.

Sì, i clienti possono verificare l'idoneità dei loro carichi di lavoro con altri servizi AWS. Contatta l'ufficio commerciale e di sviluppo aziendale per avviare una discussione su controlli di sicurezza e accettabilità dei rischi.

Sì, i clienti possono verificare l'idoneità dei loro carichi di lavoro con livello di impatto High secondo la norma FISMA con altri servizi AWS. Al momento, il programma FedRAMP è applicato ai sistemi di cloud computing categorizzati come Low e Moderate, ma AWS è già conforme a molti dei controlli di alto livello previsti dalla norma NIST 800-53; inoltre ha già sviluppato la cartella di lavoro AWS FISMA-High per i clienti che desiderano espandersi secondo lo standard NIST Moderate e creare applicazioni e servizi conformi al livello FISMA-High per i propri carichi di lavoro critici. Contatta l'ufficio commerciale e di sviluppo aziendale per avviare una discussione su controlli di sicurezza e accettabilità dei rischi.

AWS fornisce una vasta selezione di funzionalità di sicurezza da usare per proteggere i dati, in conformità con le linee guida sulla sicurezza federali e del Dipartimento della Difesa statunitense. Effettuiamo continuamente iterazioni sugli strumenti di sicurezza a disposizione degli utenti e rilasciamo in modo continuo ottimizzazioni per le funzionalità di protezione esistenti. Per ulteriori informazioni e suggerimenti sulle soluzioni per proteggere i dati nel cloud, fai riferimento alle seguenti linee guida sulla sicurezza di AWS:

I clienti di AWS possono richiedere l'accesso ai pacchetti di sicurezza FedRAMP di AWS tramite il FedRAMP PMO o all'account manager delle vendite di AWS.

Le agenzie governative statunitensi possono richiede l'accesso al pacchetto di sicurezza FedRAMP di AWS tramite il FedRAMP PMO compilando un modulo di richiesta di accesso al pacchetto e inviandolo all'indirizzo info@fedramp.gov, oppure contattando l'account manager delle vendite di AWS.

I partner di AWS e i clienti potenziali possono anche richiedere l'accesso al pacchetto di sicurezza FedRAMP di AWS per i partner contattando l'account manager delle vendite di AWS.

Un funzionario autorizzato di un'agenzia può impiegare uno dei pacchetti di sicurezza FedRAMP di AWS ed esaminarne la documentazione per decidere in base ai rischi di assegnare un'autorizzazione operativa (ATO) ad AWS. Le agenzie sono responsabili per il rilascio delle autorizzazioni operative in AWS e in generale per le autorizzazioni dei componenti dei loro sistemi non coperte dall'autorizzazione operativa di AWS. Per ulteriori informazioni sul modello di responsabilità condivisa di AWS, contatta l'account manager delle vendite di AWS.

Impiegando le funzionalità di sicurezza offerte da AWS e dall'ecosistema di fornitori, potrai controllare e monitorare la creazione di sistemi disponibili in modo che integrino le policy di gestione della sicurezza, della privacy e o del rischio dell'agenzia.

Scoprilo leggendo cosa sono stati in grado di realizzare clienti, partner e integratori di sistemi grazie ad AWS:

Blog

Appian Cloud sfrutta l'infrastruttura di Amazon Web Services e l'autorizzazione FedRAMP. Leggi tutto

Casi di studio AWS

Dipartimento di Stato degli Stati Uniti

US Food and Drug Administration (FDA)

US Centers for Disease Control and Prevention (CDC)

NASA/JPL: Desert Research and Training Studies

NASA/JPL e Amazon SWF

NASA/JPL: la missione Curiosity su Marte

Certificazioni di conformità di AWS

All'interno del documento Concept of Operations (CONOPS) del programma FedRAMP, quando un'autorizzazione è stata assegnata, il livello di protezione di un CSP viene monitorato secondo il processo di valutazione e autorizzazione. Per ottenere una nuova autorizzazione di una ATO FedRAMP da un anno all'altro, i CSP devono monitorare i propri controlli di sicurezza, effettuarne delle valutazioni periodiche e dimostrare che la sicurezza della loro offerta di servizi mantiene sempre un livello accettabile. La valutazione della continuità della conformità è responsabilità delle agenzie federali che impiegano il programma di monitoraggio continuo FedRAMP, nonché dei funzionari autorizzati e relativi team. I funzionari autorizzati e i relativi team esamineranno gli artefatti forniti tramite il processo di monitoraggio continuo FedRAMP di AWS, oltre alle prove di implementazione di controlli specifici della singola agenzia che fanno parte dei requisiti esterni ai controlli FedRAMP, in modo continuo. Per ulteriori informazioni, consulta la policy o il programma di sicurezza dei sistemi informatici della tua agenzia.

Il FedRAMP PMO stabilisce che non è necessario usare ISA tra fornitore di servizi cloud e agenzia federale. Per ulteriori informazioni, consulta il sito Web FedRAMP PMO.

In caso di domande relative alla conformità al programma FedRAMP, consulta il pacchetto di sicurezza FedRAMP di AWS per i partner in AWS Artifact. In caso di ulteriori domande sulla conformità ai programmi FedRAMP o DoD, contatta awscompliance@amazon.com. Per presentare e parlare di architetture o carichi di lavoro AWS, contatta il rappresentante dell'ufficio commerciale.

Risorse FedRAMP

 

Contattaci