I servizi infrastrutturali cloud di AWS conformi a NIST sono stati convalidati da test di terze parti eseguiti a fronte dei controlli NIST 800-53 Rev. 4 oltre ai requisiti FedRAMP. AWS ha ricevuto le autorizzazioni a operare (ATO, Authorizations to Operate) di FedRAMP da diverse agenzie di autorizzazione sia per la regione AWS GovCloud (US) sia per le regioni AWS orientali/occidentali degli Stati Uniti. Per ulteriori informazioni, consulta i collegamenti seguenti:

•   Per l'elenco completo delle agenzie di autorizzazione per le regioni AWS orientali/occidentali degli Stati Uniti, fai clic qui

•   Per l'elenco completo delle agenzie di autorizzazione per AWS GovCloud, fai clic qui

•   Per AWS GovCloud JAB P-ATO con baseline alta, fai clic qui

Per ulteriori informazioni sul programma AWS FedRAMP, visita la nostra pagina Web su FedRAMP.

Mentre alcuni controlli sono specificamente ereditati da AWS, molti altri presentano un'ereditarietà condivisa tra il cliente e AWS. Ai sensi dell'accordo di riservatezza, AWS fornisce un modello AWS FedRAMP SSP basato su NIST 800-53 Rev. 4 e precompilato con la baseline di controllo bassa/moderata/alta di NIST 800-5 Rev. 4. La responsabilità dei controlli si articola come segue:

• Responsabilità condivisa: il cliente si occupa della sicurezza e delle configurazioni dei componenti software e AWS si occupa della sicurezza della sua infrastruttura.

• Esclusiva responsabilità del cliente: il cliente è totalmente responsabile dei sistemi operativi guest, delle applicazioni distribuite e delle risorse di rete (ad esempio, i firewall). Più specificamente, il cliente è l'unico responsabile della configurazione e della gestione della sicurezza "nel" cloud.

• Esclusiva responsabilità di AWS: AWS gestisce l'infrastruttura cloud, tra cui la rete, lo storage dei dati, le risorse di sistema, i data center, la sicurezza fisica, l'affidabilità e il supporto dell'hardware e del software. Le applicazioni create sul sistema AWS ereditano le caratteristiche e le opzioni configurabili che fornisce AWS. AWS è l'unico responsabile della configurazione e della gestione della sicurezza "del" cloud.

Ai fini dell'autorizzazione sulla sicurezza, la compliance ai requisiti FedRAMP (in base alla baseline di controllo bassa/moderata/alta di NIST 800-53 Rev. 4) è subordinata alla completa implementazione da parte di AWS dei controlli condivisi e dei controlli esclusivi di AWS e all'implementazione da parte del cliente dei controlli condivisi e dei controlli esclusivi del cliente. Una 3PAO (Third Party Assessor Organization) accreditata FedRAMP ha valutato e autorizzato l'implementazione da parte di AWS della responsabilità dei controlli. La parte dei controlli condivisi di cui è responsabile il cliente e i controlli relativi alle applicazioni che il cliente implementa nell'infrastruttura AWS devono essere valutati e autorizzati separatamente dal cliente in base a NIST 800-37 e alle specifiche policy e procedure di autorizzazione della sicurezza del cliente.

I sistemi AWS conformi a FedRAMP hanno ricevuto le autorizzazioni, sono stati sottoposti ai controlli di sicurezza FedRAMP (NIST SP 800-53), utilizzano i modelli FedRAMP necessari per i pacchetti di sicurezza pubblicati nel repository sicuro di FedRAMP, sono stati valutati da un'entità di controllo di terze parti indipendente accreditata (3PAO) e mantengono i requisiti di monitoraggio continuo di FedRAMP.

Secondo il modello di responsabilità condivisa di AWS, AWS gestisce la sicurezza del cloud e il cliente è responsabile della sicurezza nel cloud. Per supportare l'implementazione delle responsabilità condivise, le guide AWS Quick Start (basate su AWS CloudFormation) consentono di automatizzare la distribuzione delle principali tecnologie sul cloud AWS con un unico clic. Ciascuna Quick Start lancia, configura ed esegue servizi di calcolo, rete, storage e altri servizi AWS necessari per distribuire un carico di lavoro su AWS, per rispondere alla necessità di ottenere compliance con i comuni standard e framework di sicurezza come PCI DSS e NIST 800-53.

Le guide Quick Start semplificano, automatizzano e implementano baseline sicure con set di regole completi che possono essere applicati in modo sistematico. Ad esempio, l'architettura standardizzata per i framework di sicurezza basati su NIST sulle Quick Start del cloud AWS include i modelli di AWS CloudFormation. Questi modelli possono essere integrati con AWS Service Catalog per automatizzare la creazione di un carico di lavoro su architettura di baseline standardizzata nell'ambito di NIST 800-53 (Rev. 4) e NIST 800-171. La guida Quick Start include inoltre un riferimento per i controlli di sicurezza, che mappa le decisioni sull'architettura relative ai controlli di sicurezza, le caratteristiche e la configurazione della baseline. Questi elementi possono essere utilizzati per supportare le attività di compliance in AWS, in base agli obiettivi di sicurezza e compliance del cloud AWS dell'organizzazione.

Le organizzazioni sia del settore pubblico sia del settore privato potranno impiegare questo whitepaper per valutare l'ambiente AWS secondo il framework CSF del NIST e migliorare le misure di sicurezza implementate e operative (noto anche come "sicurezza nel cloud"). AWS fornisce una descrizione dettagliata delle offerte del cloud AWS e relativi clienti, nonché le responsabilità di AWS che semplificano la conformità al framework CSF del NIST. Il whitepaper fornisce inoltre la lettera dell'entità di controllo di terze parti che attesta la conformità dell'offerta del cloud AWS alle pratiche di gestione del rischio previste dal framework CSF del NIST (note anche come "sicurezza nel cloud"), consentendo alle aziende di proteggere al meglio i propri dati in AWS.

Questo whitepaper potrà essere utilizzato da aziende di ogni tipo (agenzie federali o statali, grandi aziende anche in settori regolamentati) come guida all'implementazione delle soluzioni AWS per ottenere il livello di gestione del rischio richiesto dal framework del NIST.