Gostaria de informações sobre o SRG do DoD na nuvem



AWS DoD

Um número crescente de clientes do setor militar está adotando serviços de nuvem baseados em utilitários da AWS para processar, armazenar e transmitir dados do Departamento de defesa (DoD).

A AWS permite que organizações militares e seus parceiros de negócios usem os ambientes seguros da AWS para processar, manter e armazenar dados do DoD. A AWS obteve autorizações provisórias da Disa (Agência de Sistemas de Informação de Defesa).

A AWS mantém dois ambientes cobertos pelas autorizações provisórias do DoD: as regiões Leste e Oeste dos EUA e a região AWS GovCloud (US) (para obter mais detalhes, consulte a sessão de perguntas frequentes abaixo):

  • As regiões Leste/Oeste dos EUA detêm uma autorização provisória de nível de impacto (IL) 2 do Departamento de Defesa dos EUA (DoD). Os Serviços da AWS contemplados nas regiões Leste/Oeste dos EUA que já estão no escopo do limite de autorização de IL2 do SRG do DoD podem ser encontrados nos Serviços da AWS no escopo pelo programa de conformidade.
  • A região AWS GovCloud (US) mantém autorizações provisórias do DoD para os níveis de impacto 2, 4 e 5. Os serviços da AWS na região GovCloud (US) que já estão no escopo dos limites de autorização IL2, IL4 e IL5 do SRG do DoD podem ser encontrados em Serviços da AWS no escopo pelo programa de conformidade.

Como cliente do DoD, você também é responsável por estar em conformidade com as diretrizes de segurança do DoD dentro do seu ambiente de aplicativos da AWS, para incluir o seguinte:

• Os requisitos do proprietário de missão definidos no Guia de requisitos de segurança de computação na nuvem do DoD (SRG)
• Todos os guias de implementação técnica de segurança (STIGs) relevantes
• Todos os STIGs de aplicativo relevantes
• Diretrizes sobre portas e protocolos do DoD (DoDI 8551.01)

A infraestrutura, a governança e o ambiente operacional da AWS foram avaliados e autorizados por meio dos processos de autorização do FedRAMP e do DoD. Como um cliente que está implantando uma aplicação na infraestrutura da AWS, você herda totalmente os controles de segurança pertencentes aos nossos controles de proteção físicos, ambientais e de mídia. Além disso, não será mais necessário descrever em detalhes a maneira como você mantém a conformidade com estas famílias de controles. Os controles restantes da estrutura de gerenciamento de riscos (RMF) do DoD são compartilhados entre a AWS e seus clientes, pois cada empresa assume a responsabilidade pela implementação desses controles dentro de sua parte do modelo de segurança compartilhado de TI.

Como cliente da AWS, você é responsável por projetar, implantar, gerenciar e monitorar seu ambiente e suas aplicações da AWS, usufruindo dos nossos recursos, dos recursos de terceiros, inclusive dos nossos próprios utilitários, do nosso software e das nossas aplicações. Ao usar a funcionalidade de segurança disponibilizada pela AWS e pelo nosso ecossistema de fornecedores, você poderá criar sistemas altamente disponíveis que também são rigorosamente controlados e monitorados de acordo com importantes políticas da sua empresa.

Nossos clientes e fornecedores do DoD podem usufruir de nossas autorizações do FedRAMP e DoD para acelerar seus esforços de certificações e credenciamento. Em apoio à autorização de sistemas militares hospedados na AWS, nós disponibilizamos a equipe de segurança do DoD junto à nossa documentação de segurança como um meio de verificar a segurança e a conformidade da AWS de acordo com os controles aplicáveis do NIST, conforme definido pela publicação especial 800-53 (Rev. 4) e pelo SRG de computação na nuvem do DoD.

Em apoio à nossa base de clientes do DoD, nós disponibilizamos as diretrizes e a documentação do pacote de segurança. Isso visa melhorar seu entendimento sobre segurança e conformidade, enquanto eles usam a AWS como uma solução de hospedagem do DoD. Em especial, nós disponibilizamos um modelo SSP do FedRAMP da AWS com base na publicação especial 800-53 (Rev. 4) do NIST, que é preenchido automaticamente com os parâmetros de controle aplicáveis do FedRAMP e do DoD. Os controles herdados dentro do modelo são preenchidos automaticamente pela AWS, os controles compartilhados são responsabilidade da AWS e do cliente e, finalmente, alguns controles são totalmente responsabilidade do cliente.

Para solicitar acesso à documentação de segurança da AWS, visto que ela pertence aos clientes do DoD, seja você uma organização militar ou um contratante conduzindo negócios com o DoD, entre em contato com a equipe de desenvolvimento comercial e vendas da AWS ou envie um e-mail para a nossa equipe no endereço awscompliance@amazon.com.

CSM do DoD

Nossos clientes governamentais estão percebendo rapidamente que a migração para a nuvem é uma oportunidade de melhorar seu nível de controle de segurança e reduzir riscos operacionais. O ambiente operacional da AWS permite que os clientes encontrem um nível de segurança e conformidade que só é possível em um ambiente que têm o respaldo de altos níveis de automação. Na AWS, nossos clientes têm a capacidade de conduzir auditorias de modo contínuo em vez de realizar auditorias e inventários periódicos de seus ambientes em momentos específicos, como a maioria dos clientes do DoD fazem dentro de seus datacenters tradicionais. Quando você tem este nível de visibilidade no seu ambiente, ele melhora diretamente o nível de controle dos dados e a capacidade de manter o controle para que apenas usuários autorizados recebam acesso.

Os detentores de missão do DoD podem obter níveis mais altos de controle sobre aplicativos por meio da aplicação programática das diretrizes de segurança e conformidade do DoD. Ao usar a funcionalidade da AWS, você pode criar modelos pré-aprovados para casos de uso de aplicação comum, reduzindo o tempo de autorização de novos aplicativos. Por meio do uso desses modelos, as empresas do DoD podem garantir que os proprietários de aplicativos não alterarão definições fundamentais de segurança, como security groups e Network ACLs, como também aplicar o uso de imagens de máquina reforçadas do STIG. A aplicação programática das diretrizes de segurança do DoD reduzem a quantidade de configuração manual conduzida por administradores de sistema, diminuindo significativamente a chance de configuração inadequada, o que reduz o risco geral do DoD. Nossos clientes federais já estão atingindo níveis mais altos de controle de segurança na AWS.

Os clientes em outros programas de conformidade também estão se beneficiando diretamente do uso da AWS ao atingirem suas metas de risco e conformidade:
• Conformidade com o HIPAA: a Claritas Genomics tinha um orçamento limitado e precisava de recursos de TI de baixo custo que permitissem que os requisitos do HIPAA fossem atendidos.
• Conformidade com serviços financeiros: desafiados pelo crescimento contínuo dos volumes de mercado e pelas regras regulamentares em constante mudança, a FINRA adotou a AWS.
• Conformidade com serviços financeiros: a NASDAQ precisava ter a capacidade de disponibilizar reguladores com acesso a informações cada vez mais detalhadas.

A região AWS GovCloud (US) obtém a autorização provisória de nível 4 do DoD para computação na nuvem

O SRG do DoD foi publicado para disponibilizar uma avaliação padronizada e um processo de autorização para os CSPs obterem uma autorização provisória do DoD, que posteriormente pode ser aproveitada pelos clientes do DoD. Uma autorização provisória de acordo com as diretrizes do DoD disponibiliza uma certificação reutilizável que atesta nossa conformidade com as normas do DoD, reduzindo o tempo necessário para que um proprietário de missão do DoD avalie e autorize um dos seus sistemas para operação na AWS. As informações adicionais sobre o SRG, inclusive a definição completa dos parâmetros de controle de segurança estabelecidos para os Níveis 2, 4, 5 e 6, podem ser encontradas aqui.

DoD da Nuvem AWS

Como detentor de missão, você é responsável pela criação de um pacote de autorização que defina completamente sua implementação dos controles de segurança aplicáveis para o seu aplicativo. Como ocorre com qualquer pacote de autorização tradicional, você precisará documentar seus parâmetros de controle de segurança com um plano de segurança de sistema, e ter esse plano e sua implementação revisados pela equipe de certificação específica da sua organização do DoD. Como parte desta revisão, sua equipe de certificação ou seu agente de autorização deve revisar o pacote de autorização da AWS como parte da revisão do seu aplicativo para que seja obtida uma visão holística da implementação do controle de segurança do começo ao fim. Após a revisão dos pacotes de autorização e segurança da AWS e do proprietário de missão, seu agente de autorização terá as informações necessárias para decidir qual é o credenciamento adequado para seu aplicativo e conceder uma ATO.

Para obter mais informações a respeito da responsabilidade dos proprietários de aplicações do DoD operando na AWS, consulte nosso whitepaper Implementações em conformidade com o DoD na Nuvem AWS.

Como um provedor de serviços em nuvem que foi autorizado pelo DoD, a AWS deve passar por uma avaliação em relação aos controles do FedRAMP+ estabelecidos no SRG. A AWS concluiu esta avaliação e recebeu uma PA de nível de impacto 4 total, permitindo que proprietários de missão migrem cargas de trabalho de produção, como:

  • Dados controlados de exportação
  • Informações de privacidade
  • Informações de saúde protegidas
  • Além de outras informações que exigem uma designação CUI explícita:
    • Somente para uso oficial
    • Somente para uso oficial
    • Confidencial do ponto de vista da aplicação da lei
    • Informações essenciais sobre a infraestrutura
    • Informações confidenciais sobre segurança
Nuvem AWS do FedRAMP

O SRG oferece suporte à meta federal geral de aumentar o uso da computação em nuvem e fornece uma maneira para o DoD suportar esta meta. Em 8 de fevereiro de 2011, o Escritório de gerenciamento e orçamento (OMB, Office of Management and Budget) estabeleceu a Estratégia Federal de Computação em Nuvem, que definiu a orientação para todas as agências federais adotarem tecnologias de nuvem em todo o governo federal. Esta estratégia foi seguida por um requisito federal, lançado em dezembro de 2011, estabelecendo o Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP). O FedRAMP é obrigatório para implantações na nuvem e modelos de serviços de órgãos federais, com níveis de impacto de risco baixo, moderado e alto.

Em julho de 2012, o DoD lançou sua Estratégia de Computação em nuvem por meio do Diretor de Informação do DoD. Ela estabeleceu o ambiente de informações conjunto (JIE) e o ambiente de nuvem empresarial do DoD: "A Estratégia de Computação em Nuvem do DoD apresenta uma abordagem para mover o departamento do seus estado atual de um conjunto de silos de aplicativos caro, duplicado e inconveniente para um estado final de ambiente de serviço ágil, seguro e econômico, que pode responder rapidamente às necessidades de missão em constante mudança. O Diretor de Informação (CIO) do DoD está comprometido em acelerar a adoção da computação em nuvem dentro do departamento ..."

O SRG do DoD utiliza o programa FedRAMP como um meio de estabelecer uma abordagem padronizada para que o DoD avalie os provedores de serviços em nuvem. A AWS foi avaliada e aprovada mediante os requisitos do FedRAMP. Além disso, ela recebeu várias ATOs de risco moderado de órgãos reguladores para as regiões Leste e Oeste dos EUA, além de uma ATO provisória (P-ATO) do FedRAMP JAB High que cobre a região AWS GovCloud (US). Mais informações a respeito da conformidade da AWS com o FedRAMP podem ser encontradas na nossa página de perguntas frequentes do FedRAMP.

Sim. A AWS foi avaliada e aprovada como um provedor de serviços de nuvem privada de nível de impacto 2 para as regiões Leste e Oeste dos EUA e de nível de impacto 4 para a região AWS GovCloud (US).

No nível 2, todas as regiões da AWS baseadas nos EUA (Leste/Oeste dos EUA e AWS GovCloud [US]) foram avaliadas pela DISA e receberam duas autorizações provisórias depois de demonstrar conformidade com os requisitos do DoD. A conformidade da AWS com os requisitos do DoD foi obtida ao utilizarmos nossas ATOs de órgãos reguladores do FedRAMP e nossa P-ATO do FedRAMP High Baseline atuais. As autorizações provisórias permitem às entidades do DoD avaliar a segurança da AWS e a oportunidade de armazenar, processar e manter uma variedade de dados do DoD na Nuvem AWS.

Nos níveis 4 e 5, a região AWS GovCloud (US) recebeu uma autorização provisória da DISA para permitir aos clientes do DoD implantar aplicativos de produção com as linhas de base de controle aperfeiçoadas, correspondendo aos níveis do SRG mencionados. Os clientes do DoD com possíveis aplicativos de nível de impacto 4 devem entrar em contato com a DISA para começar o processo de aprovação.

Nossas autorizações provisórias abrangem todas as regiões na área continental dos Estados Unidos, incluindo as regiões AWS GovCloud (EUA) (níveis 2 e 4) e as regiões da AWS Leste/Oeste dos EUA (nível 2).

As regiões Leste e Oeste dos EUA detêm uma autorização provisória para o nível 2, o que permite aos proprietários de missão implantar informações públicas e não confidenciais nessas regiões, tanto com a autorização da AWS quanto com o ATO do aplicativo de missão. Agora, a região AWS GovCloud (US) conta com uma autorização provisória para os níveis 2, 4 e 5, permitindo que proprietários de missão implantem toda a variedade de categorias de informações controladas e não confidenciais abrangidas por esses níveis.

As autorizações confirmam nosso compromisso duradouro com a segurança dos nossos serviços para nossos clientes. Passar pelo processo de autorização confirma que estamos tratando dos controles de segurança do SRG do DoD e que nossas práticas gerenciais atendem às diretrizes do DoD.  Fomos avaliados nos níveis IL4 e IL5 do SRG e recebemos PAs IL4 e IL5 da DISA.

Nossas autorizações provisórias de nível 2 significam que os clientes do DoD que usam nossos serviços para armazenar, processar ou transmitir dados do DoD podem confiar em nossas autorizações relacionadas ao cumprimento da infraestrutura da AWS de todos os requisitos definidos pelo nível 2, enquanto eles gerenciam sua própria conformidade e certificação, inclusive auditorias e gerenciamento de segurança. Transferir seu ambiente de TI do DoD para a AWS pode ajudar a melhorar suas próprias falhas de conformidade com os serviços e recursos disponibilizados pela AWS.

Nossas autorizações provisórias para os níveis 4 e 5 na região AWS GovCloud (US) significam que os nossos clientes do DoD podem implantar aplicativos de produção na região AWS GovCloud (US). Essa autorização permite que os clientes se envolvam em atividades relacionadas a projeto, desenvolvimento e integração de cargas de trabalho que devem estar em conformidade com os níveis 4 e 5 do SRG de computação em nuvem do DoD.

Autorização provisória da AWS

Ao operar um aplicativo na AWS no espírito de responsabilidade de segurança compartilhada, o proprietário de missão do DoD é responsável por uma linha base reduzida de controles de segurança. A AWS oferece um ambiente de hospedagem seguro, com controles de segurança aplicáveis para proprietários de missão colocarem seus aplicativos em campo, mas não libera o proprietário de missão da sua responsabilidade de implantar, gerenciar e monitorar com segurança seus aplicativos de acordo com os controles de segurança e política de conformidade do DoD.

Para obter mais informações a respeito da responsabilidade dos proprietários de aplicativos do DoD operando na AWS, consulte nosso whitepaper DoD Compliant Implementations in the AWS Cloud. Vamos analisar este whitepaper de acordo com o SRG em um futuro próximo.

Sim, os clientes podem avaliar a compatibilidade de suas cargas de trabalho com outros serviços da AWS. Cada proprietário de missão é capacitado para avaliar e aceitar os riscos apresentados por qualquer um de nossos serviços escolhidos para utilização. Entre em contato com a equipe de desenvolvimento de vendas e negócios da AWS para obter uma discussão detalhada sobre os controles de segurança e considerações de aceitação de risco.

Não, não há aumento nos custos de serviço para qualquer serviço como consequência dos programas de conformidade da AWS.

Sim, hoje, muitas entidades do DoD e outras organizações que oferecem integração de sistemas e outros produtos e serviços para o DoD estão usando a ampla gama de serviços da AWS. A AWS não pode divulgar muitos dos clientes que obtiveram ATOs do DoD para sistemas na AWS, mas trabalha regularmente com clientes e seus assessores no planejamento, implantação, certificação e credenciamento das suas cargas de trabalho do DoD na AWS.

Não. De acordo com o SRG do DoD, um cliente do DoD obtém uma ATO sem um acompanhamento físico de datacenter de um provedor de serviço fazendo uso das nossas autorizações. Os clientes do DoD podem contar com o trabalho desempenhado por nossa 3PAO (Third-party Assessment Organizations) do FedRAMP, que inclui uma extensa avaliação local da segurança física dos nossos datacenters.

Para obter uma lista completa dos serviços contemplados, acesse a página de Serviços da AWS no escopo pelo programa de conformidade.

 

Entre em contato conosco