SRG do DoD

Visão geral

140940_AWS_Multi-Logo Graphic_600x400_DoD

Um número crescente de clientes do setor militar está adotando serviços de nuvem baseados em utilitários da AWS para processar, armazenar e transmitir dados do Department of Defense (DoD).

A AWS permite que organizações militares e seus parceiros de negócios usem os ambientes seguros da AWS para processar, manter e armazenar dados do DoD. A AWS obteve Autorizações provisórias da Defense Information Systems Agency (DISA – Agência de sistemas de informação de defesa).

A AWS mantém dois ambientes cobertos pelas Autorizações provisórias do DoD: as regiões Leste e Oeste dos EUA e a região AWS GovCloud (EUA) (para obter mais detalhes, consulte a sessão de perguntas frequentes abaixo):

As regiões Leste/Oeste dos EUA detêm uma Autorização provisória de Impact Level (IL – Nível de impacto) 2 do DoD. Os serviços da AWS abrangidos nas regiões Leste/Oeste dos EUA que já estão no escopo do limite de autorização de IL2 do SRG do DoD podem ser encontrados em Serviços da AWS no escopo por programa de conformidade.

A região AWS GovCloud (EUA) tem Autorizações provisórias do DoD para os níveis de impacto 2, 4 e 5. Os serviços da AWS na região GovCloud (EUA) que já estão no escopo dos limites de autorização IL2, IL4 e IL5 do SRG do DoD podem ser encontrados em Serviços da AWS no escopo por programa de conformidade.

Como cliente do DoD, você também é responsável por estar em conformidade com as diretrizes de segurança do DoD dentro do seu ambiente de aplicativos da AWS, para incluir o seguinte:

• Os requisitos do proprietário de missão definidos no DoD Cloud Computing Security Requirements Guide (SRG – Guia de requisitos de segurança de computação em nuvem do DOD)
• Todos os Security Technical Implementation Guides (STIGs – Guias de implementação técnica de segurança) relevantes
• Todos os STIGs de aplicativo relevantes
• Diretrizes sobre portas e protocolos do DoD (DoDI 8551.01)

A infraestrutura, a governança e o ambiente operacional da AWS foram avaliados e autorizados por meio dos processos de autorização do FedRAMP e do DoD. Como um cliente que está implantando um aplicativo na infraestrutura da AWS, você herda totalmente os controles de segurança pertencentes aos nossos controles de proteção físicos, ambientais e de mídia. Além disso, não será mais necessário descrever em detalhes a maneira como você mantém a conformidade com estas famílias de controles. Os controles restantes da Risk Management Framework (RMF – Estrutura de gerenciamento de riscos) do DoD são compartilhados entre a AWS e seus clientes, pois cada empresa assume a responsabilidade pela implementação desses controles dentro de sua parte do modelo de segurança compartilhado de TI.

  • Como posso utilizar a documentação e as diretrizes de segurança da AWS?

    Nossos clientes e fornecedores do DoD podem usufruir de nossas autorizações do FedRAMP e DoD para acelerar seus esforços de certificação e credenciamento. Em apoio à autorização de sistemas militares hospedados na AWS, nós disponibilizamos a equipe de segurança do DoD junto à nossa documentação de segurança como um meio de verificar a segurança e a conformidade da AWS de acordo com os controles aplicáveis do NIST, conforme definido pela publicação especial 800-53 (Rev. 4) e pelo SRG de computação em nuvem do DoD.

    Em apoio à nossa base de clientes do DoD, nós disponibilizamos as diretrizes e a documentação do pacote de segurança. Isso visa melhorar seu entendimento sobre segurança e conformidade, enquanto eles usam a AWS como uma solução de hospedagem do DoD. Em especial, nós disponibilizamos um modelo SSP do FedRAMP da AWS com base na publicação especial 800-53 (Rev. 4) do NIST, que é preenchido automaticamente com os parâmetros de controle aplicáveis do FedRAMP e do DoD. Os controles herdados dentro do modelo são preenchidos automaticamente pela AWS, os controles compartilhados são responsabilidade da AWS e do cliente e, finalmente, alguns controles são totalmente responsabilidade do cliente.

    Para solicitar acesso à documentação de segurança da AWS, visto que ela pertence aos clientes do DoD, seja você uma organização militar ou um contratante conduzindo negócios com o DoD, entre em contato com o setor de desenvolvimento comercial e vendas da AWS ou envie um e-mail para a nossa equipe no endereço awscompliance@amazon.com.

  • Que benefícios eu obtenho ao migrar para a AWS?

    Nossos clientes governamentais estão percebendo rapidamente que a migração para a nuvem é uma oportunidade de melhorar seu nível de controle de segurança e reduzir riscos operacionais. O ambiente operacional da AWS permite que os clientes encontrem um nível de segurança e conformidade que só é possível em um ambiente que têm o respaldo de altos níveis de automação. Na AWS, nossos clientes têm a capacidade de conduzir auditorias de modo contínuo em vez de realizar auditorias e inventários periódicos de seus ambientes em momentos específicos, como a maioria dos clientes do DoD fazem dentro de seus datacenters tradicionais. Quando você tem este nível de visibilidade no seu ambiente, ele melhora diretamente o nível de controle dos dados e a capacidade de manter o controle para que apenas usuários autorizados recebam acesso.

    Os detentores de missão do DoD podem obter níveis mais altos de controle sobre aplicativos por meio da aplicação programática das diretrizes de segurança e conformidade do DoD. Ao usar a funcionalidade da AWS, você pode criar modelos pré-aprovados para casos de uso de aplicativos comuns, reduzindo o tempo de autorização de novos aplicativos. Por meio do uso desses modelos, as empresas do DoD podem garantir que os proprietários de aplicativos não alterarão definições fundamentais de segurança, como security groups e Network ACLs, como também aplicar o uso de imagens de máquina reforçadas do STIG. A aplicação programática das diretrizes de segurança do DoD reduzem a quantidade de configuração manual conduzida por administradores de sistema, diminuindo significativamente a chance de configuração inadequada, o que reduz o risco geral do DoD. Nossos clientes federais já estão atingindo níveis mais altos de controle de segurança na AWS.

    Os clientes em outros programas de conformidade também estão se beneficiando diretamente do uso da AWS ao atingirem suas metas de risco e conformidade:
    • Conformidade com a HIPAA: a Claritas Genomics tinha um orçamento limitado e precisava de recursos de TI de baixo custo que permitissem cumprir os requisitos da HIPAA.
    • Conformidade com serviços financeiros: desafiada pelo crescimento contínuo dos volumes de mercado e pela evolução constante das regras normativas, a FINRA adotou a AWS.
    • Conformidade com serviços financeiros: a NASDAQ precisava disponibilizar aos reguladores o acesso a informações financeiras cada vez mais detalhadas.

    A região AWS GovCloud (EUA) obtém a Autorização provisória de nível 4 do DoD para computação em nuvem

  • O que é o SRG de computação em nuvem do DoD?

    O SRG do DoD é publicado para disponibilizar uma avaliação padronizada e um processo de autorização para os CSPs obterem uma Autorização provisória do DoD, que posteriormente pode ser aproveitada pelos clientes do DoD. Uma Autorização provisória de acordo com as diretrizes do DoD disponibiliza uma certificação reutilizável que atesta nossa conformidade com as normas do DoD, reduzindo o tempo necessário para que um proprietário de missão do DoD avalie e autorize um dos seus sistemas para operação na AWS. As informações adicionais sobre o SRG, inclusive a definição completa dos parâmetros de controle de segurança estabelecidos para os níveis 2, 4, 5 e 6, podem ser encontradas aqui.

    DoD_Hub_FedRAMP
  • Os procedimentos para obter uma Authority to Operate (ATO – Autoridade para operar) para o proprietário de uma missão

    Como detentor de missão, você é responsável pela criação de um pacote de autorização que defina completamente sua implementação dos controles de segurança aplicáveis para o seu aplicativo. Como ocorre com qualquer pacote de autorização tradicional, você precisará documentar seus parâmetros de controle de segurança com um plano de segurança de sistema, e ter esse plano e sua implementação revisados pela equipe de certificação específica da sua organização do DoD. Como parte desta revisão, sua equipe de certificação ou seu agente de autorização deve revisar o pacote de autorização da AWS como parte da revisão do seu aplicativo para que seja obtida uma visão holística da implementação do controle de segurança do começo ao fim. Após a revisão dos pacotes de autorização e segurança da AWS e do proprietário de missão, seu agente de autorização terá as informações necessárias para decidir qual é o credenciamento adequado para seu aplicativo e conceder uma ATO.

    Para obter mais informações a respeito da responsabilidade dos proprietários de aplicativos do DoD operando na AWS, consulte nosso whitepaper Implementações em conformidade com o DoD na Nuvem AWS.

  • Como o lançamento do SRG de computação em nuvem afeta as Autorizações provisórias atuais da AWS?

    Como um provedor de serviços em nuvem que foi autorizado pelo DoD, a AWS deve passar por uma avaliação em relação aos controles do FedRAMP+ estabelecidos no SRG. A AWS concluiu esta avaliação e recebeu uma PA de IL4 total, permitindo que proprietários de missão migrem cargas de trabalho de produção, como:

    • Dados controlados de exportação
    • Informações de privacidade
    • Informações de saúde protegidas
    • Além de outras informações que exigem uma designação CUI explícita:
      • Somente para uso oficial
      • Somente para uso oficial
      • Confidencial do ponto de vista da aplicação da lei
      • Informações essenciais sobre a infraestrutura
      • Informações confidenciais sobre segurança
  • Por que o SRG é importante?

    O SRG oferece suporte à meta federal geral de aumentar o uso da computação em nuvem e fornece uma maneira para o DoD suportar esta meta. Em 8 de fevereiro de 2011, o Office of Management and Budget (OMB) estabeleceu a Federal Cloud Computing Strategy (Estratégia federal de computação em nuvem), que definiu a orientação para todas as agências federais adotarem tecnologias de nuvem em todo o governo federal. Esta estratégia foi seguida por um requisito federal, lançado em dezembro de 2011, estabelecendo o Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de risco e autorização). O FedRAMP é obrigatório para implantações na nuvem e modelos de serviços de órgãos federais, com níveis de impacto de risco baixo, moderado e alto.

    Em julho de 2012, o DoD lançou sua Estratégia de computação em nuvem, criada pelo diretor de tecnologia da informação do DoD. Essa estratégia definiu o Joint Information Environment (JIE – Ambiente conjunto de informações) e o Enterprise Cloud Environment (Ambiente de nuvem empresarial) do DoD: “A Estratégia de computação em nuvem do DoD apresenta uma abordagem para mudar o departamento do estado atual de um conjunto de silos de aplicativos caro, duplicado e inconveniente para um estado final de um ambiente de serviços ágil, seguro e econômico que pode reagir rapidamente à constante evolução das necessidades da missão. O diretor de tecnologia da informação do DoD está comprometido com a aceleração da adoção da computação em nuvem no departamento...”

    O SRG do DoD utiliza o programa FedRAMP como um meio de estabelecer uma abordagem padronizada para que o DoD avalie os provedores de serviços em nuvem. A AWS foi avaliada e aprovada mediante os requisitos do FedRAMP. Além disso, ela recebeu várias ATOs de risco moderado de órgãos reguladores para as regiões Leste e Oeste dos EUA, além de uma ATO provisória (P-ATO) do FedRAMP JAB High que cobre a região AWS GovCloud (EUA). Mais informações a respeito da conformidade da AWS com o FedRAMP podem ser encontradas na nossa página de perguntas frequentes sobre o FedRAMP.

  • Os serviços de nuvem AWS atendem aos requisitos do DoD?

    Sim. A AWS foi avaliada e aprovada como um provedor de serviços de nuvem de IL2 para as regiões Leste e Oeste dos EUA e de IL4 para a região AWS GovCloud (EUA).

    • No nível 2, todas as regiões da AWS baseadas nos EUA (Leste/Oeste dos EUA e AWS GovCloud (EUA)) foram avaliadas pela DISA e receberam duas Autorizações provisórias depois de demonstrar conformidade com os requisitos do DoD. A conformidade da AWS com os requisitos do DoD foi obtida ao utilizarmos nossas ATOs de órgãos reguladores do FedRAMP e nossa P-ATO do FedRAMP High Baseline atuais. As Autorizações provisórias permitem às entidades do DoD avaliar a segurança da AWS e a oportunidade de armazenar, processar e manter uma variedade de dados do DoD na Nuvem AWS.

    Nos níveis 4 e 5, a região AWS GovCloud (EUA) recebeu uma Autorização provisória da DISA para permitir aos clientes do DoD implantar aplicativos de produção com as linhas de base de controle aperfeiçoadas, correspondendo aos níveis do SRG mencionados. Os clientes do DoD com possíveis aplicativos de IL4 devem entrar em contato com a DISA para iniciar o processo de aprovação.

  • Quais regiões da AWS estão incluídas?

    Nossas Autorizações provisórias abrangem todas as regiões na área continental dos Estados Unidos, incluindo as regiões AWS GovCloud (EUA) (níveis 2 e 4) e as regiões da AWS Leste/Oeste dos EUA (nível 2).

  • Quais classificações de sistemas do DoD podem ser colocadas na AWS?

    As regiões Leste e Oeste dos EUA têm uma Autorização provisória para o nível 2, o que permite aos proprietários de missão implantar informações públicas e não confidenciais nessas regiões, tanto com a autorização da AWS quanto com a ATO do aplicativo da missão. Agora, a região AWS GovCloud (EUA) conta com uma Autorização provisória para os níveis 2, 4 e 5, permitindo que proprietários de missão implantem toda a variedade de categorias de informações controladas e não confidenciais abrangidas por esses níveis.

  • Como as autorizações afetam a AWS?

    As Autorizações confirmam nosso compromisso duradouro com a segurança dos nossos serviços para nossos clientes. Passar pelo processo de autorização confirma que estamos tratando dos controles de segurança do SRG do DoD e que nossas práticas gerenciais atendem às diretrizes do DoD. Fomos avaliados nos níveis IL4 e IL5 do SRG e recebemos PAs dos níveis IL4 e IL5 da DISA.

  • O que isso significa para mim como o proprietário de uma missão do DoD?

    Nossas Autorizações provisórias de nível 2 significam que os clientes do DoD que usam nossos serviços para armazenar, processar ou transmitir dados do DoD podem confiar em nossas autorizações para a infraestrutura da AWS que cumpre todos os requisitos definidos pelo nível 2, enquanto eles gerenciam sua própria conformidade e certificação, inclusive auditorias e gerenciamento de segurança. A mudança do seu ambiente de TI do DoD para a AWS pode ajudar a melhorar a sua supervisão de conformidade com os serviços e recursos disponibilizados pela AWS.

    Nossas Autorizações provisórias para os níveis 4 e 5 na região AWS GovCloud (EUA) significam que os nossos clientes do DoD podem implantar aplicativos de produção na região AWS GovCloud (EUA). Essa autorização permite que os clientes se envolvam em atividades de projeto, desenvolvimento e integração de cargas de trabalho que devem estar em conformidade com os níveis de impacto 4 e 5 do SRG de computação em nuvem do DoD.

  • Como a Autorização provisória da AWS afeta a ATO do proprietário de missão?

    Ao operar um aplicativo na AWS no espírito de responsabilidade de segurança compartilhada, o proprietário de missão do DoD é responsável por uma linha base reduzida de controles de segurança. A AWS oferece um ambiente de hospedagem seguro, com controles de segurança aplicáveis para proprietários de missão colocarem seus aplicativos em campo, mas não libera o proprietário de missão da sua responsabilidade de implantar, gerenciar e monitorar com segurança seus aplicativos de acordo com os controles de segurança e política de conformidade do DoD.

    Para obter mais informações a respeito da responsabilidade dos proprietários de aplicativos do DoD operando na AWS, consulte nosso whitepaper Implementações em conformidade com o DoD na Nuvem AWS. Revisaremos este whitepaper de acordo com o SRG em um breve.

  • Os outros serviços da AWS podem ser utilizados?

    Sim, os clientes podem avaliar a compatibilidade de suas cargas de trabalho com outros serviços da AWS. Cada proprietário de missão é capacitado para avaliar e aceitar os riscos apresentados por qualquer um de nossos serviços escolhidos para utilização. Entre em contato com a equipe de desenvolvimento de vendas e negócios da AWS para obter uma discussão detalhada sobre os controles de segurança e as considerações de aceitação de risco.

  • A conformidade do DoD aumentará os preços dos serviços da AWS?

    Não, não há aumento nos custos de serviço para qualquer serviço como consequência dos programas de conformidade da AWS.

  • Há outras entidades do DoD usando a AWS no momento?

    Sim, hoje, muitas entidades do DoD e outras organizações que oferecem integração de sistemas e outros produtos e serviços para o DoD estão usando a ampla gama de serviços da AWS. A AWS não pode divulgar muitos dos clientes que obtiveram ATOs do DoD para sistemas na AWS, mas trabalha regularmente com clientes e seus assessores no planejamento, implantação, certificação e credenciamento das suas cargas de trabalho do DoD na AWS.

  • Uma ATO exige uma avaliação física do datacenter de um provedor de serviços?

    Não. De acordo com o SRG do DoD, um cliente do DoD obtém uma ATO sem um acompanhamento físico de datacenter de um provedor de serviço fazendo uso das nossas autorizações. Os clientes do DoD podem contar com o trabalho executado pelas nossas Third-Party Assessment Organizations (3PAO – Organizações externas de avaliação) do FedRAMP, que inclui uma extensa avaliação local da segurança física dos nossos datacenters.

  • Como faço para acessar as autorizações e a documentação da AWS?

  • Quais serviços da AWS estão incluídos?

    Para obter uma lista completa dos serviços incluídos, acesse a página Serviços da AWS no escopo por programa de conformidade.

compliance-contactus-icon
Dúvidas? Entre em contato com um representante de conformidade da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a conformidade da AWS?
Sigam-nos no Twitter »