Gostaria de informações sobre o FedRAMP na Nuvem
AWS FedRAMP

O governo federal dos EUA dedica-se a disponibilizar seus serviços para o povo americano da maneira mais inovadora, segura e eficiente. A computação em nuvem continua a ser um grande catalisador de como o governo federal pode alcançar eficiência operacional e inovar sob demanda para avançar em suas missões nacionais. É por isso que hoje vários órgãos federais estão usando os serviços em nuvem baseados em utilitários da AWS para processar, armazenar e transmitir dados do governo federal.

govcloud_video

O Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de autorização e risco) é um programa do governo dos EUA que disponibiliza uma abordagem padrão para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços na nuvem. Os órgãos governamentais do FedRAMP incluem o Escritório de Administração do Orçamento (OMB), a Administração Geral de Serviços dos EUA (GSA), o Departamento de Segurança Nacional dos Estados Unidos (DHS), o Departamento de Defesa dos EUA (DOD), o National Institutes of Standards and Technology (NIST) e o Conselho Federal de CIOs.

O FedRAMP usa a publicação especial do NIST série 800 e exige que provedores de serviços na nuvem recebam uma avaliação de segurança independente conduzida por uma organização de avaliação terceirizada (3PAO), que visa garantir que as autorizações estejam em conformidade com a Federal Information Security Management Act (FISMA). Os provedores de nuvem que desejarem oferecer seus produtos e serviços para o governo dos EUA devem demonstrar conformidade com o FedRAMP. Para obter informações adicionais sobre os requisitos do FedRAMP acesse www.FedRAMP.gov.

A Amazon Web Services (AWS) oferece os seguintes sistemas em conformidade com o FedRAMP:

O AWS GovCloud (EUA), recebeu a autorização provisória Joint Authorization Board (JAB P-ATO) para o nível de alto impacto. Os serviços cobertos são: EC2, EBS, IAM, S3 e VPC.

As regiões Leste e Oeste dos EUA da AWS receberam várias autorizações de órgãos reguladores (Agency Authorizations) para o nível de impacto moderado. Os serviços cobertos são: EC2, EBS, IAM, Redshift, S3 e VPC.

Em resposta à política Cloud First, o Escritório de Administração do Orçamento (OMB) emitiu o FedRAMP Policy Memo para estabelecer o primeiro programa de autorização de segurança do governo para o FISMA. O FedRAMP é obrigatório para todos os órgãos federais dos EUA e todos os serviços na nuvem. O FedRAMP é importante porque aumenta:

  • A uniformidade e a confiança na segurança das soluções na nuvem usando os padrões definidos do NIST e do FISMA,
  • A transparência entre o governo do EUA e os provedores de nuvem,
  • A automação e o monitoramento contínuo praticamente em tempo real e
  • A adoção de soluções na nuvem seguras por meio da reutilização de avaliações e autorizações.

A política Cloud First exige que todos os órgãos federais usem o processo do FedRAMP para conduzir avaliações de segurança, autorizações, e monitoramento contínuo de serviços em nuvem. O gabinete do programa FedRAMP definiu 5 requisitos para a obtenção da conformidade do FedRAMP:

1. O provedor de serviços de nuvem (CSP) obteve Autorizações de Operação (ATO) de um órgão federal.

O CSP aplica os requisitos de controle de segurança do FedRAMP que estão em conformidade com a base de controle de segurança NIST 800-53, Rev. 4, para níveis de impacto moderado.

3. Todos os pacotes de segurança do sistema devem usar os modelos exigidos do FedRAMP.

4. O CSP foi avaliado por um auditor independente.

5. O pacote de avaliação de segurança concluído foi publicado no repositório seguro do FedRAMP.

Requisitos do FedRAMP

Existem três procedimentos para que os CSPs entrem em conformidade com o FedRAMP:

1. Procedimento para a obtenção de JAB Provisional Authorizations (JAB P-ATOs)

Os CSPs com um procedimento para a obtenção do FedRAMP P-ATO são revisados pelo PMO do FedRAMP, avaliados por um 3PAO acreditado pelo FedRAMP, e recebem um P-ATO de CIOs do DHS, do DOD e da GSA.

2. Procedimento para a obtenção de Agency FedRAMP Authorizations (A-ATOs)

Os CSPs com procedimento para a obtenção de uma Agency Authorization são examinados por um Agency CIO ou Delegated Authorizing Official(s) para atingir um ATO em conformidade com o FedRAMP, que tenha sido verificado pelo PMO do FedRAMP.

3. Procedimento dos pacotes disponibilizados pelo CSP

O CSP com um pacote fornecido pelo CSP enviou ao PMO do FedRAMP um pacote de avaliação de segurança completo, que foi avaliado por um 3PAO acreditado do FedRAMP

Conformidade da nuvem com o FedRAMP

Sim. A AWS oferece os seguintes sistemas em conformidade com o FedRAMP que receberam autorizações, abordaram os controles de segurança do FedRAMP (baseados no NIST SP 800-53), usaram os modelos do FedRAMP exigidos para os pacotes de segurança publicados no repositório seguro do FedRAMP, foram avaliados por um analista externo, independente e certificado (3PAO) e mantiveram os requisitos de monitoramento contínuo do FedRAMP:

A região AWS GovCloud (US) recebeu uma autorização de operação provisória Joint Authorization Board (JAB P-ATO) e várias autorizações de órgãos reguladores (A-ATO) para o nível de alto impacto. Os serviços no escopo do limite da autorização provisória Joint Authorization Board (JAB P-ATO) da região AWS GovCloud (US) na categorização de segurança High Baseline podem ser encontrados nos serviços da AWS no escopo pelo programa de conformidade. Para obter uma lista completa dos órgãos reguladores que emitiram uma ATO na região AWS GovCloud (EUA), acesse os sistemas em conformidade com o FedRAMP.

As regiões Leste e Oeste dos EUA da AWS receberam várias ATOs de órgãos reguladores para o nível de impacto moderado. Os serviços no escopo do limite de autorização das regiões Leste/Oeste dos EUA podem ser encontrados nos serviços da AWS no escopo pelo programa de conformidade. Para obter uma lista completa dos órgãos reguladores que emitiram uma ATO nas regiões Leste e Oeste dos EUA da AWS, acesse os sistemas em conformidade com o FedRAMP.

Não, não há aumento em custos de serviço em nenhuma região como consequência da conformidade da AWS com o FedRAMP.

Duas FedRAMP Agency ATOs diferentes foram emitidas, a primeira abrangendo a região AWS GovCloud (EUA) e a segunda abrangendo as regiões da AWS EUA Leste e Oeste.

Sim, hoje, vários órgãos governamentais e outras entidades que disponibilizam integração de sistemas e outros produtos e serviços para órgãos governamentais estão utilizando a ampla gama de serviços da AWS.

AWS FIPS
AWS CJIS
AWS FERPA
AWS DoD
Os serviços da AWS abrangidos que já estão no escopo do limite do FedRAMP e do SRG do DoD podem ser encontrados nos serviços da AWS no escopo pelo programa de conformidade. Se desejar saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato com a equipe de desenvolvimento de vendas e negócios da AWS.

Sim, os clientes podem avaliar a compatibilidade de suas cargas de trabalho com outros serviços da AWS. Entre em contato com o setor de Desenvolvimento de vendas e negócios da AWS para obter uma discussão detalhada sobre os controles de segurança e considerações de aceitação de risco.

Sim, os clientes podem avaliar a compatibilidade das suas cargas de trabalho de alto impacto com a AWS. No momento, o FedRAMP é aplicável somente para sistemas de computação em nuvem nos níveis de impacto baixo e moderado da FISMA. No entanto, a AWS já atende aos controles do NIST 800-53 High para os clientes que desejam expandir a base do NIST Moderate para criar aplicações e serviços da FISMA High, visando sustentar suas principais cargas de trabalho. Entre em contato com o setor de Desenvolvimento de vendas e negócios da AWS para obter uma discussão detalhada sobre os controles de segurança e as considerações de aceitação de risco.

A AWS disponibiliza uma ampla variedade de funcionalidades que podem ser usadas pelos nosso clientes para proteger seus dados de acordo com as diretrizes de segurança federais e do DoD. Analisamos continuamente nossas ferramentas de segurança atuais disponibilizadas aos clientes. Além disso, lançamos com frequência melhorias às funcionalidades de segurança de que dispomos no momento. Para mais informações e soluções de segurança para os seus dados na nuvem, consulte as seguintes informações de segurança da AWS:

Os clientes da AWS podem solicitar acesso aos pacotes de segurança do FedRAMP da AWS por meio do PMO do FedRAMP ou do seu gerente de contas do setor de vendas da AWS.

Os clientes de órgãos governamentais dos EUA podem solicitar acesso ao pacote de segurança do FedRAMP da AWS por meio do PMO do FedRAMP ao preencher um formulário de solicitação de acesso ao pacote, e enviá-lo para info@fedramp.gov, ou entrar em contato com o gerente de contas do setor de vendas.

Os parceiros e prospects da AWS também podem solicitar acesso ao pacote de segurança do FedRAMP de parceiros da AWS entrando em contato com o gerente de contas do setor de vendas da AWS.

Um agente de órgão regulador (AO) pode utilizar qualquer pacote de segurança do FedRAMP da AWS para revisar a documentação de apoio e tomar sua própria decisão baseada nos riscos e conceder uma autorização de órgão regulador ou ATO para a AWS. Os órgãos reguladores são responsáveis pela emissão de suas próprias ATOs na AWS e pela autorização geral de seus componentes de sistema que não estiverem cobertos na A-ATO da AWS. Para saber mais sobre o modelo de responsabilidade compartilhada da AWS, entre em contato com o gerente de contas do setor de vendas.

Ao usar a funcionalidade de segurança disponibilizada pela AWS e pelo nosso ecossistema de fornecedores, você pode controlar e monitorar como cria sistemas disponíveis para incorporar as políticas de gerenciamento de segurança, privacidade e/ou empresarial do seu órgão.

Veja o exemplo dos nossos clientes, parceiros e integradores de sistema. Leia sobre os benefícios que eles obtiveram com a AWS:

Blog

A Appian Cloud utiliza a infraestrutura da Amazon Web Services e a autorização do FedRAMP. Leia mais

Estudos de caso da AWS

US Department of State

US Food and Drug Administration (FDA)

US Centers for Disease Control and Prevention (CDC)

NASA/JPL's Desert Research and Training Studies

NASA JPL and Amazon SWF

NASA/JPL's Mars Curiosity Mission

Conformidade da AWS

Dentro do FedRAMP Concept of Operations (CONOPS – Conceito de Operações do FedRAMP), uma vez que uma autorização tenha sido concedida, a postura de segurança do CSP é monitorada de acordo com o processo de avaliação e autorização. Para receber novas autorizações de uma autorização do FedRAMP a cada ano, os CSPs devem monitorar os seus controles de segurança, avaliá-los regularmente e demonstrar que as condições da sua oferta de serviço de segurança é continuamente aceitável. Os órgãos federais usufruem do programa de monitoramento contínuo do FedRAMP e os Authorizing Officials (AO), e suas equipes designadas, serão responsáveis pela revisão da conformidade contínua da AWS. Os AOs e as suas equipes designadas revisarão os artefatos disponibilizados por meio do processo de monitoramento contínuo do AWS FedRAMP, como também pelas evidências da implementação de qualquer controle específico do órgão exigido além dos controles do FedRAMP continuamente. Para obter mais informações, consulte o programa ou política de segurança de sistemas de informação da sua agência ou órgão.

O PMO do FedRAMP declara que os ISAs não se destinam ao uso entre um provedor de serviços em nuvem e um órgão federal. Para obter mais informações, consulte o site do PMO do FedRAMP.

Para perguntas específicas sobre a compatibilidade com o FedRAMP, consulte o pacote para parceiros do FedRAMP da AWS no AWS Artifact. Se você tiver perguntas complementares específicas sobre a compatibilidade com o FedRAMP/DoD, envie um e-mail para awscompliance@amazon.com. Para consultar e falar sobre as cargas de trabalho/as arquiteturas da AWS, entre em contato com nosso representante de vendas para obter ajuda adicional.

Recursos do FedRAMP

 

Entre em contato conosco