Os serviços de infraestrutura de nuvem da AWS em conformidade com o NIST foram validados por testes de terceiros realizados em comparação com os requisitos de controles do NIST 800-53 Rev. 4 mais FedRAMP. A AWS recebeu Authorizations to Operate (ATO) do FedRAMP de várias agências de autorização para a região AWS GovCloud (US) e as regiões AWS Leste e Oeste dos EUA. Para obter mais informações, consulte os links a seguir:

•   Para obter uma listagem completa de agências de autorização para as regiões AWS Leste e Oeste, acesse este link

•   Para obter uma listagem completa de agências de autorização para a AWS GovCloud, acesse este link

•   Para obter informações sobre JAB P-ATO da AWS GovCloud na linha de base alta, acesse este link

Para obter mais informações sobre o programa FedRAMP na AWS, acesse a página da Web do FedRAMP.

Embora alguns controles sejam herdados especificamente da AWS, muitos deles são heranças compartilhadas entre você e a AWS. De acordo com o NDA, a AWS fornece um modelo AWS FedRAMP SSP com base no NIST 800-53 Rev. 4, que é pré-preenchido com a linha de base de controle baixa/moderada/alta do NIST 800-5 Rev. 4. Veja a seguir como é a responsabilidade de controle:

• Responsabilidade compartilhada: você fornecerá segurança e configurações dos seus componentes de software, e a AWS fornecerá segurança para sua infraestrutura.

• Responsabilidade apenas do cliente: você é totalmente responsável pelos sistemas operacionais convidados, aplicativos implantados e recursos de redes selecionados (por exemplo, firewalls). Mais especificamente, você é o único responsável por configurar e gerenciar a segurança “na” nuvem.

• Responsabilidade apenas da AWS: a AWS gerencia a infraestrutura de nuvem, incluindo a rede, o armazenamento físico de dados, os recursos do sistema, os datacenters, a segurança física e a confiabilidade, além de hardware e software de suporte. Os aplicativos criados no sistema da AWS herdam os recursos e as opções configuráveis que a AWS fornece. A AWS é a única responsável por configurar e gerenciar a segurança “da” nuvem.

Para fins de autorização de segurança, a conformidade com os requisitos do FedRAMP (com base na linha de base de controle baixa/moderada/alta do NIST 800-53 rev 4) depende de a AWS implementar totalmente os controles compartilhados e apenas da AWS e de você implementar os controles compartilhados e apenas do cliente. Uma 3PAO (Third Party Assessor Organization) credenciada pelo FedRAMP avaliou e autorizou a implementação da responsabilidade de controle da AWS. A parte dos controles compartilhados pela qual você é responsável e os controles relacionados aos aplicativos que você implementa na infraestrutura da AWS precisam ser avaliados e autorizados separadamente por você em concordância com o NIST 800-37 e com os procedimentos e políticas de autorização de segurança específicos do cliente.

Os sistemas que estavam em conformidade com o FedRAMP na AWS receberam autorizações, estavam em conformidade com os controles de segurança do FedRAMP (NIST SP 800-53), usavam os modelos obrigatórios do FedRAMP para os pacotes de segurança publicados no repositório seguro do FedRAMP, foram avaliados por um avaliador terceirizado independente (3PAO) credenciado e mantiveram requisitos de monitoramento contínuo do FedRAMP.

De acordo com o modelo de responsabilidade compartilhada da AWS, a AWS gerencia a segurança da nuvem, e você é responsável pela segurança na nuvem. Para oferecer suporte à sua implementação das responsabilidades compartilhadas, os Guias de início rápido da AWS (desenvolvidos pelo AWS CloudFormation) usam um único clique para automatizar a implantação das principais tecnologias na Nuvem AWS. Cada Guia de início rápido lança, configura e executa a computação da AWS, rede, armazenamento e outros serviços necessários à implantação de uma carga de trabalho na AWS que aborde a necessidade de atingir a conformidade com estruturas e padrões de segurança comuns, como PCI DSS e NIST 800-53.

Os Guias de início rápido simplificam, automatizam e implementam linhas de base seguras com conjuntos de regras abrangentes que podem ser aplicados sistematicamente. Por exemplo, a arquitetura padronizada para estruturas de garantia baseadas em NIST na Nuvem AWS O Guia de início rápido inclui modelos do AWS CloudFormation. Esses modelos podem ser integrados ao AWS Service Catalog para automatizar a criação de uma carga de trabalho de arquitetura de linha de base padronizada que esteja no escopo do NIST 800-53 (Revisão 4) e do NIST 800-171. O Guia de início rápido também inclui uma referência aos controles de segurança, que mapeia as decisões de arquitetura, os recursos e a configuração da linha de base dos controles de segurança. Esses controles podem ser usados para oferecer suporte aos seus esforços de conformidade na AWS de modo que faça sentido para os objetivos de conformidade e segurança da Nuvem AWS da sua organização.

As organizações dos setores públicos e comerciais podem usar este whitepaper para avaliar o ambiente da AWS de acordo com o CSF do NIST e melhorar as medidas de segurança implementadas e operadas (também conhecidas como segurança na nuvem). Disponibilizamos informações detalhadas sobre os produtos da Nuvem AWS, além de termos associado as responsabilidades do cliente e da AWS para facilitar o alinhamento com o CSF do NIST. O whitepaper também disponibiliza uma carta de um auditor externo certificando a conformidade dos produtos da Nuvem AWS com as práticas de gerenciamento de riscos do CSF do NIST (também conhecidas como segurança na nuvem), o que permite que as empresas protejam seus dados da melhor maneira na AWS.

Diversos tipos de empresas, de órgãos federais/estaduais a entidades regulamentadas e empresas de grande porte, podem usar esse whitepaper como guia de implementação de soluções da AWS para obter os resultados de gerenciamento de riscos contidos no CSF do NIST.