Руководство по соблюдению требований к безопасности Министерства обороны США для облачных вычислений
Обзор
Все больше клиентов из военной сферы выбирают сервисы AWS для обработки, хранения и передачи данных Министерства обороны (МО) США. AWS предоставляет оборонным организациям и их деловым партнерам возможность создавать защищенную среду AWS для обработки, обслуживания и хранения данных МО США.
В Руководстве по соблюдению требований к безопасности (SRG) Министерства обороны (МО) США для облачных вычислений описан стандартизированный процесс оценки и авторизации, позволяющий поставщикам облачных сервисов (CSP) получить предварительную авторизацию МО США для обслуживания клиентов МО. Предварительная авторизация AWS от Агентства защиты информационных систем (DISA) предоставляет нам сертификат многократного использования, подтверждающий соответствие стандартам МО США. Для владельцев миссий МО это сокращает время на оценку и авторизацию той или иной системы для работы в облаке AWS. Дополнительные сведения о руководстве SRG, включая полное определение возможностей управления безопасностью для уровней Level 2, 4, 5 и 6, см. в разделе Document Library на странице DoD Cloud Computing Security.
При работе с МО США клиенты AWS несут ответственность за выполнение рекомендаций МО по вопросам обеспечения безопасности для приложений в среде AWS, включая перечисленные ниже.
• Обязанности владельца миссии, определенные в техническом описании Реализация соответствия требованиям МО США в облаке AWS.
• Требования всех соответствующих руководств по техническому обеспечению безопасности операционных систем.
• Требования всех соответствующих руководств по техническому обеспечению безопасности приложений.
• Руководство МО США по портам и протоколам (Инструкция МО США 8551.01).
По итогам проверки инфраструктуры, организации управления и операционной среды AWS в соответствии с процессами получения авторизации FedRAMP и МО США соответствующая авторизация была получена. Клиент, развертывающий приложение в инфраструктуре AWS, получает в распоряжение все средства контроля безопасности, которые относятся к обеспечению физической безопасности, безопасности среды и носителей информации. При этом он уже не обязан предоставлять подробное описание мер соблюдения требований для указанных систем контроля. Остальные инструменты инфраструктуры управления рисками МО (RMF) совместно используются AWS и ее клиентами, при этом клиенты каждой организации самостоятельно несут ответственность за реализацию систем управления в пределах своей части общей модели информационной безопасности.
Вопросы и ответы
-
Как просмотреть документацию и руководства по безопасности AWS?
Клиенты МО и поставщики могут использовать полученную нами авторизацию FedRAMP и МО США, чтобы ускорить прохождение собственной сертификации и аккредитации. В целях поддержки авторизации военных систем, размещенных на AWS, мы предоставляем специалистам МО США по вопросам безопасности документацию, служащую для подтверждения соблюдения AWS требований в соответствии с применимыми положениями стандарта NIST 800-53 (ред. 4) и Руководства по соблюдению требований к безопасности (SRG) МО США для облачных вычислений (версия 1, выпуск 3).
Мы предоставляем клиентам, связанным с МО США, пакет руководств по безопасности и документации по обеспечению безопасности и соответствия требованиям при использовании AWS для размещения решений МО США. В частности, мы предлагаем шаблон AWS FedRAMP SSP, основанный на NIST 800-53 (ред. 4), в который включены соответствующие базовые настройки безопасности FedRAMP и МО США. Настройки безопасности, наследуемые из шаблона, предварительно применяются AWS; за общие настройки безопасности отвечают как AWS, так и клиент; за конкретные настройки безопасности полностью отвечает клиент.
Военные организации или подрядчики, сотрудничающие с МО США, могут запросить доступ к документации AWS по безопасности, связавшись с персональным менеджером AWS или заполнив форму для связи с AWS по вопросам соответствия требованиям. Клиенты из числа неправительственных организаций, такие как партнеры AWS, могут загрузить пакет безопасности, авторизованный FedRAMP для партнеров AWS, через AWS Artifact.
-
Какие преимущества я получаю в результате миграции на платформу AWS?
Мы считаем, что для государственных клиентов миграция в облако – это возможность повысить уровень безопасности и сократить операционные риски. Рабочая среда AWS позволяет клиентам реализовать уровень безопасности и соответствия нормативным требованиям, который возможен только в среде с высоким уровнем автоматизации. Вместо периодических проверок и точечных аудитов, выполняемых при работе с традиционными центрами обработки данных, в среде AWS клиенты получают возможность вести непрерывный аудит своих систем. Получение такого уровня прозрачности в используемой среде повышает уровень контроля данных и позволяет сохранять уверенность в том, что доступ к ним имеют только авторизованные пользователи.
Например, владельцы миссий МО могут реализовать более высокий уровень контроля для своих приложений с помощью принудительного программного применения инструкций МО США по обеспечению безопасности и соответствия требованиям. С помощью AWS можно создать предварительно утвержденные шаблоны для типовых примеров использования приложений и сократить время, необходимое для авторизации новых приложений. Использование таких шаблонов гарантирует, что владельцы приложений не смогут изменить важные настройки безопасности, например группы безопасности и списки контроля доступа сети. Кроме того, организации могут обеспечить принудительное использование образов машин, соответствующих требованиям Руководства по технической реализации мер обеспечения безопасности (STIG). Это принудительное обеспечение соблюдения рекомендаций по безопасности МО США на программном уровне снижает объем ручной настройки, помогая сократить количество случаев неправильной конфигурации и уменьшить общий риск для МО США.
-
Как владелец миссии получает разрешение на ведение деятельности (ATO)?
Являясь владельцем миссии МО, вы несете ответственность за создание пакета авторизации, который полностью определяет реализацию средств управления безопасностью, применимых к конкретному приложению. Как и в случае использования любого традиционного пакета авторизации, необходимо будет задокументировать базовую схему управления безопасностью с планом обеспечения безопасности системы и обеспечить проверку этого плана и его реализацию соответствующим сертифицированным специалистом из соответствующей организации МО США. В рамках этой проверки ваш сертифицированный специалист либо уполномоченный представитель может проверить пакет авторизации AWS, чтобы получить целостное представление о реализации мер контроля безопасности. После проверки вашего пакета авторизации безопасности и пакетов авторизации безопасности AWS уполномоченный представитель получит всю информацию, необходимую для принятия решения об аккредитации приложения и предоставления разрешения на ведение деятельности (ATO).
Подробнее об ответственности владельцев приложений МО США, работающих на AWS, см. в техническом описании Реализация соответствия требованиям МО США в облаке AWS.
-
В чем заключается важность SRG МО США для облачных вычислений?
SRG МО США для облачных вычислений поддерживает конечную задачу правительства США, предполагающую расширение использования облачных вычислений, и предоставляет МО средства для достижения этой цели. 8 февраля 2011 года Административно-бюджетное управление (АБУ) США определило Федеральную стратегию использования облачных вычислений, которая установила для всех федеральных агентств порядок внедрения облачных технологий, единый для всех федеральных органов власти. Вслед за этой стратегией в декабре 2011 года было выпущено федеральное требование, определяющее Федеральную программу управления рисками и авторизацией (FedRAMP). Требования FedRAMP являются обязательными для облачных развертываний и сервисных моделей федеральных агентств с низким, средним и высоким уровнем риска.
В июле 2012 года МО США опубликовало свою стратегию облачных вычислений, созданную под руководством начальника информационного управления МО. В ней дается определение объединенной информационной среды (JIE) и корпоративной облачной среды МО: «Стратегия облачных вычислений МО предлагает подход, позволяющий осуществить переход от текущей инфраструктуры Министерства, представляющей собой набор дублирующихся громоздких и дорогостоящих хранилищ приложений, к конечному состоянию, представляющему собой гибкую, надежную и экономичную сервисную среду, которая может быстро реагировать на изменение потребностей миссии. Начальник информационного управления МО стремится к ускорению внедрения облачных вычислений в Министерстве...»
SRG МО США для облачных вычислений использует программу FedRAMP как средство определения стандартизированного подхода к проверке поставщиков облачных сервисов (CSP) для МО.
-
Соответствуют ли сервисы AWS Cloud требованиям МО США?
Да. AWS была проверена и сертифицирована в качестве поставщика облачных сервисов на уровне Impact Level 2 для регионов Восток и Запад США, на уровнях Impact Level 4 и Impact Level 5 для региона AWS GovCloud (США) и на уровне Impact Level 6 для AWS Secret Region.
- Регионы AWS в США (Восток, Запад и AWS GovCloud) были проверены DISA и получили предварительную авторизацию Impact Level 2, подтвердив соответствие требованиям МО США. Соответствие AWS требованиям МО США было достигнуто путем использования предварительного разрешения на ведение деятельности (P-ATO) от объединенного совета по авторизации FedRAMP (JAB). Предварительная авторизация позволяет подразделениям МО США оценить безопасность AWS и возможность хранения, обработки и обслуживания массивов разнообразных данных МО в облаке AWS.
- Региону AWS GovCloud (США) выдана предварительная авторизация DISA Impact Level 4 и 5, позволяющая клиентам МО США развертывать рабочие приложения с улучшенными возможностями управления, соответствующими аналогичным уровням SRG. Клиентам МО США с приложениями, потенциально относящимися к Impact Level 4 или Impact Level 5, следует обратиться в DISA, чтобы начать процесс подтверждения.
- Регион AWS Secret Region получил предварительную авторизацию МО США уровня Impact Level 6 для рабочих нагрузок вплоть до уровня «секретно». Каталог сервисов региона AWS Secret Region можно получить у менеджера AWS по работе с клиентами.
-
На какие регионы AWS это распространяется?
Предварительная авторизация распространяется на несколько регионов континентальной части Соединенных Штатов, включая AWS GovCloud (США) (Impact Level 2, 4 и 5), регионы AWS Восток и Запад США (Impact Level 2) и AWS Secret Region (Impact Level 6).
-
Какие классы систем МО США можно размещать на AWS?
Для регионов AWS Восток и Запад США имеется предварительная авторизация Impact Level 2, которая позволяет владельцам миссий развертывать в этих регионах AWS публичную несекретную информацию как с авторизацией AWS, так и c разрешением на ведение деятельности (ATO) приложения миссии. Для AWS GovCloud имеется предварительная авторизация уровней Impact Level 2, 4 и 5, которая позволяет владельцам миссий развертывать полный спектр категорий контролируемой несекретной информации, соответствующей этим уровням. AWS Secret Region имеет предварительную авторизацию для Impact Level 6, в нем можно запускать рабочие нагрузки с классификацией вплоть до уровня «секретно».
-
Что это значит для меня как для владельца миссии МО?
Предварительная авторизация уровня Impact Level 2 позволяет клиентам МО США использовать соответствующую требованиям инфраструктуру и сервисы AWS для развертывания рабочих нагрузок, в том числе с данными, разрешенными для открытой публикации, а также с закрытыми несекретными данными МО США. Перенос ИТ-среды МО США в AWS может способствовать повышению внутреннего контроля над обеспечением соответствия требованиям благодаря сервисам и возможностям AWS.
Предварительная авторизация уровней Impact Level 4 и 5 для AWS GovCloud (США) означает, что наши клиенты из МО США могут развертывать свои рабочие нагрузки в регионе AWS GovCloud (США). Такая авторизация позволяет клиентам заниматься проектированием, разработкой и интеграцией рабочих нагрузок, для которых необходимо соответствие требованиям SRG МО США для облачных вычислений уровня Impact Level 4 и 5.
Предварительная авторизация Impact Level 6 для AWS Secret Region означает, что клиенты МО США могут использовать наши сервисы для хранения, обработки или передачи данных с уровнем вплоть до «секретно». Клиенты могут положиться на нашу авторизацию для подтверждения соответствия инфраструктуры всем требованиям, определенным для Impact Level 6. Это помогает им решать собственные задачи соответствия требованиям и сертификации, включая проведение аудитов и управление безопасностью.
-
Как предварительная авторизация AWS влияет на разрешение на ведение деятельности для владельца миссии?
Когда работа приложения в AWS осуществляется в рамках общей модели ответственности за безопасность, владелец миссии МО несет ответственность за снижение требований к базовым средствам управления безопасностью. AWS предоставляет владельцам миссий защищенную среду с соответствующими инструментами управления безопасностью для размещения приложений, но не освобождает владельца миссии от ответственности, связанной с выполнением задач по обеспечению безопасного развертывания, мониторинга своих приложений и управления ими в соответствии с требованиями к управлению безопасностью и политикой соответствия МО США.
Подробнее об ответственности владельцев приложений МО США, работающих на AWS, см. в техническом описании Реализация соответствия требованиям МО США в облаке AWS.
-
Можно ли использовать другие сервисы AWS?
Да. Клиенты могут оценивать свои рабочие процессы с точки зрения целесообразности применения других сервисов AWS. Каждый владелец миссии имеет право оценивать и принимать риски любых наших сервисов, которые он захочет использовать. Для получения дополнительной информации о средствах управления безопасностью и оценки рисков заполните форму на странице Соответствие AWS требованиям.
-
Увеличит ли соответствие требованиям МО США цены на сервисы AWS?
Нет. Программы соответствия AWS требованиям тех или иных стандартов не повышают стоимость сервисов AWS.
-
Используют ли сейчас платформу AWS другие подразделения МО США?
Да. Многие подразделения МО США и другие организации, предоставляющие сервисы в сфере интеграции систем и прочие продукты и сервисы для МО, уже используют многие сервисы AWS. AWS не может раскрывать информацию о многих своих клиентах, получивших разрешение на ведение деятельности (ATO) для систем на платформе AWS, но регулярно взаимодействует с этими клиентами и их экспертами по вопросам планирования, развертывания, сертификации и аккредитации их рабочих процессов на AWS.
-
Для получения разрешения на ведение деятельности требуется физическое ознакомление с центром обработки данных поставщика услуг?
Нет. Клиенты МО США могут опираться на результаты работы, выполненной сторонними проверяющими организациями (3PAO) FedRAMP, которые включают расширенный обзор физической защиты наших ЦОД на местах. Согласно SRG МО США для облачных вычислений, клиент МО США может получить разрешение на ведение деятельности (ATO) без физического ознакомления с центром обработки данных поставщика сервисов, если для этого центра уже получены авторизации.
-
На какие сервисы AWS это распространяется?
Полный список сервисов, обеспечивающих соответствие требованиям, можно найти на странице Сервисы AWS в программе обеспечения соответствия.