Все больше заказчиков из числа военных организаций выбирают облачные сервисы AWS для обработки, хранения и передачи данных Министерства обороны (МО) США.
AWS позволяет военным организациям и их деловым партнерам использовать защищенную среду AWS для обработки, обслуживания и хранения данных МО США. AWS получила предварительную авторизацию от Агентства защиты информационных систем (DISA)
AWS поддерживает две среды, на которые распространяется действие предварительной авторизации МО США: регионы Восток США и Запад США, а также регион AWS GovCloud (США) (подробнее см. ниже в разделе «Вопросы и ответы»).
- Для регионов Восток США и Запад США получена предварительная авторизация МО США Impact Level (IL) 2. Список сервисов AWS в регионах Восток США и Запад США, на которые распространяется руководство по соблюдению требований к безопасности (SRG) МО США уровня IL 2, можно найти на странице Сервисы AWS в программе обеспечения соответствия.
- Для региона AWS GovCloud (США) получена предварительная авторизация Impact Level 2 и 4. Список сервисов AWS в регионе GovCloud (США), на которые распространяется руководство по соблюдению требований к безопасности (SRG) МО США уровней IL 2 и IL 4, можно найти на странице Сервисы AWS в программе обеспечения соответствия.
Являясь клиентом МО США, вы тоже несете ответственность за соответствие требованиям рекомендаций МО по вопросам обеспечения безопасности в своей среде приложений AWS, включая перечисленные ниже.
• Требования к владельцу миссии, определенные в документе DoD Cloud Computing Security Requirements Guide (SRG).
• Требования всех соответствующих руководств по техническому обеспечению безопасности операционных систем.
• Требования всех соответствующих руководств по техническому обеспечению безопасности приложений.
• Требования руководства по портам и протоколам МО США (инструкция DoDI 8551.01).
По итогам проверки инфраструктуры, организации управления и операционной среды AWS были получены разрешения на их использование в соответствии с процессами получения разрешений FedRAMP и МО США. Клиент, развертывающий приложение в инфраструктуре AWS, получает доступ ко всем средствам управления безопасностью, которые относятся к обеспечению физической безопасности, безопасности среды и носителей информации, при этом больше не требуется обеспечивать подробное подтверждение соблюдения требований для указанных средств управления безопасностью. Остальные инструменты инфраструктуры управления рисками МО распределены между AWS и ее клиентами, поскольку каждая организация несет ответственность за использование этих средств управления в пределах своей части общей модели информационной безопасности.
Являясь клиентом AWS, вы несете ответственность за разработку, развертывание и мониторинг своей среды AWS и приложений, а также управление ими, используя для этого возможности AWS и решения сторонних разработчиков, включая собственные служебные программы, ПО и приложения. С помощью функциональных возможностей обеспечения безопасности, предоставленных AWS и нашим сообществом поставщиков, можно создавать высокодоступные системы с возможностью мониторинга и строгого контроля на предмет соответствия политикам организации.
Клиенты МО и поставщики могут использовать полученную нами авторизацию FedRAMP и МО США, чтобы ускорить прохождение собственной сертификации и аккредитации. В целях поддержки авторизации военных систем, размещенных на платформе AWS, мы предоставляем специалистам МО по вопросам безопасности нашу документацию по безопасности в качестве средства проверки безопасности и подтверждения соблюдения AWS требований в соответствии с применимым стандартом NIST 800-53 ред. 4 и Руководством по соблюдению требований к безопасности (SRG) МО США для облачных вычислений.
Для поддержки клиентов, связанных с МО, мы предоставляем пакет документации и руководств по безопасности для улучшения понимания принципов безопасности и соответствия требованиям при использовании AWS в качестве хостингового решения для МО США. В частности, мы предлагаем шаблон AWS FedRAMP SSP, основанный на NIST 800-53 v4, в который предварительно включены соответствующие базовые настройки безопасности FedRAMP и МО США. Настройки безопасности, наследуемые из шаблона, предварительно применяются AWS; за общие настройки безопасности отвечают как AWS, так и клиент; за конкретные настройки безопасности полностью отвечает клиент.
Чтобы запросить доступ к документации AWS по обеспечению безопасности для клиентов МО США, военных организаций или подрядчиков, работающих с МО, обратитесь в отдел AWS по продажам и развитию бизнеса или свяжитесь непосредственно с нашей группой, отправив письмо на электронный адрес awscompliance@amazon.com.
Наши государственные заказчики быстро поняли, что миграция в облако – это возможность повысить уровень безопасности и уменьшить эксплуатационные риски. Рабочая среда AWS позволяет клиентам реализовать уровень безопасности и соответствия, который возможен только в среде, где поддерживается высокий уровень автоматизации. С AWS клиенты получают возможность проводить аудит непрерывно, а не периодическую инвентаризацию и аудит своей среды на момент времени, как большинство заказчиков МО, использующих традиционные центры обработки данных. Обладая средой с таким уровнем наглядности, вы сразу повышаете уровень контроля данных и свою способность гарантировать, что получить доступ к ним смогут только авторизованные пользователи.
Владельцы миссий МО могут реализовать более высокий уровень контроля приложений с помощью принудительного программного применения инструкций МО по обеспечению безопасности и соответствия требованиям. Используя функциональные возможности AWS, можно создать предварительно утвержденные шаблоны для типовых примеров использования приложений и сократить время, необходимое для авторизации новых приложений. Используя такие шаблоны, организации МО получают гарантии того, что владельцы приложений не смогут изменить важные настройки безопасности, такие как группы безопасности и списки управления доступом к сети; кроме того, организации могут обеспечить принудительное использование образов машин, безопасность которых усилена по методологии STIG. Принудительное программное применение инструкций по обеспечению безопасности МО уменьшает количество необходимых ручных настроек, выполняемых системными администраторами, значительно уменьшая вероятность неправильной конфигурации и, как следствие, снижая общий риск для МО. Наши федеральные клиенты уже получили более высокий уровень обеспечения безопасности в AWS.
Использование AWS в целях управления рисками и соблюдения требований является непосредственным преимуществом и для клиентов, работающих по другим программам соответствия требованиям.
• Соответствие требованиям HIPAA. У компании Claritas Genomics был ограниченный бюджет, при этом требовались недорогие ИТ-ресурсы, которые позволили бы обеспечить соответствие требованиям HIPAA.
• Соответствие требованиям финансовых сервисов. Под воздействием постоянно увеличивающихся объемов данных рынков и меняющихся правил регулирования компания FINRA перешла на AWS.
• Соответствие требованиям финансовых сервисов. NASDAQ потребовалась возможность предоставлять регулирующим органам доступ к более подробной финансовой информации.
Регион AWS GovCloud (США) получил предварительную авторизацию МО США Level 4 по облачным вычислениям
SRG МО США было опубликовано для обеспечения стандартизированного процесса оценки и авторизации для провайдеров облачных сервисов с целью получения предварительной авторизации МО, которую впоследствии могут использовать заказчики МО. При предварительной авторизации по рекомендациям МО США организация получает сертификат многократного использования, подтверждающий соответствие стандартам МО США. Для владельцев миссий МО США это сокращает время на оценку и авторизацию той или иной системы для работы на платформе AWS. Дополнительные сведения о SRG, включая полное определение базовых показателей управления безопасностью, определенных для Level 2, 4, 5 и 6, можно найти здесь.
Являясь владельцем миссии МО, вы несете ответственность за создание пакета авторизации, который полностью определяет вашу реализацию средств управления безопасностью, применимых к вашему приложению. Как и в случае использования любого традиционного пакета авторизации, вам необходимо задокументировать базовую схему управления безопасностью с планом обеспечения безопасности системы и обеспечить проверку этого плана и его реализацию соответствующим сертифицированным специалистом из вашей организации МО. В рамках этой проверки ваш сертифицированный специалист или ваш уполномоченный представитель может захотеть проверить пакет авторизации AWS в рамках проверки вашего приложения, чтобы получить представление о реализации контроля безопасности в целом, от начала и до конца. После проверки пакетов авторизации безопасности AWS и владельца миссии ваш уполномоченный представитель получит всю информацию, необходимую для принятия решения об аккредитации вашего приложения и предоставления разрешения на его использование.
Для получения дополнительной информации об ответственности владельцев приложений МО, работающих в AWS, см. техническое описание «Реализация соответствия требованиям МО США в облаке AWS».
Являясь поставщиком облачных услуг, который уже авторизован МО, платформа AWS обязана пройти проверку соответствия требованиям FedRAMP и проверку соответствия требованиям, установленных в SRG. AWS прошла эту проверку и получила полную предварительную авторизацию IL 4, позволяющую владельцам миссий выполнять миграцию рабочих нагрузок, включая перечисленные ниже.
- Экспорт контролируемых данных.
- Персональные данные.
- Закрытая медицинская информация.
- Прочая информация, требующая явного указания категории контролируемой неклассифицированной информации (CUI):
- только для служебного пользования;
- для служебного пользования;
- имеющая отношение к правоохранительным органам;
- информация об объектах жизнеобеспечения;
- конфиденциальная информация по вопросам безопасности.
SRG поддерживает конечную задачу государственного значения, предполагающую расширение использования облачных вычислений, и предоставляет МО средства для достижения этой цели. 8 февраля 2011 года Административно-бюджетное управление (АБУ) США определило Федеральную стратегию использования облачных вычислений, которая установила для всех федеральных агентств порядок внедрения облачных технологий, единый для всех федеральных органов власти. Вслед за этой стратегией в декабре 2011 года было выпущено федеральное требование, определяющее Федеральную программу управления рисками и авторизацией (FedRAMP). Требования FedRAMP являются обязательными для облачных развертываний и сервисных моделей федеральных агентств с низким, средним и высоким уровнем риска.
В июле 2012 года МО США определило свою стратегию облачных вычислений, созданную под руководством начальника информационного управления МО. В ней дается определение объединенной информационной среды (JIE) и корпоративной облачной среды МО: «Стратегия облачных вычислений МО предлагает подход, позволяющий осуществить переход от текущей инфраструктуры Министерства, представляющей собой набор дублирующих, громоздких и дорогостоящих хранилищ приложений, к конечному состоянию, представляющему собой гибкую, надежную и экономически эффективную среду сервисов, которая может быстро реагировать на изменение потребностей миссии. Начальник информационного управления МО выступает за ускорение внедрения облачных вычислений в Министерстве...».
SRG МО использует программу FedRAMP как средство определения стандартизированного подхода к проверке поставщиков облачных услуг для МО. Платформа AWS была проверена и одобрена в рамках программы FedRAMP, для нее было выданы многочисленные разрешения на ведение деятельности со средним уровнем риска в регионах Восток и Запад США, а также предварительное разрешение объединенного аттестационного комитета (JAB) FedRAMP на ведение деятельности с высоким уровнем риска (pATO) в регионе AWS GovCloud (США). Подробные сведения о соответствии платформы AWS требованиям FedRAMP можно найти на странице вопросов и ответов по FedRAMP.
Да, платформа AWS была проверена и одобрена в качестве поставщика облачных сервисов уровня IL 2 (регионы Восток и Запад США) и уровня IL 4 (регион AWS GovCloud (США)).
• Все регионы AWS в США (Восток США, Запад США и AWS GovCloud) были проверены DISA и получили предварительную авторизацию Level 2, подтвердив соответствие требованиям МО США. Соответствие AWS требованиям МО было достигнуто за счет использования имеющихся у нас разрешений на ведение деятельности и разрешений на ведение деятельности с высоким уровнем риска с высокими базовыми стандартами от агентства FedRAMP. Предварительная авторизация позволяет подразделениям МО оценить безопасность платформы AWS и возможность хранения, обработки и обслуживания массивов разнообразных данных МО в облаке AWS.
• Региону AWS GovCloud (США) была выдана предварительная авторизация DISA уровня Level 4, позволяющая клиентам МО США развертывать рабочие приложения с улучшенным возможностями управления, соответствующими аналогичным уровням SRG. Клиентам МО США с приложениями, потенциально относящимися к IL 4, следует обратиться в DISA, чтобы начать процесс подтверждения.
Наши предварительные авторизации распространяются на все регионы в пределах континентальной части США, включая AWS GovCloud (Level 2 и Level 4) и регионы AWS Восток США и Запад США (Level 2).
Для регионов Восток США и Запад США имеется предварительная авторизация Level 2, которая позволяет владельцам миссии развертывать публичную неклассифицированную информацию в этих регионах как с авторизацией AWS, так и c разрешением на ведение деятельности приложения миссии. Для региона AWS GovCloud (США) теперь имеется предварительная авторизация Level 2 и Level 4, которая позволяет владельцам миссий развертывать полный спектр категорий контролируемой неклассифицированной информации, соответствующей этим уровням.
Авторизации подтверждают нашу постоянную приверженность обеспечению безопасности наших сервисов для клиентов. Прохождение процесса авторизации подтверждает, что мы выполняем требования SRG МО США относительно элементов управления безопасностью и что наши методы управления соответствуют рекомендациям МО. AWS была проверена на соответствие уровню IL4 SRG и получила предварительную авторизацию уровня IL 4 от агентства DISA.
Наличие у нас предварительной авторизации Level 2 означает, что клиенты МО, которые пользуются нашими сервисами для хранения, обработки или передачи данных МО, могут использовать эту авторизацию инфраструктуры AWS, соответствующей всем требованиям для Level 2, в процессе управления своими собственными процессами проверки соответствия требованиям и сертификации, включая аудит и управление безопасностью. Перенос ИТ-среды МО на платформу AWS может способствовать улучшению контроля за обеспечением соответствия требованиям благодаря сервисам и возможностям платформы AWS.
Предварительная авторизация AWS Level 4 для региона AWS GovCloud (США) означает, что наши клиенты из МО США могут развертывать свои рабочие нагрузки в регионе AWS GovCloud (США). Авторизация позволяет клиентам заниматься деятельностью по проектированию, разработке и интеграции для рабочих нагрузок, которые должны соответствовать требованиям SRG Level 4 для облачных вычислений МО США.
Когда работа приложения в AWS осуществляется в рамках совместного обеспечения безопасности, владелец миссии МО несет ответственность за ухудшение состояния базовых средств управления безопасностью. Платформа AWS предоставляет владельцам миссий защищенную среду с соответствующими средствами управления безопасностью для размещения их приложений, но не освобождает владельца миссии от ответственности, связанной с выполнения задач, связанных с обеспечением безопасного развертывания, управления и мониторинга своих приложений в соответствии со средствами управления безопасностью и политикой соответствия МО.
Для получения дополнительной информации об ответственности владельцев приложений МО, работающих в AWS, см. техническое описание «DoD Compliant Implementations in the AWS Cloud». В ближайшее время в это техническое описание будут внесены изменения для соответствия SRG.
Да. Клиенты могут оценить свои рабочие процессы с точки зрения целесообразности применения других сервисов AWS. Каждый владелец миссии имеет право оценивать и принимать риски любых наших сервисов, которые он захочет использовать. Для получения подробных сведений о средствах управления безопасностью и для обсуждения рисков свяжитесь с отделом AWS по продажам и развитию бизнеса.
Нет. Соответствие платформы AWS требованиям определенных программ не повышает стоимость ни одного из сервисов AWS.
Да. Многие подразделения МО и другие организации, предоставляющие сервисы в сфере интеграции систем и прочие продукты и сервисы для МО, уже используют широкий перечень сервисов AWS. AWS не может раскрыть информацию о многих своих клиентах, получивших разрешение на ведение деятельности для систем на платформе AWS, но регулярно взаимодействует с этими клиентами и их экспертам по вопросам планирования, развертывания, сертификации и аккредитации их рабочих процессов на платформе AWS.
Нет. В соответствии с SRG МО США клиент МО получает разрешение на ведение деятельности без физического ознакомления с центром обработки данных поставщика услуг путем использования наших авторизаций. Клиенты МО могут опираться на результаты работы, выполненной сторонними проверяющими организациями (3PAO) FedRAMP, которые включают расширенный обзор физической защиты наших ЦОД на местах.
Чтобы запросить доступ к сопутствующей документации AWS, отправьте запрос в группу AWS по продажам и развитию бизнеса.
Полный список сервисов, обеспечивающих соответствие требованиям, можно найти на странице Сервисы AWS в программе обеспечения соответствия.
