Savunma Bakanlığı Bulut Bilişim Güvenlik Gereksinimleri Kılavuzu
Genel Bakış
Giderek daha çok askeri müşteri ABD Savunma Bakanlığı (DoD) verilerini işlemek, depolamak ve iletmek için AWS hizmetlerinin kullanımını benimsemektedir. AWS savunma kurumlarının ve bu kurumların iş ortaklarının DoD verilerini işlemek, korumak ve depolamak için güvenli ortamlar oluşturmasına olanak tanır.
Savunma Bakanlığı (DoD) Bulut Bilişim Güvenlik Gereksinimleri Kılavuzu (SRG), bulut hizmeti sağlayıcılarının (CSP) DoD geçici yetkisi alıp DoD müşterilerine hizmet verebilmeleri için standartlaştırılmış bir değerlendirme ve yetkilendirme süreci sağlar. Savunma Bilgi Sistemleri Ajansı'ndan (DISA) alınan AWS geçici yetkisi, AWS'nin DoD standartlarıyla uyumluluğunu beyan eden yeniden kullanılabilir bir sertifika sağladığından, DoD misyon sahibinin sistemlerinden birini AWS'de çalıştırmak için değerlendirmeye ve yetkilendirmeye ayıracağı süre azaltılır. Düzey 2, 4, 5 ve 6 için güvenlik denetimi temellerinin tam tanımı dahil olmak üzere SRG hakkında daha fazla bilgi edinmek için DoD Bulut Bilişim Güvenliği web sayfasında bulunan Belge Kitaplığı bölümünü ziyaret edin.
Bir DoD müşterisi olarak, AWS uygulama ortamınızın içinde yer alan aşağıdaki DoD güvenlik yönergelerine uyumluluğu sağlamak sizin sorumluluğunuzdadır:
• Misyon sahibinin, AWS Cloud’da DoD ile Uyumlu Uygulamalar teknik incelemesinde açıklanan sorumlulukları
• Tüm ilgili işletim sistemi Güvenlik Teknik Uygulama Kılavuzları (STIG)
• Tüm ilgili uygulama STIG'leri
• DoD bağlantı noktası ve protokol yönergeleri (DoD Direktifi 8551.01)
AWS'nin altyapı, idare ve işletim ortamı FedRAMP ve DoD yetkilendirme süreçleri aracılığıyla değerlendirilmiş ve yetkilendirilmiştir. AWS altyapısında uygulama dağıtımı yapan bir müşteri olarak, fiziksel, çevre ve ortam korumamızla ilişkili güvenlik denetimlerini devralırsınız ve artık bu denetim aileleriyle nasıl uyumlu olduğunuzu ayrıntılarıyla açıklamak zorunda kalmazsınız. Kalan DoD Risk Yönetim Çerçevesi (RMF) denetimleri AWS ile müşteriler arasında paylaşılır ve her kuruluş paylaşılan BT güvenlik modelinin kendi bölümünde denetim uygulamasının sorumluluğunu üstlenir.
SSS
-
AWS güvenlik belgelerini ve yönergelerini nasıl inceleyebilirim?
DoD müşterilerimiz ve satıcılarımız sertifika ve akreditasyon çalışmalarına hız kazandırmak için FedRAMP ve DoD yetkilendirmelerimizden yararlanabilir. AWS'de barındırılan askeri sistemlerin yetkilendirmesini desteklemek amacıyla, uygun NIST 800-53 (Düzeltme 4) denetimleri ve DoD Bulut Bilişim SRG (Yayın 1, Sürüm 3) ile AWS uyumluluğunu doğrulayabilmeniz için DoD güvenlik personeli sağlarız.
DoD müşterilerimize AWS'yi bir DoD barındırma çözümü olarak kullanmaya yönelik güvenlik ve mevzuat uyumluluğu hakkında güvenlik yönergelerinden ve belgelerinden oluşturulmuş bir paket sunarız. Özellikle, NIST 800-53'e (Düzeltme 4) dayanan ve uygun FedRAMP ve DoD denetim temeliyle önceden doldurulmuş bir AWS FedRAMP SSP şablonu sağlarız. Şablonun içindeki devralınmış denetimler AWS tarafından önceden doldurulur; paylaşılan denetimler hem AWS hem de müşterinin sorunluluğundadır ve bazı denetimler de tamamen müşterinin sorumluluğundadır.
Askeri kurumlar ve DoD ile çalışan yükleniciler AWS Hesap Yöneticilerine başvurarak veya AWS Mevzuat Uyumluluğu Bize Ulaşın Formunu doldurup göndererek AWS güvenliği belgelerine erişim isteğinde bulunabilir. Kamu kurumu olmayan müşteriler (AWS çözüm ortakları gibi), AWS Artifact'i kullanarak AWS Çözüm Ortağı FedRAMP Güvenlik Paketi'ne erişim isteğinde bulunabilir.
-
AWS'ye geçerek nasıl bir değer elde ederim?
Kamu sektöründeki müşteriler için buluta geçişin güvenlik güvencesi düzeyinizi yükseltmek ve operasyonel riskinizi azaltmak için bir fırsat olduğuna inanıyoruz. AWS işletim ortamı ancak yüksek otomasyon düzeyleri tarafından desteklenen bir ortamda mümkün olabilecek bir güvenlik ve mevzuat uyumluluğu düzeyine sahip olmanıza olanak sağlar. Düzenli aralıklarla envanter çalıştıran ve "zamanın belirli bir noktasında" denetimler yapan geleneksel veri merkezleri yerine, AWS müşterileri sürekli olarak denetim yürütme becerisine sahip olur. Ortamınız üzerinde bu kadar yüksek bir görünürlük düzeyine sahip olmak, veri denetimini geliştirir ve yalnızca yetkili kullanıcıların erişebildiğine ilişkin güvenceyi koruma becerinizi artırır.
Örneğin, DoD misyon sahipleri programlama yoluyla DoD güvenlik ve mevzuat uyumluluğu yönergelerinin zorunlu tutulması sayesinde uygulamalar üzerinde daha yüksek denetim düzeyleri elde edebilir. AWS ile yaygın uygulama kullanım örneklerine yönelik önceden onaylanmış şablonlar oluşturabilir ve bu sayede yeni uygulamaların yetkilendirme süresini kısaltabilirsiniz. Şablonlar, uygulama sahiplerinin güvenlik grupları ve ağ ACL'leri gibi önemli güvenlik ayarlarını değiştirmemesini güvence altına almaya yardımcı olabilir ve STIG ile güçlendirilmiş makine görüntülerinin kullanımını zorunlu tutabilir. DoD güvenlik talimatlarının bu şekilde programlama yoluyla zorlanması manuel yapılandırma çalışmalarını azaltarak hatalı yapılandırma olasılığını düşürür ve DoD açısından genel olarak riski azaltır.
-
Misyon sahibi Çalıştırma Yetkilendirmesi'ni (ATO) nasıl elde edebilir?
Bir DoD misyon sahibi olarak, uygulamanızda geçerli olabilecek güvenlik denetimlerini nasıl hayata geçirdiğinizi bütünüyle tanımlayan bir yetkilendirme paketi hazırlamak sizin sorumluluğunuzdadır. Herhangi bir geleneksel yetkilendirme paketinde olduğu gibi, bir sistem güvenliği planıyla güvenlik denetimi temelinizi belgelemeli ve DoD kuruluşunuzdaki ilgili sertifika personeli tarafından bu planın ve uygulamasının incelenmesini sağlamalısınız. Bu inceleme kapsamında, sertifika personeliniz veya yetkilendirme sorumlunuz güvenlik denetimi uygulamasının baştan sonra bütüncül bir görünümünü elde etmek için AWS yetkilendirme paketini inceleyebilir. Yetkilendirme sorumlunuz güvenlik yetkilendirme paketinizi ve AWS güvenlik yetkilendirme paketlerini inceledikten sonra, uygulamanızla ilgili akreditasyon kararını vermek ve ATO sağlamak için gerekli bilgilere sahip olacaktır.
AWS'de çalışan DoD uygulaması sahiplerinin sorumluluğu hakkında daha fazla bilgi için, AWS Bulut'ta DoD Uyumluluğuna Sahip Uygulamalar teknik incelemesine bakın.
-
DoD Bulut Bilişim SRG neden önemlidir?
DoD Bulut Bilişim SRG, ABD Federal Hükümeti'nin bulut bilişim kullanımını artırma hedefini destekler ve DoD'nin bu hedefi desteklemesi için bir yol sağlar. 8 Şubat 2011'de Yönetim ve Bütçe Ofisi (OMB) federal hükümet genelinde tüm federal kurumların bulut teknolojilerini benimsemesi için yönergeleri belirleyen Federal Bulut Bilişim Stratejisi'ni hazırladı. Bu stratejinin ardından Aralık 2011'de açıklanan ve Federal Risk ve Yetkilendirme Yönetim Programı'nı (FedRAMP) oluşturan bir federal gereklilik geldi. FedRAMP düşük, orta ve yüksek risk etkisi düzeylerindeki federal kurum bulut dağıtımları ve hizmet modelleri için zorunludur.
Temmuz 2012'de DoD, DoD Enformasyon Müdürü tarafından (CIO) Bulut Bilişim Stratejisi'ni yayınlamıştır. Bu, Birleşik Bilgi Ortamı (JIE) ve DoD Kurumsal Bulut Ortamı'nı oluşturmuştur: "DoD Bulut Bilişim Stratejisi Bakanlığın tekrarlı, hantal ve yüksek maliyetli uygulama silolarının söz konusu olduğu bugünkü durumdan değişen misyon ihtiyaçlarına hızla yanıt veren çevik, güvenli ve uygun maliyetli bir hizmet ortamı içeren son duruma geçiş için bir yaklaşım getirir. DoD Enformasyon Müdürü (CIO), Bakanlıkta bulut bilişimin benimsenmesini hızlandırmaya kararlıdır..."
DoD Bulut Bilişim SRG, DoD'nin bulut hizmeti sağlayıcılarını (CSP) değerlendirirken standart bir yaklaşım oluşturmak için FedRAMP programından yararlanır.
-
AWS Bulut hizmetleri DoD gereksinimlerini karşılıyor mu?
Evet, AWS ABD Doğu ve ABD Batı Bölgeleri için Etki Düzeyi 2'de, AWS GovCloud (ABD) için Etki Düzeyleri 4 ve 5'te, AWS Gizli Bölgesi için de Etki Düzeyi 6'da bir bulut hizmeti sağlayıcısı olarak değerlendirilmiş ve kabul edilmiştir.
- Etki Düzeyi 2'de, ABD’de bulunan AWS Bölgeleri ABD Doğu/Batı ve AWS GovCloud (ABD), DISA tarafından değerlendirilmiş ve DoD gereksinimleriyle uyumlu olduğu gösterildikten sonra iki geçici yetki verilmiştir. AWS’nin DoD gereksinimleriyle uyumluluğunu sağlamak için, mevcut FedRAMP Ortak Yetkilendirme Kurulu (JAB) Geçici Çalışma Yetkimizden (P-ATO) yararlanılmıştır. Geçici yetkiler DoD kurumlarının AWS'nin güvenliğini ve AWS Bulut'ta çeşitli DoD veri dizilerini depolama, işleme ve koruma fırsatını değerlendirmesine olanak tanır.
- Etki Düzeyi 4 ve 5'te, AWS GovCloud'a (ABD) DoD müşterilerinin söz konusu SRG düzeylerine karşılık gelen gelişmiş denetim temelleriyle üretim uygulamaları dağıtmasına olanak tanımak için DISA'dan geçici yetki verilmiştir. Muhtemel Etki Düzeyi 4 veya Etki Düzeyi 5 uygulamaları olan DoD müşterilerinin onay sürecini başlatmak için DISA'ya başvurması gerekir.
- Etki Düzeyi 6'da, AWS Gizli Bölgesi Gizli düzeyine kadar olan (bu düzey de dahil) iş yükleri için DoD geçici yetkisine sahiptir. AWS Gizli Bölgesi için AWS Hesap Yöneticinizden bir hizmet kataloğu alabilirsiniz.
-
Hangi AWS Bölgeleri kapsam içindedir?
Geçici yetkilerimiz kıta ABD'si içinde AWS GovCloud (ABD) (Etki Düzeyleri 2, 4 ve 5), AWS ABD Doğu/Batı bölgeleri (Etki Düzeyi 2) ve AWS Gizli Bölgesi (Etki Düzeyi 6) dahil olmak üzere çeşitli bölgeleri kapsar.
-
DoD sistemlerinin hangi sınıflandırmaları AWS üzerine kurulabilir?
AWS'nin ABD Doğu ve ABD Batı Bölgeleri, Etki Düzeyi 2 için geçici yetkiye sahiptir; bu yetki misyon sahiplerinin bu AWS bölgelerinde hem AWS yetkisiyle hem de misyon uygulamasının ATO'suyla genel, sınıflandırılmamış bilgileri dağıtmasına izin verir. AWS GovCloud, Etki Düzeyleri 2, 4 ve 5 için geçici yetkiye sahiptir; bu yetki misyon sahiplerinin bu düzeylerin kapsamına giren tüm denetimli, sınıflandırılmamış bilgileri dağıtmasına izin verir. AWS Gizli Bölgesi Etki Düzeyi 6 için geçici yetkiye sahiptir ve bu yetki Gizli sınıflandırmasına kadar olan (bu sınıflandırma dahil) iş yüklerine izin verir.
-
Bu bir DoD misyon sahibi olarak benim için ne anlama geliyor?
Etki Düzeyi 2 geçici yetkilerimiz, DoD müşterilerinin kamuya açıklanmasına izin verilmiş veriler ve bazı DoD sınıflandırılmamış özel bilgileri de dahil olmak üzere iş yüklerinin dağıtımı için uyumlu AWS altyapımızı ve hizmetlerimizi kullanabilmelerini sağlar. DoD BT ortamınızı AWS'ye taşımanız, AWS tarafından sağlanan hizmet ve özelliklerle kendi mevzuat uyumluluğu gözetiminizi geliştirmenize de yardımcı olabilir.
AWS GovCloud (ABD) için Etki Düzeyi 4 ve 5 geçici yetkilerimiz, DoD müşterilerimizin üretim uygulamalarını AWS GovCloud (ABD) üzerine dağıtabileceği anlamına gelir. Bu yetki müşterilerin, DoD Bulut Bilişim SRG'nin Etki Düzeyleri 4 ve 5 ile uyumlu olması gereken iş yükleri için tasarım, geliştirme ve entegrasyon etkinliklerine katılmasına olanak tanır.
AWS Gizli Bölgesi için Etki Düzeyi 6 geçici yetkimiz, DoD müşterilerinin Gizli düzeye kadar olan (bu düzey de dahil) verileri depolamak, işlemek ve iletmek için hizmetlerimizi kullanabileceği anlamına gelir. Müşteriler yetkimizin Etki Düzeyi 6 ile tanımlanan tüm altyapı gereksinimlerini kapsadığına güvenebilir ve bu da denetimler ve güvenlik yönetimi de dahil olmak üzere kendi mevzuat uyumluluğu ve sertifika yönetimlerinde onlara yardımcı olur.
-
AWS geçici yetkilendirmesi misyon sahibinin ATO'sunu nasıl etkiler?
AWS'de bir uygulama çalıştırırken, paylaşılan güvenlik sorumluluğu yaklaşımıyla, azaltılmış bir güvenlik denetimleri tabanından DoD misyon sahibi sorumludur. AWS misyon sahiplerinin uygulamalarını ortaya koymaları için uygulanabilir güvenlik denetimlerine sahip güvenli bir barındırma ortamı sağlar, ama bu durum misyon sahibinin uygulamasını DoD güvenlik denetimleri ve mevzuat uyumluluğu politikasına uygun bir yoldan güvenli bir şekilde dağıtma, yönetme ve izleme sorumluluğunu ortadan kaldırmaz.
AWS'de çalışan DoD uygulaması sahiplerinin sorumluluğu hakkında daha fazla bilgi için, AWS Bulut'ta DoD Uyumluluğuna Sahip Uygulamalar teknik incelemesine bakın.
-
Başka AWS hizmetleri kullanılabilir mi?
Evet, müşteriler iş yüklerinin diğer AWS hizmetlerine uygun olup olmadığını değerlendirebilir. Her misyon sahibi, kullanmayı seçtiği hizmetlerimizden herhangi birinin riskini değerlendirme ve kabul etme olanağına sahiptir. Güvenlik denetimleri ve risk kabulünde dikkate alınacak noktalar hakkında daha fazla bilgi için AWS Mevzuat Uyumluluğu'na başvurun.
-
DoD uyumluluğu AWS hizmeti fiyatlarını artırır mı?
Hayır, AWS'nin mevzuat uyumluluğu programları hiçbir hizmetin maliyetlerinde artışa neden olmaz.
-
Şu anda AWS kullanan başka DoD varlıkları var mı?
Evet, birçok DoD kurumu ile DoD'ye sistem entegrasyonu ve başka ürün ve hizmetler sağlayan diğer kuruluşlar bugün çeşitli AWS hizmetlerini kullanmaktadır. AWS, AWS üzerindeki sistemler için DoD Çalışma Yetkileri (ATO) alan müşterilerinden birçoğunu açıklayamaz, ama AWS üzerindeki DoD iş yüklerinin planlanması, dağıtımı, sertifikalanması ve yetkilendirilmesi için müşterilerimizle ve onların denetçileriyle düzenli olarak çalışıyoruz.
-
ATO için sağlayıcının veri merkezinde fiziksel bir denetim gerekir mi?
Hayır. DoD müşterileri, FedRAMP üçüncü taraf değerlendirme kuruluşlarımızın (3PAO) yaptığı ve veri merkezlerimizin fiziksel güvenliğinin kapsamlı bir şekilde yerinde incelenmesini de içeren çalışmalara güvenebilir. DoD Bulut Bilişim SRG'ye uygun olarak, bir DoD müşterisi zaten yetkilendirilmiş bir hizmet sağlayıcının veri merkezini fiziksel olarak incelemeden Çalışma Yetkisi (ATO) alabilir.
-
Hangi AWS hizmetleri kapsam içindedir?
Kapsam içindeki hizmetlerin tam listesi için, Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri web sayfasını ziyaret edin.