FedRAMP

Genel Bakış

ABD Federal Hükümeti hizmetleri Amerikan halkına en yenilikçi, güvenli ve uygun maliyetli yöntemlerle sağlama konusunda kararlıdır. Federal hükümetin operasyonel verimliliklere ulaşmasında ve ülke çapında misyonunu ileriye taşımaya yönelik yenilikleri yapmasında bulut bilişim kilit bir rol oynar. İşte bu nedenle bugün birçok federal kurum federal hükümetin verilerini işlemek, depolamak ve iletmek için AWS bulut hizmetlerini kullanır.

  • Federal Risk ve Yetkilendirme Yönetim Programı (FedRAMP), bulut ürünleriyle hizmetleri için güvenlik değerlendirmesi, yetkilendirme ve sürekli izleme çalışmalarına standart bir yaklaşım getiren ve tüm ABD hükümetini kapsayan bir programdır. FedRAMP'in yönetim organları arasında Yönetim ve Bütçe Ofisi (OMB), ABD Genel Hizmetler İdaresi (GSA), ABD İç Güvenlik Bakanlığı (DHS), ABD Savunma Bakanlığı (DoD), Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Federal Enformasyon Müdürleri (CIO) Konseyi yer almaktadır.

    Bulut Hizmeti Tekliflerini (CSO'lar) ABD hükümetine sunmak isteyen Bulut Hizmeti Sağlayıcılarının (CSP'ler), FedRAMP uygunluğunu belgelemesi gerekmektedir. FedRAMP, NIST Special Publication 800 serisini kullanır ve bulut hizmeti sağlayıcılarının, yetkilendirmelerin Federal Bilgi Güvenliği Yönetim Yasası'na (FISMA) uygun olduğundan emin olmak için üçüncü taraf bir değerlendirme kuruluşunun (3PAO) yürüttüğü bağımsız bir güvenlik değerlendirmesini tamamlamasını gerektirir. Daha fazla bilgi edinmek için FedRAMP web sitesine bakın.

  • Bulut Öncelikli Politikaya (şu anki adıyla Bulut Akıllı Stratejisi) yanıt olarak Yönetim ve Bütçe Ofisi (OMB), FedRAMP Politika Bildirisi (şu anki adıyla Federal Bulut Bilgi İşlem Stratejisi) belgesini yayımlayarak Federal Bilgi Güvenliği Modernizasyon Yasası (FISMA) için tüm hükümeti kapsayan ilk güvenlik yetkilendirme programını oluşturdu. FedRAMP tüm ABD federal kurumlarında ve tüm bulut hizmetlerinde zorunlu tutulmuştur. FedRAMP önemlidir çünkü:

    • Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve FISMA tarafından tanımlanan standartları kullanarak bulut çözümlerinin güvenliğinde tutarlılığı ve güvenilirliği artırır
    • ABD hükümeti ile bulut sağlayıcıları arasında şeffaflığı artırır
    • Otomasyonu ve neredeyse gerçek zamanlı sürekli izlemeyi geliştirir
    • Değerlendirmelerin ve yetkilendirmelerin yeniden kullanımı yoluyla güvenli bulut çözümlerinin benimsenmesini geliştirir

  • Önce Bulut Politikası tüm federal kurumların bulut hizmetlerinde güvenlik değerlendirmesi, yetkilendirme ve sürekli izleme çalışmalarını yürütürken FedRAMP sürecini kullanmalarını gerektirir. FedRAMP Program Yönetim Ofisi (PMO) FedRAMP uyumluluğu için aşağıdaki gereksinimleri belirtmiştir:

    1. Bulut hizmeti sağlayıcısına (CSP) bir ABD federal kurumu tarafından Çalışma için Kurum Yetkisi (ATO) veya Ortak Yetkilendirme Kurulu (JAB) tarafından Geçici Çalışma Yetkisi (P-ATO) verilmiştir.
    2. CSP, orta veya yüksek etki düzeyleri için Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) 800-53, Düzeltme 4 güvenlik denetimi temelinde açıklandığı şekliyle FedRAMP güvenlik denetimi gereksinimlerini karşılar.
    3. Tüm sistem güvenlik paketlerinde zorunlu FedRAMP şablonları kullanılmalıdır.
    4. CSP'nin onaylı bir üçüncü taraf değerlendirme kuruluşu (3PAO) tarafından değerlendirilmesi gerekir.
    5. Tamamlanan güvenlik değerlendirme paketinin, güvenli FedRAMP deposuna gönderilmesi gerekir.

  • Bulut Hizmeti Sağlayıcıları (CSP'ler) için FedRAMP uygunluğuna giden iki yol bulunmaktadır:

    • Ortak Yetkilendirme Kurulu (JAB) Yetkilendirmesi: FedRAMP Geçici Çalışma Yetkisi (P-ATO) almak için bir CSP FedRAMP onaylı bir 3PAO tarafından değerlendirilir, FedRAMP Program Yönetim Ofisi (PMO) tarafından incelenir ve JAB'den bir P-ATO alır. JAB, Savunma Bakanlığı (DoD), İç Güvenlik Bakanlığı (DHS) ve Genel Hizmetler İdaresi'nin (GSA) Enformasyon Müdürlerinden (CIO) oluşmaktadır.
    • Kurum Yetkilendirmesi: FedRAMP Kurum Çalışma Yetkisi (ATO) almak isteyen bir CSP, FedRAMP Program Yönetim Ofisi tarafından (PMO) doğrulanmış ve FedRAMP'e uygun bir ATO belgesi almak için müşterinin Kurum CIO'su veya Yetkili Temsilcileri tarafından incelenir.

  • Federal Kurumlar veya Savunma Bakanlığı (DoD) kuruluşları, bulutta barındırılan çözümlerin yapı taşları olarak AWS Bulut Hizmeti Tekliflerinden (CSO'lar) yararlanabilir. Her bir AWS CSO'su, Federal ve DoD kullanımı için FedRAMP ve DISA tarafından yetkilendirilir ve bu yetkiler Geçici Çalışma Yetkisi (P-ATO) belgesinde belirtilir. CSP'ler CSO'ları için Çalışma Yetkisi (ATO) almaz, bunun yerine P-ATO alır. PATO, CSO'ların kullanımında Federal veya Savunma Bakanlığı kuruluşları için tedarik öncesinde verilen onaydır. Federal Kurumlar ve DoD kuruluşları; destekleyici belgeleri incelemek, paylaşılan sorumlulukla ilgili ayrıntıları dahil etmek ve ATO verme konusunda riske göre kendi kararını vermek için AWS FedRAMP Güvenlik Paketlerinden yararlanabilir. Sorularınız varsa veya daha fazla bilgi edinmeniz gerekiyorsa, AWS Satış Hesap Yöneticinize başvurun.

    Bir kurumun Yetkili Görevlisi (AO); destekleyici belgeleri incelemek, paylaşılan sorumlulukla ilgili ayrıntıları dahil etmek ve AWS'ye Çalışma için Kurum Yetkisi (ATO) verme konusunda riske göre kendi kararını vermek için tüm AWS FedRAMP Güvenlik Paketlerinden yararlanabilir. AWS üzerinde kendi ATO'larını vermek kurumların sorumluluğundadır ve sistem bileşenlerinin genel yetkilendirmesinden de kurumlar sorumludur. Sorularınız varsa veya daha fazla bilgi edinmeniz gerekiyorsa lütfen AWS Satış Hesap Yöneticinize veya AWS ekibinde yer alan ATO'ya başvurun.

  • AWS, Bulut Hizmeti Teklifleri (CSO'lar) sunan bir Bulut Hizmeti Sağlayıcısıdır (CSP). Bir CSP olarak AWS, CSO'larının Federal veya DoD kullanımına yönelik yetki almak için FedRAMP sürecini izlemektedir. FedRAMP sürecinde CSP'ler için Çalışma Yetkisi (ATO) verilmez. Bunun yerine, FedRAMP sürecinde Geçici Çalışma Yetkisi (PATO) verilir. PATO, CSO'ların kullanımında Federal Kurumlar veya DoD için tedarik öncesinde verilen onaydır. Federal Kurumlar veya DoD, kendi ATO'larını almak için Risk Yönetimi Çerçevesi (RMF) sürecini izlediklerinde PATO'yu ve PATO ile ilişkili devralınan denetimleri kullanır. FedRAMP sürecinde CSP'lere ATO verilmediği için AWS PATO'sunun ATO'ya yükseltilmeyeceğini unutmayın. ATO'lar yalnızca RMF sürecinin bir parçası olarak Federal Kurum veya DoD Yetkili Temsilcileri (AO'lar) tarafından verilir. FedRAMP ile ilgili daha fazla bilgiyi FedRAMP web sitesinden edinebilirsiniz.

  • FedRAMP, Bulut Hizmeti Sağlayıcılarının (CSP'ler) Federal Kurumlar veya DoD'nin bulutta barındırılan sistemlere yönelik yapı taşlarını kullanması için Bulut Hizmeti Tekliflerini (CSO'lar) onaylatırken izledikleri süreçtir. Risk Yönetimi Çerçevesi (RMF), Federal Kurumların veya DoD'nin BT sistemlerini kullanma yetkisini almak için izlediği süreçtir. CSP'ler yalnızca FedRAMP sürecini kullanabilir ve CSP'ler RMF sürecini izlemez. Federal Kurumlar veya DoD, bulut hizmetleri (ör. MilCloud) oluşturuyorsa yalnızca FedRAMP sürecini izler.

  • Kurum müşterilerimize kendi Çalışma Yetkilerini almak için mevcut FedRAMP JAB ATO ve yetkilendirme paketinden faydalanmalarını öneriyoruz.

  • Evet. AWS; yetkiler verilmiş, FedRAMP güvenlik denetimlerden geçmiş (NIST SP 800-53 temelinde), güvenli FedRAMP deposuna gönderilen güvenlik paketleri için gerekli FedRAMP şablonlarını kullanan, onaylı bir bağımsız üçüncü taraf değerlendirmeci (3PAO) tarafından değerlendirilmiş FedRAMP'e uygun hizmetleri sunar ve FedRAMP gereksinimlerinin sürekli olarak izlenmesini sağlar:

    • AWS GovCloud (ABD), yüksek etki düzeyi için Ortak Yetkilendirme Kurulu Geçici Çalıştırma Yetkisi (JAB P-ATO) ve birden çok Kurum Yetkisi (A-ATO) almıştır. Yüksek temel güvenlik kategorisindeki AWS GovCloud (ABD) JAB P-ATO sınırı kapsamındaki hizmetler, Uygunluk Programı Kapsamındaki AWS Hizmetleri sayfasından görülebilir.
    • AWS ABD Doğu-Batı (Kuzey Virginia, Ohio, Oregon, Kuzey California), orta etki düzeyi için Ortak Yetkilendirme Kurulu Geçici Çalıştırma Yetkisi (JAB P-ATO) ve birden çok Kurum Yetkisi (A-ATO) almıştır. Orta temel güvenlik kategorisindeki AWS ABD Doğu-Batı JAB P-ATO sınırı kapsamındaki hizmetler, Uygunluk Programı Kapsamındaki AWS Hizmetleri sayfasından görülebilir.  

  • Hayır. AWS'nin FedRAMP uygunluğu hiçbir bölgede hizmet maliyetlerinde artışa neden olmaz.

  • İki ayrı FedRAMP P-ATO'su verilmiş olup biri AWS GovCloud (ABD) bölgesini, diğeriyse AWS ABD Doğu/Batı bölgesini kapsamaktadır.

  • Evet. 2.000'den fazla hükümet kurumu ve hükümet kurumlarına sistem entegrasyonu ile başka ürünler sağlayan diğer kuruluşlar şu anda çok çeşitli AWS hizmetlerini kullanmaktadır. AWS Müşteri Başarı Öyküleri web sayfasına giderek AWS'yi kullanan ABD hükümet kurumlarıyla ilgili örnek olay incelemelerine göz atabilirsiniz. AWS'nin, hükümet kurumlarının yüksek güvenlik gereksinimlerini nasıl karşıladığı hakkında daha fazla bilgi edinmek istiyorsanız Hükümet Kurumları için AWS web sayfasına göz atın.

  • Zaten FedRAMP ve DoD SRG sınırı kapsamına giren AWS hizmetleri, Uygunluk Programı Kapsamındaki AWS Hizmetleri bölümünde görülebilir. FedRAMP veya DoD SRG sekmesine tıkladıktan sonra “✓” işareti bulunan hizmetler, FedRAMP JAB’nin ilgili hizmeti AWS ABD Doğu-Batı için FedRAMP orta temel düzey gereksinimlerini (ardından DoD SRG IL2) ve/veya AWS GovCloud (ABD) için FedRAMP Yüksek temel düzey gereksinimlerini (ardından DoD SRG IL2, IL4 ve IL5) yeterli düzeyde karşıladığı için yetkilendirdiğini göstermektedir. Bu hizmetler, FedRAMP Marketplace'te AWS için hizmet açıklaması altında yayınlanmaktadır. Hizmetler "3PAO Değerlendirmesi" veya "Değerlendirme Aşamasında" olarak işaretlendiyse, bu hizmetler hala değerlendirme aşamasında olduğu için AWS, FedRAMP denetimlerinin uygulama veya bakımının yapılmadığını belirtmektedir. Hizmet "JAB İncelemesi" veya "DISA İncelemesi" olarak işaretlendiyse, 3PAO değerlendirmesini tamamlamıştır ve şu anda düzenleme yetkilimizin kuyruğundadır. AWS bu hizmetler için ilgili FedRAMP denetimlerini uygulamış ve bu hizmetler ortama bağlı olarak ilgili FedRAMP denetimleri için değerlendirilmiştir ancak henüz JAB tarafından yetkilendirilmemiştir. Bu hizmetleri kullanma hakkında daha fazla bilgi edinmek istiyorsanız ve/veya diğer hizmetlerle ilgileniyorsanız AWS Satış ve İş Geliştirme birimine başvurun.

  • Evet. Müşteriler, iş yüklerinin diğer AWS hizmetlerine uygun olup olmadığını değerlendirebilir. Güvenlik denetimleri ve risk kabulünde dikkate alınacak noktaların ayrıntılı açıklaması için AWS Satış ve İş Geliştirme birimine başvurun.

  • Evet. Müşteriler, yüksek etkili iş yüklerinin AWS'ye uygun olup olmadığını değerlendirebilir. Müşteriler, yüksek etkili iş yüklerini yüksek etki düzeyi için Ortak Yetkilendirme Kurulu Geçici Çalıştırma Yetkisi'ni (JAB P-ATO) almış AWS GovCloud (ABD) bölgesine şu anda yerleştirebilir.

  • ABD hükümeti çalışanları ve yüklenicileri, Paket Erişim İsteği Formu'nu doldurup info@fedramp.gov adresine göndererek FedRAMP PMO'dan AWS FedRAMP Güvenlik Paketi'ne erişim isteğinde bulunabilir.

    Ticari müşteriler ve çözüm ortakları hem AWS teklifleri üzerine oluşturma hem de AWS'de FedRAMP ve DoD'ye uygun hizmetlerin mimarisini geliştirmede yardım ile ilgili rehberlik için AWS FedRAMP Çözüm Ortağı Paketi'ne erişim isteğinde bulunabilir. Çözüm Ortağı Paketi'ne AWS Artifact aracılığıyla AWS hesabınızdan veya AWS hesap yöneticinizden isteyerek erişebilirsiniz.

  • AWS ABD Doğu-Batı Bölgeleri için FedRAMP kimliği AGENCYAMAZONEW şeklindedir. AWS GovCloud (ABD) Bölgesi için FedRAMP kimliği F1603047866 şeklindedir.

  • FedRAMP Operasyon Konsepti (CONOPS) kapsamında, yetki verildikten sonra değerlendirme ve yetkilendirme sürecine uygun olarak CSP'nin güvenlik durumu izlenir. İzleyen yıllarda FedRAMP yetkisini yeniden alabilmek için, CSP'lerin güvenlik denetimlerini izlemesi, bunları düzenli aralıklarla değerlendirmeden geçirmesi ve hizmet tekliflerinin güvenlik durumunun kabul edilebilir düzeyde olmayı sürdürdüğünü göstermesi gerekir. AWS'nin sürekli uygunluğunu incelemek, FedRAMP sürekli izleme programından yararlanan federal kurumların ve Yetkili Görevlilerle (AO) onların belirlediği ekiplerin sorumluluğundadır. AO'lar ve onların belirlediği ekipler, AWS FedRAMP sürekli izleme süreci aracılığıyla sağlanan yapıtları ve buna ek olarak FedRAMP denetimlerinin ötesinde herhangi bir kuruluşa özel denetimlerin uygulandığına ilişkin kanıtları sürekli olarak gözden geçirir. Ek bilgi için kurumunuzun bilgi sistemi güvenlik programına veya politikasına bakın.

  • Hayır. FedRAMP Weekly Tips & Cues'a göre - 10 Ağustos 2016 tarihinde CSP ve federal kurum arasında ISA'ların kullanımı gerekli değildir.

  • AWS FedRAMP Güvenlik Paketi, AWS uygunluk raporlarına istek üzerine erişim için bir self servis portal olan AWS Artifact aracılığıyla müşterilere sağlanır. AWS Management Console'da AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama bölümünden daha fazla bilgi edinin.

    FedRAMP veya DoD uygunluğu konusunda sormak istediğiniz sorular varsa lütfen AWS hesap yöneticinize başvurun veya FedRAMP uygunluk ekibimizle bağlantı kurmak için AWS Uygunluğu Bize Ulaşın Formunu doldurup gönderin.

  • Uygulanabilir tüm uygunluk programlarıyla ilgili daha fazla bilgi için lütfen AWS Uygunluk Programı web sayfamıza göz atın. Ayrıca Federal Bilgi İşleme Standardı (FIPS) 140-2, Savunma Bakanlığı Bulut Bilgi İşlem Güvenlik Gereksinimleri Kılavuzu (DoD CC SRG), Federal Bilgi Güvenliği Yönetimi Yasası (FISMA) ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ile ilgili daha fazla bilgi edinebilirsiniz.

  • Federal hükümet kurumları, Genel Müfettişlik Ofisi (OIG) tarafından ve İç Güvenlik Bakanlığı (DHS) tarafından sağlanan ölçümlere göre dahili olarak değerlendirilir. FISMA OIG ve CIO ölçümleri için ölçütler, NIST SP 800-53 üzerine odaklanan NIST SP 800 özel yayınlarıdır. CSP'nin güvenliğine güvenecek bu kurumlar için FedRAMP, bulutta FISMA gereksinimlerine uyum sağlamak için NIST SP 800-53 denetimlerinin temeli üzerine geliştirilmiş bir uygunluk programıdır.

    FedRAMP uygunluk programı, Savunma Bakanlığı Bulut Bilgi İşlem Güvenlik Gereksinimleri Kılavuzu (DoD CC SRG) Etki Düzeylerini karşılamak için DoD tarafından kullanılmaktadır ve her iki etki düzeyi de belirli şifreleme denetimleri için FIPS 140-2 ile uygunluk gerektirmektedir. Savunma Federal Tedarik Yönergesi Eki'ne (DFARS) göre Denetimli Sınıflandırılmamış Bilgileri (CUI) işleyen, depolayan veya aktaran DoD yüklenicilerinin NIST SP 800-171 gereksinimlerini içeren belirli bir dizi güvenlik standardına uyum sağlaması gerekmektedir. NIST SP 800-171, Denetimli Sınıflandırılmamış Bilgilerin (CUI) gizliliğini korumak için kurumlara, önerilen güvenlik gereksinimleri sunmaktadır.

FedRAMP Kaynakları

Kamu Sektöründe AWS
AWS FedRAMP Blogları
Uygunluk Programı Kapsamındaki AWS Hizmetleri
AWS'de Giriş Alanı Hızlandırıcı
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »