FedRAMP

Genel Bakış

FedRAMPLogoSmall

ABD Federal Hükümeti hizmetleri Amerikan halkına en yenilikçi, güvenli ve uygun maliyetli yöntemlerle sağlama konusunda kararlıdır. Federal hükümetin operasyonel verimliliklere ulaşmasında ve ülke çapında misyonunu ileriye taşımaya yönelik yenilikleri yapmasında bulut bilişim kilit bir rol oynar. İşte bu nedenle bugün birçok federal kurum federal hükümetin verilerini işlemek, depolamak ve iletmek için AWS bulut hizmetlerini kullanır.

  • FedRAMP nedir?

    Federal Risk ve Yetkilendirme Yönetim Programı (FedRAMP), bulut ürünleriyle hizmetleri için güvenlik değerlendirmesi, yetkilendirme ve sürekli izleme çalışmalarına standart bir yaklaşım getiren ve tüm ABD hükümetini kapsayan bir programdır. FedRAMP'in yönetim organları Yönetim ve Bütçe Ofisi (OMB), ABD Genel Hizmetler İdaresi (GSA), ABD İç Güvenlik Bakanlığı (DHS), ABD Savunma Bakanlığı (DoD), Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Federal Enformasyon Müdürleri (CIO) Konseyi'dir.

    ABD hükümetine ürün ve hizmet sağlamak isteyen bulut hizmeti sağlayıcılarının FedRAMP uyumluluğunu ortaya koyması gerekir. FedRAMP, NIST Special Publication 800 serisini kullanır ve bulut hizmeti sağlayıcılarının yetkilendirmelerinin Federal Bilgi Güvenliği Yönetim Yasası (FISMA) ile uyumlu olduğundan emin olmak için üçüncü taraf bir değerlendirme kuruluşunun (3PAO) yürüttüğü bağımsız bir güvenlik değerlendirmesi almalarını gerektirir. Daha fazla bilgi için FedRAMP web sitesine bakın.

  • FedRAMP neden önemlidir?

    Yönetim ve Bütçe Ofisi (OMB), Önce Bulut Politikasına yanıt niteliğinde FedRAMP Politika Notları belgesini yayımlayarak FISMA için tüm hükümeti kapsayan ilk güvenlik yetkilendirme programını oluşturdu. FedRAMP tüm ABD federal kurumlarında ve tüm bulut hizmetlerinde zorunlu tutulmuştur. FedRAMP önemlidir çünkü:

    • NIST ve FISMA ile tanımlanan standartları kullanarak bulut çözümlerinin güvenliğinde tutarlılığı ve güvenilirliği artırır
    • ABD hükümetiyle bulut sağlayıcıları arasında saydamlığı artırır
    • Otomasyonu ve neredeyse gerçek zamanlı sürekli izlemeyi geliştirir
    • Değerlendirmelerin ve yetkilendirmelerin yeniden kullanımı yoluyla güvenli bulut çözümlerinin benimsenmesini geliştirir
  • FedRAMP uyumluluğunun gereksinimleri nelerdir?

    Önce Bulut Politikası tüm federal kurumların bulut hizmetlerinde güvenlik değerlendirmesi, yetkilendirme ve sürekli izleme çalışmalarını yürütürken FedRAMP sürecini kullanmalarını gerektirir. FedRAMP Program Yönetim Ofisi (PMO) FedRAMP uyumluluğu için aşağıdaki gereksinimleri belirtmiştir:

    1. Bulut hizmeti sağlayıcısına (CSP) bir ABD federal kurumu tarafından Çalışma için Kurum Yetkisi (ATO) veya Ortak Yetkilendirme Kurulu (JAB) tarafından Geçici Çalışma Yetkisi (P-ATO) verilmiştir.
    2. CSP, orta veya yüksek etki düzeyleri için NIST 800-53, Düzeltme 4 güvenlik denetimi temelinde açıklandığı şekliyle FedRAMP güvenlik denetimi gereksinimlerini karşılar.
    3. Tüm sistem güvenlik paketlerinde zorunlu FedRAMP şablonları kullanılmalıdır.
    4. CSP'nin üçüncü taraf bir değerlendirme kuruluşu (3PAO) tarafından değerlendirilmesi gerekir.
    5. Tamamlanan güvenlik değerlendirme paketinin FedRAMP güvenlik deposuna gönderilmesi gerekir.
  • FedRAMP uyumluluğunun türleri nelerdir?

    CSP'ler için FedRAMP uyumluluğuna giden iki yol vardır:

    1. JAB Yetkilendirmesi

    FedRAMP Ortak Yetkilendirme Kurulu (JAB) Geçici Çalışma Yetkisi (P-ATO) almak için, CSP FedRAMP Program Yönetim Ofisi (PMO) tarafından incelenir, FedRAMP onaylı 3PAO tarafından değerlendirilir ve JAB'den bir P-ATO alır. JAB, Savunma Bakanlığı (DoD), İç Güvenlik Bakanlığı (DHS) ve Genel Hizmetler İdaresi'nin (GSA) Enformasyon Müdürlerinden (CIO) oluşturulmuştur.

    2. Kurum Yetkilendirmesi

    FedRAMP Çalışması için Kurum Yetkisi (ATO) almak amacıyla, CSP FedRAMP Program Yönetim Ofisi'nin (PMO) doğruladığı bir FedRAMP ile uyumlu bir ATO elde etmek üzere müşterinin Kurum CIO'su veya Yetkili Temsilciler tarafından incelenir.

  • Amazon Web Services FedRAMP ile uyumlu mu?

    Evet, AWS yetkiler verilmiş, FedRAMP güvenlik denetimlerden geçmiş (NISP SP 800-53 temelinde), güvenli FedRAMP deposuna gönderilen güvenlik paketleri için gerekli FedRAMP şablonlarını kullanan, onaylı bağımsız bir üçüncü taraf değerlendirmeci (3PAO) tarafından değerlendirilmiş ve FedRAMP için sürekli izleme gereksinimlerini karşılayan aşağıdaki FedRAMP uyumlu sistemleri sunar:

    AWS GovCloud (ABD), yüksek etki düzeyi için Ortak Yetkilendirme Kurulu Geçici Çalıştırma Yetkisi (JAB P-ATO) ve birden çok Kurum Yetkisi (A-ATO) almıştır. Yüksek temel güvenlik kategorisindeki AWS GovCloud (ABD) JAB P-ATO sınırı kapsamındaki hizmetler, Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri'nde bulunabilir.

    AWS ABD Doğu-Batı, orta etki düzeyi için Ortak Yetkilendirme Kurulu Geçici Çalıştırma Yetkisi (JAB P-ATO) ve birden çok Kurum Yetkisi (A-ATO) almıştır. Orta temel güvenlik kategorisindeki AWS ABD Doğu-Batı JAB P-ATO sınırı kapsamındaki hizmetler, Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri'nde bulunabilir.

  • FedRAMP uyumluluğu AWS hizmet maliyetlerimi artırır mı?

    Hayır, AWS'nin FedRAMP uyumluluğu hiçbir bölgede hizmet maliyetlerinde artışa neden olmaz.

  • Hangi AWS Bölgeleri kapsam içindedir?

    İki ayrı FedRAMP Kuruluş ATO'su verilmiştir; biri AWS GovCloud (ABD) Bölgesini ve diğeri de AWS ABD Doğu/Batı bölgelerini kapsar.

  • ABD Hükümet kurumları şimdi AWS'yi kullanıyor mu?

    Evet, 2000'den fazla devlet kuruluşu ve devlet kuruluşlarına sistem entegrasyonu ile başka ürünler sağlayan diğer kurumlar bugün çok çeşitli AWS hizmetlerini kullanmaktadır. ABD Dışişleri Bakanlığı, ABD Gıda ve İlaç Dairesi (FDA), ABD Hastalık Kontrol ve Korunma Merkezleri (CDC), NASA/JPL'nin Çöl Araştırma ve Eğitim Çalışmaları, NASA JPL ve Amazon SWF ve NASA/JPL'nin Mars Curiosity Misyonu gibi AWS kullanan ABD devlet kuruluşları hakkındaki örnek olay incelemelerini gözden geçirebilirsiniz. Sağlanan tüm örnek olay incelemeleri için AWS Müşteri Başarı Öyküleri web sayfasına bakın. AWS'nin devletlerin yüksek güvenlik gereksinimlerini nasıl karşıladığı hakkında daha fazla bilgi için Kamu Sektörü İçin AWS web sayfasına bakın.

  • Hangi Hizmetler kapsam içindedir?

    Zaten FedRAMP ve DoD SRG sınırı kapsamına giren AWS hizmetleri, Mevzuat Uyumluluğu Kapsamındaki AWS Hizmetleri bağlantısında bulunabilir. Bu hizmetleri kullanma hakkında daha fazla bilgi edinmek istiyorsanız ve/veya diğer hizmetlerle ilgileniyorsanız, AWS Satış ve İş Geliştirme'ye başvurun.

  • Başka AWS Hizmetleri Kullanılabilir mi?

    Evet, müşteriler iş yüklerinin diğer AWS hizmetlerine uygun olup olmadığını değerlendirebilir. Güvenlik denetimleri ve risk kabulünde dikkate alınacak noktaların ayrıntılı açıklaması için AWS Satış ve İş Geliştirme'ye başvurun.

  • Yüksek Etki Düzeyindeki Sistemler AWS'de Yer Alabilir mi?

    Evet, müşteriler yüksek etkili iş yüklerinin AWS'ye uygun olup olmadığını değerlendirebilir. Şu anda, FedRAMP yalnızca FISMA düşük ve orta etki düzeylerindeki bulut bilişim sistemleri için geçerlidir; bununla birlikte, AWS şimdiden NIST 800-53 Yüksek denetimlerinin birçoğunu karşılamaktadır. Ayrıca, NIST Orta temelinde açılım yaparak kritik iş yüklerini destekleyecek FISMA-Yüksek düzeyinde uygulama ve hizmetler oluşturmak isteyen müşterilerimiz için AWS FISMA-Yüksek çalışma kitabını geliştirdik. Güvenlik denetimleri ve risk kabulünde dikkate alınacak noktaların ayrıntılı açıklaması için AWS Satış ve İş Geliştirme'ye başvurun.

  • AWS FedRAMP Güvenlik Paketlerine nereden erişebilirim?

    AWS müşterileri, FedRAMP PMO veya AWS Satış Müşteri Yöneticileri aracılığıyla AWS FedRAMP Güvenlik Paketlerine erişim isteğinde bulunabilir.

    ABD Devlet kuruluşu müşterileri Paket Erişim İsteği Formu'nu doldurup info@fedramp.gov adresine göndererek veya AWS Satış Müşteri Yöneticisiyle bağlantı kurarak FedRAMP PMO'dan FedRAMP Güvenlik Paketi'ne erişim isteğinde bulunabilir.

    AWS çözüm ortakları ve olası müşterileri de AWS Yapıtı'nı kullanarak Çözüm Ortağı FedRAMP Güvenlik Paketi'ne erişim isteğinde bulunabilir.

  • Bir kurum AWS FedRAMP yetkisinden nasıl yararlanır?

    Bir kuruluşun Yetkili Görevlisi (AO), destekleyici belgeleri incelemek ve riskini değerlendirip AWS'ye Çalışma için Kurum Yetkisi (ATO) verme kararı almak için tüm AWS FedRAMP Güvenlik Paketlerinden yararlanabilir. AWS üzerinde kendi ATO'larını vermek kuruluşların sorumluluğundadır ve AWS ATO kapsamına girmeyen sistem bileşenlerinin genel yetkilendirmesinden de onlar sorumludur. Sorularınız varsa veya daha fazla bilgi edinmeniz gerekiyorsa, AWS Satış Müşteri Yöneticinize başvurun.

  • FedRAMP yetkileriyle sürekli izleme nasıl yapılır?

    FedRAMP Operasyon Konsepti (CONOPS) kapsamında, yetki verildikten sonra değerlendirme ve yetkilendirme sürecine uygun olarak CSP'nin güvenlik durumu izlenir. İzleyen yıllarda FedRAMP yetkisini yeniden alabilmek için, CSP'lerin güvenlik denetimlerini izlemesi, bunları düzenli aralıklarla değerlendirmeden geçirmesi ve hizmet tekliflerinin güvenlik durumunun kabul edilebilir düzeyde olmayı sürdürdüğünü göstermesi gerekir. AWS'nin sürekli mevzuat uyumluluğunu incelemek, FedRAMP sürekli izleme programından yararlanan federal kuruluşların ve Yetkili Görevlilerle (AO) onların belirlediği ekiplerin sorumluluğundadır. AO'lar ve onların belirlediği ekipler, AWS FedRAMP sürekli izleme süreci aracılığıyla sağlanan yapıtları ve buna ek olarak FedRAMP denetimlerinin ötesinde herhangi bir kuruluşa özel denetimlerin uygulandığına ilişkin kanıtları sürekli olarak gözden geçirir. Ek bilgi için, kuruluşunuzun bilgi sistemi güvenlik programına veya politikasına bakın.

  • Bir ABD federal kurumu olarak, AWS ile bir Karşılıklı Bağlantı Güvenliği Sözleşmesi (ISA) yapmam gerekir mi?

    Hayır. FedRAMP PMO, CSP ile federal kuruluş arasında ISA'ların kullanımının gerekli olmadığını belirtir.

  • Kuruluşumun FedRAMP'e özel AWS iş yüklerini ve mimarilerini AWS ile görüşmem gerekirse ne yapmalıyım?

    AWS FedRAMP Güvenlik Paketi, müşterilere AWS uyumluluk raporlarına isteğe bağlı erişim için bir self servis portalı olan AWS Yapıtı aracılığıyla sağlanır. AWS Yönetim Konsolu'nda AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama konusunda daha fazla bilgi edinin.

    FedRAMP veya DoD uyumluluğuyla ilgili belirli sorularınız varsa, awscompliance@amazon.com adresine e-posta gönderin.

compliance-contactus-icon
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »