國防部雲端運算安全要求指南

概觀

• 如何審查 AWS 安全文件和準則？

  DoD 客戶和廠商可以利用我們的 FedRAMP 與 DoD 授權來加速他們的認證和鑑定流程。為了支援 AWS 上託管的軍事系統授權，我們向 DoD 安全人員提供文件，以便您可以確定 AWS 是否符合適用的 NIST 800-53 (第 4 版) 控制和 DoD 雲端運算 SRG (Version 1，Release 3)。

  我們為 DoD 客戶提供一系列安全指南與文件，內容都是關於使用 AWS 做為 DoD 託管解決方案的安全與合規。我們特別提供一份基於 NIST 800-53 (第 4 版) 的 AWS FedRAMP SSP 範本，而其中事先填入適用的 FedRAMP 和 DoD 控制基準。範本內沿用的控制是由 AWS 預先填入；共用控制是 AWS 和客戶雙方的責任；而有一些控制則是由客戶負全責。

  國防部有業務往來的軍事組織或承包商可以聯絡 AWS 帳戶經理或提交 AWS Compliance Contact Us Form 來索取 AWS 安全文件。AWS 合作夥伴等非政府客戶可以使用 AWS Artifact 下載 AWS Partner FedRAMP 安全套件。

• 移至 AWS 可以獲得什麼好處？

  我們相信對於政府客戶而言，遷移至雲端是提高安全保證等級並降低操作風險的機會。AWS 操作環境讓您擁有高度自動化支援的環境才能獲得的安全層級和合規。不用像傳統資料中心執行定期盤點和「時間點」稽核，AWS 客戶有能力持續進行稽核。對環境有這種層級的可見性不但可增強資料控制，而且更能保證只有經過授權的使用者才能擁有存取權。

  例如，DoD 任務擁有者可以了解到透過程式設計方式強制執行 DoD 安全與合規準則，能對應用程式有更高層級的控制能力。AWS 可以讓您針對常用的應用程式使用案例建立預先核准的範本，以縮短授權新應用程式的時間。這類範本有助於確保應用程式擁有者不會變更重要的安全設定，例如安全群組和網路 ACL，也可以強制使用 STIG 強化機器映像。以程式設計方式強制實行 DoD 安全指導方針可減少手動設定的需求，藉此降低對 DoD 的不當組態和減少整體風險。
  

• 任務擁有者如何取得操作授權書 (ATO)？

  身為 DoD 任務擁有者，您需要負責建立一個授權套件，而此套件能完整定義適用於應用程式的安全控制實作。就如同任何傳統的授權套件，您需要使用系統安全計劃記錄安全控制基準，並讓 DoD 組織中相關的認證人員審閱這個計劃及其實作。做為此次審核的一部分，您的認證人員或授權官員可以審查 AWS 授權套件，以便全盤了解安全控制的全面實作。審查完安全授權套件及 AWS 安全授權套件之後，您的授權官員將得到對應用程式進行認證決策所需的資訊，然後授與 ATO。

  如需進一步了解 DoD 應用程式擁有者在 AWS 進行操作的職責，請參閱 AWS 雲端上的 DoD 合規實作白皮書。
  

• DoD 雲端運算 SRG 為何重要？

  DoD 雲端運算 SRG 支援整體美國聯邦政府的目標，以提高雲端運算的使用率，並為 DoD 提供支援此目標的方法。美國行政管理和預算局 (OMB) 在 2011 年 2 月 8 日制訂聯邦雲端運算策略，為聯邦政府的所有聯邦機構建立雲端技術的採用準則。而在這個策略之後，又於 2011 年 12 月發佈聯邦要求，制訂了聯邦風險與授權管理計劃 (FedRAMP)。低、中等和高風險影響級別的聯邦機構雲端部署和服務模型都必須強制執行 FedRAMP。

  DoD 資訊長 (CIO) 在 2012 年 7 月發佈了 DoD 的雲端運算策略。這個策略建立了聯合資訊環境 (JIE) 和 DoD 企業雲端環境：「DoD 雲端運算策略引入一種方法，可將部內從目前使用一組重複、繁瑣且昂貴的應用程式的狀態，轉移到可快速因應不斷變化之任務需求的靈活、安全且經濟實惠的服務環境終極狀態。DoD 資訊長 (CIO) 承諾加快國防部採用雲端運算的速度...」

  DoD 雲端運算 SRG 利用 FedRAMP 計劃，做為替 DoD 建立一個評估雲端服務供應商 (CSP) 的標準方法。
  

• AWS 雲端服務是否符合 DoD 要求？

  是，AWS 已在下列區域通過評估且核准成為雲端服務提供者：美國東部和美國西部區域 (影響級別第 2 級)、AWS GovCloud (US) (影響級別第 4 和第 5 級) 以及 AWS Secret 區域 (影響級別第 6 級)。

  • 美國 AWS 區域 (美國東部/西部與 AWS GovCloud (US)) 在影響級別第 2 級已通過 DISA 的評估，並在展現符合 DoD 要求的規範之後，發佈兩個臨時授權。AWS 利用我們現有的 FedRAMP 聯合授權委員會 (JAB) 臨時操作授權書 (P-ATO)，達成 DoD 要求的合規。臨時授權讓 DoD 實體可以評估 AWS 在 AWS 雲端中存放、處理和維護各種 DoD 資料的安全與機會。
  • AWS GovCloud (US) 在影響級別第 4 級和第 5 級已獲得 DISA 臨時授權，允許 DoD 客戶部署具有增強的控制基準 (對應於 SRG 中這些層級) 的生產應用程式。擁有預期為影響級別第 4 或第 5 級應用程式的 DoD 客戶，應該聯絡 DISA 以開始核准流程。
  • AWS Secret 區域在影響級別第 6 級已獲得 DoD 臨時授權，可處理達到機密等級 (含) 的工作負載。您可透過 AWS 客戶經理取得 AWS Secret 區域的服務型錄。
    

• 涵蓋哪些 AWS 區域？

  我們的臨時授權涵蓋美國本土的多個區域，包括 AWS GovCloud (US) (影響級別第 2、4 和 5 級)、AWS 美國東部/西部區域 (影響級別第 2 級)，以及 AWS Secret 區域 (影響級別第 6 級)。
  

• DoD 系統的哪些分類項目可以放置在 AWS 上？

  AWS 區域美國東部和美國西部擁有影響級別第 2 級臨時授權，可允許任務擁有者使用 AWS 授權和任務應用程式的 ATO 兩者，在這些 AWS 區域部署公開、非機密資訊。AWS GovCloud 現在擁有影響級別第 2 級、第 4 級和第 5 級臨時授權，可允許任務擁有者部署這些層級涵蓋的所有受管制、非機密的資訊類別。AWS Secret 區域擁有影響級別第 6 級臨時授權，可允許處理達到機密分類 (含) 的工作負載。
  

• 作為 DoD 任務擁有者對我有何意義？

  我們的影響級別第 2 級臨時授權可讓 DoD 客戶利用合規的 AWS 基礎設施和服務，部署包含可公開發行的已整理資料和部分 DoD 私有非機密資訊在內的工作負載。將您的 DoD IT 環境移至 AWS，就能使用 AWS 提供的服務和功能協助改善自己的合規缺失。

  AWS GovCloud (US) 的影響級別第 4 級和第 5 級臨時授權，代表我們的 DoD 客戶可以將他們的生產應用程式部署到 AWS GovCloud (US)。這個授權允許客戶參與需要符合 DoD 雲端運算 SRG 影響級別第 4 級和第 5 級要求之工作負載的設計、開發和整合活動。

  AWS Secret 區域的影響級別第 6 級臨時授權，表示 DoD 客戶可以使用我們的服務來存放、處理或傳輸達到機密等級 (含) 的資料。客戶可以倚賴我們的授權，涵蓋影響級別第 6 級所定義的所有基礎設施要求，協助他們管理自己的合規和認證，包括稽核和安全管理。
  

• AWS 臨時授權對任務擁有者的 ATO 有何影響？

  根據共同的安全責任精神，在 AWS 操作應用程式時，DoD 任務擁有者需為安全控制的降低基準負責。AWS 透過適用的安全控制為任務擁有者提供安全的託管環境以部署應用程式，但這並未免除任務擁有者需根據 DoD 安全控制和合規政策安全地部署、管理和監控自己應用程式的責任。

  如需進一步了解 DoD 應用程式擁有者在 AWS 進行操作的職責，請參閱 AWS 雲端上的 DoD 合規實作白皮書。
  

• 是否可以使用其他 AWS 服務？

  可以，客戶可以評估其工作負載是否適合使用其他 AWS 服務。對於我們的服務，任務擁有者有權針對他們選擇採用的任何服務進行評估，並接受使用這些服務的風險。如需安全控制和風險承受考量的詳細資訊，請聯絡 AWS 合規。
  

• DoD 合規是否會增加 AWS 服務的價格？

  否，沒有任何服務的服務成本會因 AWS 的合規計劃而增加。
  

• 現在是否有其他 DoD 實體正在使用 AWS？

  有，目前有許多 DoD 實體以及提供系統整合和其他產品與服務給 DoD 的其他組織正在使用各種 AWS 服務。AWS 無法透露 AWS 上系統已獲得 DoD 操作授權書 (ATO) 的許多客戶，但我們會定期與客戶及其評估機構合作，針對他們在 AWS 上 DoD 工作負載進行規劃、部署、認證和鑑定。
  

• ATO 是否需要服務供應商資料中心的實際演練？

  否。DoD 客戶可以倚賴我們 FedRAMP 第三方評估機構 (3PAO)，其中包含對於資料中心實體安全的廣泛現場審核。根據 DoD 雲端運算 SRG 的規定，若服務供應商的資料中心已獲授權，則 DoD 客戶無須進行實際的全盤操作，便可獲得操作授權書 (ATO)。
  

• 涵蓋哪些 AWS 服務？

  如需完整的涵蓋服務清單，請參閱合規計劃的 AWS 服務範圍網頁。