有越來越多軍事客戶正採用以 AWS 公用事業為基礎的雲端服務來處理、存放和傳輸國防部 (DoD) 資料。
AWS 讓軍事機構及其商業夥伴能夠利用安全的 AWS 環境來處理、維護及存放 DoD 資料。AWS 已獲得國防資訊系統管理局 (DISA) 的臨時授權。
AWS 維護兩個由 DoD 臨時授權涵蓋的環境:美國東部和美國西部區域,以及 AWS GovCloud (US) 區域 (有關詳細資訊,請參閱以下的常見問答集):
- 美國東部/西部擁有一個 DoD 影響級別 (IL) 第 2 級臨時授權。您可以在合規計劃的 AWS 服務範圍找到已經涵蓋在 DoD SRG IL2 授權邊界範圍內的美國東部/西部 AWS 服務。
- AWS GovCloud (US) 擁有 DoD 影響級別第 2 級和第 4 級的臨時授權。您可以在合規計劃的 AWS 服務範圍找到已經涵蓋在 DoD SRG IL2 和 IL4 授權邊界範圍內的 GovCloud (US) AWS 服務。
身為 DoD 客戶,您也要負責讓 AWS 應用程式環境內部符合 DoD 安全準則,其中包含下列項目:
•DoD 雲端運算安全要求指南 (SRG) 中定義的任務擁有者要求
• 所有相關作業系統安全技術實作指南 (STIG)
• 所有相關應用程式 STIG
• DoD 連接埠和協定指南 (DoDI 8551.01)
AWS 的基礎設施、管理和運作環境已透過 FedRAMP 和 DoD 授權流程經過評估和授權。身為在 AWS 基礎設施上部署應用程式的客戶,您會完整沿用與我們實體、環境和媒體保護控管相關的安全控制,而且不再需要詳細說明您如何符合這些控制的規定。剩餘的 DoD 風險管理架構 (RMF) 控制由 AWS 與及客戶共同負責,每個組織保留在共用 IT 安全模型中各自部分內實作這些控制的責任。
身為 AWS 客戶,您需負責設計、部署、管理和監控 AWS 環境以及利用 AWS 功能、第三方功能的應用程式,包含您自己的公用程式、軟體和應用程式。使用 AWS 和我們廠商生態系統所提供的安全功能,就能夠建置具備高可用性的系統,也能根據組織的相關政策進行嚴密的控制和監控。
DoD 客戶和廠商可以利用我們的 FedRAMP 與 DoD 授權來加速他們的認證和鑑定流程。為了支援 AWS 上所託管之軍事系統的授權,我們根據適用的 NIST 控制 (如 800-53 第 4 修訂版的定義) 與 DoD 雲端運算 SRG,提供安全文件給 DoD 安全人員作為驗證 AWS 安全與合規的方法。
為了支援我們的 DoD 客戶群,我們提供安全準則和文件的套件,以加深其對於使用 AWS 做為 DoD 託管解決方案的安全和合規概念。我們特別提供一份基於 NIST 800-53v4 的 AWS FedRAMP SSP 範本,而其中事先填入適用的 FedRAMP 和 DoD 控制基準。範本內沿用的控制是由 AWS 預先填入;共用控制是 AWS 和客戶雙方的責任;而最後有一些控制則是由客戶負全責。
要請求存取 AWS 安全文件,因其與 DoD 客戶 (即軍事組織或與 DoD 有業務往來的承包商) 有關,請聯絡 AWS 銷售和業務開發部門或直接傳送電子郵件給我們的團隊,電子郵件地址為 awscompliance@amazon.com。
我們的政府部門客戶很快了解到遷移到雲端是提高安全保證層級及降低營運風險的機會。AWS 運作環境讓客戶了解到高度自動化支援的環境才能實現安全層級和合規。我們的客戶在 AWS 上擁有持續進行稽核的能力,而因為多數 DoD 客戶是在傳統的資料中心內進行稽核,所以只能在某個時間點定期清查和稽核他們的環境。當您對您的環境擁有這種層級的可見性時,就會直接增強您對資料的控制層級,而您也能夠維持只有授權使用者會獲得存取權的保證。
DoD 任務擁有者可以了解到透過程式設計方式強制執行 DoD 安全與合規準則,能對應用程式有更高層級的控制能力。使用 AWS 功能,您可以針對常用的應用程式使用案例建立預先核准的範本,以縮短授權新應用程式的時間。DoD 組織透過使用這類範本,也可以確保應用程式擁有者不會變更重要的安全設定,例如安全群組和網路 ACL,也可以強制使用 STIG 強化過的機器映像。使用程式設計方式強制執行 DoD 安全準則可以降低系統管理員手動設定的工作量,還能明顯減少出現不適當設定的機會,從而降低 DoD 的整體風險。我們的聯邦客戶已經在 AWS 達到較高層級的安全保證。
其他合規計劃中的客戶也會直接受益於使用 AWS 達到他們的風險與合規目標:
• HIPAA 合規:Claritas Genomics 的預算有限,需要能夠達到 HIPAA 要求的低成本 IT 資源。
• 金融服務合規:由於受到穩定成長的市場量和不斷變動的法規所帶來的挑戰,FINRA 轉向使用 AWS。
• 金融服務合規:NASDAQ 需要能夠讓監管機構存取越來越詳細的金融資訊。
發佈 DoD SRG 的目的是為 CSP 提供標準化的評估和授權程序,以讓 DoD 客戶取得之後可利用的 DoD 臨時授權。DoD 準則下的臨時授權提供能夠證明我們符合 DoD 標準的可重複使用認證,減少 DoD 任務擁有者評估其中一個系統並授權在 AWS 上操作所需的時間。有關 SRG 的更多資訊,您可以在這裡找到包括針對第 2 級、第 4 級、第 5 級和第 6 級所定義的安全控制基準完整定義。
身為 DoD 任務擁有者,您需要負責建立一個授權套件,而此套件能完整定義適用於應用程式的安全控制實作。就如同任何傳統的授權套件,您將需要使用系統安全計劃記錄安全控制基準,並讓 DoD 組織中相關的認證人員審閱這個計劃及其實作。在這個審閱過程中,您的認證人員或授權官方人員在審閱應用程式時可能也希望審閱 AWS 授權套件,以便全面檢視完整的安全控制實作。審閱完 AWS 的安全授權套件及任務擁有者之後,您的授權官方人員將得到對應用程式進行認證決策所需的資訊,然後授予 ATO。
如需 DoD 應用程式擁有者在 AWS 上操作之責任的詳細資訊,請參閱我們的 AWS 雲端中的 DoD 合規實作白皮書。
身為已經獲得 DoD 授權的雲端服務供應商,AWS 需要根據 SRG 中建立的 FedRAMP+ 控制接受評估。AWS 已完成此評估,並獲得完整的 IL4 臨時授權,可允許任務擁有者遷移下列生產工作負載:
- 匯出控制資料
- 隱私資訊
- 受保護的醫療資訊
- 以及其他需要明確 CUI 指定的資訊:
- 僅供官方使用
- 僅限官方使用
- 執法部門敏感資訊
- 關鍵基礎設施資訊
- 敏感安全資訊
SRG 支援整體聯邦目標,以提高雲端運算的使用率,並為 DoD 提供支援此目標的方法。美國行政管理和預算局 (OMB) 在 2011 年 2 月 8 日制訂聯邦雲端運算策略,為聯邦政府的所有聯邦機構建立雲端技術的採用準則。而在這個策略之後,又於 2011 年 12 月發佈聯邦要求,制訂了聯邦風險與授權管理計劃 (FedRAMP)。低、中等和高風險影響級別的聯邦機構雲端部署和服務模型必須強制執行 FedRAMP。
DoD 的 DoD 資訊長在 2012 年 7 月發佈了雲端運算策略。這個策略建立了聯合資訊環境 (JIE) 和 DoD 企業雲端環境:「DoD 雲端運算策略引入一種方法,可將部內從目前使用一組重複、繁瑣且昂貴的應用程式的狀態,轉移到可快速因應不斷變化之任務需求的靈活、安全且經濟實惠的服務環境終極狀態。DoD 資訊長 (CIO) 承諾加快國防部採用雲端運算的速度...。」
DoD SRG 利用 FedRAMP 計劃作為替 DoD 建立一個評估雲端服務供應商的標準方法。AWS 已通過 FedRAMP 評估並獲得核准,且獲得多個美國東部和美國西部的代理機構中等 ATO,以及一個涵蓋 AWS GovCloud (US) 的 FedRAMP JAB 高臨時 ATO (pATO)。有關 AWS 的 FedRAMP 合規的更多資訊,請參閱我們的 FedRAMP 常見問答集頁面。
是,AWS 已通過評估並獲得核准,成為美國東部和美國西部 IL2 以及 AWS GovCloud (US) IL4 雲端服務提供者。
• 所有 AWS 美國區域 (美國東部/西部與 AWS GovCloud (US)) 在第 2 級已通過 DISA 的評估,並在展現符合 DoD 要求的規範之後,發佈兩個臨時授權。AWS 利用我們現有的 FedRAMP Agency ATO 和 FedRAMP High Baseline pATO 符合 DoD 要求的規範。臨時授權讓 DoD 實體可以評估 AWS 在 AWS 雲端中存放、處理和維護各種 DoD 資料的安全與機會。
• AWS GovCloud (US) 在第 4 級已獲得 DISA 臨時授權,允許 DoD 客戶部署具有增強的控制基準 (對應於 SRG 中這些層級) 的生產應用程式。擁有預期為 IL 4 應用程式的 DoD 客戶應該聯絡 DISA 以開始核准流程。
我們的臨時授權涵蓋美國大陸內的所有區域,包括 AWS GovCloud (US) (第 2 級和第 4 級) 以及 AWS 美國東部/西部區域 (第 2 級)。
美國東部和美國西部區域擁有第 2 級臨時授權,可允許任務擁有者使用 AWS 授權和任務應用程式的 ATO 兩者,在這些區域部署公開且未分類的資訊。AWS GovCloud (美國) 區域現在有第 2 級和第 4 級臨時授權,可允許任務擁有者部署這些層級涵蓋的所有受管制且未分類的資訊類別。
授權證明了我們長久以來對客戶提供安全服務的承諾。通過授權流程確認我們解決了 DoD SRG 的安全控制問題,而且我們的管理做法符合 DoD 準則的規範。我們已通過 SRG IL4 級別評估,並獲得 DISA 發出的 IL4 臨時授權。
我們的第 2 級臨時授權表示使用我們的服務來存放、處理或傳輸 DoD 資料的 DoD 客戶,可以倚賴我們的 AWS 基礎設施的授權,而這個授權涵蓋第 2 級定義的所有要求,因為客戶會管理自己的合規和認證,包括稽核和安全管理。將您的 DoD IT 環境移至 AWS 就能使用 AWS 提供的服務和功能來協助改善自己的合規缺失。
AWS GovCloud (US) 的第 4 級臨時授權代表我們的 DoD 客戶可以將他們的生產應用程式部署到 AWS GovCloud (US)。這個授權允許客戶參與需要符合 DoD 雲端運算 SRG 第 4 級要求之工作負載的設計、開發和整合活動。
根據共用安全責任的精神,在 AWS 操作應用程式時,DoD 任務擁有者需為安全控制的降低基準負責。AWS 透過適用的安全控制為任務擁有者提供安全的託管環境以部署應用程式,但這並未免除任務擁有者需根據 DoD 安全控制和合規政策安全地部署、管理和監控自己應用程式的責任。
如需 DoD 應用程式擁有者在 AWS 上操作之責任的詳細資訊,請參閱我們的 AWS 雲端中的 DoD 合規實作白皮書。我們近期會根據 SRG 來修訂這份白皮書。
可以,客戶可以評估其工作負載是否適合使用其他 AWS 服務。對於我們的服務,任務擁有者有權針對他們選擇採用的任何服務進行評估,並接受使用這些服務的風險。有關安全控制和風險接受度考量的詳盡討論,請聯絡 AWS 銷售和業務開發部門。
否,沒有任何服務的服務成本會因 AWS 的合規計劃而增加。
有,目前有許多 DoD 實體以及提供系統整合和其他產品與服務給 DoD 的其他組織正在使用各種 AWS 服務。AWS 無法透露 AWS 上系統已獲得 DoD ATO 的許多客戶,但我們定期與客戶及其評估機構合作,針對他們在 AWS 上 DoD 工作負載進行規劃、部署、認證和鑑定。
否。根據 DoD SRG,DoD 客戶利用我們的授權即可獲得 ATO,無須服務供應商資料中心的實際演練。DoD 客戶可以倚賴我們 FedRAMP 第三方評估機構 (3PAO),其中包含對於資料中心實體安全的廣泛現場審核。
要請求 AWS 支援文件,請提交請求到 AWS 銷售和業務開發部門。
如需完整的涵蓋服務清單,請參閱合規計劃的 AWS 服務範圍頁面。
