DoD SRG

概觀

140940_AWS_Multi-Logo Graphic_600x400_DoD

有越來越多軍事客戶正採用 AWS 服務來處理、存放和傳輸國防部 (DoD) 資料。

AWS 讓國防機構及其商業夥伴能夠利用安全的環境來處理、維護及存放 DoD 資料。AWS 已獲得國防資訊系統管理局 (DISA) 的臨時授權。

AWS 維護三個由 DoD 臨時授權涵蓋的環境:美國東部和美國西部區域、AWS GovCloud (US) 區域及 AWS Secret 區域:

美國東部/西部擁有一個 DoD 影響級別 (IL) 第 2 級臨時授權。您可以在合規計劃的 AWS 服務範圍找到已經涵蓋在 DoD SRG IL2 授權邊界範圍內的美國東部/西部 AWS 服務。

AWS GovCloud (US) 擁有 DoD 影響級別第 2 級、第 4 級和第 5 級的臨時授權。您可以在合規計劃的 AWS 服務範圍找到已經涵蓋在 DoD SRG IL2、IL4 和 IL5 授權邊界範圍內的 GovCloud (US) AWS 服務。

AWS Secret 區域擁有影響級別第 6 級的 DoD 臨時授權 (PA)。AWS Secret 區域是專為符合 DoD 和情報社群列為機密工作負載的特定安全需求所設計與建置。您可透過 AWS 客戶經理取得該區域的服務型錄。

身為 DoD 客戶,您也要負責讓 AWS 應用程式環境內部符合 DoD 安全準則,其中包含:

DoD 雲端運算安全要求指南 (SRG) 中定義的任務擁有者要求
• 所有相關作業系統安全技術實作指南 (STIG)
• 所有相關應用程式 STIG
• DoD 連接埠和協定指南 (DoDI 8551.01)

AWS 的基礎設施、管理和運作環境已透過 FedRAMP 和 DoD 授權流程經過評估和授權。身為在 AWS 基礎設施上部署應用程式的客戶,您會沿用與我們實體、環境和媒體保護相關的安全控制,而且不再需要詳細說明您如何符合這些控制的規定。剩餘的 DoD 風險管理架構 (RMF) 控制由 AWS 與及客戶共同負責,每個組織保留在共用 IT 安全模型中各自部分內實作這些控制的責任。

  • 如何使用 AWS 安全文件和準則?

    DoD 客戶和廠商可以利用我們的 FedRAMP 與 DoD 授權來加速他們的認證和鑑定流程。為了支援 AWS 上所託管之軍事系統的授權,我們根據適用的 NIST 控制 (如 800-53 第 4 修訂版的定義) 與 DoD 雲端運算 SRG,提供安全文件給 DoD 安全人員作為驗證 AWS 安全與合規的方法。

    為了支援我們的 DoD 客戶群,我們提供安全準則和文件的套件,以加深其對於使用 AWS 做為 DoD 託管解決方案的安全和合規概念。我們特別提供一份基於 NIST 800-53v4 的 AWS FedRAMP SSP 範本,而其中事先填入適用的 FedRAMP 和 DoD 控制基準。範本內沿用的控制是由 AWS 預先填入;共用控制是 AWS 和客戶雙方的責任;而最後有一些控制則是由客戶負全責。

    要請求存取 AWS 安全文件,因其與 DoD 客戶 (即軍事組織或與 DoD 有生意往來的承包商) 有關,請聯絡 AWS 銷售和業務開發部門或直接傳送電子郵件給我們的團隊,電子郵件地址為 awscompliance@amazon.com

  • 移至 AWS 可以獲得什麼好處?

    我們相信對於政府客戶而言,遷移至雲端是一個提高安全保證等級並降低操作風險的機會。AWS 運作環境讓客戶了解到高度自動化支援的環境才能獲得安全層級和合規。在 AWS,客戶有能力持續進行稽核,而不是像使用傳統資料中心的大多數 DoD 客戶一樣定期進行清查和在某個時間點進行稽核。對環境有這種層級的可見性不但可增強資料控制,而且更能保證只有經過授權的使用者才能擁有存取權。

    例如,DoD 任務擁有者可以了解到透過程式設計方式強制執行 DoD 安全與合規準則,能對應用程式有更高層級的控制能力。使用 AWS 功能,您可以針對常用的應用程式使用案例建立預先核准的範本,以縮短授權新應用程式的時間。這類範本有助於確保應用程式擁有者不會變更重要的安全設定,例如安全群組和網路 ACL,也可以強制使用 STIG 強化機器映像。此外,以程式設計方式強制實行 DoD 安全指導方針可減少手動設定的需求,藉此降低對 DoD 的不當組態和整體風險。

    其他合規計劃中的客戶也會直接受益於使用 AWS 達到他們的風險與合規目標:
    • HIPAA 合規:Claritas Genomics 的預算有限,需要能夠達到 HIPAA 要求的低成本 IT 資源。
    • 金融服務合規:由於受到穩定成長的市場量和不斷變動的法規所帶來的挑戰,FINRA 轉向使用 AWS
    • 金融服務合規:NASDAQ 需要能夠讓監管機構存取越來越詳細的金融資訊。

  • 什麼是 DoD 雲端運算 SRG?

    發佈 DoD SRG 的目的是為 CSP 提供標準化的評估和授權程序,以讓 DoD 客戶取得之後可利用的 DoD 臨時授權。DoD 準則下的臨時授權提供能夠證明我們符合 DoD 標準的可重複使用認證,減少 DoD 任務擁有者評估其中一個系統並授權在 AWS 上操作所需的時間。有關 SRG 的更多資訊,您可以在這裡找到包括針對第 2 級、第 4 級、第 5 級和第 6 級所定義的安全控制基準完整定義。

    DoD_Hub_FedRAMP
  • 任務擁有者操作授權書 (ATO) 的授權路徑

    身為 DoD 任務擁有者,您需要負責建立一個授權套件,而此套件能完整定義適用於應用程式的安全控制實作。就如同任何傳統的授權套件,您將需要使用系統安全計劃記錄安全控制基準,並讓 DoD 組織中相關的認證人員審閱這個計劃及其實作。在這個審閱過程中,您的認證人員或授權官方人員在審閱應用程式時可能也希望審閱 AWS 授權套件,以便全面檢視完整的安全控制實作。審閱完 AWS 的安全授權套件及任務擁有者之後,您的授權官方人員將得到對應用程式進行認證決策所需的資訊,然後授予 ATO。

    如需 DoD 應用程式擁有者在 AWS 上操作之責任的詳細資訊,請參閱我們的 AWS 雲端中的 DoD 合規實作白皮書

  • 雲端運算 SRG 的發佈對目前的 AWS 臨時授權有何影響?

    身為已經獲得 DoD 授權的雲端服務供應商,AWS 需要根據 SRG 中建立的 FedRAMP+ 控制接受評估。AWS 已完成此評估並獲得 IL4 和 IL5 PA,允許任務擁有者遷移生產工作負載,例如:

    • 匯出控制資料
    • 隱私資訊
    • 受保護的醫療資訊
    • 以及需要明確指定受管制非機密資訊的其他資訊:
      • 僅供官方使用
      • 僅限官方使用
      • 執法部門敏感資訊
      • 關鍵基礎設施資訊
      • 敏感安全資訊
  • 為什麼 SRG 很重要?

    SRG 支援整體聯邦目標,以提高雲端運算的使用率,並為 DoD 提供支援此目標的方法。美國行政管理和預算局 (OMB) 在 2011 年 2 月 8 日制訂聯邦雲端運算策略,為聯邦政府的所有聯邦機構建立雲端技術的採用準則。而在這個策略之後,又於 2011 年 12 月發佈聯邦要求,制訂了聯邦風險與授權管理計劃 (FedRAMP)。低、中等和高風險影響級別的聯邦機構雲端部署和服務模型必須強制執行 FedRAMP。

    DoD 的 DoD 資訊長在 2012 年 7 月發佈了雲端運算策略。這個策略建立了聯合資訊環境 (JIE) 和 DoD 企業雲端環境:「DoD 雲端運算策略引入一種方法,可將部內從目前使用一組重複、繁瑣且昂貴的應用程式的狀態,轉移到可快速因應不斷變化之任務需求的靈活、安全且經濟實惠的服務環境終極狀態。DoD 資訊長 (CIO) 承諾加快國防部採用雲端運算的速度...」

    DoD SRG 利用 FedRAMP 計劃作為替 DoD 建立一個評估雲端服務供應商的標準方法。AWS 已通過 FedRAMP 評估並獲得核准,且獲得多個美國東部和美國西部的代理機構中等 ATO,以及一個涵蓋 AWS GovCloud (US) 的 FedRAMP JAB 高臨時 ATO (pATO)。有關 AWS 的 FedRAMP 合規的更多資訊,請參閱我們的 FedRAMP 常見問答集頁面。

  • AWS 雲端服務是否達到 DoD 要求?

    是。AWS 已在下列區域通過評估且核准成為雲端服務提供者:美國東部和美國西部 (IL2)、AWS GovCloud (US) 區域 (IL4 和 IL5) 以及 AWS Secret 區域 (IL6)。

    • AWS 美國區域 (美國東部/西部與 AWS GovCloud (US)) 在第 2 級已通過 DISA 的評估,並在展現符合 DoD 要求的規範之後,發布兩個臨時授權。AWS 利用我們現有的 FedRAMP JAB P-ATO 來達成 DoD 合規要求。臨時授權讓 DoD 實體可以評估 AWS 在 AWS 雲端中存放、處理和維護各種 DoD 資料的安全與機會。

    • AWS GovCloud (US) 在第 4 級和第 5 級已獲得 DISA 臨時授權,允許 DoD 客戶部署具有增強的控制基準 (對應於 SRG 中這些層級) 的生產應用程式。擁有預期為 IL4 或 IL5 應用程式的 DoD 客戶應該聯絡 DISA 以開始核准流程。

    • AWS Secret 區域在第 6 級已獲得 DoD 臨時授權 IL6,可處理達到機密等級 (含) 的工作負載。您可透過 AWS 客戶經理取得該區域的服務型錄。

  • 涵蓋哪些 AWS 區域?

    我們的臨時授權涵蓋美國本土的多個區域,包括 AWS GovCloud (US) (第 2、4 和 5 級)、AWS 美國東部/西部區域 (第 2 級),以及 AWS Secret 區域 (第 6 級)。

  • DoD 系統的哪些分類項目可以放置在 AWS 上?

    美國東部和美國西部區域擁有第 2 級臨時授權,可允許任務擁有者使用 AWS 授權和任務應用程式的 ATO 兩者,在這些區域部署公開、非機密資訊。AWS GovCloud (US) 區域現在有第 2 級、第 4 級和第 5 級臨時授權,可允許任務擁有者部署這些層級涵蓋的所有受管制、非機密的資訊類別。AWS Secret 區域擁有第 6 級臨時授權,准許處理達到機密分類 (含) 的工作負載。

  • 授權對 AWS 的影響?

    授權證明了我們長久以來對客戶提供安全服務的承諾。通過授權流程確認我們解決了 DoD SRG 的安全控制問題,而且我們的管理做法符合 DoD 準則的規範。我們已通過 SRG IL4、IL5 和 IL6 等級的評估,並獲得 DISA 發出的 IL4、IL5 和 IL6 PA。

  • 作為 DoD 任務擁有者對我有何意義?

    我們的第 2 級臨時授權可讓 DoD 客戶利用合規的 AWS 基礎設施和服務,部署包含可公開發行的已整理資料和部分 DoD 私有非機密資訊在內的工作負載。將您的 DoD IT 環境移至 AWS,就能使用 AWS 提供的服務和功能協助改善自己的合規缺失。

    AWS GovCloud (US) 區域的第 4 級和第 5 級臨時授權代表我們的 DoD 客戶可以將他們的生產應用程式部署到 AWS GovCloud (US)。這個授權允許客戶參與需要符合 DoD 雲端運算 SRG 第 4 級和第 5 級要求之工作負載的設計、開發和整合活動。

    我們的 AWS Secret 區域第 6 級臨時授權代表使用我們的服務來存放、處理或傳輸達到機密等級 (含) 之資料的 DoD 客戶,在管理自己的合規和認證時,可以藉由我們的 AWS 基礎設施授權來滿足第 6 級定義的所有需求,包括稽核和安全管理。

  • AWS 臨時授權對任務擁有者的 ATO 有何影響?

    根據共用安全責任的精神,在 AWS 操作應用程式時,DoD 任務擁有者需為安全控制的降低基準負責。AWS 透過適用的安全控制為任務擁有者提供安全的託管環境以部署應用程式,但這並未免除任務擁有者需根據 DoD 安全控制和合規政策安全地部署、管理和監控自己應用程式的責任。

    如需 DoD 應用程式擁有者在 AWS 上操作之責任的詳細資訊,請參閱我們的 AWS 雲端中的 DoD 合規實作白皮書。我們近期會根據 SRG 修訂這份白皮書。

  • 是否可以使用其他 AWS 服務?

    可以,客戶可以評估其工作負載是否適合使用其他 AWS 服務。對於我們的服務,任務擁有者有權針對他們選擇採用的任何服務進行評估,並接受使用這些服務的風險。有關安全控制和風險接受度考量的詳盡討論,請聯絡 AWS 銷售和業務開發部門

  • DoD 合規是否會增加 AWS 服務的價格?

    否,沒有任何服務的服務成本會因 AWS 的合規計劃而增加。

  • 現在是否有其他 DoD 實體正在使用 AWS?

    有,目前有許多 DoD 實體以及提供系統整合和其他產品與服務給 DoD 的其他組織正在使用各種 AWS 服務。AWS 無法透露 AWS 上系統已獲得 DoD ATO 的許多客戶,但我們定期與客戶及其評估機構合作,針對他們在 AWS 上 DoD 工作負載進行規劃、部署、認證和鑑定。

  • ATO 是否需要服務供應商資料中心的實際演練?

    否。根據 DoD SRG,DoD 客戶利用我們的授權即可獲得 ATO,無須服務供應商資料中心的實際演練。DoD 客戶可以倚賴我們 FedRAMP 第三方評估機構 (3PAO),其中包含對於資料中心實體安全的廣泛現場審核。

  • 如何存取 AWS 授權和文件?

    要請求 AWS 支援文件,請提交請求到 AWS 銷售和業務開發部門

  • 涵蓋哪些 AWS 服務?

    如需完整的涵蓋服務清單,請參閱合規計劃的 AWS 服務範圍頁面。

compliance-contactus-icon
有問題?與 AWS 合規代表聯繫
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »