FedRAMP

概觀

FedRAMPLogoSmall

美國聯邦政府致力於以最創新、安全及經濟實惠的方式為美國人民提供服務。雲端運算在聯邦政府如何提高營運效率,並依需求創新以推動全國任務中,扮演著重要的角色。這也是為什麼現在許多聯邦機構都使用 AWS 雲端服務來處理、存放和傳輸聯邦政府資料的原因。

  • 什麼是 FedRAMP?

    聯邦風險與授權管理計劃 (FedRAMP) 是一項美國政府整體計劃,提供了標準方法來進行雲端產品和服務的安全評估、授權和持續監控。掌管 FedRAMP 的機構包含美國行政管理和預算局 (OMB)、美國公眾服務行政部門 (GSA)、美國國土安全部 (DHS)、美國國防部 (DoD)、國家標準技術協會 (NIST) 和聯邦資訊長(CIO)理事會。

    要向美國政府提供產品和服務的雲端服務提供者必須證明符合 FedRAMP 規定。FedRAMP 使用 NIST 特別出版物 800 系列,並要求雲端服務提供者接受第三方評估機構 (3PAO) 進行的獨立安全評估,以確保授權符合聯邦資訊安全管理法案 (FISMA) 規定。如需詳細資訊,請參閱 FedRAMP 網站。

  • FedRAMP 為什麼很重要?

    為因應雲端至上政策,美國行政管理和預算局 (OMB) 頒佈 FedRAMP 政策備忘錄,為 FISMA 建立第一個政府整體安全授權計劃。所有美國聯邦機構和所有雲端服務都必須強制執行 FedRAMP。FedRAMP 很重要,因為可提升:

    • 使用 NIST 和 FISMA 定義標準之雲端解決方案安全的一致性及可信賴度
    • 美國政府和雲端供應商之間的透明度
    • 自動化和近乎即時的持續監控
    • 透過重複使用評估和授權來採用安全的雲端解決方案
  • FedRAMP 合規有哪些要求?

    雲端至上政策要求所有聯邦機構使用 FedRAMP 程序來進行雲端服務的安全評估、授權及持續監控。FedRAMP 計劃管理辦公室 (PMO) 列出以下幾項 FedRAMP 合規要求:

    1. 美國聯邦機構已授與雲端服務提供者 (CSP) 操作授權書 (ATO),或者已獲得聯合授權委員會 (JAB) 臨時操作授權書 (P-ATO)。
    2. CSP 符合中或高影響級別的 NIST 800-53 第 4 修訂版安全控制基準中所描述的 FedRAMP 安全控制要求。
    3. 所有系統安全套件都必須使用規定的 FedRAMP 範本。
    4. CSP 必須由第三方評估機構 (3PAO) 進行評估。
    5. 完整的安全評估套件必須公佈在 FedRAMP 安全儲存庫。
  • 有哪些 FedRAMP 合規類型?

    若要讓 CSP 符合 FedRAMP 規定,可採取兩種途徑:

    1. JAB 授權

    要獲得 FedRAMP 聯合授權委員會 (JAB) 臨時操作授權書 (P-ATO),CSP 需經過 FedRAMP 計劃管理辦公室 (PMO) 審核、由 FedRAMP 認可的 3PAO 進行評估,然後獲得 JAB 的 P-ATO。JAB 是由美國國防部 (DoD)、美國國土安全部 (DHS) 和美國公眾服務行政部門 (GSA) 的資訊長 (CIO) 共同組成。

    2. 代理機構授權

    要獲得 FedRAMP 代理機構操作授權書 (ATO),CSP 需經過客戶代理機構 CIO 或委託的授權官員審核,以獲得經 FedRAMP 計劃管理辦公室 (PMO) 驗證的 FedRAMP 合規 ATO。

  • Amazon Web Services 是否符合 FedRAMP 規定?

    是,AWS 提供下列 FedRAMP 合規系統,這些系統已獲得授權、遵守 FedRAMP 安全控制 (依據 NIST SP 800-53)、在安全 FedRAMP 儲存庫中公佈的安全套件中使用規定的 FedRAMP 範本、已由認可獨立第三方評估機構 (3PAO) 進行評估,以及維護 FedRAMP 的持續監控要求:

    AWS GovCloud (US) 已獲得高影響級別的聯合授權委員會臨時操作授權書 (JAB P-ATO) 和多個代理機構授權 (A-ATO)。您可以在合規計劃的 AWS 服務範圍找到位於高基本安全分類中 AWS GovCloud (US) JAB P-ATO 邊界範圍內的服務。

    AWS 美國東部 – 西部已獲得中等影響級別的聯合授權委員會臨時操作授權書 (JAB P-ATO) 和多個代理機構授權 (A-ATO)。您可以在合規計劃的 AWS 服務範圍找到位於中等基本安全分類中 AWS 美國東部 – 西部 JAB P-ATO 邊界範圍內的服務。

  • 與 FedRAMP 合規是否會增加我的 AWS 服務成本?

    否,沒有任何區域的服務成本會因 AWS 的 FedRAMP 合規而增加。

  • 涵蓋哪些 AWS 區域?

    已核發兩個個別的 FedRAMP 代理機構 ATO;一個包含 AWS GovCloud (US) 區域,另一個涵蓋 AWS 美國東部/西部區域。

  • 現在是否有美國政府實體正在使用 AWS?

    有,超過 2000 個政府機構及提供系統整合和其他產品與服務給政府機構的其他實體正在使用各種 AWS 服務。您可以檢閱使用 AWS 的美國政府實體的相關案例研究,包括美國國務院美國食品和藥物管理局 (FDA)美國疾病控制與預防中心 (CDC)NASA/JPL 的沙漠研究與培訓研究NASA JPL 和 Amazon SWF 以及 NASA/JPL 火星好奇號任務。如需所有可用的案例研究,請參閱 AWS 客戶成功案例網頁。如需 AWS 如何符合政府嚴格安全規定的詳細資訊,請參閱適用於政府部門的 AWS 網頁。

  • 涵蓋哪些服務?

    您可以在合規計劃的 AWS 服務範圍找到已經涵蓋在 FedRAMP 和 DoD SRG 邊界範圍內的 AWS 服務。如果您想進一步了解使用這些服務的資訊及/或對其他服務感興趣,請聯絡 AWS 銷售和業務開發部門

  • 是否可以使用其他 AWS 服務?

    可以,客戶可以評估其工作負載是否適合使用其他 AWS 服務。如需安全控制和風險接受度考量的詳盡討論,請聯絡 AWS 銷售和業務開發部門

  • 是否可在 AWS 上放置高影響級別系統?

    可以,客戶可以評估其高影響工作負載是否適合使用 AWS。目前,FedRAMP 僅適用於 FISMA 低至中等影響級別的雲端運算系統,AWS 已符合多項「NIST 800-53 高」控制標準,而且我們開發了「AWS FISMA – 高」工作手冊,讓期望在 NIST 中等基準上擴充的客戶,可以建立支援其重要工作負載的「FISMA – 高」應用程式與服務。如需安全控制和風險接受度考量的詳盡討論,請聯絡我們的 AWS 銷售和業務開發部門

  • 何處可存取 AWS FedRAMP 安全套件?

    AWS 客戶可透過 FedRAMP PMO 或他們的 AWS 銷售客戶經理,請求 AWS FedRAMP 安全套件的存取權。

    美國政府機構客戶可填寫套件存取申請表並提交至 info@fedramp.gov,或聯絡他們的 AWS 銷售客戶經理,從 FedRAMP PMO 請求 AWS FedRAMP 安全套件的存取權。

    AWS 合作夥伴和潛在客戶還可以透過 AWS Artifact 申請存取 AWS 合作夥伴 FedRAMP 安全套件。

  • 代理機構如何利用 AWS FedRAMP 授權?

    代理機構授權官員 (AO) 可利用任何 AWS FedRAMP 安全套件來檢閱證明文件,並做出自己的風險決策,以授與代理機構操作授權書 (ATO) 給 AWS。代理機構負責在 AWS 發出他們自己的 ATO,也負責未涵蓋於 AWS ATO 中的系統元件整體授權。如果有任何疑問或需要更多資訊,請聯絡您的 AWS 銷售客戶經理。

  • FedRAMP 授權如何處理持續監控?

    在 FedRAMP 運作概念 (CONOPS) 中,授與授權之後,就會根據評估和授權程序監控 CSP 的安全狀態。若要每年取得 FedRAMP 授權的重新授權,CSP 必須監控其安全控制、定期進行評估,並證明其服務提供的安全狀態是持續可接受的。使用 FedRAMP 持續監控計劃的聯邦機構及授權官員 (AO) 和其指定團隊,需負責審核 AWS 的持續合規性。AO 和其指定團隊會持續不斷審核透過 AWS FedRAMP 持續監控程序提供的成品,以及實作 FedRAMP 控制以外規定之任一機構特定控制的證明。如需詳細資訊,請參閱您機構的資訊系統安全計劃或政策。

  • 做為美國聯邦機構,是否需要與 AWS 簽訂互連安全協議 (ISA)?

    否。FedRAMP PMO 聲明:在 CSP 和聯邦機構之間不需要 ISA。

  • 如果需要與 AWS 討論組織的 FedRAMP 特定 AWS 工作負載或架構,該怎麼辦?

    使用 AWS Artifact (一個隨需存取 AWS 合規報告的自助服務入口網站) 可將 AWS FedRAMP 安全套件提供給客戶。登入 AWS 管理主控台中的 AWS Artifact,或者參閱 AWS Artifact 入門進一步了解詳細資訊。

    如果您有關於 FedRAMP 或 DoD 合規的後續問題,請寄送電子郵件至 awscompliance@amazon.com

compliance-contactus-icon
有問題? 聯絡 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »