我想取得有關雲端 FedRAMP 的資訊。
FedRAMP AWS

美國聯邦政府致力於以最創新、安全及經濟實惠的方式為美國人民提供服務。雲端運算在聯邦政府如何提高營運效率,並依需求創新以推動全國任務中,仍舊扮演主要催化劑的角色。這也是為什麼許多聯邦機構都使用 AWS 以公用事業為基礎的雲端服務來處理、存放和傳輸聯邦政府資料的原因。

govcloud_video

聯邦風險與授權管理計劃 (FedRAMP) 是一項美國政府整體計劃,提供了標準方法來進行雲端產品和服務的安全評估、授權和持續監控。掌管 FedRAMP 的機構包含美國行政管理和預算局 (OMB)、美國公眾服務行政部門 (GSA)、美國國土安全部 (DHS)、美國國防部 (DOD)、國家標準技術協會 (NIST) 和聯邦資訊長聯席會。

FedRAMP 使用 NIST 特別出版物 800 系列,並要求雲端服務供應商接受第三方評估機構 (3PAO) 進行的獨立安全評估,以確保授權符合聯邦資訊安全管理法案 (FISMA) 規定。要向美國政府提供產品和服務的雲端供應商必須證明符合 FedRAMP 規定。如需 FedRAMP 要求的詳細資訊,請參閱 www.FedRAMP.gov

Amazon Web Services (AWS) 提供下列 FedRAMP 合規系統:

AWS GovCloud (US) 已獲得高影響級別的聯合授權委員會臨時授權 (JAB P-ATO)。涵蓋的服務:EC2、EBS、IAM、S3 和 VPC。

AWS 美國東部 – 西部已獲得多個中等影響級別的代理機構授權。涵蓋的服務包含 EC2、EBS、IAM、Redshift、S3 和 VPC。

為了因應雲端至上政策,美國行政管理和預算局 (OMB) 頒佈 FedRAMP 政策備忘錄,為 FISMA 建立第一個政府整體安全授權計劃。所有美國聯邦機構和所有雲端服務都必須強制執行 FedRAMP。FedRAMP 很重要,因為可提升:

  • 使用 NIST 和 FISMA 定義標準之雲端解決方案安全的一致性及可信賴度、
  • 美國政府和雲端供應商之間的透明度、
  • 自動化和近乎即時的持續監控,以及
  • 透過重複使用評估和授權來採用安全的雲端解決方案。

雲端至上政策要求所有聯邦機構使用 FedRAMP 程序來進行雲端服務的安全評估、授權及持續監控。FedRAMP 計劃辦事處概述 FedRAMP 合規的五項要求:

1. 聯邦機構已授與雲端服務供應商 (CSP) 操作授權書 (ATO)

2. CSP 遵守符合中等影響級別的 NIST 800-53 第 4 版安全控制基準的 FedRAMP 安全控制要求。

3. 所有系統安全套件都必須使用規定的 FedRAMP 範本。

4. CSP 要經過獨立稽核員的評估。

5. 完整的安全評估套件會公佈在 FedRAMP 安全儲存庫

FedRAMP 要求

若要讓 CSP 符合 FedRAMP 規定可採取三種途徑:

1. JAB 臨時授權 (JAB P-ATO) 途徑

採取 FedRAMP P-ATO 途徑的 CSP 將經過 FedRAMP PMO 審核、由 FedRAMP 認可的 3PAO 進行評估,然後獲得 DHS、DOD 及 GSA CIO 的 P-ATO。

2. 代理機構 FedRAMP 授權 (A-ATO) 途徑

採取代理機構授權途徑的 CSP 需經過客戶代理機構 CIO 或委託的授權官員審核,以獲得經 FedRAMP PMO 驗證的 FedRAMP 合規 ATO。

3. CSP 提供套件途徑

採取 CSP 提供套件途徑的 CSP 已將經 FedRAMP 認可的 3PAO 評估的完整安全評估套件提交給 FedRAMP PMO。

FedRAMP 雲端合規

是,AWS 提供下列 FedRAMP 合規系統,這些系統已獲得授權、遵守 FedRAMP 安全控制 (依據 NIST SP 800-53)、在安全 FedRAMP 儲存庫中公佈的安全套件中使用規定的 FedRAMP 範本、已由認可獨立第三方評估機構 (3PAO) 進行評估,以及維護 FedRAMP 的持續監控要求:

AWS GovCloud (US) 已獲得高影響級別的聯合授權委員會臨時操作授權書 (JAB P-ATO) 和多個代理機構授權 (A-ATO)。您可以在合規計劃的 AWS 服務範圍找到位於高基本安全分類中 AWS GovCloud (US) JAB P-ATO 邊界範圍內的服務。如需已發出 AWS GovCloud (US) ATO 的完整授權機構清單,請參閱 FedRAMP 合規系統

AWS 美國東部 – 西部已獲得多個中等影響級別的代理機構 ATO。您可以在合規計劃的 AWS 服務範圍找到 AWS 美國東部 – 西部授權邊界範圍內的服務。如需已發出 AWS 美國東部 – 西部 ATO 的完整授權機構清單,請參閱 FedRAMP 合規系統

否,沒有任何區域的服務成本會因 AWS 的 FedRAMP 合規而增加。

已核發兩個個別的 FedRAMP Agency ATO;一個包含 AWS GovCloud (US) 區域,另一個涵蓋 AWS 美國東部/西部區域。

有,許多政府機構及提供系統整合和其他產品與服務給政府機構的其他實體正在使用各種 AWS 服務。

FIPS AWS
CJIS AWS
FERPA AWS
DoD AWS
您可以在 合規計劃的 AWS 服務範圍找到已經涵蓋在 FedRAMP 和 DoD SRG 邊界範圍內的 AWS 服務。如果您想進一步了解使用這些服務的資訊及/或對其他服務感興趣,請聯絡 AWS 銷售和業務開發部門

可以,客戶可以評估其工作負載是否適合使用其他 AWS 服務。如需安全控制和風險接受度考量的詳盡討論,請聯絡 AWS 銷售和業務開發部門

可以,客戶可以評估其高影響工作負載是否適合使用 AWS。目前,FedRAMP 僅適用於 FISMA 低至中等影響級別的雲端運算系統,AWS 已符合多項「NIST 800-53 高」控制標準,而且我們開發了「AWS FISMA – 高」工作手冊,讓期望在 NIST 中等基準上擴充的客戶,可以建立支援其重要工作負載的「FISMA – 高」應用程式與服務。如需安全控制和風險接受度考量的詳盡討論,請聯絡我們的 AWS 銷售和業務開發部門

AWS 提供許多安全功能,客戶可使用這些功能以符合聯邦及 DoD 安全準則的方式來保護資料。我們會持續更新提供給客戶的現有安全工具,並針對現有安全功能定期發行增強功能。如需在雲端中保護您資料的詳細資訊和解決方案,請參考下列 AWS 安全準則:

AWS 客戶可透過 FedRAMP PMO 或他們的 AWS 銷售客戶經理,請求 AWS FedRAMP 安全套件的存取權。

美國政府機構客戶可填寫套件存取申請表並提交至 info@fedramp.gov,或聯絡他們的 AWS 銷售客戶經理,從 FedRAMP PMO 請求 AWS FedRAMP 安全套件的存取權。

AWS 合作夥伴和潛在客戶也可以聯絡他們的 AWS 銷售客戶經理,請求 AWS 合作夥伴 FedRAMP 安全套件的存取權。

代理機構官方授權 (AO) 可利用任何 AWS FedRAMP 授權安全套件來檢閱證明文件,並做出自己的風險決策,以授予代理機構授權或 ATO 給 AWS。代理機構負責在 AWS 發出他們自己的 ATO,也負責未涵蓋於 AWS A-ATO 中的系統元件整體授權。要進一步了解 AWS 共同的責任模型相關資訊,請聯絡您的 AWS 銷售客戶經理。

使用 AWS 提供的安全功能與廠商的生態系統,您可以控制和監督所建立的可用系統,使其與機構安全、隱私權和/或企業風險管理政策整合。

聽聽來自客戶、合作夥伴及系統整合商的使用案例 – 了解他們使用 AWS 獲得的價值:

部落格

Appian Cloud 使用 Amazon Web Services 基礎設施和 FedRAMP 授權。閱讀其他資訊

AWS 案例研究

美國國務院

美國食品和藥品管理局 (FDA)

美國疾病控制與預防中心 (CDC)

NASA/JPL 的沙漠研究與培訓案例

NASA JPL 與 Amazon SWF

NASA/JPL 的火星好奇號任務

AWS 合規

在 FedRAMP 運作概念 (CONOPS) 中,一旦授與授權,就會根據評估和授權程序監控 CSP 的安全狀態。若要每年取得 FedRAMP 授權的重新授權,CSP 必須監控其安全控制、定期進行評估,並證明其服務提供的安全狀態是持續可接受的。使用 FedRAMP 持續監控計劃的聯邦機構及授權官員 (AO) 和其指定團隊,將負責審核 AWS 的持續合規性。AO 和其指定團隊將審核透過 AWS FedRAMP 持續監控程序提供的成品,以及不斷實作 FedRAMP 控制以外規定之任一機構特定控制的證明。有關詳細資訊,請參閱您機構的資訊系統安全計劃或政策。

FedRAMP PMO 聲明 ISA 並非專為在 CSP 和聯邦機構之間使用而設計。如需詳細資訊,請參閱 FedRAMP PMO 網站

與 FedRAMP 合規相關的問題,請參閱 AWS Artifact 中的 AWS FedRAMP 合作夥伴套件。如果您有關於 FedRAMP/DoD 合規的後續問題,請聯絡 awscompliance@amazon.com。如需檢閱和討論 AWS 工作負載/架構,請洽銷售代表以取得更進一步的支援。

FedRAMP 資源

 

聯絡我們