AWS 合乎 NIST 的雲端基礎設施服務已由第三方針對 NIST 800-53 第 4 版控制加上 FedRAMP 要求，進行測試並通過驗證。AWS 已獲得 AWS GovCloud (US) 區域與 AWS 美國東部/西部區域的多家授權機構授與 FedRAMP 操作授權書 (ATO)。如需詳細資訊，請參閱下列連結：

• 如需 AWS 東部/西部區域授權機構的完整名單，請前往這裡

• 如需 AWS GovCloud 授權機構的完整名單，請前往這裡

• 若需高基準 AWS GovCloud JAB P-ATO，請前往這裡

如需 AWS FedRAMP 計劃的詳細資訊，請瀏覽 FedRAMP 網頁。

雖然有些控制是特別從 AWS 繼承而來，但是有許多控制是您與 AWS 之間共同的繼承。根據 NDA，AWS 提供以 NIST 800-53 第 4 版為基礎的 AWS FedRAMP SSP 範本，該範本已預先填入適當的 NIST 800-5 第 4 版低/中/高控制基準。控制責任如下：

• 共同的責任：您負責保障軟體元件的安全並提供設定，AWS 負責保障基礎設施的安全。

• 客戶單方面的責任：您須完全負責訪客作業系統、部署的應用程式及選取聯網資源 (例如防火牆)。具體來說，設定和管理雲端「內」的安全性，是您單方面須承擔的責任。

• AWS 單方面的責任：AWS 負責管理雲端基礎設施，包括網路、資料儲存體、系統資源、資料中心、實體安全、可靠性及支援軟硬體。以 AWS 系統為基礎建立的應用程式會繼承 AWS 提供的功能和可設定選項。設定及管理雲端「本身」的安全，由 AWS 單方面負責。

基於安全授權的目的，在 AWS 完全實作 AWS 單方面和共同的控制，以及您實作客戶單方面和共同的控制時，會暫時符合 FedRAMP 要求的規範 (根據 NIST 800-53 第 4 版低/中/高控制基準)。FedRAMP 認可的 3PAO (第三方評估機構) 已評估並授權 AWS 實作其控制責任。您負責的共同控制部分，以及與您以 AWS 基礎設施為基礎所實作的應用程式相關的控制，都必須在遵循 NIST 800-37 和客戶專屬安全授權政策與程序的情況下，由您個別評估和授權。

AWS FedRAMP 合規系統已獲得授權，解決了 FedRAMP 安全控制 (NIST SP 800-53)，對安全的 FedRAMP 儲存庫中張貼的安全套件採用必要的 FedRAMP 範本，由經過認可的獨立第三方評估機構 (3PAO) 評估，並且繼續達到 FedRAMP 的持續監控要求。

根據 AWS 共同的責任模型，AWS 負責管理雲端本身的安全，而您負責維護雲端內部的安全。為支援您實作共同的責任，AWS 快速指南 (由 AWS CloudFormation 提供) 採用了在 AWS 雲端上單鍵自動化部署重要技術的方式。每一份快速指南都會啟動、設定並執行在 AWS 上部署工作負載所需的 AWS 運算、網路、儲存及其他服務，以符合一般安全標準和架構的需要，例如 PCI DSS 和 NIST 800-53。

快速指南擁有完整的規則集，可系統化地強制執行，有助於簡化、自動化及實作安全基準。例如，AWS 雲端上以 NIST 為基礎的保證框架標準架構快速指南包括 AWS CloudFormation 範本。這些範本可與 AWS Service Catalog 整合，將建立標準化基準架構工作負載的過程自動化，這屬於 NIST 800-53 (第 4 版) 和 NIST 800-171 的範圍。快速指南還包括安全控制參考，對應基準的安全控制架構決策、功能及組態。這些可透過符合您組織的 AWS 雲端安全與合規目標的方式，幫助您在 AWS 中達到合規的目的。

公共部門和商業部門組織皆可使用此白皮書評估 AWS 環境是否符合 NIST CSF，並改善其實施和操作的安全措施 (也稱為雲端內部的安全)。我們提供 AWS 雲端產品的詳細圖解及其相關的客戶和 AWS 責任，以加強與 NIST CSF 的合規。此白皮書還提供第三方稽核員委託書，證明 AWS 雲端產品符合 NIST CSF 風險管理實務 (也稱為雲端本身的安全)，讓各組織能夠更完善地保護 AWS 上的資料。

從聯邦和州政府機構、受管制實體到大型企業的各種組織都可使用此白皮書做為實作 AWS 解決方案的指南，以達到 NIST CSF 中的風險管理成果。