Hướng dẫn về yêu cầu bảo mật điện toán đám mây của Bộ Quốc phòng

Tổng quan

• Làm thế nào để tôi xem xét tài liệu và hướng dẫn bảo mật AWS?

  Khách hàng và nhà cung cấp DoD của chúng tôi có thể sử dụng cấp phép của FedRAMP và DoD để thúc đẩy nỗ lực xin chứng nhận và xác nhận của mình. Để hỗ trợ việc cấp phép cho các hệ thống quân sự lưu trữ trên AWS, chúng tôi cung cấp cho nhân viên bảo mật của DoD tài liệu để bạn có thể xác minh việc AWS tuân thủ các biện pháp kiểm soát áp dụng trong NIST 800-53 (Sửa đổi lần 4) và SRG Điện toán đám mây của DoD (Phiên bản 1, Bản phát hành 3).

  Chúng tôi cung cấp cho khách hàng của DoD gói hướng dẫn bảo mật và tài liệu về bảo mật và tuân thủ bằng cách sử dụng AWS làm giải pháp lưu trữ DoD. Cụ thể, chúng tôi cung cấp một mẫu AWS FedRAMP SSP dựa trên NIST 800-53 (Sửa đổi lần 4), được điền sẵn các mức kiểm soát cơ bản áp dụng của FedRAMP và DoD. Các biện pháp kiểm soát kế thừa trong mẫu được điền sẵn bởi AWS; các biện pháp kiểm soát chia sẻ sẽ thuộc trách nhiệm của cả AWS lẫn khách hàng; trong khi một số biện pháp kiểm soát lại hoàn toàn thuộc trách nhiệm của khách hàng.

  Tổ chức quân sự hoặc nhà thầu hợp tác với DoD có quyền yêu cầu truy cập văn bản bảo mật của AWS bằng cách liên hệ Quản lý khách hàng của AWS hoặc gửi Mẫu liên hệ với chúng tôi của bộ phận Tuân thủ AWS. Khách hàng không phải chính phủ, ví dụ như đối tác AWS, có thể tải xuống Gói bảo mật FedRAMP dành cho Đối tác AWS bằng cách sử dụng AWS Artifact.

• Tôi được lợi gì khi chuyển sang AWS?

  Chúng tôi tin rằng đối với khách hàng của chính phủ, việc chuyển sang đám mây là một cơ hội để cải thiện cấp độ bảo đảm bảo mật và giảm rủi ro tác nghiệp của bạn. Môi trường vận hành của AWS cho phép bạn đạt được cấp bảo mật và tuân thủ mà chỉ có thể có trong môi trường được hỗ trợ bởi công nghệ tự động hóa ở mức cao. Thay vì sử dụng trung tâm dữ liệu truyền thống để tiến hành kiểm kê định kỳ và kiểm tra "thời điểm", khách hàng của AWS có khả năng tiến hành kiểm tra một cách liên tục. Với khả năng theo dõi môi trường của mình ở mức độ này, việc kiểm soát dữ liệu sẽ được nâng cao, đồng thời bạn cũng tăng khả năng duy trì đảm bảo rằng chỉ những người dùng được ủy quyền mới có quyền truy cập.

  Ví dụ: người phụ trách nhiệm vụ của DoD có thể đạt được mức kiểm soát cao hơn đối với ứng dụng thông qua việc thực thi hướng dẫn bảo mật và tuân thủ của DoD theo lập trình. AWS cho phép bạn tạo các mẫu được duyệt sẵn cho các tình huống sử dụng ứng dụng thường gặp, giảm thời gian cần để cho phép ứng dụng mới. Mẫu có thể giúp đảm bảo rằng chủ sở hữu ứng dụng không thay đổi các cài đặt bảo mật quan trọng như nhóm bảo mật và ACL mạng, đồng thời có thể thực thi việc sử dụng hình ảnh máy được tăng cường theo STIG. Việc thực thi hướng dẫn bảo mật của DoD theo lập trình này sẽ giảm công sức cấu hình thủ công, từ đó có thể giảm cấu hình sai và giảm rủi ro tổng thể cho DoD.
  

• Làm thế nào người phụ trách nhiệm vụ có được Cấp phép vận hành (ATO)?

  Là người phụ trách nhiệm vụ của DoD, bạn có trách nhiệm xây dựng một gói cấp phép xác định đầy đủ việc bạn thực hiện các biện pháp kiểm soát bảo mật áp dụng cho ứng dụng của mình. Giống như bất kỳ gói cấp phép truyền thống nào, bạn cần văn bản hóa mức kiểm soát bảo mật cơ bản của mình bằng một kế hoạch bảo mật hệ thống, sau đó cho nhân viên chứng nhận liên quan từ tổ chức của DoD xem xét kế hoạch này cùng việc thực hiện kế hoạch. Trong khi xem xét, nhân viên chứng nhận hoặc cán bộ cấp phép của bạn có thể xem xét gói cấp phép của AWS để nắm được một cái nhìn tổng thể về việc thực hiện kiểm soát bảo mật từ trên xuống dưới. Sau khi xem xét gói cấp phép bảo mật của bạn và các gói cấp phép bảo mật của AWS, cán bộ cấp phép sẽ có thông tin cần thiết để đưa ra quyết định chứng nhận cho ứng dụng của bạn và cấp một ATO.

  Để biết thêm thông tin về trách nhiệm của chủ sở hữu ứng dụng DoD đang hoạt động trong AWS, hãy xem báo cáo nghiên cứu chuyên sâu Thực hiện tuân thủ DoD trong Đám mây AWS.
  

• Tại sao SRG Điện toán đám mây DoD lại quan trọng?

  SRG Điện toán đám mây DoD hỗ trợ mục tiêu chung của Chính quyền Liên bang Hoa Kỳ, đó là tăng cường sử dụng điện toán đám mây và cung cấp phương thức cho DoD để hỗ trợ mục tiêu này. Vào ngày 08/02/2011, Cục Quản lý Hành chính và Ngân sách (OMB) đã thiết lập Chiến lược điện toán đám mây liên bang, trong đó đưa ra hướng dẫn cho tất cả các cơ quan liên bang để áp dụng công nghệ đám mây trong chính quyền liên bang. Tiếp nối chiến lược này là một yêu cầu liên bang vào tháng 12/2011, thành lập Chương trình quản lý rủi ro và cấp phép liên bang (FedRAMP). FedRAMP là chương trình bắt buộc đối với việc triển khai đám mây và mô hình dịch vụ ở cấp tác động rủi ro thấp, trung bình và cao của cơ quan liên bang.

  Vào tháng 7 năm 2012, DoD ban hành Chiến lược điện toán đám mây của mình từ Giám đốc Thông tin (CIO) của DoD. Chiến lược này lập ra Môi trường thông tin chung (JIE) và Môi trường đám mây doanh nghiệp của DoD: "Chiến lược điện toán đám mây của DoD giới thiệu một cách tiếp cận nhằm di chuyển Bộ từ trạng thái hiện tại, với tập hợp các silo ứng dụng trùng lặp, phiền hà và tốn kém, sang trạng thái cuối, tức là một môi trường dịch vụ linh hoạt, bảo mật và hiệu quả về mặt chi phí, có thể nhanh chóng phản ứng trước nhu cầu thay đổi của nhiệm vụ. Giám đốc Thông tin (CIO) của DoD cam kết thúc đẩy việc thông qua điện toán đám mây trong phạm vi Bộ..."

  SRG Điện toán đám mây DoD tận dụng chương trình FedRAMP làm phương thức để lập ra cách tiếp cận tiêu chuẩn cho DoD nhằm đánh giá các nhà cung cấp dịch vụ đám mây (CSP).
  

• Dịch vụ Đám mây AWS có đáp ứng các yêu cầu của DoD không?

  Vâng, AWS đã được đánh giá và phê duyệt là nhà cung cấp dịch vụ đám mây cho Khu vực Miền Đông và Miền Tây Hoa Kỳ ở Cấp tác động 2, AWS GovCloud (US) ở Cấp tác động 4 và 5 và Khu vực AWS Secret ở Cấp tác động 6.

  • Ở Cấp tác động 2, các Khu vực AWS ở Hoa Kỳ gồm Miền Đông/Miền Tây Hoa Kỳ của và AWS GovCloud (US), đã được đánh giá bởi DISA và nhận được hai cấp phép tạm thời sau khi chứng minh tuân thủ các yêu cầu của DoD. AWS tuân thủ các yêu cầu của DoD nhờ tận dụng Cấp phép vận hành tạm thời (P-ATO) của Ủy ban Cấp phép Chung (JAB) thuộc FedRAMP. Cấp phép tạm thời cho phép các cơ quan thuộc DoD đánh giá bảo mật của AWS và tạo cơ hội lưu trữ, xử lý và duy trì mảng dữ liệu DoD đa dạng trong Đám mây AWS.
  • Ở Cấp tác động 4 và 5, AWS GovCloud (US) đã nhận được cấp phép tạm thời từ DISA để cho phép khách hàng của DoD triển khai các ứng dụng sản xuất với các mức kiểm soát cơ bản nâng cao tương ứng với các cấp của SRG. Khách hàng của DoD với các ứng dụng có thể có Cấp tác động 4 hoặc 5 nên liên hệ với DISA để bắt đầu quy trình xin phê duyệt.
  • Ở Cấp tác động 6, Vùng AWS Secret có một cấp phép tạm thời của DoD cho khối lượng công việc lên tới và gồm cả cấp Bí mật. Bạn có thể tham khảo danh mục dịch vụ cho Khu vực AWS Secret từ Chuyên viên phụ trách khách hàng AWS của mình.
    

• Những Vùng AWS nào được áp dụng?

  Cấp phép tạm thời của chúng tôi áp dụng cho nhiều vùng thuộc địa phận Hoa Kỳ trên lục địa, trong đó có AWS GovCloud (US) (Cấp tác động 2, 4 và 5), khu vực Miền Đông/Miền Tây Hoa Kỳ của AWS (Cấp tác động 2) và Khu vực AWS Secret (Cấp tác động 6).
  

• Có những phân loại hệ thống DoD nào có thể được đặt trên AWS?

  Khu vực Miền Đông và Miền Tây Hoa Kỳ của AWS có cấp phép tạm thời cho Cấp tác động 2, cho phép người phụ trách nhiệm vụ triển khai thông tin công khai, không phân loại ở những Khu vực AWS này với cả cấp phép của AWS lẫn ATO của ứng dụng nhiệm vụ. AWS GovCloud có cấp phép tạm thời cho Cấp tác động 2, 4 và 5, cho phép người phụ trách nhiệm vụ triển khai đủ các loại thông tin có kiểm soát, không phân loại thuộc phạm vi của những cấp này. Khu vực AWS Secret có cấp phép tạm thời cho Cấp tác động 6 và cho phép khối lượng công việc lên đến và gồm cả phân loại Bí mật.
  

• Điều này có ý nghĩa gì với tôi với tư cách là người phụ trách nhiệm vụ DoD?

  Cấp phép tạm thời cho Cấp tác động 2 của chúng tôi cho phép khách hàng của DoD sử dụng cơ sở hạ tầng và dịch vụ AWS tuân thủ của chúng tôi để triển khai khối lượng công việc, bao gồm dữ liệu được phép phát hành công khai, cũng như một số thông tin không phân loại riêng tư của DoD. Di chuyển môi trường CNTT DoD của bạn sang AWS có thể giúp cải thiện khả năng giám sát tuân thủ của chính bạn bằng các dịch vụ và tính năng do AWS cung cấp.

  Cấp phép tạm thời Cấp tác động 4 và 5 của chúng tôi cho AWS GovCloud (US) đồng nghĩa với việc khách hàng của DoD có thể triển khai ứng dụng sản xuất của mình sang AWS GovCloud (US). Cấp phép này cho phép khách hàng tham gia hoạt động thiết kế, phát triển và tích hợp cho khối lượng công việc cần phải tuân thủ Cấp tác động 4 và 5 của SRG Điện toán đám mây DoD.

  Cấp phép tạm thời Cấp tác động 6 của chúng tôi cho Vùng AWS Secret có nghĩa là khách hàng của DoD có thể sử dụng dịch vụ của chúng tôi để lưu trữ, xử lý hoặc truyền dữ liệu lên tới và gồm cả cấp Bí mật. Khách hàng có thể dựa vào cấp phép của chúng tôi để đảm bảo tất cả yêu cầu về cơ sở hạ tầng được xác định theo Cấp tác động 6, điều này giúp họ quản lý việc tuân thủ và chứng nhận của chính mình, bao gồm kiểm tra và quản lý bảo mật.
  

• Cấp phép tạm thời của AWS có ảnh hưởng như thế nào tới ATO của người phụ trách nhiệm vụ?

  Khi vận hành một ứng dụng trong AWS, trên tinh thần chia sẻ trách nhiệm bảo mật, người phụ trách nhiệm vụ của DoD chịu trách nhiệm về mức kiểm soát bảo mật cơ bản bị suy giảm. AWS cung cấp một môi trường lưu trữ web an toàn với các biện pháp kiểm soát bảo mật cho người phụ trách nhiệm vụ để họ áp dụng với ứng dụng của mình, nhưng điều này không miễn cho họ trách nhiệm phải triển khai, quản lý và giám sát ứng dụng của mình một cách chặt chẽ theo biện pháp kiểm soát bảo mật và chính sách tuân thủ của DoD.

  Để biết thêm thông tin về trách nhiệm của chủ sở hữu ứng dụng DoD đang hoạt động trong AWS, hãy xem báo cáo nghiên cứu chuyên sâu Thực hiện tuân thủ DoD trong Đám mây AWS.
  

• Có thể sử dụng các dịch vụ AWS khác không?

  Vâng, khách hàng có thể đánh giá khối lượng công việc của mình xem có phù hợp với các dịch vụ AWS khác không. Mỗi người phụ trách nhiệm vụ được trao quyền đánh giá và chấp nhận rủi ro từ bất kỳ dịch vụ nào của chúng tôi mà họ chọn sử dụng. Để biết thêm thông tin về các biện pháp kiểm soát bảo mật và những lưu ý khi chấp nhận rủi ro, vui lòng liên hệ với AWS Compliance.
  

• Việc tuân thủ DoD sẽ làm tăng giá dịch vụ của AWS chứ?

  Không, chi phí dịch vụ không tăng đối với bất kỳ dịch vụ nào trong chương trình tuân thủ của AWS.
  

• Có các đơn vị khác của DoD đang sử dụng AWS ngay lúc này không?

  Có, hiện nay, nhiều cơ quan thuộc DoD và các tổ chức khác, chuyên tích hợp hệ thống và cung cấp các sản phẩm và dịch vụ khác cho DoD, đang sử dụng nhiều dịch vụ của AWS. AWS không thể tiết lộ nhiều khách hàng đã có Cấp phép vận hành (ATO) của DoD cho hệ thống trên AWS, nhưng chúng tôi thường xuyên làm việc với khách hàng và đánh giá viên của họ khi lập kế hoạch, triển khai, chứng nhận và xác nhận khối lượng công việc của DoD trên AWS.
  

• ATO có yêu cầu kiểm tra thực tế tại trung tâm dữ liệu của một nhà cung cấp dịch vụ không?

  Không. Khách hàng của DoD có thể dựa vào công việc được thực hiện bởi các tổ chức đánh giá bên thứ ba (3PAO) FedRAMP, gồm một đánh giá mở rộng tại chỗ về bảo mật vật lý cho các trung tâm dữ liệu của chúng tôi. Theo SRG Điện toán đám mây DoD, khách hàng của DoD có thể có Cấp phép vận hành (ATO) mà không cần kiểm tra thực tế tại trung tâm dữ liệu của nhà cung cấp dịch vụ đã có cấp phép.
  

• Những dịch vụ AWS nào được áp dụng?

  Để xem danh sách đầy đủ về các dịch vụ được áp dụng, hãy truy cập trang web Dịch vụ AWS trong phạm vi của chương trình tuân thủ.