FedRAMP

Tổng quan


Chính quyền Liên bang Hoa Kỳ nỗ lực cung cấp dịch vụ của mình cho người dân Hoa Kỳ theo cách tân tiến nhất, an toàn nhất và hiệu quả nhất về mặt chi phí. Điện toán đám mây đóng vai trò then chốt trong việc chính quyền liên bang có thể đạt được hiệu quả hoạt động và đổi mới theo nhu cầu nhằm thúc đẩy sứ mệnh của mình trên toàn đất nước như thế nào. Đó là lý do vì sao ngày nay, nhiều cơ quan liên bang đang sử dụng dịch vụ đám mây AWS để xử lý, lưu trữ và truyền dữ liệu của chính quyền liên bang.

Câu hỏi thường gặp


  • Chương trình quản lý rủi ro và cấp phép liên bang (FedRAMP) là một chương trình áp dụng cho toàn bộ chính phủ Hoa Kỳ, đưa ra cách tiếp cận tiêu chuẩn đối với đánh giá bảo mật, cấp phép và giám sát liên tục các sản phẩm và dịch vụ đám mây. Các cơ quan chỉ đạo của FedRAMP bao gồm Cục Quản lý Hành chính và Ngân sách (OMB), Cơ quan Quản lý Dịch vụ Chung của Hoa Kỳ (GSA), Bộ An ninh Nội địa Hoa Kỳ (DHS), Bộ Quốc phòng Hoa Kỳ (DoD), Viện Tiêu chuẩn & Công nghệ Quốc gia (NIST) và Hội đồng Giám đốc Thông tin (CIO) Liên bang.

    Nếu muốn cung cấp Sản phẩm và dịch vụ đám mây (CSO) cho chính phủ Hoa Kỳ, các Nhà cung cấp dịch vụ đám mây (CSP) phải chứng minh được rằng họ tuân thủ FedRAMP. FedRAMP sử dụng Loạt ấn phẩm đặc biệt 800 của NIST và yêu cầu các nhà cung cấp dịch vụ đám mây phải hoàn thành bản đánh giá bảo mật độc lập do một tổ chức đánh giá bên thứ ba (3PAO) tiến hành để đảm bảo rằng các cấp phép đều tuân thủ Đạo luật Quản lý bảo mật thông tin liên bang (FISMA). Để biết thêm thông tin, hãy xem website FedRAMP.

  • Để đáp lại Chính sách ưu tiên đám mây (giờ là Chiến lược đám mây thông minh), Cục Quản lý hành chính và Ngân sách (OMB) đã ban hành Biên bản chính sách FedRAMP (giờ là Chiến lược điện toán đám mây liên bang) để thiết lập chương trình cấp phép bảo mật đầu tiên trên toàn chính phủ dành cho Đạo luận hiện đại hóa công tác bảo mật thông tin liên bang (FISMA). FedRAMP là yêu cầu bắt buộc đối với tất cả các cơ quan liên bang của Hoa Kỳ và tất cả dịch vụ đám mây. FedRAMP quan trọng bởi chương trình này tăng cường:

    • Sự nhất quán và mức độ tin cậy trong công tác bảo mật các giải pháp đám mây nhờ các tiêu chuẩn do Viện Tiêu chuẩn & Công nghệ Quốc gia (NIST) và FISMA xác định
    • Tính minh bạch giữa chính phủ Hoa Kỳ và các nhà cung cấp đám mây
    • Tự động hóa và giám sát liên tục gần thời gian thực
    • Áp dụng các giải pháp đám mây bảo mật qua việc tái sử dụng đánh giá và cấp phép
  • Chính sách Ưu tiên cho Đám mây yêu cầu tất cả các cơ quan liên bang phải sử dụng quy trình của FedRAMP để tiến hành đánh giá bảo mật, cấp phép và giám sát liên tục đối với dịch vụ đám mây. Văn phòng Quản lý Chương trình (PMO) của FedRAMP đã vạch ra các yêu cầu tuân thủ FedRAMP sau đây:

    1. Nhà cung cấp dịch vụ đám mây (CSP) phải được một cơ quan liên bang Hoa Kỳ cấp Quyền vận hành (ATO) của Cơ quan, hoặc Ủy ban Cấp phép chung (JAB) cấp Quyền vận hành tạm thời (P-ATO).
    2. CSP đáp ứng các yêu cầu về kiểm soát bảo mật của FedRAMP như được mô tả trong mức kiểm soát bảo mật cơ bản NIST 800-53, Sửa đổi lần 4 của Viện Tiêu chuẩn & Công nghệ Quốc gia đối với mức tác động trung bình hoặc cao.
    3. Tất cả các gói bảo mật hệ thống đều phải sử dụng mẫu FedRAMP theo yêu cầu.
    4. CSP phải được đánh giá bởi một tổ chức đánh giá bên thứ ba (3PAO).
    5. Gói đánh giá bảo mật đã hoàn thành phải được công bố trong kho lưu trữ bảo mật của FedRAMP.
  • Có 2 cách để Nhà cung cấp dịch vụ đám mây (CSP) tuân thủ FedRAMP:

    • Ủy quyền của Ủy ban Cấp phép chung (JAB): Để nhận được Quyền vận hành tạm thời (P-ATO) của FedRAMP JAB, CSP cần được xem xét bởi Văn phòng Quản lý Chương trình (PMO) của FedRAMP, đánh giá bởi một 3PAO được FedRAMP chứng nhận và nhận một P-ATO từ JAB. Thành phần của JAB gồm các Giám đốc Thông tin (CIO) từ Bộ Quốc phòng (DoD), Bộ An ninh Nội địa (DHS) và Cơ quan Quản lý Dịch vụ Chung (GSA).
    • Cấp phép của cơ quan: Để nhận Quyền vận hành (ATO) của Cơ quan theo FedRAMP, CSP cần được xem xét bởi một CIO Cơ quan của khách hàng hoặc (các) Cán bộ cấp phép Ủy quyền là đạt ATO tuân thủ FedRAMP, sau đó điều này được xác minh bởi Văn phòng Quản lý Chương trình (PMO) của FedRAMP.
  • Cơ quan Liên bang hoặc Bộ Quốc phòng (DoD) có thể sử dụng các Sản phẩm và dịch vụ Đám mây AWS (CSO) làm khối dựng dành cho các giải pháp được lưu trữ trong đám mây. Mỗi sản phẩm và dịch vụ đám mây (CSO) của AWS đều được FedRAMP và DISA cấp phép cho Liên bang và Bộ quốc phòng sử dụng, với tài liệu cấp phép được lưu lại trong Quyền vận hành tạm thời (P-ATO). CSP sẽ không nhận được Quyền vận hành (ATO) cho các CSO của họ mà thay vào đó, họ sẽ nhận được P-ATO. PATO là tài liệu cần phê duyệt trước khi mua để các tổ chức Liên bang hoặc Bộ Quốc phòng có thể sử dụng CSO. Các Cơ quan liên bang hoặc Bộ Quốc phòng có thể sử dụng Gói bảo mật FedRAMP của AWS để xem xét tài liệu hỗ trợ, thêm mô tả chi tiết về trách nhiệm chung, và tự đưa ra quyết định cân nhắc rủi ro để cấp ATO. Nếu bạn có thắc mắc nào khác hoặc cần thêm thông tin, vui lòng liên hệ với Quản lý tài khoản bán hàng AWS của bạn.

    Cán bộ cấp phép (AO) của cơ quan có thể tận dụng bất kỳ Gói bảo mật FedRAMP của AWS nào để xem xét tài liệu hỗ trợ, thêm mô tả chi tiết về trách nhiệm chung và tự đưa ra quyết định trao Quyền vận hành (ATO) của Cơ quan cho AWS có cân nhắc rủi ro. Các cơ quan chịu trách nhiệm cấp ATO trên AWS và cũng chịu trách nhiệm về cấp phép chung cho các thành phần trong hệ thống. Nếu bạn có thắc mắc hay cần thêm thông tin, vui lòng liên hệ với Người quản lý tài khoản bộ phận bán hàng AWS của bạn hoặc Đội ngũ ATO trên AWS.

  • AWS là một Nhà cung cấp dịch vụ đám mây (CSP) chuyên cung cấp các Sản phẩm và dịch vụ đám mây (CSO). Với vai trò là một CSP, AWS tuân thủ quy trình FedRAMP để các CSO của mình được cấp phép cho Liên bang hoặc Bộ Quốc phòng sử dụng. Quy trình của FedRAMP không ban hành Quyền vận hành (ATO) cho CSP, thay vào đó, quy trình của FedRAMP sẽ ban hành Quyền vận hành tạm thời (PATO). PATO là tài liệu phê duyệt trước khi mua để các Cơ quan Liên bang hoặc Bộ Quốc phòng sử dụng CSO. Các Cơ quan Liên bang hoặc Bộ Quốc phòng DoD dùng PATO và các biện pháp kiểm soát kế thừa liên kết với PATO khi họ làm theo quy trình của Khung quản lý rủi ro (RMF) để nhận ATO cho riêng họ. Hãy lưu ý rằng PATO của AWS sẽ không được nâng cấp thành ATO do quy trình của FedRAMP không ban hành ATO cho CSP. ATO chỉ được ban hành như một phần trong quy trình RMF và sẽ được ban hành bởi Chuyên viên Cấp phép (AO) của Cơ quan Liên bang hoặc Bộ Quốc phòng. Để biêt thêm thông tin về FedRAMP, hãy truy cập vào trang web FedRAMP.

  • FedRAMP là quy trình phê duyệt mà Nhà cung cấp dịch vụ đám mây (CSP) cần làm theo để các Sản phẩm và dịch vụ đám mây (CSO) của họ được phép sử dụng trong các cơ quan Liên bang hoặc Bộ Quốc Phòng làm khối dựng cho các hệ thống được lưu trữ trên đám mây. Khung quản lý rủi ro (RMF) la quy trình mà Cơ quan liên bang hoặc Bộ Quốc phòng cần làm theo để hệ thống CNTT của họ được cấp phép vận hành. CSP chỉ làm theo quy trình FedRAMP chứ không làm theo quy trình RMF. Cơ quan Liên bang và Bộ Quốc phòng sẽ chỉ cần làm theo quy trình FedRAMP nếu họ tạo các dịch vụ đám mây (chẳng hạn như MilCloud).

  • Khách hàng là cơ quan liên bang nên tận dụng FedRAMP JAB ATO và gói cấp phép hiện có để tự ban hành Cấp phép vận hành của mình.

  • Có, AWS cung cấp các dịch vụ tuân thủ FedRAMP được cấp phép sau đây, đã giải quyết các biện pháp kiểm soát bảo mật của FedRAMP (dựa vào NIST SP 800-53), sử dụng mẫu FedRAMP theo yêu cầu cho các gói bảo mật được công bố trong Kho lưu trữ FedRAMP bảo mật, đã được đánh giá bởi một đánh giá viên bên thứ ba (3PAO) độc lập được công nhận và duy trì các yêu cầu giám sát liên tục của FedRAMP:

    • AWS GovCloud (US) đã được cấp một Ủy quyền vận hành tạm thời của Ban ủy quyền chung (JAB P-ATO) và nhiều Ủy quyền đại lý (A-ATO) cho mức độ tác động cao. Bạn có thể xem các dịch vụ trong phạm vi ranh giới của JAB P-ATO cho AWS GovCloud (US) thuộc nhóm phân loại mức bảo mật cơ bản cao trong Dịch vụ AWS trong phạm vi của chương trình tuân thủ.
    • AWS Đông-Tây Hoa Kỳ (Bắc Virginia, Ohio, Oregon, Bắc California) đã được cấp một Quyền vận hành tạm thời của Ủy ban Cấp phép chung (JAB P-ATO) và nhiều giấy Cấp phép của cơ quan (A-ATO) dành cho mức tác động trung bình. Bạn có thể xem các dịch vụ trong phạm vi ranh giới của JAB P-ATO cho AWS Đông-Tây Hoa Kỳ thuộc nhóm phân loại mức bảo mật cơ bản Trung bình trong Dịch vụ AWS thuộc phạm vi của Chương trình tuân thủ.  
  • Không, việc AWS tuân thủ FedRAMP sẽ không làm tăng chi phí dịch vụ đối với bất kỳ khu vực nào.

  • Đã có hai P-ATO FedRAMP độc lập được ban hành; một áp dụng cho AWS GovCloud (US) và một áp dụng cho khu vực Miền Đông/Miền Tây Hoa Kỳ của AWS.

  • Có, hiện nay, hơn 2.000 cơ quan chính phủ và các tổ chức khác chuyên tích hợp hệ thống và cung cấp các sản phẩm và dịch vụ khác cho cơ quan chính phủ, đang sử dụng nhiều dịch vụ của AWS. Bạn có thể xem các bài nghiên cứu điển hình về việc sử dụng AWS của các cơ quan chính phủ Hoa Kỳ thông qua trang web Thành công của khách hàng AWS. Để biết thêm thông tin về việc AWS đáp ứng các yêu cầu bảo mật cao của chính phủ như thế nào, hãy xem trang web AWS cho Chính phủ.

  • Có thể tìm thấy các dịch vụ AWS được áp dụng thuộc phạm vi ranh giới của FedRAMP và DoD SRG ở Dịch vụ AWS thuộc phạm vi của chương trình tuân thủ. Khi nhấp vào tab FedRAMP hoặc DoD SRG, các dịch vụ có dấu '“✓” cho biết FedRAMP JAB đã cho phép dịch vụ vì đáp ứng đầy đủ các yêu cầu cơ sở vừa phải của FedRAMP (sau đó là DoD SRG IL2) cho AWS US East-West và/hoặc Yêu cầu cơ sở cao của FedRAMP (sau đó là DoD SRG IL2, IL4 và IL5) đối với AWS GovCloud (US). Các dịch vụ này được đăng dưới phần mô tả dịch vụ của AWS trên FedRAMP Marketplace. Nếu các dịch vụ được đánh dấu là "Đánh giá 3PAO" hoặc "Đang đánh giá", AWS sẽ không triển trai hoặc duy trì các biện pháp kiểm soát FedRAMP vì những dịch vụ đó vẫn đang trong quá trình được đánh giá. Nếu dịch vụ được đánh dấu là "JAB xem xét" hoặc "DISA xem xét", tức là 3PAO đã đánh giá xong và dịch vụ đó hiện đang trong hàng đợi của bộ phận quy định của chúng tôi. Đối với những dịch vụ này, AWS đã triển khai và đã được đánh giá về những biện pháp kiểm soát FedRAMP có liên quan dựa trên môi trường, nhưng vẫn chưa được JAB cấp phép. Nếu bạn muốn tìm hiểu thêm về việc sử dụng những dịch vụ này và/hoặc quan tâm tới các dịch vụ khác, vui lòng liên hệ với Bộ phận Bán hàng và phát triển kinh doanh của AWS.

  • Vâng, khách hàng có thể đánh giá khối lượng công việc của mình xem có phù hợp với các dịch vụ AWS khác không. Hãy liên hệ với Bộ phận Bán hàng và phát triển kinh doanh của AWS để xem thảo luận chi tiết về các biện pháp kiểm soát bảo mật và những lưu ý khi chấp nhận rủi ro.

  • Có, khách hàng có thể đánh giá khối lượng công việc có cấp tác động cao của mình xem có phù hợp với AWS không. Hiện tại, khách hàng có thể bố trí các khối lượng công việc có mức độ tác động cao trên AWS GovCloud (US), vốn đã được cấp Quyền vận hành tạm thời của Ủy ban Cấp phép chung (JAB P-ATO) đối với mức tác động cao.

  • Nhân viên và nhà thầu của Chính phủ Hoa Kỳ có thể truyc ập vào Gói bảo mật FedRAMP của AWS từ FedRAMP PMO bằng cách điền vào Đơn yêu cầu quyền truy cập gói rồi gửi đơn đó đến địa chỉ info@fedramp.gov.

    Khách hàng và đối tác thương mại có thể yêu cầu quyền truy cập vào Gói đối tác FedRAMP của AWS để biết hướng dẫn liên quan đến việc xây dựng trên các sản phẩm và dịch vụ AWS, cũng như được hỗ trợ về kiến trúc dịch vụ tuân thủ FedRAMP/DoD trên AWS. Bạn có thể tìm thấy Gói đối tác trong tài khoản AWS của mình thông qua AWS Artifact hoặc đưa ra yêu cầu thông qua trình quản lý tài khoản AWS.

  • Đối với Khu vực Miền Đông-Miền Tây Hoa Kỳ của AWS, ID FedRAMP là AGENCYAMAZONEW. Đối với Khu vực AWS GovCloud (US), ID FedRAMP là F1603047866.

  • Trong Khái niệm hoạt động (CONOPS) của FedRAMP, sau khi đã được cấp phép, tình trạng bảo mật của CSP được giám sát theo quy trình đánh giá và cấp phép. Để được cấp phép lại FedRAMP sau mỗi năm, CSP phải giám sát các biện pháp kiểm soát bảo mật của họ, thường xuyên đánh giá và chứng tỏ rằng tình trạng bảo mật dịch vụ phải luôn ở mức chấp nhận được. Các cơ quan liên bang tận dụng chương trình giám sát liên tục của FedRAMP và Cán bộ cấp phép (AO) cùng nhóm chỉ định của họ có trách nhiệm đánh giá tuân thủ liên tục của AWS. AO và nhóm chỉ định của mình sẽ liên tục và không ngừng đánh giá các artifact được cung cấp qua quy trình giám sát liên tục FedRAMP của AWS, bên cạnh bằng chứng thực hiện bất kỳ biện pháp kiểm soát theo cơ quan nào ngoài các biện pháp kiểm soát của FedRAMP. Để biết thêm thông tin, hãy xem chương trình hoặc chính sách bảo mật hệ thống thông tin của cơ quan bạn.

  • Không. Theo Mẹo và gợi ý hằng tuần của FedRAMP – Ngày 10 tháng 8 năm 2016, không bắt buộc phải có ISA trong trường hợp sử dụng giữa CSP và cơ quan liên bang.

  • Gói bảo mật FedRAMP của AWS được cung cấp cho khách hàng bằng cách sử dụng AWS Artifact, một cổng tự hoạt động để truy cập báo cáo tuân thủ AWS theo nhu cầu. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.

    Nếu bạn có thắc mắc cụ thể về tuân thủ FedRAMP hoặc DoD, vui lòng liên hệ Người quản lý tài khoản AWS của bạn hoặc gửi Mẫu liên hệ với chúng tôi của bộ phận Tuân thủ AWS để được kết nối với đội ngũ phụ trách tuân thủ của FedRAMP.

  • Các cơ quan chính phủ chịu sự đánh giá của Tổng cục kiểm tra (OIG) cũng như sự đánh giá nội bộ dựa trên số liệu do Bộ An ninh Nội địa (DHS) cung cấp. Tiêu chí dành cho các số liệu FISMA OIG và CIO là các ấn bản đặc biệt NIST SP 800, với trọng tâm là NIST SP 800-53. Để những cơ quan này có thể dựa vào sự bảo mật của CSP, FedRAMP là chương trình tuân thủ được xây dựng dựa trên cơ sở các biện pháp kiểm soát NIST SP 800-53 giúp tuân thủ các yêu cầu FISMA trong đám mây.

    Chương trình tuân thủ FedRAMP được Bộ Quốc phòng sử dụng để đáp ứng các Mức tác động theo Hướng dẫn về các yêu cầu bảo mật điện toán đám mây của Bộ Quốc phòng (DoD CC SRG), cả hai đều yêu cầu tuân thủ FIPS 140-2 đối với những biện pháp kiểm soát mã hóa nhất định. Đối với các nhà thầu của Bộ Quốc phòng chịu trách nhiệm xử lý, lưu trữ và truyền Thông tin chưa phân loại chịu kiểm soát (CUI), Quy định bổ sung về mua sắm quốc phòng liên bang (DFARS) yêu cầu các nhà thầu này phải đáp ứng một bộ tiêu chuẩn nhất định về bảo mật, trong đó có các yêu cầu NIST SP 800-171. NIST SP 800-171 đưa ra yêu cầu bảo mật đề xuất cho các cơ quan nhằm bảo vệ tính bí mật của Thông tin chưa phân loại chịu kiểm soát (CUI).

Bạn có thắc mắc? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »