FedRAMP

Tổng quan

FedRAMPLogoSmall

Chính quyền Liên bang Hoa Kỳ nỗ lực cung cấp dịch vụ của mình cho người dân Hoa Kỳ theo cách tân tiến nhất, an toàn nhất và hiệu quả nhất về mặt chi phí. Điện toán đám mây đóng vai trò then chốt trong việc chính quyền liên bang có thể đạt được hiệu quả hoạt động và đổi mới theo nhu cầu nhằm thúc đẩy sứ mệnh của mình trên toàn đất nước như thế nào. Đó là lý do vì sao ngày nay, nhiều cơ quan liên bang đang sử dụng dịch vụ đám mây AWS để xử lý, lưu trữ và truyền dữ liệu của chính quyền liên bang.

  • FedRAMP là gì?

    Chương trình quản lý rủi ro và cấp phép liên bang (FedRAMP) là một chương trình áp dụng cho toàn bộ chính phủ Hoa Kỳ, đưa ra cách tiếp cận tiêu chuẩn đối với đánh giá bảo mật, cấp phép và giám sát liên tục các sản phẩm và dịch vụ đám mây. Các cơ quan chỉ đạo của FedRAMP bao gồm Cục Quản lý Hành chính và Ngân sách (OMB), Cơ quan Quản lý Dịch vụ Chung của Hoa Kỳ (GSA), Bộ An ninh Nội địa Hoa Kỳ (DHS), Bộ Quốc phòng Hoa Kỳ (DoD), Viện Tiêu chuẩn & Công nghệ Quốc gia (NIST) và Hội đồng Giám đốc Thông tin (CIO) Liên bang.

    Nhà cung cấp dịch vụ đám mây muốn cung cấp sản phẩm và dịch vụ của mình cho chính phủ Hoa Kỳ phải chứng tỏ họ tuân thủ FedRAMP. FedRAMP sử dụng Loạt ấn phẩm đặc biệt 800 của NIST và yêu cầu các nhà cung cấp dịch vụ đám mây phải được đánh giá bảo mật độc lập do một tổ chức đánh giá bên thứ ba (3PAO) tiến hành để đảm bảo rằng các cấp phép đều tuân thủ Đạo luật Quản lý bảo mật thông tin liên bang (FISMA). Để biết thêm thông tin, hãy xem website FedRAMP.

  • Tại sao FedRAMP lại quan trọng?

    Đáp lại Chính sách ưu tiên cho đám mây, Cục Quản lý Hành chính và Ngân sách (OMB) đã ban hành Ghi nhớ chính sách FedRAMP để thành lập chương trình cấp phép bảo mật toàn chính phủ đầu tiên cho FISMA. FedRAMP là yêu cầu bắt buộc đối với tất cả các cơ quan liên bang của Hoa Kỳ và tất cả dịch vụ đám mây. FedRAMP quan trọng bởi chương trình này tăng:

    • Độ nhất quán và tin cậy về mức độ bảo mật của các giải pháp đám mây bằng cách sử dụng các tiêu chuẩn do NIST và FISMA xác định
    • Tính minh bạch giữa chính phủ Hoa Kỳ và các nhà cung cấp đám mây
    • Tự động hóa và giám sát liên tục gần thời gian thực
    • Áp dụng các giải pháp đám mây bảo mật qua việc tái sử dụng đánh giá và cấp phép
  • Các yêu cầu về tuân thủ FedRAMP là gì?

    Chính sách Ưu tiên cho Đám mây yêu cầu tất cả các cơ quan liên bang phải sử dụng quy trình của FedRAMP để tiến hành đánh giá bảo mật, cấp phép và giám sát liên tục đối với dịch vụ đám mây. Văn phòng Quản lý Chương trình (PMO) của FedRAMP đã vạch ra các yêu cầu tuân thủ FedRAMP sau đây:

    1. Nhà cung cấp dịch vụ đám mây (CSP) phải được một cơ quan liên bang Hoa Kỳ cấp Cấp phép vận hành (ATO) của Cơ quan, hoặc Ủy ban Cấp phép Chung (JAB) Cấp phép vận hành tạm thời (P-ATO).
    2. CSP đáp ứng các yêu cầu về kiểm soát bảo mật của FedRAMP như được mô tả trong mức kiểm soát bảo mật cơ bản NIST 800-53, Sửa đổi lần 4 đối với cấp tác động trung bình hoặc cao.
    3. Tất cả các gói bảo mật hệ thống đều phải sử dụng mẫu FedRAMP theo yêu cầu.
    4. CSP phải được đánh giá bởi một tổ chức đánh giá bên thứ ba (3PAO).
    5. Gói đánh giá bảo mật đã hoàn thành phải được công bố trong kho lưu trữ bảo mật của FedRAMP.
  • Có các loại tuân thủ FedRAMP nào?

    Có hai cách để CSP tuân thủ FedRAMP:

    1. Cấp phép của JAB

    Để nhận được Cấp phép vận hành tạm thời (P-ATO) của Ủy ban Cấp phép Chung (JAB), CSP được xem xét bởi Văn phòng Quản lý Chương trình (PMO) của FedRAMP, đánh giá bởi một 3PAO được FedRAMP chứng nhận và nhận một P-ATO từ JAB. Thành phần của JAB gồm các Giám đốc Thông tin (CIO) từ Bộ Quốc phòng (DoD), Bộ An ninh Nội địa (DHS) và Cơ quan Quản lý Dịch vụ Chung (GSA).

    2. Cấp phép của Cơ quan

    Để nhận Cấp phép vận hành (ATO) của Cơ quan theo FedRAMP, CSP được xem xét bởi một CIO Cơ quan của khách hàng hoặc (các) Cán bộ cấp phép Ủy quyền là đạt ATO tuân thủ FedRAMP, sau đó điều này được xác minh bởi Văn phòng Quản lý Chương trình (PMO) của FedRAMP.

  • Amazon Web Services có tuân thủ FedRAMP không?

    Có, AWS cung cấp các hệ thống tuân thủ FedRAMP được cấp phép sau đây, đã giải quyết các biện pháp kiểm soát bảo mật của FedRAMP (dựa vào NIST SP 800-53), sử dụng mẫu FedRAMP theo yêu cầu cho các gói bảo mật được công bố trong Kho lưu trữ FedRAMP bảo mật, đã được đánh giá bởi một đánh giá viên bên thứ ba (3PAO) độc lập được công nhận và duy trì các yêu cầu giám sát liên tục của FedRAMP:

    AWS GovCloud (US) đã được cấp một Ủy quyền vận hành tạm thời của Ban ủy quyền chung (JAB P-ATO) và nhiều Ủy quyền đại lý (A-ATO) cho mức độ tác động cao. Bạn có thể xem các dịch vụ trong phạm vi ranh giới của JAB P-ATO cho AWS GovCloud (US) thuộc nhóm phân loại mức bảo mật cơ bản cao trong Dịch vụ AWS trong phạm vi của chương trình tuân thủ.

    AWS Đông-Tây Hoa Kỳ, đã có Cấp phép vận hành tạm thời của Ủy ban Cấp phép Chung (JAB P-ATO) và nhiều Cấp phép của Cơ quan (A-ATO) cho cấp tác động trung bình. Bạn có thể xem các dịch vụ trong phạm vi ranh giới của JAB P-ATO cho AWS Đông-Tây Hoa Kỳ thuộc nhóm phân loại mức bảo mật cơ bản Trung bình trong Dịch vụ AWS thuộc phạm vi của chương trình tuân thủ.

  • Liệu việc tuân thủ FedRAMP có làm tăng chi phí dịch vụ AWS của tôi không?

    Không, chi phí dịch vụ không tăng đối với bất kỳ vùng nào do việc AWS tuân thủ FedRAMP.

  • Những Vùng AWS nào được áp dụng?

    Đã có hai ATO Cơ quan FedRAMP được ban hành riêng; một áp dụng cho Vùng AWS GovCloud (US)và một áp dụng cho vùng Đông/Tây Hoa Kỳ của AWS.

  • Có các cơ quan Chính phủ Hoa Kỳ hiện đang sử dụng AWS không?

    Có, hiện nay hơn 2000 cơ quan chính phủ và các cơ quan khác, chuyên tích hợp hệ thống và cung cấp các sản phẩm và dịch vụ khác cho cơ quan chính phủ, đang sử dụng nhiều dịch vụ của AWS. Bạn có thể xem các nghiên cứu tình huống về cơ quan chính phủ Hoa Kỳ đang sử dụng AWS, bao gồm Bộ Ngoại giao Hoa Kỳ, Cơ quan Quản lý Thực phẩm và Dược phẩm Hoa Kỳ (FDA), Trung tâm Kiểm soát và Phòng ngừa Bệnh dịch Hoa Kỳ (CDC), Nghiên cứu tập huấn và tìm hiểu về sa mạc của NASA/JPL, NASA JPL và Amazon SWFSứ mệnh thăm dò sao hỏa của NASA/JPL. Để xem tất cả các nghiên cứu tình huống có sẵn, hãy truy cập trang web Câu chuyện Thành công của Khách hàng AWS. Để biết thêm thông tin về việc AWS đáp ứng các yêu cầu bảo mật cao của chính phủ như thế nào, hãy xem trang web AWS cho Chính phủ.

  • Những dịch vụ nào được áp dụng?

    Có thể tìm thấy các dịch vụ AWS được áp dụng thuộc phạm vi ranh giới của FedRAMP và DoD SRG ở Dịch vụ AWS thuộc phạm vi của chương trình tuân thủ. Nếu bạn muốn tìm hiểu thêm về việc sử dụng những dịch vụ này và/hoặc quan tâm tới các dịch vụ khác, vui lòng liên hệ với Bộ phận Bán hàng và phát triển kinh doanh AWS.

  • Có thể sử dụng các dịch vụ AWS khác không?

    Vâng, khách hàng có thể đánh giá khối lượng công việc của mình xem có phù hợp với các dịch vụ AWS khác không. Liên hệ với Bộ phận Bán hàng và Phát triển Kinh doanh AWS để xem thảo luận chi tiết về các biện pháp kiểm soát bảo mật và những lưu ý khi chấp nhận rủi ro.

  • Có thể đặt các hệ thống có cấp tác động Cao lên AWS không?

    Vâng, khách hàng có thể đánh giá khối lượng công việc có cấp tác động cao của mình xem có phù hợp với AWS không. Hiện tại, FedRAMP chỉ áp dụng với các hệ thống điện toán đám mây ở cấp tác động thấp và trung bình theo FISMA, tuy nhiên, AWS đã đáp ứng nhiều biện pháp kiểm soát NIST 800-53 ở cấp tác động Cao và chúng tôi đã lập sổ công tác AWS FISMA-High cho những khách hàng muốn mở rộng dựa trên mức cơ bản Trung bình của NIST để xây dựng các ứng dụng và dịch vụ có cấp tác động Cao theo FISMA nhằm hỗ trợ khối lượng công việc trọng yếu của mình. Vui lòng liên hệ với Bộ phận bán hàng và phát triển kinh doanh AWS của chúng tôi để xem thảo luận chi tiết về các biện pháp kiểm soát bảo mật và những lưu ý khi chấp nhận rủi ro.

  • Tôi có thể truy cập Gói bảo mật FedRAMP của AWS ở đâu?

    Khách hàng của AWS có thể yêu cầu truy cập Gói bảo mật FedRAMP của AWS thông qua PMO FedRAMP hoặc Quản lý tài khoản bán hàng AWS của họ.

    Khách hàng là cơ quan chính phủ Hoa Kỳ có thể yêu cầu truy cập Gói bảo mật FedRAMP của AWS từ PMO của FedRAMP bằng cách điền vào Mẫu yêu cầu truy cập gói và gửi cho info@fedramp.gov, hoặc liên hệ với Quản lý tài khoản bán hàng AWS của họ.

    Các đối tác và khách hàng triển vọng của AWS cũng có thể yêu cầu truy cập Gói bảo mật FedRAMP dành cho Đối tác của AWS bằng cách sử dụng AWS Artifact.

  • Một cơ quan tận dụng được cấp phép FedRAMP của AWS như thế nào?

    Cán bộ cấp phép (AO) của cơ quan có thể tận dụng bất kỳ Gói bảo mật FedRAMP của AWS nào để xem xét tài liệu hỗ trợ và đưa ra quyết định trao Cấp phép vận hành (ATO) của Cơ quan cho AWS có cân nhắc tới rủi ro. Các cơ quan chịu trách nhiệm cấp ATO trên AWS và cũng chịu trách nhiệm về cấp phép chung cho các thành phần trong hệ thống của họ mà không được áp dụng trong ATO của AWS. Nếu bạn có thắc mắc hay cần thêm thông tin, vui lòng liên hệ với Quản lý tài khoản bán hàng AWS của bạn.

  • Việc giám sát liên tục được xử lý như thế nào với cấp phép FedRAMP?

    Trong Khái niệm hoạt động (CONOPS) của FedRAMP, sau khi đã được cấp phép, tình trạng bảo mật của CSP được giám sát theo quy trình đánh giá và cấp phép. Để được cấp phép lại FedRAMP sau mỗi năm, CSP phải giám sát các biện pháp kiểm soát bảo mật của họ, thường xuyên đánh giá và chứng tỏ rằng tình trạng bảo mật dịch vụ phải luôn luôn ở mức chấp nhận được. Các cơ quan liên bang tận dụng chương trình giám sát liên tục của FedRAMP và Cán bộ cấp phép (AO) cùng nhóm chỉ định của họ có trách nhiệm đánh giá tuân thủ liên tục của AWS. AO và nhóm chỉ định của mình sẽ liên tục và không ngừng đánh giá các artifact được cung cấp qua quy trình giám sát liên tục FedRAMP của AWS, bên cạnh bằng chứng thực hiện bất kỳ biện pháp kiểm soát theo cơ quan nào ngoài các biện pháp kiểm soát của FedRAMP. Để biết thêm thông tin, hãy xem chương trình hoặc chính sách bảo mật hệ thống thông tin của cơ quan bạn.

  • Là một cơ quan liên bang Hoa Kỳ, tôi có cần Thỏa thuận bảo mật liên kết (ISA) với AWS không?

    Không. PMO của FedRAMP nêu rằng không bắt buộc phải có ISA trong trường hợp sử dụng giữa CSP và cơ quan liên bang.

  • Vậy nếu tôi cần thảo luận với AWS về khối lượng công việc hoặc kiến trúc AWS theo FedRAMP của tổ chức mình thì sao?

    Gói bảo mật FedRAMP của AWS được cung cấp cho khách hàng bằng cách sử dụng AWS Artifact, một cổng tự hoạt động cho truy cập báo cáo tuân thủ AWS theo yêu cầu. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.

    Nếu bạn có câu hỏi tiếp theo cụ thể về tuân thủ FedRAMP hoặc DoD, vui lòng gửi email tới awscompliance@amazon.com.

compliance-contactus-icon
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »