Panduan Persyaratan Keamanan Penyedia Layanan Cloud Departemen Pertahanan

Otorisasi sementara kami mencakup banyak region di wilayah kontinental Amerika Serikat, termasuk AWS GovCloud (AS) (Tingkat Dampak 2, 4, dan 5), region AWS AS Timur/Barat (Tingkat Dampak 2), dan AWS Secret Region (Tingkat Dampak 6).

AWS Region AS Timur dan AS Barat memiliki otorisasi sementara untuk Tingkat Dampak 2, yang memungkinkan pemilik misi melakukan deployment informasi publik yang tidak terklasifikasi di AWS Region ini dengan otorisasi AWS dan ATO aplikasi misi. AWS GovCloud memiliki otorisasi sementara untuk Tingkat Dampak 2, 4, dan 5, serta memungkinkan pemilik misi melakukan deployment kategori informasi lengkap yang terkontrol dan tidak terklasifikasi yang dicakup oleh tingkat tersebut. AWS Secret Region memiliki otorisasi sementara untuk Tingkat Dampak 6 dan memungkinkan beban kerja hingga dan termasuk klasifikasi Secret.

Sebagai pemilik misi DoD, Anda bertanggung jawab untuk membuat paket otorisasi yang sepenuhnya menentukan penerapan kontrol keamanan yang berlaku untuk aplikasi Anda. Sama seperti paket otorisasi tradisional mana pun, Anda harus mendokumentasikan acuan dasar kontrol keamanan Anda dengan rencana keamanan sistem, dan mengizinkan rencana ini beserta penerapannya ditinjau oleh personel sertifikasi yang relevan dari organisasi DoD Anda. Sebagai bagian dari tinjauan ini, personel sertifikasi atau pejabat pengotorisasi Anda dapat meninjau paket otorisasi AWS untuk memperoleh pandangan menyeluruh atas penerapan kontrol keamanan dari atas hingga bawah. Setelah meninjau paket otorisasi keamanan Anda dan paket otorisasi keamanan AWS, pejabat pemberi otorisasi Anda akan memiliki informasi yang diperlukan untuk membuat keputusan akreditasi bagi aplikasi Anda dan memberikan ATO.

Untuk informasi selengkapnya tentang tanggung jawab pemilik aplikasi DoD yang beroperasi di AWS, lihat Laporan resmi Implementasi yang Memenuhi Standar DoD di AWS Cloud.

Untuk daftar lengkap dari layanan yang tercakup, kunjungi halaman web Layanan AWS yang Dicakup dalam Program Kepatuhan.

Tidak, tidak ada peningkatan biaya layanan untuk layanan apa pun sebagai hasil dari program kepatuhan AWS.

Ya, AWS telah dinilai dan disetujui sebagai penyedia layanan cloud untuk Region AS Timur dan AS Barat pada Tingkat Dampak 2, AWS GovCloud (AS) di Tingkat Dampak 4 dan 5, serta AWS Secret Region di Tingkat Dampak 6.

• Pada Tingkat Dampak 2, AWS Region yang berbasis di AS, yaitu AS Timur/Barat, AWS GovCloud (AS) telah dinilai oleh DISA dan diberikan dua otorisasi sementara setelah menunjukkan kepatuhan terhadap persyaratan DoD. Kepatuhan AWS terhadap persyaratan DoD dicapai dengan memanfaatkan Joint Authorization Board (JAB) dan Provisional Authorization to Operate (P-ATO) FedRAMP kami yang ada saat ini. Otorisasi sementara ini memungkinkan entitas DoD mengevaluasi keamanan AWS dan kesempatan untuk menyimpan, memproses, dan memelihara beragam data DoD di AWS Cloud.
• Pada Tingkat Dampak 4 dan 5, AWS GovCloud (AS) telah mengeluarkan otorisasi sementara dari DISA untuk memungkinkan pelanggan DoD melakukan deployment aplikasi produksi dengan acuan dasar kontrol yang ditingkatkan sesuai dengan tingkat SRG tersebut. Pelanggan DoD dengan aplikasi Tingkat Dampak 4 atau Tingkat Dampak 5 prospektif harus menghubungi DISA untuk memulai proses persetujuan.
• Pada Tingkat Dampak 6, AWS Secret Region memiliki otorisasi sementara DoD untuk beban kerja hingga dan termasuk tingkat Secret. Katalog layanan untuk AWS Secret Region tersedia dari Eksekutif Akun AWS Anda.

Kami yakin bahwa untuk pelanggan pemerintahan, migrasi ke cloud merupakan peluang untuk meningkatkan jaminan keamanan dan mengurangi risiko operasional Anda. Lingkungan pengoperasian AWS memungkinkan Anda memiliki tingkat keamanan dan kepatuhan yang hanya mungkin dilakukan di lingkungan yang didukung oleh tingkat otomatisasi tinggi. Dibandingkan dengan pusat data tradisional yang melakukan inventaris berkala dan audit "titik waktu," pelanggan AWS memiliki kemampuan untuk melakukan audit secara terus-menerus. Memiliki tingkat visibilitas ini di dalam lingkungan Anda akan menambah kontrol data dan meningkatkan kemampuan Anda untuk mempertahankan jaminan yang aksesnya hanya dimiliki oleh pengguna sah.

Misalnya, pemilik misi DoD dapat mencapai tingkat kontrol yang lebih tinggi di aplikasi melalui pemberlakuan terprogram panduan keamanan dan kepatuhan DoD. Dengan AWS, Anda dapat membuat templat yang disetujui sebelumnya untuk kasus penggunaan aplikasi umum sehingga mengurangi waktu untuk mengotorisasi aplikasi baru. Template ini dapat membantu memastikan bahwa pemilik aplikasi tidak mengubah pengaturan keamanan penting seperti grup keamanan dan ACL jaringan, serta dapat memberlakukan penggunaan image mesin yang diperkuat STIG. Pemberlakuan terprogram panduan keamanan DoD ini mengurangi upaya konfigurasi manual sehingga mampu mengurangi konfigurasi yang salah dan mengurangi keseluruhan risiko bagi DoD.

Pelanggan dan vendor DoD kami dapat menggunakan otorisasi FedRAMP dan DoD untuk mempercepat upaya sertifikasi serta akreditasi mereka. Untuk mendukung otorisasi sistem militer yang di-hosting di AWS, kami memberikan dokumentasi kepada personel keamanan DoD sehingga Anda dapat memverifikasi kepatuhan AWS dengan kontrol NIST 800-53 (Revisi 5) dan SRG Komputasi Cloud DoD (Versi 1, Rilis 3) yang berlaku.

Kami memberi pelanggan DoD paket panduan dan dokumentasi keamanan tentang keamanan serta kepatuhan dalam penggunaan AWS sebagai solusi hosting DoD. Secara khusus, kami memberikan templat AWS FedRAMP SSP berdasarkan NIST 800-53 (Rev 5), yang sudah diisi sebelumnya dengan acuan dasar kontrol FedRAMP dan DoD yang berlaku. Kontrol yang diwariskan dalam templat sudah diisi sebelumnya oleh AWS; kontrol bersama adalah tanggung jawab AWS dan pelanggan; dan beberapa kontrol sepenuhnya merupakan tanggung jawab pelanggan.

Organisasi militer atau kontraktor yang menjalankan bisnis dengan DoD dapat meminta akses ke dokumentasi keamanan AWS dengan menghubungi Manajer Akun AWS Anda atau mengirimkan Formulir Hubungi Kami terkait Kepatuhan AWS. Pelanggan nonpemerintah, seperti partner AWS, dapat mengunduh Paket Keamanan FedRAMP Partner AWS menggunakan AWS Artifact.

Otorisasi sementara Tingkat Dampak 2 kami memungkinkan pelanggan DoD menggunakan infrastruktur dan layanan AWS kami yang memenuhi standar untuk melakukan deployment beban kerja, termasuk data yang diizinkan untuk rilis publik, serta beberapa informasi DoD privat yang tidak terklasifikasi. Memindahkan lingkungan IT DoD Anda ke AWS dapat membantu meningkatkan pengawasan kepatuhan Anda sendiri terhadap layanan dan fitur yang disediakan AWS.

Otorisasi sementara Tingkat Dampak 4 dan 5 kami untuk AWS GovCloud (AS) berarti pelanggan DoD kami dapat melakukan deployment aplikasi produksi mereka ke AWS GovCloud (AS). Otorisasi ini memungkinkan pelanggan terlibat dalam aktivitas desain, pengembangan, dan integrasi untuk beban kerja yang diwajibkan mematuhi Tingkat Dampak 4 dan 5 SRG Komputasi Cloud DoD.

Otorisasi sementara Tingkat Dampak 6 kami untuk AWS Secret Region berarti pelanggan DoD dapat menggunakan layanan kami untuk menyimpan, memproses, atau mentransmisikan data hingga dan termasuk tingkat Secret. Pelanggan dapat mengandalkan otorisasi kami untuk mencakup semua persyaratan infrastruktur yang ditetapkan oleh Tingkat Dampak 6, yang membantu mereka mengelola kepatuhan dan sertifikasi mereka sendiri, termasuk audit dan manajemen keamanan.

Ya, banyak entitas DoD dan organisasi lain yang menyediakan integrasi sistem dan produk serta layanan lain kepada DoD menggunakan berbagai layanan AWS saat ini. AWS tidak dapat mengungkapkan banyak pelanggan yang telah mencapai Otoritas untuk Beroperasi (ATO) untuk DoD pada sistem di AWS, tetapi kami secara rutin bekerja dengan pelanggan dan asesor mereka dalam merencanakan, melakukan deployment, menyertifikasi, dan mengakreditasi beban kerja DoD mereka di AWS.

Tidak. Pelanggan DoD dapat mengandalkan pekerjaan yang dilakukan oleh organisasi penilaian pihak ketiga (3PAO) FedRAMP kami, yang mencakup peninjauan di lokasi secara menyeluruh untuk memastikan keamanan fisik pusat data kami. Sesuai dengan SRG Komputasi Cloud DoD, pelanggan DoD dapat mencapai Otorisasi untuk Beroperasi (ATO) tanpa inspeksi fisik terhadap pusat data penyedia layanan yang sudah memiliki otorisasi.

SRG Komputasi Cloud DoD mendukung seluruh tujuan Pemerintah Federal AS untuk meningkatkan penggunaan komputasi cloud mereka dan menyediakan sarana bagi DoD untuk mendukung tujuan ini. Pada 8 Februari 2011, Kantor Manajemen dan Anggaran (OMB) mendirikan Strategi Komputasi Cloud Federal yang membuat panduan bagi semua lembaga federal untuk mengadopsi teknologi cloud di seluruh pemerintah federal. Strategi ini diikuti oleh persyaratan federal yang dirilis pada Desember 2011 yang menetapkan Federal Risk and Authorization Management Program (FedRAMP). FedRAMP wajib untuk melakukan deployment cloud dan model layanan lembaga federal pada tingkat dampak risiko rendah, sedang, dan tinggi.

Pada Juli 2012, DoD menerbitkan Strategi Komputasi Cloud, yang dikeluarkan oleh Chief Information Officer (CIO) DoD. Strategi ini membentuk Joint Information Environment (JIE) dan DoD Enterprise Cloud Environment: "Strategi Komputasi Cloud DoD memperkenalkan pendekatan untuk mengalihkan Departemen dari status saat ini yang merupakan serangkaian silo aplikasi yang terduplikasi, rumit, dan mahal ke status akhir yang berupa lingkungan layanan tangkas, aman, dan hemat biaya yang dapat merespons kebutuhan misi yang berubah dengan cepat. Chief Information Officer (CIO) DoD berkomitmen untuk mempercepat adopsi komputasi cloud di dalam Departemen..."

SRG Komputasi Cloud DoD memanfaatkan program FedRAMP sebagai sarana untuk menetapkan pendekatan standar bagi DoD guna menilai penyedia layanan cloud (CSP).

Ya, pelanggan dapat mengevaluasi beban kerja mereka untuk disesuaikan dengan layanan AWS lain. Setiap pemilik misi diberdayakan untuk mengevaluasi dan menerima risiko dari setiap layanan kami yang mereka pilih untuk di-deploy. Untuk informasi selengkapnya tentang kontrol keamanan dan pertimbangan penerimaan risiko, hubungi Kepatuhan AWS.

Saat mengoperasikan aplikasi di AWS, sejalan dengan prinsip tanggung jawab keamanan bersama, pemilik misi DoD bertanggung jawab atas acuan dasar kontrol keamanan yang dikurangi. AWS menyediakan lingkungan hosting yang aman dengan kontrol keamanan yang berlaku bagi pemilik misi untuk menggunakan aplikasi mereka, tetapi ini tidak membebaskan pemilik misi dari tanggung jawab mereka untuk melakukan deployment, mengelola, dan memantau aplikasi mereka secara aman sesuai dengan kontrol keamanan dan kebijakan kepatuhan DoD.

Untuk informasi selengkapnya tentang tanggung jawab pemilik aplikasi DoD yang beroperasi di AWS, lihat Laporan resmi Implementasi yang Memenuhi Standar DoD di AWS Cloud.