Руководство по требованиям безопасности для поставщиков облачных услуг Министерства обороны США

Мы считаем, что для государственных клиентов миграция в облако – это возможность повысить уровень безопасности и сократить операционные риски. Рабочая среда AWS позволяет клиентам реализовать уровень безопасности и соответствия нормативным требованиям, который возможен только в среде с высоким уровнем автоматизации. Вместо периодических проверок и точечных аудитов, выполняемых при работе с традиционными центрами обработки данных, в среде AWS клиенты получают возможность вести непрерывный аудит своих систем. Получение такого уровня прозрачности в используемой среде повышает уровень контроля данных и позволяет сохранять уверенность в том, что доступ к ним имеют только авторизованные пользователи.

Например, владельцы миссий МО США могут реализовать более высокий уровень контроля для своих приложений с помощью принудительного программного применения инструкций МО США по обеспечению безопасности и соответствию требованиям. С помощью AWS можно создать предварительно утвержденные шаблоны для типовых примеров использования приложений и сократить время, необходимое для авторизации новых приложений. Использование таких шаблонов гарантирует, что владельцы приложений не смогут изменить важные настройки безопасности, например группы безопасности и списки контроля доступа сети. Кроме того, организации могут обеспечить принудительное использование образов машин, соответствующих требованиям Руководства по технической реализации мер обеспечения безопасности (STIG). Это принудительное обеспечение соблюдения рекомендаций по безопасности МО США на программном уровне снижает объем ручной настройки, помогая сократить количество случаев неправильной конфигурации и уменьшить общий риск для МО США.

Нет. Клиенты МО США могут опираться на результаты работы, выполненной сторонними проверяющими организациями (3PAO) FedRAMP, которые включают расширенный обзор физической защиты наших центов обработки данных на местах. Согласно SRG МО США для облачных вычислений, клиент МО США может получить разрешение на ведение деятельности (ATO) без физического ознакомления с центром обработки данных поставщика сервисов, если для этого центра уже получены авторизации.

Да. AWS была проверена и сертифицирована в качестве поставщика облачных услуг на уровне Impact Level 2 для регионов Восток и Запад США, на уровнях Impact Level 4 и Impact Level 5 для региона AWS GovCloud (США) и на уровне Impact Level 6 для Секретного региона AWS.

• Регионы AWS в США (Восток, Запад и AWS GovCloud) были проверены DISA и получили предварительную авторизацию уровня Impact Level 2, подтвердив соответствие требованиям МО США. Соответствие AWS требованиям МО США было достигнуто путем использования предварительного разрешения на ведение деятельности (P-ATO) от объединенного совета по авторизации FedRAMP (JAB). Предварительная авторизация позволяет подразделениям МО США оценить безопасность AWS и возможность хранения, обработки и обслуживания массивов разнообразных данных МО США в Облаке AWS.
• Региону AWS GovCloud (США) выдана предварительная авторизация DISA Impact Level 4 и 5, с помощью которой клиенты МО США могут развертывать рабочие приложения с улучшенными возможностями управления, соответствующими аналогичным уровням SRG. Клиентам МО США с приложениями, потенциально относящимися к Impact Level 4 или Impact Level 5, следует обратиться в DISA, чтобы начать процесс подтверждения.
• Секретный регион AWS получил предварительную авторизацию МО США уровня Impact Level 6 для рабочих нагрузок вплоть до уровня «секретно». Каталог сервисов Секретного региона AWS можно получить у менеджера AWS по работе с клиентами.

SRG МО США для облачных вычислений поддерживает конечную задачу правительства США, предполагающую расширение использования облачных вычислений, и предоставляет МО США средства для достижения этой цели. 8 февраля 2011 года Административно-бюджетное управление (АБУ) США определило Федеральную стратегию использования облачных вычислений, которая установила для всех федеральных агентств порядок внедрения облачных технологий, единый для всех федеральных органов власти. Вслед за этой стратегией в декабре 2011 года было выпущено федеральное требование, определяющее Федеральную программу управления рисками и авторизацией (FedRAMP). Требования FedRAMP являются обязательными для облачных развертываний и сервисных моделей федеральных агентств с низким, средним и высоким уровнем риска.

В июле 2012 года МО США опубликовало свою стратегию облачных вычислений, созданную под руководством начальника информационного управления МО США (CIO). В ней дается определение объединенной информационной среды (JIE) и корпоративной облачной среды МО США: «Стратегия облачных вычислений МО США предлагает подход, позволяющий осуществить переход от текущей инфраструктуры Министерства, представляющей собой набор дублирующихся громоздких и дорогостоящих хранилищ приложений, к конечному состоянию, представляющему собой гибкую, надежную и экономичную сервисную среду, которая может быстро реагировать на изменение потребностей миссии. Начальник информационного управления МО США стремится к ускорению внедрения облачных вычислений в Министерстве…»

SRG МО США для облачных вычислений использует программу FedRAMP как средство определения стандартизированного подхода к проверке поставщиков облачных услуг (CSP) для МО США.

Когда работа приложения в AWS осуществляется в рамках общей модели ответственности за безопасность, владелец миссии МО США несет ответственность за снижение требований к базовым средствам управления безопасностью. AWS предоставляет владельцам миссий защищенную среду с соответствующими инструментами управления безопасностью для размещения приложений, но не освобождает владельца миссии от ответственности, связанной с выполнением задач по обеспечению безопасного развертывания, мониторинга своих приложений и управления ими в соответствии с требованиями к управлению безопасностью и политикой соответствия МО США.

Подробнее об ответственности владельцев приложений МО США, работающих на AWS, см. в техническом описании Реализация соответствия требованиям МО США в Облаке AWS.

Полный список сервисов, обеспечивающих соответствие требованиям, можно найти на странице Сервисы AWS в программе соответствия требованиям.

Клиенты МО США и поставщики могут использовать полученную нами авторизацию FedRAMP и МО США, чтобы ускорить прохождение собственной сертификации и аккредитации. В целях поддержки авторизации военных систем, размещенных на AWS, мы предоставляем специалистам МО США по вопросам безопасности документацию, служащую для подтверждения соблюдения AWS требований в соответствии с применимыми положениями стандарта NIST 800-53 (ред. 5) и Руководства по соблюдению требований к безопасности (SRG) МО США для облачных вычислений (версия 1, выпуск 3).

Мы предоставляем клиентам, связанным с МО США, пакет руководств по безопасности и документации об обеспечении безопасности и соответствии требованиям при использовании AWS для размещения решений МО США. В частности, мы предлагаем шаблон AWS FedRAMP SSP, основанный на NIST 800-53 (ред. 5), в который включены соответствующие базовые настройки безопасности FedRAMP и МО США. Настройки безопасности, наследуемые из шаблона, предварительно применяются AWS; за общие настройки безопасности отвечают как AWS, так и клиент; за конкретные настройки безопасности полностью отвечает клиент.

Военные организации или подрядчики, сотрудничающие с МО США, могут запросить доступ к документации AWS по безопасности, связавшись с персональным менеджером AWS или заполнив форму для связи с AWS по вопросам соответствия требованиям. Клиенты из числа неправительственных организаций, такие как партнеры AWS, могут загрузить пакет безопасности, авторизованный FedRAMP для партнеров AWS, через AWS Artifact.

Нет. Программы соответствия требованиям AWS не повышают стоимость сервисов AWS.

Являясь владельцем миссии МО США, вы несете ответственность за создание пакета авторизации, который полностью определяет реализацию средств управления безопасностью, применимых к конкретному приложению. Как и в случае использования любого традиционного пакета авторизации, необходимо будет задокументировать базовую схему управления безопасностью с планом обеспечения безопасности системы и обеспечить проверку этого плана и его реализацию соответствующим сертифицированным специалистом из организации МО США. В рамках этой проверки ваш сертифицированный специалист либо уполномоченный представитель может проверить пакет авторизации AWS, чтобы получить целостное представление о реализации мер контроля безопасности. После проверки вашего пакета авторизации безопасности и пакетов авторизации безопасности AWS уполномоченный представитель получит всю информацию, необходимую для принятия решения об аккредитации приложения и предоставления разрешения на ведение деятельности (ATO).

Подробнее об ответственности владельцев приложений МО США, работающих на AWS, см. в техническом описании Реализация соответствия требованиям МО США в Облаке AWS.

Да. Многие подразделения МО США и другие организации, предоставляющие сервисы в сфере интеграции систем и прочие продукты и сервисы для МО США, уже используют многие сервисы AWS. AWS не может раскрывать информацию о многих своих клиентах, получивших разрешение на ведение деятельности (ATO) для систем на платформе AWS, но регулярно взаимодействует с этими клиентами и их экспертами по вопросам планирования, развертывания, сертификации и аккредитации их рабочих нагрузок на AWS.

С помощью предварительной авторизации уровня Impact Level 2 клиенты МО США могут использовать соответствующую требованиям инфраструктуру и сервисы AWS для развертывания рабочих нагрузок, в том числе с данными, разрешенными для открытой публикации, а также закрытыми несекретными данными МО США. Перенос ИТ-среды МО США в AWS может способствовать повышению внутреннего контроля над обеспечением соответствия требованиям благодаря сервисам и возможностям AWS.

Предварительная авторизация уровней Impact Level 4 и 5 для AWS GovCloud (США) означает, что наши клиенты из МО США могут развертывать свои рабочие нагрузки в регионе AWS GovCloud (США). Такая авторизация позволяет клиентам заниматься проектированием, разработкой и интеграцией рабочих нагрузок, для которых необходимо соответствие требованиям SRG МО США для облачных вычислений уровня Impact Level 4 и 5.

Предварительная авторизация уровня Impact Level 6 для Секретного региона AWS означает, что клиенты МО США могут использовать наши сервисы для хранения, обработки или передачи данных с уровнем вплоть до «секретно». Клиенты могут положиться на нашу авторизацию для подтверждения соответствия инфраструктуры всем требованиям, определенным для Impact Level 6. Это помогает им решать собственные задачи соответствия требованиям и сертификации, включая проведение аудитов и управление безопасностью.

Предварительная авторизация распространяется на несколько регионов континентальной части Соединенных Штатов, включая AWS GovCloud (США) (Impact Level 2, 4 и 5), регионы AWS «Восток США» и «Запад США» (Impact Level 2) и Секретный регион AWS (Impact Level 6).

Да. Клиенты могут оценивать свои рабочие процессы с точки зрения целесообразности применения других сервисов AWS. Каждый владелец миссии имеет право оценивать и принимать риски любых наших сервисов, которые он захочет использовать. Для получения дополнительной информации о средствах управления безопасностью и оценки рисков заполните форму на странице Соответствие требованиям AWS.

Для регионов AWS «Восток США» и «Запад США» имеется предварительная авторизация уровня Impact Level 2, благодаря которой владельцы миссий могут развертывать публичную несекретную информацию в этих регионах AWS как с авторизацией AWS, так и c разрешением на ведение деятельности (ATO) в критически важном приложении. Для AWS GovCloud имеется предварительная авторизация уровней Impact Level 2, 4 и 5, которая позволяет владельцам миссий развертывать полный спектр категорий контролируемой несекретной информации, соответствующей этим уровням. Секретный регион AWS имеет предварительную авторизацию для Impact Level 6, в нем можно запускать рабочие нагрузки с классификацией вплоть до уровня «секретно».