FedRAMP

Häufig gestellte Fragen

• Was ist FedRAMP?

  Das Federal Risk and Authorization Management Program (FedRAMP) ist ein US-Bundesprogramm zur Standardisierung der Sicherheitsprüfung, Autorisierung und laufenden Überwachung von Cloud-Produkten und -Services. Zu den Leitungsgremien der FedRAMP gehören das Office of Management and Budget (OMB), die U.S. General Services Administration (GSA), das U.S. Department of Homeland Security (DHS), das U.S. Department of Defense (DoD), die National Institutes of Standards & Technology (NIST) und der Federal Chief Information Officers (CIO) Council.

  Cloud-Service-Anbieter (CSAs), die ihre Cloud-Service-Angebote (CSOs) der US-Regierung anbieten wollen, müssen FedRAMP-Konformität nachweisen. FedRAMP wendet die NIST Special Publication 800 an und fordert von Cloud-Serviceanbietern eine unabhängige Sicherheitsüberprüfung von einer dritten Prüforganisation (3PAO), damit sichergestellt ist, dass die Organisationen mit dem Federal Information Security Management Act (FISMA) konform sind. Weitere Informationen finden Sie auf der FedRAMP-Website.

• Warum ist FedRAMP wichtig?

  Als Reaktion auf die Cloud First Policy (jetzt Cloud Smart Strategy) hat das Office of Management and Budget (OMB) das FedRAMP Policy Memo (jetzt Federal Cloud Computing Strategy) herausgegeben, um das erste regierungsweite Sicherheitsautorisierungsprogramm für den Federal Information Security Modernization Act (FISMA) zu etablieren. FedRAMP ist für sämtliche US-Bundesbehörden und alle Cloud-Services bindend. FedRAMP ist wichtig, da Folgendes gesteigert wird:

  • Konsistenz und Vertrauen in die Sicherheit der Cloud-Lösungen dank von National Institutes of Standards & Technology (NIST) und FISMA festgelegter Normen
  • Transparenz bei US-Regierungsbehörden und Cloud-Anbietern
  • Automatisierung und kontinuierliche Überwachung nahezu in Echtzeit
  • Annahme sicherer Cloud-Lösungen dank erneuten Einsatzes von Prüfungen und Zulassungen
    

• Welche Voraussetzungen gelten für FedRAMP-Compliance?

  Die US-Regierungsrichtlinie Cloud First verlangt, dass alle US-Bundesbehörden zum Durchführen von Sicherheitsprüfungen, Autorisierungen und zur laufenden Überwachung von Cloud-Services den FedRAMP-Prozess nutzen. Das FedRAMP Program Management Office (PMO) hat die folgenden Anforderungen an die FedRAMP-Compliance festgelegt:

  1. Der Cloud-Service-Anbieter (CSA) hat von einer US-Bundesbehörde eine Agency Authority to Operate (ATO) oder vom Joint Authorization Board (JAB) eine Provisional Authority to Operate (P-ATO) erhalten.
  2. Der CSA erfüllt die Anforderungen der in National Institutes of Standards & Technology (NIST) 800-53, Rev. 4 beschriebenen FedRAMP-Sicherheitskontrolle.
  3. Alle Pakete für Systemsicherheit müssen die erforderlichen FedRAMP-Vorlagen verwenden.
  4. Der CSA muss von einer zugelassenen externen Prüfstelle (3PAO) bewertet werden.
  5. Das abgeschlossene Sicherheitsprüfungspaket muss im sicheren FedRAMP-Repository bereitgestellt werden.
     

• Welche Arten von FedRAMP-Compliance gibt es?

  Es gibt zwei Möglichkeiten für Cloud-Service-Anbieter (CSAs), um FedRAMP-konform zu werden:

  • Joint Authorization Board (JAB) Authorization: Um das FedRAMP Joint Authorization Board (JAB) Provisional Authority to Operate (P-ATO) zu erhalten, wird ein CSA von einem FedRAMP-akkreditierten 3PAO bewertet, vom FedRAMP Program Management Office (PMO) überprüft und erhält ein P-ATO vom JAB. Das JAB besteht aus den Chief Information Officers (CIOs) des Department of Defense (DoD), des Department of Homeland Security (DHS) und der General Services Administration (GSA).
  • Agency Authorization: Um die FedRAMP Agency Authority to Operate (ATO) zu erhalten, wird ein CSA von einem CIO der Kundenagentur oder einem oder mehreren delegierten Autorisierungsbeauftragten überprüft, um ein FedRAMP-konformes ATO zu erhalten, das vom FedRAMP Program Management Office (PMO) überprüft wird.
    

• Wie nutzen Behörden die AWS-FedRAMP-Zulassung?

  Eine Organisation der Bundesbehörde oder des Verteidigungsministeriums (DoD) kann die AWS Cloud Service Offerings (CSOs) als Bausteine für in der Cloud gehostete Lösungen nutzen. Jeder AWS-CSO ist von FedRAMP und DISA für die Nutzung auf Bundes- und DoD-Ebene autorisiert, und seine Autorisierung wird in einer Provisional Authority to Operate (P-ATO) dokumentiert. CSAs erhalten keine Betriebsgenehmigung (ATO) für ihre CSOs, stattdessen erhalten sie P-ATOs. Ein PATO ist eine Vorab-Beschaffungsgenehmigung für Bundes- oder DoD-Organisationen zur Nutzung von CSOs. Bundesbehörden oder DoD-Organisationen können die AWS-FedRAMP-Sicherheitspakete nutzen, um die unterstützende Dokumentation zu überprüfen, die Details zur geteilten Verantwortung enthält, und ihre eigene risikobasierte Entscheidung zur Gewährung eines ATO zu treffen. Wenn Sie Fragen haben oder weitere Informationen benötigen, wenden Sie sich bitte an Ihren AWS Sales Account Manager.

  Ein autorisierender Beamter (Authorizing Official, AO) einer Behörde kann jedes der AWS-FedRAMP-Sicherheitspakete nutzen, um die unterstützende Dokumentation zu überprüfen, einschließlich Details zur geteilten Verantwortung, und seine eigene risikobasierte Entscheidung zu treffen, AWS eine Agency Authority to Operate (ATO) zu erteilen. Behörden sind für die Ausstellung ihrer eigenen ATO auf AWS verantwortlich und sind auch für die Gesamtautorisierung ihrer Systemkomponenten zuständig. Wenn Sie Fragen haben oder weitere Informationen benötigen, wenden Sie sich bitte an Ihren AWS Sales Account Manager oder das ATO on AWS-Team.
  

• Hat AWS eine Authorization to Operate (ATO)?

  AWS ist ein Cloud-Service-Anbieter (CSA), der Cloud Service Offerings (CSOs) anbietet. Als CSA befolgt AWS das FedRAMP-Verfahren, um seine CSOs für die Verwendung auf Bundes- oder DoD-Ebene autorisieren zu lassen. Im Rahmen des FedRAMP-Prozesses wird keine Betriebsgenehmigung (ATO) für CSAs ausgestellt, sondern eine vorläufige Betriebsgenehmigung (Provisional Authority to Operate, PATO). Die PATO ist eine Vorab-Beschaffungsgenehmigung für Bundesbehörden oder das DoD zur Verwendung von CSOs. Bundesbehörden oder das DoD verwenden die PATO und die geerbten Kontrollen, die mit der PATO verbunden sind, wenn sie dem Risk Management Framework (RMF)-Prozess folgen, um ihre eigene ATO zu erhalten. Beachten Sie, dass die AWS PATO nicht zu einer ATO hochgestuft wird, da der FedRAMP-Prozess keine ATOs an CSAs ausstellt. ATOs werden nur als Teil des RMF-Prozesses ausgestellt und sie werden von den Authorizing Officers (AOs) der Bundesbehörden oder des DoD ausgestellt. Weitere Informationen zu FedRAMP finden Sie auf der FedRAMP-Website.
  

• Wie unterscheidet sich FedRAMP vom Risk Management Framework (RMF)?

  FedRAMP ist der Prozess, den Cloud-Service-Anbieter (CSAs) befolgen, um ihre Cloud Service Offerings (CSOs) für Bundesbehörden oder das DoD zur Nutzung eines Bausteins für in der Cloud gehostete Systeme zuzulassen. Das Risk Management Framework (RMF) ist der Prozess, dem Bundesbehörden oder das DoD folgen, um ihre IT-Systeme zum Betrieb zuzulassen. Nur CSOs verwenden den FedRAMP-Prozess und CSAs folgen nicht dem RMF-Prozess. Bundesbehörden oder das DoD folgen dem FedRAMP-Prozess nur dann, wenn sie Cloud-Dienste (z. B. MilCloud) erstellen.
  

• Unterstützt AWS Betriebsgenehmigungen (Authorizations to Operate, ATO) von Behörden für Services außerhalb von FedRAMP?

  Wir empfehlen Behördenkunden, das bestehende FedRAMP-JAB-ATO- und Autorisierungspaket zu nutzen, um ihre eigene Betriebsgenehmigung (Authorization to Operate, ATO) auszustellen.
  

• Sind Amazon Web Services mit FedRAMP konform?

  Ja, AWS bietet die folgenden FedRAMP-konformen Services an, für die Berechtigungen erteilt wurden, die die FedRAMP-Sicherheitskontrollen (basierend auf NIST SP 800-53) adressiert haben, die erforderlichen FedRAMP-Vorlagen für die Sicherheitspakete verwendet haben, die im sicheren FedRAMP-Repository veröffentlicht wurden, von einem akkreditierten unabhängigen Drittprüfer (3PAO) bewertet wurden und die kontinuierlichen Überwachungsanforderungen von FedRAMP einhalten:

  • AWS GovCloud(USA) wurden eine "Joint Authorization Board Provisional Authority-To-Operate" (JAB P-ATO) sowie mehrere "Agency Authorizations" (A-ATO) für großen Einfluss verliehen. Die innerhalb der AWS GovCloud (USA) JAB-P-ATO-Grenze zugelassenen Services in Kategorien mit hoher Sicherheitsstufe finden Sie unter AWS-Services in Scope nach Compliance-Programm.
  • AWS USA Ost-West (Nord-Virginia, Ohio, Oregon, Nordkalifornien) wurde eine "Joint Authorization Board Provisional Authority-To-Operate" (JAB P-ATO) sowie mehrere "Agency Authorizations" (A-ATO) für moderaten Einfluss verliehen. Die innerhalb der AWS US Ost-West JAB P-ATO-Grenze zugelassenen Services in Kategorien mit moderater Sicherheitsstufe finden Sie unter AWS-Services in Scope nach Compliance-Programm.  

• Erhöhen sich durch Konformität mit FedRAMP die Kosten meiner AWS-Services?

  Nein, durch Konformität mit FedRAMP erhöhen sich in keiner Region die Kosten von AWS-Services.
  

• Welche AWS-Regionen sind abgedeckt?

  Zwei getrennte FedRAMP P-ATOs wurden ausgestellt, eine für die Region AWS GovCloud (USA) und die andere für die AWS-Regionen USA Ost und West.
  

• Gibt es US-Behörden, die AWS derzeit nutzen?

  Ja, über 2 000 Behörden und andere Stellen, die Behörden Systemintegration und andere Produkte und Services bieten, setzen derzeit die große Palette von AWS-Services ein. Sie können Fallstudien über US-Regierungsbehörden, die AWS verwenden, auf der Webseite AWS-Kundenerfolge einsehen. Weitere Informationen darüber, wie AWS die hohen Sicherheitsanforderungen von Regierungen erfüllt, finden Sie auf der Webseite AWS for Government.
  

• Welche Services werden abgedeckt und wie können wir die Einhaltung von FedRAMP validieren?

  Die abgedeckten AWS-Services, die bereits innerhalb der FedRAMP- und DoD SRG-Autorisierungsgrenze zugelassen sind, finden Sie unter AWS-Services in Scope nach Compliance-Programm. Wenn Sie entweder auf die Registerkarte FedRAMP oder DoD SRG klicken, zeigen Services mit einem "✓" an, dass der FedRAMP JAB den Service als ausreichend autorisiert hat, um die FedRAMP mäßigen Ausgangsanforderungen (nachfolgend DoD SRG IL2) für AWS USA Osten-Westen und/oder FedRAMP hohen Ausgangsanforderungen (nachfolgend DoD SRG IL2, IL4 und IL5) für AWS GovCloud (USA) zu erfüllen. Diese Services sind unter der Servicebeschreibung für AWS auf FedRAMP Marketplace veröffentlicht. Wenn die Services als "3PAO Assessment" oder "Under Assessment" markiert sind, behauptet AWS nicht, dass die FedRAMP-Kontrollen implementiert oder aufrechterhalten werden, da diese Services noch bewertet werden. Wenn der Service als "JAB Review" oder "DISA Review" gekennzeichnet ist, hat er die 3PAO-Bewertung abgeschlossen und befindet sich derzeit in der Warteschlange unserer Regulierungsbehörde. Für diese Services hat AWS die relevanten FedRAMP-Kontrollen basierend auf der Umgebung implementiert und wurde dafür bewertet, wurde jedoch nicht vom JAB autorisiert. Möchten Sie mehr über die Verwendung dieser Services erfahren und/oder interessieren Sie sich für andere Services, kontaktieren Sie die Abteilung AWS Sales and Business Development.
  

• Können andere AWS-Services genutzt werden?

  Ja, Kunden können ihre Workloads auf Eignung für andere AWS-Services prüfen. Wenden Sie sich an die Abteilung AWS Sales and Business Development, wenn Sie an detaillierten Erläuterungen der Sicherheitskontrollen und Aspekte für die Akzeptanz von Risiken interessiert sind.

• Können geschäftskritische Systeme in AWS betrieben werden?

  Ja, Kunden können ihre geschäftskritischen Workloads auf Eignung für AWS prüfen. Derzeit können Kunden ihre High-Impact-Workloads auf AWS GovCloud (USA) platzieren, die eine Joint Authorization Board Provisional Authority-To-Operate (JAB P-ATO) für High-Impact-Level erhalten hat.
  

• Wie erhalte ich Zugriff auf die AWS-FedRAMP-Sicherheitspakete?

  USA Mitarbeiter und Auftragnehmer von Behörden können den Zugriff auf das AWS FedRAMP-Sicherheitspaket beim FedRAMP PMO beantragen, indem sie ein Antragsformular für den Paketzugriff ausfüllen und es an info@fedramp.gov senden.

  Kommerzielle Kunden und Partner können Zugriff auf das AWS-FedRAMP-Partnerpaket beantragen, um Anleitungen zum Aufbau auf AWS-Angebote und Unterstützung bei der Architektur von FedRAMP/DoD-konformen Services auf AWS zu erhalten. Das Partnerpaket finden Sie in Ihrem AWS-Konto über AWS Artifact oder auf Anfrage über Ihren AWS-Kundenbetreuer.
  

• Wie lautet die FedRAMP-ID zu Referenzzwecken?

  Für die Regionen AWS USA Ost-West lautet die FedRAMP-ID AGENCYAMAZONEW. Für die Region AWS GovCloud (USA) lautet die FedRAMP-ID F1603047866.
  

• Wie erfolgt die kontinuierliche Überwachung mit FedRAMP-Autorisierungen?

  Im Rahmen des FedRAMP Concept of Operations (CONOPS) wird nach Erteilung der Autorisierung der Sicherheitsstand des Cloud-Serviceanbieters gemäß dem Bewertungs- und Autorisierungsprozess überwacht. Um eine FedRAMP-Autorisierung jährlich zu verlängern, müssen CSAs ihre Sicherheitskontrollen überwachen, regelmäßig bewerten und nachweisen, dass der Sicherheitsstand ihres Serviceangebots durchgängig den Anforderungen entspricht. US-Bundesbehörden, die das FedRAMP-Programm zur laufenden Überwachung nutzen, sowie Autorisierungsbefugte (Authorizing Officials – AO) und deren benannte Teams sind für die Überprüfung der laufenden Compliance von AWS zuständig. Auf kontinuierlicher, fortwährender Basis überprüfen AOs und ihre designierten Teams Artefakte, die durch den kontinuierlichen Überwachungsprozess von AWS FedRAMP zur Verfügung gestellt werden, zusätzlich zum Nachweis der Implementierung aller agenturspezifischen Kontrollen, die über die FedRAMP-Kontrollen hinaus erforderlich sind. Weitere Informationen dazu entnehmen Sie bitte dem Informationssystem-Sicherheitsprogramm oder der Sicherheitsrichtlinie Ihrer Behörde.
  

• Benötige ich als US-amerikanische Bundesbehörde ein Interconnection Security Agreement (ISA) mit AWS?

  Nein. Laut den FedRAMP Weekly Tips & Cues vom 10. August 2016 sind ISAs für die Verwendung zwischen einem CSP und einer Bundesbehörde nicht erforderlich.
  

• Was geschieht, wenn ich die FedRAMP-spezifischen AWS-Workloads oder -Architekturen meines Unternehmens mit AWS besprechen muss?

  Das AWS FedRAMP-Sicherheitspaket ist für Kunden über AWS Artifact verfügbar, ein Self-Service-Portal für den On-Demand-Zugriff auf AWS-Compliance-Berichte. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

  Wenn Sie spezielle Fragen zur FedRAMP- oder DoD-Compliance haben, wenden Sie sich bitte an Ihren AWS-Kundenbetreuer oder senden Sie das AWS-Compliance-Kontaktformular, um Kontakt mit unserem FedRAMP-Compliance-Team aufzunehmen.
  

• Wo finde ich weitere Informationen über andere Compliance-Programme, die mit FedRAMP zusammenhängen?

  Weitere Informationen zu allen anwendbaren Compliance-Programmen finden Sie auf unserer AWS Compliance-Programm-Webseite. Weitere Informationen finden Sie auch unter Federal Information Processing Standard (FIPS) 140-2, Department of Defense Cloud Computing Security Requirements Guide (DoD CC SRG), Federal Information Security Management Act (FISMA) und National Institute of Standards and Technology (NIST).
  

• Wie sind die Beziehungen zwischen FedRAMP und anderen Bundes-Compliance-Programmen (FISMA, DFARS, DoD SRG, NIST SP 800-171, FIPS 140-2)?

  Bundesbehörden werden von ihrem Office of Inspector General (OIG) und intern auf der Grundlage von Metriken bewertet, die vom Department of Homeland Security (DHS) bereitgestellt werden. Kriterien für die FISMA OIG- und CIO-Metriken sind die NIST SP 800-Sonderveröffentlichungen, wobei der Schwerpunkt auf NIST SP 800-53 liegt. Damit sich diese Behörden auf die Sicherheit des CSA verlassen können, ist FedRAMP ein Compliance-Programm, das auf einer Baseline von NIST SP 800-53-Kontrollen aufbaut, um die FISMA-Anforderungen innerhalb der Cloud zu erfüllen.

  Das FedRAMP-Compliance-Programm wird vom DoD genutzt, um die Impact Levels des Department of Defense Cloud Computing Security Requirements Guide (DoD CC SRG) zu erfüllen, die beide die Einhaltung von FIPS 140-2 für bestimmte Verschlüsselungskontrollen erfordern. Das Defense Federal Acquisition Regulation Supplement (DFARS) verlangt von DoD-Vertragspartnern, die Controlled Unclassified Information (CUI) verarbeiten, speichern oder übertragen, die Einhaltung bestimmter Sicherheitsstandards, zu denen auch die Anforderungen der NIST SP 800-171 gehören. NIST SP 800-171 bietet Behörden empfohlene Sicherheitsanforderungen zum Schutz der Vertraulichkeit von Controlled Unclassified Information (CUI).