Department of Defense Cloud Computing Security Requirements Guide
Présentation
De plus en plus de clients de l'armée utilisent les services AWS pour traiter, stocker et transmettre des données relatives au département américain de la Défense. AWS permet aux organisations militaires et à leurs partenaires commerciaux de créer des environnements sécurisés pour traiter, maintenir et stocker des données relatives au département américain de la Défense.
Le Department of Defense (DoD) Cloud Computing Security Requirements Guide (SRG) (Guide des exigences de sécurité du cloud computing du département américain de la Défense) fournit un processus normalisé d'évaluation et d'autorisation permettant aux fournisseurs de services cloud d'obtenir une autorisation provisoire du DoD afin de pouvoir ensuite servir leurs clients DoD. L'autorisation provisoire AWS délivrée par la Defense Information Systems Agency (DISA) fournit une certification réutilisable qui démontre notre conformité aux normes du département américain de la Défense, réduisant ainsi la durée nécessaire à un porteur de projet du département pour évaluer et autoriser le fonctionnement de l'un de ses systèmes sur AWS. Pour plus d'informations sur le SRG, y compris la définition complète des références des contrôles de sécurité définies pour les niveaux 2, 4, 5 et 6, consultez Bibliothèque des documents sur la page Web de Exigences du DoD en matière de sécurité du cloud computing.
En tant que client du DoD, vous êtes tenu de suivre les directives de sécurité du DoD au sein de votre environnement d'application AWS, ce qui inclut les éléments suivants :
• les responsabilités du porteur de projet décrites dans le livre blanc DoD-Compliant Implementations in the AWS Cloud (Implémentation conforme au DoD dans le Cloud AWS) ;
• tous les guides d'implémentation technique de sécurité (STIG) pour systèmes d'exploitation en vigueur ;
• tous les STIG d'application en vigueur ;
• les directives sur les ports et protocoles du DoD (Instruction DoD 8551.01).
L'infrastructure, la gouvernance et l'environnement d'exploitation d'AWS ont été évalués et autorisés via les processus d'autorisations de FedRAMP et du DoD. En tant que client déployant une application sur l'infrastructure AWS, vous bénéficiez des contrôles de sécurité associés à notre protection physique, environnementale et de support, et vous n'êtes plus tenu de fournir une description détaillée de votre conformité avec ces catégories de contrôles. Les autres contrôles du cadre de gestion des risques (RMF) du DoD sont partagés entre AWS et ses clients, car chaque organisation demeure responsable de l’implémentation de ces contrôles dans sa portion du modèle de sécurité informatique partagé.
Questions fréquentes (FAQ)
-
Comment puis-je consulter les guides et documents de sécurité d’AWS ?
Nos clients du DoD et nos fournisseurs peuvent utiliser nos autorisations de FedRAMP et du DoD pour accélérer leurs efforts de certification et d'accréditation. Pour aider à l'autorisation des systèmes militaires hébergés sur AWS, nous fournissons de la documentation au personnel de sécurité DoD afin que vous puissiez vérifier la conformité d'AWS avec les contrôles applicables de la norme NIST 800-53 (4e révision) et le DoD Cloud Computing SRG (version 1, 3e édition).
Nous fournissons à nos clients DoD un package de guides et de documents de sécurité concernant la sécurité et la conformité dans l'utilisation d'AWS en tant que solution d'hébergement DoD. Plus particulièrement, nous fournissons un modèle AWS FedRAMP SSP basé sur la norme NIST 800-53 (4e révision) et prérempli avec les contrôles FedRAMP et DoD de référence applicables. Les contrôles qu'apporte le modèle sont préremplis par AWS. Les contrôles partagés sont la responsabilité d'AWS et du client, et certains contrôles sont la responsabilité exclusive du client.
Les organisations militaires ou les sous-traitants faisant des affaires avec le département américain de la Défense peuvent demander l’accès aux documents de sécurité AWS en prenant contact avec leur gestionnaire de comptes AWS ou en remplissant et en envoyant le formulaire nous contacter à propos de la conformité AWS. Les clients non gouvernementaux, par exemple les partenaires AWS, peuvent télécharger le package de sécurité FedRAMP des partenaires AWS en utilisant AWS Artifact.
-
Qu'ai-je à y gagner en passant sur AWS ?
Nous pensons que la migration des organisations gouvernementales vers le cloud est une opportunité pour améliorer leur niveau d'assurance de sécurité et réduire le risque opérationnel. L'environnement d'exploitation d'AWS permet aux clients d'obtenir un degré de sécurité et de conformité uniquement atteignable dans un environnement soutenu par une importante automatisation. Plutôt que d'avoir un centre de données classique effectuant des inventaires périodiques et des audits « à un instant donné », les clients AWS ont la possibilité de mener des audits en continu. En ayant ce niveau de visibilité dans votre environnement, vous améliorez le contrôle des données et vous développez votre capacité à maintenir l'assurance que seuls les utilisateurs autorisés y ont accès.
Par exemple, les porteurs de projets du DoD peuvent obtenir un niveau de contrôle supérieur sur leurs applications en appliquant de manière programmatique les directives de conformité et de sécurité du DoD. AWS vous permet de créer des modèles préapprouvés pour les cas d'utilisation d'application les plus courants, afin de réduire le délai d'autorisation de nouvelles applications. Ce type de modèles permet de s'assurer que les propriétaires d'application ne modifient pas des paramètres de sécurité essentiels, comme les groupes de sécurité et les listes de contrôle d’accès réseau, et de mettre en œuvre l'utilisation d'images machine optimisées par les STIG. Cette application par programmation des directives de sécurité du DoD réduit les efforts de configuration manuelle, ce qui diminue les configurations incorrectes et le risque global pesant sur le DoD.
-
Comment un porteur de mission obtient-il une autorisation d'exploitation (ATO) ?
En tant que porteur de projet pour le département américain de la Défense, vous êtes responsable de la création d'un package d'autorisations définissant toute l’implémentation des contrôles de sécurité applicables sur votre application. Comme pour tout package d'autorisations traditionnel, vous allez devoir documenter vos contrôles de sécurité de référence avec un plan de sécurité système. Ce plan et son implémentation seront ensuite examinés par le service de certification de votre organisation associée au DoD. Dans le cadre de cet examen, votre service de certification ou responsable des approbations peut examiner le package d'autorisations AWS pour obtenir une vision holistique de l'implémentation des contrôles de sécurité. Après avoir examiné votre package d'autorisations de sécurité et les packages d'autorisations de sécurité d'AWS, votre responsable des approbations disposera de toutes les informations nécessaires pour accorder une accréditation au titre de votre application et une autorisation ATO.
Pour plus d'informations sur la responsabilité des porteurs de projets du DoD utilisant AWS, consultez notre livre blanc DoD Compliant Implementations in the AWS Cloud.
-
En quoi le DoD Cloud Computing SRG est-il important ?
Le DoD Cloud Computing SRG soutient l'objectif global du gouvernement fédéral américain d'accroître l'utilisation du cloud computing. Ce guide constitue pour le département américain de la Défense un moyen d'atteindre ce but. Le 8 février 2011, l'Office of Management and Budget (OMB) a publié le document Federal Cloud Computing Strategy, qui comprend des directives permettant à toutes les agences fédérales américaines d’adopter les technologies du cloud. Cette stratégie a été suivie d'une exigence fédérale, publiée au mois de décembre 2011 et donnant naissance au Federal Risk and Authorization Management Program (FedRAMP). FedRAMP est obligatoire pour les déploiements et les modèles de service dans le cloud au niveau des agences fédérales, lorsque les risques peuvent avoir un impact faible, modéré et élevé.
En juillet 2012, le DoD a défini sa stratégie en matière de cloud computing par le biais de son directeur informatique. Sont alors nés le Joint Information Environment (JIE) et le DoD Enterprise Cloud Environment : « La stratégie du DoD en manière de cloud computing cherche à faire passer le département de son état actuel, avec des silos d'applications redondants, lourds et coûteux, à un état final composé d'un environnement de services agile, sécurisé, économique et pouvant évoluer rapidement en fonction des besoins. Le directeur informatique du DoD s'engage à accélérer l'adoption du cloud computing au sein du département... »
Le DoD Cloud Computing SRG utilise le programme FedRAMP comme un moyen d'établir une approche standardisée permettant au DoD d’évaluer les fournisseurs de services cloud.
-
Les services du Cloud AWS répondent-ils aux critères du DoD ?
Oui. Amazon a été évaluée et approuvée en tant que fournisseur de services cloud pour les régions USA Est et USA Ouest au niveau d'impact 2, la région AWS GovCloud (US) aux niveaux d'impact 4 et 5, ainsi que la région secrète AWS au niveau d'impact 6.
- Au niveau d'impact 2, toutes les régions AWS des États-Unis (USA Est/Ouest et AWS GovCloud [US]) ont été évaluées par la DISA et ont reçu deux autorisations provisoires après avoir démontré leur conformité aux exigences du DoD. La conformité d'AWS avec les exigences du DoD a été remplie en exploitant notre autorisation provisoire (P-ATO) du conseil d'autorisation commun (JAB) du FedRAMP. Les autorisations provisoires permettent aux entités du DoD d'évaluer la sécurité d'AWS, ainsi que de stocker, traiter et maintenir toute une gamme de données relatives au DoD dans le Cloud AWS.
- Aux niveaux d'impact 4 et 5, la région AWS GovCloud (US) a reçu une autorisation provisoire de la DISA permettant aux clients du DoD de déployer des applications de production avec les contrôles de référence renforcés correspondants à ces niveaux du SRG. Les clients du DoD désirant déployer des applications de niveau d'impact 4 ou 5 doivent contacter la DISA pour démarrer le processus d'approbation.
- Au niveau d'impact 6, la région secrète AWS possède une autorisation provisoire du DoD pour les charges de travail de niveau Secret et inférieur. Un catalogue de services pour la région secrète AWS est disponible par l'intermédiaire de votre chargé de compte AWS.
-
Quelles sont les régions AWS couvertes ?
Nos autorisations provisoires couvrent plusieurs régions des États-Unis continentaux, notamment AWS GovCloud (US) (niveaux d'impact 2, 4 et 5), les régions AWS USA Est/Ouest (niveau d'impact 2) et la région secrète AWS (niveau d'impact 6).
-
Quelles sont les catégories de systèmes DoD pouvant être déployés sur AWS ?
Les régions AWS USA Est et USA Ouest détiennent une autorisation provisoire de niveau d'impact 2, qui permet aux porteurs de projets de déployer des informations publiques et non confidentielles dans ces régions AWS avec l'autorisation d'AWS et l'autorisation ATO du porteur de projet. La région AWS GovCloud (US) détient une autorisation provisoire pour les niveaux d'impact 2, 4 et 5, et permet aux porteurs de projets de déployer toute la gamme de catégories d'informations contrôlées et non confidentielles couvertes par ces niveaux. La région secrète AWS détient une autorisation provisoire de niveau d'impact 6 et autorise les charges de travail de classification Secret et inférieure.
-
Qu'est-ce que cela implique pour les porteurs de projets du DoD ?
Nos autorisations provisoires de niveau d'impact 2 permettent aux clients du DoD de tirer profit des infrastructures et des services AWS conformes pour déployer des charges de travail comprenant des données dont la diffusion publique a été autorisée, ainsi que des informations privées non classées du DoD. La migration d'un environnement informatique relevant du DoD vers AWS peut améliorer votre propre contrôle de la conformité avec les services et fonctionnalités proposés par AWS.
Nos autorisations provisoires de niveaux d'impact 4 et 5 obtenues pour la région AWS GovCloud (US) signifient que les clients du DoD peuvent déployer leurs applications de production dans la région AWS GovCloud (US). Cette autorisation permet aux clients de mener toutes les activités de conception, de développement et d'intégration pour les charges de travail requises pour garantir la conformité aux niveaux d'impact 4 et 5 du Cloud Computing SRG du DoD.
Notre autorisation provisoire de niveau d'impact 6 pour la région secrète AWS signifie que les clients du DoD peuvent utiliser nos services pour stocker, traiter ou transmettre des données allant jusqu'au niveau Secret. Nos clients peuvent compter sur notre autorisation pour que les infrastructures couvrent toutes les exigences définies par le niveau d'impact 6 en la matière, tandis qu'ils gèrent leurs propres conformité et certification, notamment les audits et la gestion de la sécurité.
-
Quel est l'effet de l'autorisation provisoire d'AWS sur l'autorisation ATO d’un porteur de projet ?
Quand vous exécutez une application dans AWS dans le cadre d'une responsabilité partagée en matière de sécurité, le porteur de projet du DoD est responsable d'un nombre réduit de contrôles de sécurité de référence. AWS fournit un environnement d'hébergement sécurisé, avec des contrôles de sécurité pouvant être utilisés par les porteurs de projets pour lancer leurs applications, mais elle ne dédouane pas le porteur de projet de sa responsabilité de déployer, gérer et superviser son application en toute sécurité conformément aux contrôles de sécurité et à la politique de conformité du DoD.
Pour plus d'informations sur la responsabilité des porteurs de projets du DoD utilisant AWS, consultez notre livre blanc DoD Compliant Implementations in the AWS Cloud.
-
Est-il possible d'utiliser d'autres services AWS ?
Oui. Les clients ont la possibilité d'évaluer la compatibilité de leurs charges de travail avec d'autres services AWS. Chaque porteur de projet est habilité à évaluer et à accepter le risque associé à chacun de nos services qu'il choisit d'employer. Pour plus d'informations sur les contrôles de sécurité et l'acceptation des risques, contactez le service Conformité AWS.
-
La conformité avec le DoD va-t-elle contribuer à une augmentation des tarifs des services AWS ?
Non. Les programmes de conformité d'AWS n’entraînent aucune augmentation des coûts des services.
-
D'autres entités du DoD utilisent-elles AWS actuellement ?
Oui. À l'heure actuelle, de nombreuses entités du département américain de la Défense et autres organismes chargés de l'intégration de systèmes et d'autres produits et services pour le DoD utilisent la large gamme de services AWS. Nous ne pouvons pas divulguer le nom de plusieurs des clients ayant obtenu des autorisations (ATO) du DoD pour des systèmes hébergés sur AWS, mais nous travaillons régulièrement avec nos clients et leurs évaluateurs pour la planification, le déploiement, la certification et l'accréditation de leurs charges de travail DoD sur AWS.
-
Les autorisations ATO nécessitent-elles d'inspecter physiquement le centre de données d'un fournisseur de services ?
Non. Les clients du DoD peuvent s'appuyer sur le travail réalisé par nos évaluateurs indépendants (3PAO) pour le programme FedRAMP, qui inclut une analyse approfondie sur site de la sécurité physique dans nos centres de données. Conformément au DoD Cloud Computing SRG, un client DoD peut obtenir une ATO sans inspection physique du centre de données d'un fournisseur de services qui possède déjà des autorisations.
-
Quels sont les services AWS couverts ?
Pour obtenir la liste complète des services couverts, consultez la page Web Services AWS concernés par le programme de conformité.