Guia de requisitos de segurança de computação em nuvem do Department of Defense
Visão geral
Um número crescente de clientes do setor militar está adotando os serviços da AWS para processar, armazenar e transmitir dados do Department of Defense (DoD) dos EUA. A AWS permite que organizações de defesa e seus parceiros de negócios criem ambientes seguros para processar, manter e armazenar dados do DoD.
O Security Requirements Guide (SRG – Guia de requisitos de segurança) de computação em nuvem do Department of Defense (DoD) oferece um processo padronizado de avaliação e autorização para Cloud Service Providers (CSPs – Provedores de serviços de nuvem) com a finalidade de obter uma autorização provisória do DoD para poder atender clientes do DoD. Uma autorização provisória da AWS emitida pela Defense Information Systems Agency (DISA – Agência de sistemas de informação de defesa) disponibiliza uma certificação reutilizável que atesta a conformidade da AWS com as normas do DoD, reduzindo o tempo necessário para que um proprietário de missão do DoD avalie e autorize um dos seus sistemas para operação na AWS. Para obter mais informações sobre o SRG, incluindo a definição completa das linhas de base de controles de segurança definidas para os níveis 2, 4, 5 e 6, visite a Biblioteca de documentos na página da Web do DoD Cloud Computing Security.
Como cliente do DoD, você é responsável por estar em conformidade com as diretrizes de segurança do DoD dentro do seu ambiente de aplicativos da AWS, que inclui:
• Responsabilidades do proprietário da missão, descritas no whitepaper Implementações em conformidade com o DoD na Nuvem AWS
• Todos os Security Technical Implementation Guides (STIGs – Guias de implementação técnica de segurança) relevantes
• Todos os STIGs de aplicativo relevantes
• Orientação sobre portas e protocolos do DoD (instrução DoD 8551.01)
A infraestrutura, a governança e o ambiente operacional da AWS foram avaliados e autorizados por meio dos processos de autorização do FedRAMP e do DoD. Como um cliente que está implantando um aplicativo na infraestrutura da AWS, você herda os controles de segurança pertencentes à nossa proteção física, ambiental e de mídia. Além disso, não será mais necessário descrever em detalhes a maneira como você mantém a conformidade com essas famílias de controles. Os controles restantes da Risk Management Framework (RMF – Estrutura de gerenciamento de riscos) do DoD são compartilhados entre a AWS e os clientes. Cada organização assume a responsabilidade pela implementação dos controles dentro de sua parte do modelo de segurança compartilhada de TI.
Perguntas frequentes
-
Como posso examinar a documentação e as diretrizes de segurança da AWS?
Nossos clientes e fornecedores do DoD podem usufruir de nossas autorizações do FedRAMP e DoD para acelerar seus esforços de certificação e credenciamento. Para oferecer suporte à autorização de sistemas militares hospedados na AWS, fornecemos documentação ao pessoal de segurança do DoD para que você possa verificar a conformidade da AWS com os controles aplicáveis do NIST 800-53 (Revisão 4) e com o SRG de computação em nuvem do DoD (versão 1, release 3).
Oferecemos aos nossos clientes do DoD um pacote de orientações e documentação de segurança sobre como usar a AWS como uma solução de hospedagem do DoD mantendo a segurança e a conformidade. Especificamente, disponibilizamos um modelo de SSP do FedRAMP da AWS com base no NIST 800-53 (Rev. 4). Esse modelo é preenchido automaticamente com a linha de base de controles aplicáveis do FedRAMP e do DoD. Os controles herdados dentro do modelo são preenchidos automaticamente pela AWS, os controles compartilhados são responsabilidade da AWS e do cliente, e alguns controles são responsabilidade exclusiva do cliente.
Organizações militares ou contratados que realizam negócios com o DoD podem solicitar acesso à documentação de segurança da AWS entrando em contato com o seu gerente de contas da AWS ou enviando o formulário de contato da conformidade da AWS. Clientes não governamentais, como os parceiros da AWS, podem fazer download do pacote de segurança do FedRAMP para parceiros da AWS usando o AWS Artifact.
-
Que benefícios eu obtenho com a migração para a AWS?
Acreditamos que, para os clientes governamentais, a migração para a nuvem é uma oportunidade de aumentar o nível de garantia de segurança e reduzir os riscos operacionais. O ambiente operacional da AWS permite obter um nível de segurança e conformidade que só é possível em um ambiente respaldado por altos níveis de automação. Em vez dos tradicionais inventários e auditorias pontuais realizadas pelos datacenters, os clientes da AWS podem realizar auditorias “point-in-time”. A disponibilidade desse nível de visibilidade sobre o ambiente aprimora o controle de dados e aumenta a capacidade de manter a garantia de que somente usuários autorizados têm acesso.
Por exemplo, os proprietários de missão do DoD podem obter níveis mais altos de controle sobre aplicativos por meio da aplicação programática das diretrizes de segurança e conformidade do DoD. A AWS permite criar modelos pré-aprovados para casos de uso de aplicativos comuns, reduzindo o tempo de autorização de novos aplicativos. Os modelos podem ajudar a garantir que os proprietários de aplicativos não alterem definições vitais de segurança, como grupos de segurança e Network ACLs, como também obrigar o uso de imagens de máquina reforçadas de acordo com o STIG. Essa aplicação programática de diretrizes de segurança do DoD reduz os esforços de configuração manual, o que diminui as configurações inadequadas e o risco geral para o DoD.
-
Como um proprietário de missão obtém Authorization to Operate (ATO – Autorização para operar)?
Como proprietário de missão do DoD, você é responsável pela criação de um pacote de autorização que defina completamente sua implementação dos controles de segurança aplicáveis para o seu aplicativo. Como ocorre com qualquer pacote de autorização tradicional, você precisa documentar seus parâmetros de controle de segurança com um plano de segurança de sistema, e ter esse plano e sua implementação revisados pela equipe de certificação específica da sua organização do DoD. Como parte dessa revisão, o seu pessoal de certificação ou oficial de autorização pode examinar o pacote de autorização da AWS para obter uma visão holística, de cima para baixo, da implementação dos controles de segurança. Após a revisão do seu pacote de autorização e segurança e dos pacotes de autorização e segurança da AWS, seu agente de autorização terá as informações necessárias para tomar uma decisão sobre o credenciamento do seu aplicativo e conceder uma ATO.
Para obter mais informações sobre a responsabilidade dos proprietários de aplicativos do DoD que operam na AWS, consulte o whitepaper Implementações em conformidade com o DoD na Nuvem AWS.
-
Por que o SRG de computação em nuvem do DoD é importante?
O SRG de computação em nuvem do DoD oferece suporte à meta geral do governo federal dos EUA de aumentar o uso da computação em nuvem e oferece os meios para que o DoD apoie essa meta. Em 8 de fevereiro de 2011, o Office of Management and Budget (OMB) estabeleceu a Federal Cloud Computing Strategy (Estratégia federal de computação em nuvem), que definiu a orientação para todas as agências federais adotarem tecnologias de nuvem em todo o governo federal. Esta estratégia foi seguida por um requisito federal, lançado em dezembro de 2011, estabelecendo o Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de risco e autorização). O FedRAMP é obrigatório para implantações e modelos de serviços na nuvem para os órgãos federais, com níveis de impacto de risco baixo, moderado e alto.
Em julho de 2012, o DoD lançou sua Estratégia de computação em nuvem, criada pelo diretor de tecnologia da informação do DoD. Essa estratégia definiu o Joint Information Environment (JIE – Ambiente conjunto de informações) e o Enterprise Cloud Environment (Ambiente de nuvem empresarial) do DoD: “A Estratégia de computação em nuvem do DoD apresenta uma abordagem para mudar o departamento do estado atual de um conjunto de silos de aplicativos caro, duplicado e inconveniente para um estado final de um ambiente de serviços ágil, seguro e econômico que pode reagir rapidamente à constante evolução das necessidades da missão. O diretor de tecnologia da informação do DoD está comprometido com a aceleração da adoção da computação em nuvem no departamento...”
O SRG de computação em nuvem do DoD utiliza o programa FedRAMP como um meio de estabelecer uma abordagem padronizada para que o DoD avalie os provedores de serviços em nuvem (CSPs).
-
Os serviços de nuvem AWS cumprem os requisitos do DoD?
Sim. A AWS foi avaliada e aprovada como provedor de serviços de nuvem para as regiões Leste dos EUA e Oeste dos EUA no nível de impacto 2, a AWS GovCloud (EUA) nos níveis de impacto 4 e 5, e a região secreta da AWS no nível de impacto 6.
- No nível de impacto 2, as regiões da AWS baseadas nos EUA (Leste/Oeste dos EUA e AWS GovCloud (EUA)) foram avaliadas pela DISA e receberam duas Autorizações provisórias depois de demonstrar conformidade com os requisitos do DoD. A conformidade da AWS com os requisitos do DoD foi alcançada usando a nossa Provisional Authority to Operate (P-ATO – Autorização provisória para operar) do Joint Authorization Board (JAB) do FedRAMP. As Autorizações provisórias permitem que as entidades do DoD avaliem a segurança da AWS e a oportunidade de armazenar, processar e manter uma variedade de dados do DoD na Nuvem AWS.
- Nos níveis de impacto 4 e 5, a região AWS GovCloud (EUA) recebeu uma autorização provisória da DISA para permitir aos clientes do DoD implantar aplicativos de produção com as linhas de base de controle aperfeiçoadas, correspondendo aos níveis do SRG mencionados. Os clientes do DoD com possíveis aplicativos nos níveis de impacto 4 e 5 devem entrar em contato com a DISA para iniciar o processo de aprovação.
- No nível de impacto 6, a região secreta da AWS tem uma autorização provisória do DoD para cargas de trabalho com nível secreto ou inferior. Um catálogo de serviços para a região secreta da AWS está disponível com o seu executivo de contas da AWS.
-
Quais regiões da AWS estão incluídas?
Nossas autorizações provisórias cobrem várias regiões nos Estados Unidos continentais, incluindo a região AWS GovCloud (EUA) (níveis de impacto 2, 4 e 5), as regiões Leste/Oeste dos EUA (nível de impacto 2) da AWS, além da região secreta da AWS (nível de impacto 6).
-
Quais classificações de sistemas do DoD podem ser colocadas na AWS?
As regiões Leste e Oeste dos EUA da AWS têm uma autorização provisória para o nível de impacto 2, o que permite aos proprietários de missão implantar informações públicas e não confidenciais nessas regiões da AWS, tanto com a autorização da AWS quanto com a ATO do aplicativo da missão. A região AWS GovCloud tem uma autorização provisória para os níveis de impacto 2, 4 e 5, o que permite que proprietários de missão implantem toda a variedade de categorias de informações controladas e não confidenciais abrangidas por esses níveis. A região secreta da AWS tem uma autorização provisória para o nível de impacto 6 e permite cargas de trabalho de nível secreto ou inferior.
-
O que isso significa para mim como um proprietário de missão do DoD?
Nossas autorizações provisórias do nível de impacto 2 permitem que clientes do DoD usem infraestrutura e serviços em conformidade da AWS para implantar cargas de trabalho que incluem dados liberados para divulgação pública e algumas informações confidenciais privadas do DoD. Transferir seu ambiente de TI do DoD para a AWS pode ajudar a melhorar suas próprias falhas de conformidade com os serviços e recursos disponibilizados pela AWS.
Nossas Autorizações provisórias de níveis de impacto 4 e 5 para a AWS GovCloud (EUA) significam que nossos clientes do DoD podem implantar seus aplicativos de produção na região AWS GovCloud (EUA). Essa autorização permite que os clientes se envolvam em atividades de projeto, desenvolvimento e integração de cargas de trabalho que devem estar em conformidade com os níveis de impacto 4 e 5 do SRG de computação em nuvem do DoD.
A nossa autorização provisória para nível de impacto 6 da região secreta da AWS significa que os clientes do DoD podem usar nossos serviços para armazenar, processar ou transmitir dados de nível secreto ou inferior. Os clientes podem confiar em nossa autorização para cumprir todos os requisitos de infraestrutura definidos pelo nível de impacto 6, o que os ajuda a gerenciar sua própria conformidade e certificação, incluindo o gerenciamento de auditorias e segurança.
-
Como a autorização provisória da AWS afeta a ATO do proprietário de missão?
Ao operar um aplicativo na AWS no espírito da responsabilidade de segurança compartilhada, o proprietário de missão do DoD é responsável por uma linha base reduzida de controles de segurança. A AWS oferece um ambiente de hospedagem seguro, com controles de segurança aplicáveis para proprietários de missão colocarem seus aplicativos em campo, mas não libera o proprietário de missão da sua responsabilidade de implantar, gerenciar e monitorar com segurança seus aplicativos de acordo com os controles de segurança e a política de conformidade do DoD.
Para obter mais informações sobre a responsabilidade dos proprietários de aplicativos do DoD que operam na AWS, consulte o whitepaper Implementações em conformidade com o DoD na Nuvem AWS.
-
Os outros serviços da AWS podem ser utilizados?
Sim, os clientes podem avaliar a adequação de suas cargas de trabalho com outros serviços da AWS. Cada proprietário de missão é capacitado para avaliar e aceitar os riscos apresentados por qualquer um de nossos serviços escolhidos para utilização. Para obter mais informações sobre considerações de controle de segurança e aceitação de riscos, entre em contato com a Conformidade da AWS.
-
A conformidade do DoD aumentará os preços dos serviços da AWS?
Não, não há aumento nos custos de serviço para qualquer serviço como consequência dos programas de conformidade da AWS.
-
Há outras entidades do DoD usando a AWS no momento?
Sim. Muitas entidades do DoD e outras organizações que oferecem integração de sistemas e outros produtos e serviços para o DoD usam hoje a ampla gama de serviços da AWS. A AWS não pode divulgar muitos dos clientes que obtiveram Authorizations to Operate (ATOs – Autorizações para operar) do DoD para sistemas na AWS, mas trabalha regularmente com clientes e seus assessores em atividades de planejamento, implantação, certificação e credenciamento das suas cargas de trabalho do DoD na AWS.
-
Uma ATO exige uma avaliação física do datacenter de um provedor de serviços?
Não. Os clientes do DoD podem contar com o trabalho executado pelas nossas Third-Party Assessment Organizations (3PAO – Organizações externas de avaliação) do FedRAMP, que inclui uma extensa avaliação local da segurança física dos nossos datacenters. De acordo com o SRG de computação em nuvem do DoD, um cliente do DoD pode obter uma Autorização para operar (ATO) sem examinar fisicamente o datacenter de um provedor de serviços que já tenha obtido autorizações.
-
Que serviços da AWS são contemplados?
Para obter uma lista completa dos serviços incluídos, acesse a página Serviços da AWS no escopo por programa de conformidade.