FedRAMP
Visão geral
O governo federal dos EUA dedica-se a disponibilizar seus serviços para o povo americano da maneira mais inovadora, segura e econômica. A computação em nuvem desempenha um papel essencial na forma como o governo federal pode alcançar eficiência operacional e inovar sob demanda para promover sua missão em todo o país. É por isso que hoje vários órgãos federais usam os Serviços de nuvem AWS para processar, armazenar e transmitir dados do governo federal.
Perguntas frequentes
-
O que é o FedRAMP?
O Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de autorização e risco) é um programa do governo dos EUA que disponibiliza uma abordagem padrão para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços na nuvem. Os órgãos governamentais do FedRAMP incluem o Office of Management and Budget (OMB), a U.S. General Services Administration (GSA), o U.S. Department of Homeland Security (DHS), o U.S. Department of Defense (DoD), o National Institute of Standards and Technology (NIST) e o Federal Chief Information Officers (CIO) Council.
Os provedores de serviços de nuvem (CSPs) que desejam disponibilizar suas Ofertas de serviços de nuvem (CSOs) ao governo dos EUA devem demonstrar conformidade com o FedRAMP. O FedRAMP usa a publicação especial do NIST série 800 e exige que os provedores de serviços de nuvem concluam uma avaliação de segurança independente conduzida por uma organização externa de avaliação (3PAO) para garantir que as autorizações estejam em conformidade com a Federal Information Security Management Act (FISMA – Lei federal de gerenciamento da segurança das informações). Para obter mais informações, consulte o site do FedRAMP.
-
Porque o FedRAMP é importante?
Em resposta à Cloud First Policy (agora a Cloud Smart Strategy), o Office of Management and Budget (OMB) publicou o FedRAMP Policy Memo (agora a Federal Cloud Computing Strategy) para estabelecer o primeiro programa de autorização de segurança no âmbito do governo para a FISMA. O FedRAMP é obrigatório para todos os órgãos federais dos EUA e todos os serviços na nuvem. O FedRAMP é importante porque aumenta:
- A consistência e a confiança na segurança das soluções em nuvem, usando os padrões definidos pelo NIST e pela FISMA
- A transparência entre o governo dos EUA e os provedores de nuvem
- A automação e o monitoramento contínuo praticamente em tempo real
- A adoção de soluções em nuvem seguras por meio da reutilização de avaliações e autorizações
-
Quais são os requisitos da conformidade com o FedRAMP?
A Cloud First Policy (Política de priorização da nuvem) exige que todos os órgãos federais usem o processo do FedRAMP para realizar avaliações de segurança, autorizações, e monitoramento contínuo de serviços em nuvem. O Program Management Office (PMO) do FedRAMP estabeleceu os seguintes requisitos para a conformidade com o FedRAMP:
- O provedor de serviços de nuvem (CSP) recebeu uma Agency Authority to Operate (ATO – Autorização para operação de órgão) de um órgão federal dos EUA ou uma Provisional Authority to Operate (P-ATO – Autorização provisória para operação) do Joint Authorization Board (JAB).
- O CSP atende aos requisitos de controle de segurança do FedRAMP, conforme descrito na linha de base de controle de segurança 800-53, Rev. 4, do NIST para os níveis de impacto alto ou moderado.
- Todos os pacotes de segurança do sistema devem usar os modelos exigidos do FedRAMP.
- O CSP deve ser avaliado por uma organização externa de avaliação (3PAO) aprovada.
- O pacote de avaliação de segurança concluído deve ser publicado no repositório seguro do FedRAMP.
-
Quais são os tipos de conformidade com o FedRAMP?
Existem dois caminhos para os provedores de serviços de nuvem (CSPs) obterem conformidade com o FedRAMP:
- Autorização do JAB (Joint Authorization Board): Para receber a Autorização provisória para operação (P-ATO) do JAB do FedRAMP, um CSP é analisado pela 3PAO credenciada pelo FedRAMP, examinado pelo Program Management Office (PMO) do FedRAMP e recebe uma P-ATO do JAB. O JAB é formado por diretores de TI (CIOs) do Department of Defense (DoD), do Department of Homeland Security (DHS) e da General Services Administration (GSA).
- Autorização de órgão: Para receber uma Autorização para operação (ATO) de órgão do FedRAMP, um CSP é analisado por um CIO ou Oficial de autorização delegado para conseguir uma ATO compatível com o FedRAMP, que é confirmada pelo Program Management Office (PMO) do FedRAMP.
-
Como um órgão pode utilizar uma autorização do FedRAMP da AWS?
Um órgão federal ou uma organização do Department of Defense (DoD) pode aproveitar as Ofertas de serviços de nuvem (CSOs) da AWS como blocos de construção para soluções hospedadas na nuvem. Cada CSO da AWS é autorizada para uso federal e do DoD pelo FedRAMP e a DISA, e sua autorização é documentada em uma Autorização provisória para operação (P-ATO). Os CSPs não recebem uma Autorização para operação (ATO) para suas CSOs. Em vez disso, eles recebem P-ATOs. Uma PATO é uma aprovação pré-aquisitiva para organizações federais ou o DoD usarem CSOs. Os órgãos federais ou organizações do DoD podem aproveitar os Pacotes de segurança do FedRAMP da AWS para revisar a documentação de apoio, incluir detalhes de responsabilidade compartilhada e tomar suas próprias decisões baseadas em riscos de conceder uma ATO. Se tiver dúvidas ou precisar de mais informações, entre em contato com o seu Gerente de contas da equipe de vendas da AWS.
Um Oficial de autorização (AO) do órgão pode utilizar qualquer um dos Pacote de segurança do FedRAMP da AWS para revisar a documentação de apoio, incluir detalhes de responsabilidade compartilhada e tomar suas próprias decisões baseadas em riscos de conceder uma Autorização para operação (ATO) de órgão à AWS. Os órgãos são responsáveis pela emissão de suas próprias ATOs na AWS e pela autorização geral de seus componentes de sistema. Se tiver dúvidas ou precisar de mais informações, entre em contato com o seu Gerente de contas da equipe de vendas da AWS ou com a equipe de ATO na AWS.
-
A AWS tem uma ATO (Autorização para operação)?
A AWS é um provedor de serviços de nuvem (CSP) que disponibiliza Ofertas de serviços de nuvem (CSOs). Como um CSP, a AWS segue o processo FedRAMP para que suas CSOs recebam autorização para uso federal ou pelo DoD. O processo FedRAMP não emite uma Autorização para operação (ATO) para CSPs. Em vez disso, ele emite uma Autorização provisória para operação (PATO). A PATO é uma aprovação pré-aquisitiva para órgãos federais ou o DoD usarem CSOs. Os órgãos federais ou o DoD usam a PATO e os controles herdados associados à PATO quando seguem o processo RMF (Risk Management Framework) para obter suas próprias ATOs. Observe que a PATO da AWS não será atualizada para uma ATO, pois o processo FedRAMP não emite ATOs para CSPs. ATOs são emitidas apenas como parte do processo RMF e são emitidas pelos AOs (Oficiais de autorização) do órgão federal ou do DoD. Informações adicionais sobre o FedRAMP podem ser encontradas no site do FedRAMP.
-
Em que sentido o FedRAMP é diferente do RMF (Risk Management Framework)?
O FedRAMP é o processo seguido por Provedores de serviços de nuvem (CSPs) para obter a aprovação de suas Ofertas de serviços de nuvem (CSOs) para uso por agências federais ou pelo DoD como blocos de construção para sistemas hospedados na nuvem. O RMF (Risk Management Framework) é o processo seguido por órgãos federais e pelo DoD para que seus sistemas de TI tenham autorização de operação. Apenas CSPs usam o processo FedRAMP e eles não seguem o processo RMF. Os órgãos federais ou o DoD apenas seguiriam o processo FedRAMP se estivessem criando serviços de nuvem (por exemplo, MilCloud).
-
A AWS oferece suporte a autorizações para operação (ATO) de órgão para serviços fora do FedRAMP?
Incentivamos os clientes de órgãos federais a aproveitar o pacote de autorização e a ATO do JAB para FedRAMP para emitir sua própria Autorização para operação.
-
A Amazon Web Services está em conformidade com o FedRAMP?
Sim. A AWS oferece os seguintes sistemas em conformidade com o FedRAMP que receberam autorizações, abordaram os controles de segurança do FedRAMP (baseados no NIST SP 800-53), usaram os modelos do FedRAMP exigidos para os pacotes de segurança publicados no repositório seguro do FedRAMP, foram avaliados por um analista externo, independente e certificado (3PAO) e mantiveram os requisitos de monitoramento contínuo do FedRAMP:
- A região AWS GovCloud (EUA) contém uma Autorização provisória para operação (P-ATO) do Joint Authorization Board (JAB) e várias Autorizações de órgão (A-ATO) para o nível de impacto alto. Os serviços no escopo do limite da P-ATO do JAB da região AWS GovCloud (EUA) na categorização de segurança de linha de base alta podem ser encontrados em Serviços da AWS no escopo por programa de conformidade.
- As regiões AWS EUA Leste-Oeste (Norte da Virgínia, Ohio, Oregon, Norte da Califórnia) receberam uma Autorização provisória para operação (P-ATO) do Joint Authorization Board (JAB) e várias Autorizações para operação (A-ATO) de órgão para o nível de impacto Moderado. Os serviços no escopo do limite da P-ATO do JAB na região AWS EUA Leste-Oeste na categorização de segurança de linha de base Moderada podem ser encontrados em Serviços da AWS no escopo por programa de conformidade.
-
A conformidade com o FedRAMP aumentará os custos dos serviços da AWS?
Não, não há aumento nos custos dos serviços em nenhuma região como consequência da conformidade da AWS com o FedRAMP.
-
Quais regiões da AWS estão incluídas?
Duas P-ATOs do FedRAMP diferentes foram emitidas, a primeira abrangendo a região AWS GovCloud (EUA) e a segunda abrangendo as regiões AWS US Leste/Oeste.
-
Há entidades do governo dos EUA utilizando a AWS neste momento?
Sim, mais de 2,000 órgãos governamentais e outras entidades que disponibilizam produtos de integração de sistemas e outros produtos e serviços para órgãos governamentais estão utilizando atualmente a ampla gama de serviços da AWS. Você pode revisar estudos de caso sobre entidades governamentais dos EUA que usam a AWS na página de Sucesso de clientes da AWS. Para obter mais informações sobre como a AWS atende os requisitos de alta segurança dos governos, consulte a página da web AWS para o governo.
-
Quais serviços são cobertos e de que forma podemos validar a conformidade com o FedRAMP?
Os serviços da AWS abrangidos que já estão no escopo do limite do FedRAMP e do SRG do DoD podem ser encontrados em Serviços da AWS no escopo por programa de conformidade. Ao clicar na guia FedRAMP ou DoD SRG, os serviços com um '“✓” indicam que o FedRAMP JAB autorizou o serviço como atendendo adequadamente aos requisitos de linha de base moderada do FedRAMP (posteriormente DoD SRG IL2) para AWS Leste-Oeste EUA e/ou altos requisitos de linha de base da FedRAMP (posteriormente DoD SRG IL2, IL4 e IL5) para AWS GovCloud (EUA). Esses serviços estão publicados na descrição de serviços da AWS no FedRAMP Marketplace. Se os serviços estiverem marcados como "Avaliação pela 3PAO" ou "Em avaliação", a AWS não declara a implementação ou manutenção dos controles do FedRAMP, pois esses serviços ainda estão sob avaliação. Se o serviço estiver marcado como "Revisão pelo JAB" ou "Revisão pela DISA", significa que ele concluiu a avaliação pelo 3PAO e está atualmente na fila do nosso regulador. Para esses serviços, a AWS implementou os controles relevantes do FedRAMP e foi avaliada quanto a essa implantação com base no ambiente, embora não tenha sido autorizada pelo JAB. Se desejar saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato com a equipe de desenvolvimento de vendas e negócios da AWS.
-
Os outros serviços da AWS podem ser utilizados?
Sim, os clientes podem avaliar a adequação de suas cargas de trabalho com outros serviços da AWS. Entre em contato com a equipe de Vendas e de desenvolvimento de negócios da AWS para obter uma discussão detalhada sobre os controles de segurança e as considerações de aceitação de riscos.
-
É possível alocar sistemas de nível de alto impacto na AWS?
Sim, os clientes podem avaliar a compatibilidade das suas cargas de trabalho de alto impacto com a AWS. Atualmente, os clientes podem colocar suas cargas de trabalho de alto impacto na região AWS GovCloud (EUA), que recebeu uma Autorização provisória para operação (P-ATO) do Joint Authorization Board (JAB) para o nível de Alto impacto.
-
Onde posso acessar o Pacote de segurança do FedRAMP da AWS?
Os funcionários e contratados do governo dos EUA podem solicitar que o PMO do FedRAMP forneça acesso ao Pacote de segurança do FedRAMP da AWS preenchendo um Formulário de solicitação de acesso ao pacote e enviando-o para info@fedramp.gov.
Os clientes e parceiros comerciais podem solicitar acesso ao Pacote de parceiros FedRAMP da AWS para obter orientações relacionadas à formulação de ofertas da AWS e à assistência na arquitetura de serviços em conformidade com o FedRAMP/DoD na AWS. O Pacote de parceiros pode ser encontrado na sua conta AWS por meio do AWS Artifact ou mediante solicitação por meio do seu gerente de conta da AWS.
-
Qual é o ID do FedRAMP para fins de referência?
Para as Regiões AWS EUA Leste/Peste, o ID FedRAMP é AGENCYAMAZONEW. Para a Região AWS GovCloud (EUA), o ID FedRAMP é F1603047866.
-
Como o monitoramento contínuo é processado com autorizações do FedRAMP?
Dentro do Concept of Operations (CONOPS – Conceito de Operações) do FedRAMP, após a concessão de uma autorização, a postura de segurança do CSP será monitorada de acordo com o processo de avaliação e autorização. Para receberem uma nova autorização do FedRAMP a cada ano, os CSPs devem monitorar os seus controles de segurança, avaliá-los regularmente e demonstrar que a postura de segurança de suas ofertas de serviço é continuamente aceitável. Os órgãos federais que usam o programa de monitoramento contínuo do FedRAMP, bem como Oficiais de autorização (AOs) e suas equipes designadas, são responsáveis pela revisão da conformidade contínua da AWS. Os AOs e suas equipes designadas revisam, de forma permanente e contínua, os artefatos gerados pelo processo de monitoramento contínuo da AWS pelo FedRAMP, além das evidências da implementação de quaisquer controles específicos de órgãos exigidos além dos controles do FedRAMP. Para mais informações, consulte o programa ou política de segurança de sistemas de informação do seu órgão.
-
Como um órgão federal dos EUA, preciso estabelecer um acordo de segurança de interconexão (ISA) com a AWS?
Não. De acordo com o FedRAMP Weekly Tips & Cues – 10 de agosto de 2016, as ISAs não são obrigatórias para uso entre um CSP e uma agência federal.
-
E se eu precisar falar com a AWS sobre as arquiteturas ou as cargas de trabalho da AWS específicas do FedRAMP da minha organização?
O pacote de segurança do FedRAMP da AWS está disponível para os clientes que usam o AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
Se tiver dúvidas específicas a respeito da conformidade com o FedRAMP ou o DoD, entre em contato com o gerente de conta da AWS ou envie o Formulário de contato para conformidade da AWS para entrar em contato com a nossa equipe de conformidade com o FedRAMP.
-
Onde posso encontrar mais informações sobre outros programas de conformidade relacionados ao FedRAMP?
Para obter mais informações sobre quaisquer programas de conformidade aplicáveis, consulte nossa página da web do programa de conformidade da AWS. Você também pode encontrar mais informações específicas para o Federal Information Processing Standard (FIPS) 140-2, o Department of Defense Cloud Computing Security Requirements Guide (DoD CC SRG), a Federal Information Security Management Act (FISMA) e o National Institute of Standards and Technology (NIST).
-
Quais são as relações entre o FedRAMP e outros programas federais de conformidade (FISMA, DFARS, DoD SRG, NIST SP 800-171, FIPS 140-2)?
Os órgãos do governo federal são avaliados por seu Escritório do inspetor geral (OIG) e internamente com base em métricas fornecidas pelo Department of Homeland Security (DHS). Os critérios para as métricas de OIG e CIO da FISMA são publicações especiais do NIST SP 800, com ênfase no NIST SP 800-53. Para que essas agências confiem na segurança do CSP, o FedRAMP é um programa de conformidade que se baseia em uma linha de base dos controles NIST SP 800-53 para atender aos requisitos da FISMA na nuvem.
O programa de conformidade FedRAMP é usado pelo DoD para atender aos Níveis de impacto do Department of Defense Cloud Computing Security Requirements Guide (DoD CC SRG), ambos exigindo conformidade com o FIPS 140-2 para determinados controles de criptografia. O Defense Federal Acquisition Regulation Supplement (DFARS) exige que os contratados do DoD processem, armazenem ou transmitam informações não classificadas controladas (CUI) para atender a um determinado conjunto de padrões de segurança, que inclui os requisitos do NIST SP 800-171. O NIST SP 800-171 fornece aos órgãos os requisitos de segurança recomendados para proteger a confidencialidade das Informações não classificadas controladas (CUI).