国防部云计算安全要求指南

概览

• 如何查看 AWS 安全文档和指南？

  DoD 客户和供应商可以使用我们的 FedRAMP 和 DoD 授权来加快他们的认证和鉴定流程。为了支持在 AWS 上托管的军事系统的授权，我们向 DoD 安全人员提供了文档，以便您可以验证 AWS 是否符合适用的 NIST 800-53（第 4 修订版）控制措施和 DoD 云计算 SRG（版本 1、发行版 3）。

  我们为 DoD 客户提供了一系列关于将 AWS 用作 DoD 托管解决方案的安全性和合规性的安全指南和文档。我们还特别提供了一个基于 NIST 800-53（第 4 修订版）的 AWS FedRAMP SSP 模板，其中预先填充了适用的 FedRAMP 和 DoD 控制基准。模板中沿用的控制措施由 AWS 预先填充；共享控制措施由 AWS 和客户共同负责；而某些控制措施则由客户全权负责。

  军事机构或与 DoD 有业务往来的承包商都可以通过联系 AWS 客户经理或提交 AWS Compliance 联系表，请求访问 AWS 安全文档。非政府客户（例如 AWS 合作伙伴）可以使用 AWS Artifact 下载 AWS 合作伙伴 FedRAMP 安全包。

• 迁移到 AWS 能够让我获得什么价值？

  我们认为，对于政府客户而言，迁移到云是一个提高安全保障水平并降低运营风险的机会。AWS 操作环境可让您获得只有在高度自动化支持的环境中才能实现的安全性和合规性水平。AWS 客户不像传统的数据中心那样进行定期的清单审核和“时间点”审核，而是能够持续进行审核。拥有对环境的这种可见性可以增强数据控制能力，并增强您保证只有授权用户才有权访问的能力。

  例如，DoD 任务所有者可以用编程方式强制实施 DoD 安全性和合规性准则，从而对应用程序实现更高程度的控制。借助 AWS，您可以针对常用的应用程序使用案例创建预先批准的模板，从而缩短授权新应用程序的时间。此类模板可以确保应用程序所有者不会更改安全组和网络 ACL 等重要安全设置，并强制使用按照 STIG 强化过的系统映像。以编程方式强制实施 DoD 安全准则可以减少手动配置的工作量，从而减少不合理的配置并降低 DoD 面临的总体风险。
  

• 任务所有者如何获得操作授权 (ATO)？

  作为 DoD 任务所有者，您需要负责构建一个授权包，该授权包需要完整定义适用于应用程序的安全控制实施。就像任何传统的授权包一样，您需要使用系统安全计划来记录安全控制基准，并让 DoD 组织中的相关认证人员对此计划及其实施进行审查。在此审查过程中，您的认证人员或授权官方人员可能会审查 AWS 授权包，以便彻底地全面了解整个安全控制实施。审查完您的安全授权包和 AWS 安全授权包之后，您的授权官方人员将获得对应用程序做出鉴定决策所需的信息，然后授予 ATO。

  有关在 AWS 中操作的 DoD 应用程序所有者的职责的更多信息，请参阅白皮书 AWS 云中的 DoD 合规性实施。
  

• DoD 云计算 SRG 为何重要？

  对于美国联邦政府关于提高云计算使用率的总体目标，DoD 云计算 SRG 可以给予支持，并为 DoD 提供一种方法来支持此目标。行政管理和预算局 (OMB) 于 2011 年 2 月 8 日制定了联邦云计算战略，该战略针对所有联邦机构在整个联邦政府内采用云技术的操作制定了指南。在此战略之后，于 2011 年 12 月发布的联邦要求制定了联邦风险与授权管理计划 (FedRAMP)。我们将会针对联邦机构在低、中和高风险影响级别的云部署和服务模型强制执行 FedRAMP。

  DoD 首席信息官 (CIO) 于 2012 年 7 月发布了云计算战略。该战略建立了联合信息环境 (JIE) 和 DoD 企业云环境：“DoD 云计算战略引入了一种方法，它可将国防部从当前使用一组重复、繁琐且昂贵的应用程序竖井的状态转变为灵活、安全且经济高效的服务环境终极状态，这种服务环境可快速应对不断变化的任务需求。DoD 首席信息官 (CIO) 承诺加快在国防部采用云计算的速度……”

  DoD 云计算 SRG 将 FedRAMP 计划当作一种途径，帮助 DoD 制定一个评估云服务提供商的标准化方法。
  

• AWS 云服务是否满足 DoD 要求？

  是的，AWS 已通过评估并获批成为云服务提供商，美国西部和美国东部区域的影响级别为第 2 级，AWS GovCloud（美国）区域的影响级别为第 4 级和第 5 级，AWS 机密区域的影响级别为第 6 级。

  • 在第 2 影响级别，所有 AWS 美国区域（美国东部/西部和 AWS GovCloud [美国]）均已通过 DISA 的评估，并在证实符合 DoD 要求后获得了两个临时授权。AWS 通过利用我们现有的 FedRAMP 联合授权委员会 (JAB) 授予的临时操作授权 (P-ATO) 实现 DoD 要求的合规性。临时授权让 DoD 实体机构能够评估 AWS 的安全性以及在 AWS 云中存储、处理和维护各种 DoD 数据的机会。
  • 在第 4 影响级别和第 5 影响级别，AWS GovCloud（美国）已从 DISA 获得一个临时授权，可让 DoD 客户部署具有增强版控制基准（与 SRG 中的级别相对应）的生产应用程序。预计应用程序的影响级别为第 4 级或第 5 级的 DoD 客户应联系 DISA 启动审批流程。
  • 在第 6 影响级别，AWS 机密区域持有 DoD 临时授权，可以处理最高达到“机密”级别的工作负载。您可以向您的 AWS 客户经理索要 AWS 机密区域的服务目录。
    

• 涵盖哪些 AWS 区域？

  我们的临时授权涵盖美国大陆境内的多个区域，包括 AWS GovCloud（美国）（第 2、4、5 影响级别）、AWS 美国东部/西部区域（第 2 影响级别）和 AWS 机密区域（第 6 影响级别）。
  

• DoD 系统的哪些分类项目可放置在 AWS 上？

  美国东部和美国西部 AWS 区域持有第 2 影响级别的临时授权，允许任务所有者同时使用 AWS 授权和任务应用程序的 ATO 在这些 AWS 区域中部署公开的非机密信息。AWS Region GovCloud（美国）区域持有第 2、4、5 影响级别的临时授权，允许任务所有者部署这些级别涵盖的所有受控非机密信息。AWS 机密区域持有第 6 影响级别的临时授权，可以处理最高达到“机密”级别的工作负载。
  

• 作为 DoD 任务所有者意味着什么？

  我们第 2 影响级别的临时授权让 DoD 客户能够利用符合规定的 AWS 基础设施和服务来部署清除了数据可以公开发布的工作负载以及某些 DoD 专有的非机密信息。将您的 DoD IT 环境迁移到 AWS 有助于您使用 AWS 提供的服务和功能来提高自己的合规性监管水平。

  我们 AWS GovCloud（美国）第 4、5 影响级别的临时授权意味着我们的 DoD 客户可以将其生产应用程序部署到 AWS GovCloud（美国）区域中。获得这一授权后，客户能够参与工作负载的设计、开发和集成活动，这些工作负载需要符合 DoD 云计算 SRG 的第 4 影响级别和第 5 影响级别要求。

  我们 AWS 机密区域第 6 影响级别的临时授权意味着 DoD 客户可以使用我们的服务来存储、处理或传输最高达到“机密”级别的数据。客户可以借助我们的授权来满足第 6 影响级别定义的所有基础设施要求，从而帮助他们管理自己的合规性和认证，包括审核和安全管理。
  

• AWS 临时授权将如何影响任务所有者的 ATO？

  本着安全责任共担的精神，在 AWS 中运行应用程序时，DoD 任务所有者需要对降低的安全控制基准负责。AWS 通过适用的安全控制措施为任务所有者提供安全的托管环境，用于部署其应用程序，但这并未免除任务所有者需根据 DoD 安全控制和合规性政策安全部署、管理和监控其应用程序的责任。

  有关在 AWS 中操作的 DoD 应用程序所有者的职责的更多信息，请参阅白皮书AWS 云中的 DoD 合规性实施。
  

• 是否可以使用其他 AWS 服务？

  可以，客户可以评估其工作负载以确定是否适合使用其他 AWS 服务。每个任务所有者都有权评估和接受他们选择使用的任何服务的风险。有关安全控制和风险接受注意事项的更多信息，请联系 AWS 合规性。
  

• DoD 合规性是否会导致 AWS 服务的价格升高？

  不会，任何服务的服务成本都不会因 AWS 的合规性计划而增加。
  

• 其他 DoD 实体现在是否也使用 AWS？

  是，许多 DoD 实体机构和向 DoD 提供系统集成及其他产品和服务的其他组织如今都在使用各种各样的 AWS 服务。AWS 不能公开许多已获得 AWS 系统的 DoD 操作授权 (ATO) 的客户，但我们会定期与客户及其评估员一起规划、部署、认证和鉴定他们在 AWS 上的 DoD 工作负载。
  

• ATO 是否要求服务提供商数据中心的实际演练？

  DoD 客户可以借助我们 FedRAMP 第三方评估组织 (3PAO) 所做的工作，其中包括对我们数据中心的物理安全进行广泛现场审查。根据 DoD 云计算 SRG，DoD 客户无需进行已获得授权的服务提供商数据中心的实际演练即可获得操作授权 (ATO)。
  

• 涵盖哪些 AWS 服务？

  有关所涵盖服务的完整列表，请访问按合规性计划提供的范围内 AWS 服务页面。