FedRAMP
概览
美国联邦政府致力于以最具创新性、最安全且最经济高效的方式向美国人民提供服务。云计算是助力联邦政府实现运营效率并按需创新以推进全国事务的关键因素。正因如此,现今许多联邦机构在使用 AWS 云服务来处理、存储和传输联邦政府数据。
常见问题
-
什么是 FedRAMP?
联邦风险与授权管理计划 (FedRAMP) 是一项美国政府层面的计划,它提供一种标准方法来对云产品和云服务进行安全性评估、授权以及持续监控。FedRAMP 的理事机构包括:行政管理和预算局 (OMB)、美国总务署 (GSA)、美国国土安全部 (DHS)、美国国防部 (DoD)、国家标准与技术研究院 (NIST) 以及联邦首席信息官 (CIO) 理事会。
想要向美国政府提供云服务产品 (CSO) 的云服务提供商 (CSP) 必须证明自己符合 FedRAMP 的规定。FedRAMP 使用 NIST 特别刊物 800 系列,要求云服务提供商完成由第三方评估机构 (3PAO) 执行的独立安全评估,以确保授权符合联邦信息安全管理法案 (FISMA)。有关更多信息,请参阅 FedRAMP 网站。
-
FedRAMP 为何十分重要?
为了响应云优先政策(现为云智能战略),行政管理和预算局 (OMB) 颁布了 FedRAMP 政策备忘录(现为联邦政府云计算战略),以针对《联邦信息安全现代化法案》(FISMA) 制定首个政府层面的安全授权计划。所有美国联邦机构和所有云服务均须落实 FedRAMP。FedRAMP 之所以重要,是因为它可以:
- 通过美国国家标准与技术研究院 (NIST) 和 FISMA 定义的标准提高云解决方案安全性方面的一致性,并增强用户对安全性的信心
- 提高美国政府与云提供商之间的透明度
- 实现自动化和近乎实时的持续监控
- 通过反复评估和授权提高安全云解决方案的采用率
-
FedRAMP 合规性有哪些要求?
云优先政策要求所有联邦机构均使用 FedRAMP 流程对云服务进行安全评估、授权和持续监控。FedRAMP 计划管理办公室 (PMO) 规定了以下 FedRAMP 合规性要求:
- 云服务提供商 (CSP) 已获得美国联邦机构授予的机构操作授权 (ATO),或者已获得联合授权委员会 (JAB) 授予的临时操作授权 (P-ATO)。
- CSP 符合美国国家标准与技术研究院 (NIST) 800-53 修订版 4《中高影响级别的安全控制基准》中规定的 FedRAMP 安全控制要求。
- 所有系统安全包必须使用规定的 FedRAMP 模板。
- CSP 必须通过经批准的第三方评估机构 (3PAO) 的评估。
- 已完成的安全评估包必须发布到 FedRAMP 安全存储库中。
-
FedRAMP 合规性有哪些类型?
云服务提供商 (CSP) 可以通过两种途径来实现 FedRAMP 合规:
- 联合授权委员会 (JAB) 授权:要获得 FedRAMP 联合授权委员会 (JAB) 授予的临时操作授权 (P-ATO),CSP 需要由经 FedRAMP 认可的 3PAO 评估并通过 FedRAMP 计划管理办公室审查 (PMO),然后才可以获得 JAB 授予的 P-ATO。JAB 由来自国防部 (DoD)、国土安全部 (DHS) 和总务管理局 (GSA) 的首席信息官 (CIO) 组成。
- 机构授权:要获得 FedRAMP 机构操作授权 (ATO),CSP 需要通过客户机构 CIO 或指定授权官员的审核,才能获得符合 FedRAMP 规定的 ATO,该 ATO 经过 FedRAMP 计划管理办公室 (PMO) 的验证。
-
机构如何使用 AWS FedRAMP 授权?
联邦机构或美国国防部 (DoD) 组织可以将 AWS 云服务产品 (CSO) 用作在云中托管的解决方案的构建数据块。每个 AWS CSO 都拥有 FedRAMP 和 DISA 的授权,可以为联邦机构和国防部所用,并且针对它们的授权记录在临时操作授权 (P-ATO) 中。CSP 不会因其 CSO 而获得操作授权 (ATO),而是会获得 P-ATO。PATO 是一种预先采购批准,供联邦机构或 DoD 组织使用 CSO 所用。联邦机构或 DoD 组织可以使用 AWS FedRAMP 安全包来审查支持文档,以在其中加入责任共担详情并基于风险做出授予 ATO 的决定。如果您有其他问题或需要了解更多信息,请联系您的 AWS 销售客户经理。
机构授权官员 (AO) 可以利用任何 AWS FedRAMP 安全包来查看支持文档,以在其中加入责任共担详情并根据风险自行决定是否向 AWS 授予机构操作授权 (ATO)。这些机构不但要负责向 AWS 颁发自己的 ATO,还要负责系统组件的整体授权。如果您有问题或需要了解更多信息,请联系您的 AWS 销售客户经理或 AWS ATO 团队。
-
AWS 是否有机构操作授权 (ATO)?
AWS 是一家提供云服务产品 (CSO) 的云服务提供商 (CSP)。身为 CSP,AWS 遵守 FedRAMP 流程以确保其 CSO 获得为联邦机构或 DoD 所用的授权。FedRAMP 流程不会向 CSP 授予操作授权 (ATO),而是授予临时操作授权 (PATO)。PATO 是一预先采购批准,供联邦机构或 DoD 组织使用 CSO 所用。当联邦机构或 DoD 遵循风险管理框架 (RMF) 流程来获得自己的 ATO 时,他们使用 PATO 和与 PATO 相关联的继承控制。请注意,由于 FedRAMP 流程不会向 CSP 授予 ATO,因此 AWS PATO 不会升级为 ATO。ATO 仅作为 RMF 流程的一部分授予,且由联邦机构或 DoD 授权官 (AO) 授予。可以访问 FedRAMP 网站了解有关 FedRAMP 的更多信息。
-
FedRAMP 与风险管理框架 (RMF) 的区别是什么?
FedRAMP 是云服务提供商需要遵循的一个流程,以使其云服务产品获得批准以供联邦机构或 DoD 将这些产品用作托管在云中的系统的构建数据块。风险管理框架 (RMF) 是联邦机构或 DoD 遵循以使其 IT 系统获得操作授权的流程。FedRAMP 流程仅由 CSP 使用,CSP 无需遵循 RMF 流程。联邦机构或 DoD 仅在开发云服务(例如 MilCloud)时才遵循 FedRAMP 流程。
-
AWS 是否对 FedRAMP 以外的服务支持机构操作授权 (ATO)?
我们鼓励机构客户利用现有 FedRAMP JAB ATO 和授权包来颁发自己的操作授权。
-
Amazon Web Services 是否符合 FedRAMP 的规定?
符合。AWS 提供以下符合 FedRAMP 要求的服务,这些服务均已获得授权、满足 FedRAMP 的安全控制要求(根据 NIST SP 800-53)、使用 FedRAMP 安全存储库中发布的安全包所需的 FedRAMP 模板,并且经过权威的独立第三方评估机构 (3PAO) 的评估,同时还符合 FedRAMP 的持续监控要求:
- AWS GovCloud(美国),已获得一项由联合授权委员会授予的临时操作授权 (JAB P-ATO) 和多项高影响级别的机构授权 (A-ATO)。在 AWS 按合规性计划提供的范围内服务中,可找到处于 AWS GovCloud(美国)JAB P-ATO 边界范围内、归入高基准安全分类的服务。
- AWS 美国东部和西部区域(弗吉尼亚北部、俄亥俄、俄勒冈、加利福尼亚北部),已获得一项由联合授权委员会授予的临时操作授权 (JAB P-ATO) 和多项中影响级别的机构授权 (A-ATO)。在 AWS 按合规性计划提供的范围内服务中,可以找到处于 AWS 美国东部和西部区域 JAB P-ATO 范围内、归入中等基准安全分类的服务。
-
FedRAMP 合规性是否会增加我支付的 AWS 服务费用?
不会,任何区域的服务费用都不会因 AWS 的 FedRAMP 合规性而增加。
-
涵盖哪些 AWS 区域?
已颁发两个单独的 FedRAMP P-ATO;一个覆盖 AWS GovCloud(美国)区域,另一个覆盖 AWS 美国东部/西部区域。
-
美国政府机构现在是否在使用 AWS?
是的,2000 多个政府机构以及向政府机构提供系统集成与其他产品和服务的其他实体如今都在使用各种各样的 AWS 服务。您可以访问 AWS 客户成功案例网页查看使用 AWS 的美国政府实体。要详细了解 AWS 如何满足政府部门的高安全要求,请参阅适用于政府的 AWS 页面。
-
涵盖哪些服务以及我们如何验证 FedRAMP 合规性?
在 AWS 按合规性计划提供的范围内服务中,可找到所提供的已处于 FedRAMP 和 DoD SRG 边界范围内的 AWS 服务。单击 FedRAMP 或 DoD SRG 选项卡时,带有“✓”的服务表示 FedRAMP JAB 已将该服务授权为充分满足 AWS 美国东部-西部的 FedRAMP 中等安全基准要求(下文称为 DoD SRG IL2)和/或 AWS GovCloud(美国)的 FedRAMP 高等安全基准要求(下文称为 DoD SRG IL2、IL4 和 IL5)。这些服务将发布在 FedRAMP Marketplace 上的 AWS 服务描述下。如果该服务标记为“3PAO 评估”或“评估中”,由于这些服务仍在评估中,AWS 并不主张实施或维护 FedRAMP 控制。如果该服务标记为“JAB 审查”或“DISA 审查”,则表示该服务已经完成了 3PAO 评估且目前正处于我们的监管机构队列中。对于这些服务,AWS 已实施这些服务,并且已根据环境对其相关 FedRAMP 控制措施进行评估,但这些服务尚未获得 JAB 的授权。如果您想要详细了解如何使用这些服务,且/或对其他服务感兴趣,请联系 AWS 销售和业务发展团队。
-
是否可以使用其他 AWS 服务?
可以,客户可以评估其工作负载以确定是否适合使用其他 AWS 服务。如需详细讨论有关安全控制和风险承受注意事项,请联系 AWS 销售和业务拓展团队。
-
高影响级别的系统可否在 AWS 上运营?
可以,客户可以评估其高影响的工作负载以确定是否适合 AWS。当前,客户可将其高影响工作负载放置到 AWS GovCloud(美国)上,其已获得一项由联合授权委员会授予的针对高影响级别的临时操作授权 (JAB P-ATO)。
-
可以在哪里找到 AWS FedRAMP 安全包?
美国政府机构员工和承包商可向 FedRAMP PMO 申请访问 AWS FedRAMP 安全包,具体方法是:填写安全包访问权限申请表并提交至 info@fedramp.gov。
商业客户和合作伙伴可请求访问 AWS FedRAMP 合作伙伴资源包,以获取有关基于 AWS 产品进行构建的指导和在 AWS 上构建符合 FedRAMP/DoD 要求的架构的协助。您可以通过 AWS Artifact 在您的 AWS 账户中获得合作伙伴资源包,或 AWS 客户经理请求来获得。
-
出于参考目的,什么是 FedRAMP ID?
对于 AWS 美国东部和西部区域,FedRAMP ID 为 AGENCYAMAZONEW。对于 AWS GovCloud(美国)区域,FedRAMP ID 为 F1603047866。
-
FedRAMP 授权如何处理持续监控?
在 FedRAMP 运营概念 (CONOPS) 中,授予某个权限后,就会根据评估和授权流程监控 CSP 的安全状况。要每年重新获取 FedRAMP 授权机构的授权,CSP 必须监控其安全控制情况、定期对其进行评估,并证实其服务产品的安全状况一直处于可接受的范围内。利用 FedRAMP 持续监控计划的联邦机构、授权官员 (AO) 及其指定团队负责审核 AWS 的持续合规性。AO 及其指定团队会持续审查 FedRAMP 控制措施范围之外的、特定于机构的所需控制措施的实施情况,还会持续审查通过 AWS FedRAMP 持续监控流程获得的信息。有关更多信息,请参阅您的机构的信息系统安全计划或策略。
-
美国联邦机构是否需要与 AWS 签订《互连安全协议》(ISA)?
不需要,根据 FedRAMP 每周提示和线索 – 2016 年 8 月 10 日,CSP 和联邦机构之间不需要签订 ISA。
-
如果我需要与 AWS 探讨自己的组织中与 FedRAMP 相关的 AWS 工作负载或架构,应该怎么办?
客户可以使用 AWS Artifact 来获取 AWS FedRAMP 安全包。AWS Artifact 是一个用于按需访问 AWS 合规性报告的自助服务门户。您可以登录 AWS 管理控制台中的 AWS Artifact 或 AWS Artifact 入门,了解更多信息。
如果您对 FedRAMP 或 DoD 合规性有具体的问题,请联系您的 AWS 客户经理或提交 AWS 合规性联系表以便联系 FedRAMP 合规性团队。
-
在哪里可以找到与 FedRAMP 相关的其他合规性计划的更多信息?
有关任何适用的合规性计划的更多信息,请参阅我们的 AWS 合规性计划网页。您还可以找到与美国联邦信息处理标准 (FIPS) 140-2、美国国防部云计算安全要求指南 (DoD CC SRG)、联邦信息安全管理法案 (FISMA) 和美国国家标准与技术研究院 (NIST) 相关的特定信息。
-
FedRAMP 与其他联邦合规性计划(FISMA、DFARS、DoD SRG、NIST SP 800-171、FIPS 140-2)之间有什么关系?
联邦政府机构由其总监察长办公室 (OIG) 在内部根据美国国土安全部 (DHS) 提供的指标进行评估。FISMA OIG 和 CIO 适用的标准是 NIST SP 特别刊物 800 系列,且重点遵循 NIST SP 800-53。为使这些机构依赖 CSP 的安全性,FedRAMP 作为一项建立在 NIST SP 800-53 控制措施基准之上的合规性计划,以符合云中的 FISMA 要求。
DoD 使用 FedRAMP 合规性计划来满足国防部云计算安全要求指南 (DoD CC SRG)影响等级的要求,该合规性计划和指南均要求某些加密控制措施符合 FIPS 140-2 的规定。《国防部联邦采购补充条例 (DFARS)》要求处理、存储或传输受控非机密信息 (CUI) 的 DoD 承包商满足一些安全标准,其中包括 NIST SP 800-171 要求。NIST SP 800-171 为机构提供了针对保护受控非机密信息 (CUI) 的保密性的建议安全要求。