FedRAMP
概觀
美國聯邦政府致力於以最創新、安全及經濟實惠的方式為美國人民提供服務。雲端運算在聯邦政府如何提高營運效率,並依需求創新以推動全國任務中,扮演著重要的角色。這也是為什麼現在許多聯邦機構都使用 AWS 雲端服務來處理、存放和傳輸聯邦政府資料的原因。
常見問答集
-
什麼是 FedRAMP?
聯邦風險與授權管理計劃 (FedRAMP) 是一項美國政府整體計劃,提供了標準方法來進行雲端產品和服務的安全評估、授權和持續監控。掌管 FedRAMP 的機構包含美國行政管理和預算局 (OMB)、美國公眾服務行政部門 (GSA)、美國國土安全部 (DHS)、美國國防部 (DoD)、國家標準技術協會 (NIST) 和聯邦資訊長 (CIO) 理事會。
要向美國政府提供雲端服務產品 (CSO) 的雲端服務供應商 (CSP) 必須證明符合 FedRAMP 規定。FedRAMP 使用 NIST 特別出版物 800 系列,並要求雲端服務供應商完成第三方評估機構 (3PAO) 進行的獨立安全評定,以確保授權符合聯邦資訊安全管理法案 (FISMA) 規定。如需詳細資訊,請參閱 FedRAMP 網站。
-
FedRAMP 為什麼很重要?
為因應雲端至上政策 (現為雲端智慧策略),美國行政管理和預算局 (OMB) 頒佈了 FedRAMP 政策備忘錄 (現為聯邦雲端運算策略),以根據聯邦資訊安全現代化法案 (FISMA) 建立首個政府整體安全授權計劃。所有美國聯邦機構和所有雲端服務都必須強制執行 FedRAMP。FedRAMP 很重要,因為可提升:
- 使用國家標準技術協會 (NIST) 和 FISMA 定義標準之雲端解決方案安全的一致性及可信賴度
- 美國政府和雲端供應商之間的透明度
- 自動化和近乎即時的持續監控
- 透過重複使用評估和授權來採用安全的雲端解決方案
-
FedRAMP 合規有哪些要求?
雲端至上政策要求所有聯邦機構使用 FedRAMP 程序來進行雲端服務的安全評估、授權及持續監控。FedRAMP 計劃管理辦公室 (PMO) 列出以下幾項 FedRAMP 合規要求:
- 美國聯邦機構已授與雲端服務供應商 (CSP) 營運授權 (ATO),或者已獲得聯合授權委員會 (JAB) 臨時營運授權 (P-ATO)。
- CSP 符合國家標準技術協會 (NIST) NIST 800-53 第 4 修訂版安全控制基準或高影響級別中所描述的 FedRAMP 安全控制要求。
- 所有系統安全套件都必須使用規定的 FedRAMP 範本。
- CSP 必須由經核准的第三方評估機構 (3PAO) 評定。
- 完整的安全評定套件必須公佈在 FedRAMP 安全儲存庫。
-
有哪些 FedRAMP 合規類型?
若要讓雲端服務供應商 (CSP) 符合 FedRAMP 規定,可採取兩種途徑:
- 聯合授權委員會 (JAB) 授權︰若要獲得 FedRAMP JAB 臨時營運授權 (P-ATO),CSP 需由 FedRAMP 任何的 3PAO 進行評估,經過 FedRAMP 計劃管理辦公室 (PMO) 審核,然後獲得 JAB 的 P-ATO。JAB 是由美國國防部 (DoD)、美國國土安全部 (DHS) 和美國公眾服務行政部門 (GSA) 的資訊長 (CIO) 共同組成。
- 代理機構授權︰若要獲得 FedRAMP 代理機構營運授權 (ATO),CSP 需經過客戶代理機構 CIO 或委託的授權官員審核,以獲得經 FedRAMP 計劃管理辦公室 (PMO) 驗證的 FedRAMP 合規 ATO。
-
代理機構如何利用 AWS FedRAMP 授權?
聯邦機構或美國國防部 (DoD) 組織可以充分利用 AWS 雲端服務產品 (CSO),作為雲端中託管解決方案的基礎。FedRAMP 和 DISA 已授權用於聯邦機構和美國國防部的每個 AWS CSO,且其授權已在臨時營運授權 (P-ATO) 中記錄。CSP 並未獲其 CSO 的運營授權 (ATO),而是獲得 P-ATO。PATO 是聯邦機構或美國國防部組織為使用 CSO 的採購前核准。聯邦機構或美國國防部組織可以充分利用 AWS FedRAMP 安全套件來檢閱證明文件,包含共享責任詳細資訊,以及根據自己的風險做出 ATO 授權決定。如果有其他疑問或需要更多資訊,請聯絡您的 AWS 銷售客戶經理。
代理機構授權官員 (AO) 可利用任何 AWS FedRAMP 安全套件來檢閱證明文件,包含共享責任詳細資訊,並做出自己的風險決策,以授與代理機構操作授權書 (ATO) 給 AWS。代理機構負責在 AWS 發出他們自己的 ATO,也負責其系統元件的整體授權。如果有任何疑問或需要更多資訊,請聯絡您的 AWS 銷售客戶經理或 AWS 上的 ATO 團隊。
-
AWS 是否具有營運授權 (ATO)?
AWS 是雲端服務產品 (CSO) 的雲端服務供應商 (CSP)。作為 CSP,AWS 遵循 FedRAMP 程序來獲得其用於聯邦機構或美國國防部的 CSO 授權。FedRAMP 程序不簽發 CSP 的營運授權 (ATO),而是簽發臨時營運授權 (PATO)。PATO 是聯邦機構或美國國防部使用為 CSO 的採購前核准。聯邦機構或美國國防部遵循風險管理框架 (RMF) 程序獲取其 ATO 時,會使用 PATO 和與 PATO 關聯的繼承控制。請注意,AWS PATO 不會升級為 ATO,因為 FedRAMP 程序不簽發 CSP 的 ATO。ATO 僅作為 RMF 程序的一部分簽發,並由聯邦機構或美國國防部授權官員 (AO) 簽發。如需有關 FedRAMP 的詳細資訊,請瀏覽 FedRAMP 網站。
-
FedRAMP 與風險管理框架 (RMF) 有何區別?
FedRAMP 是雲端服務供應商 (CSP) 遵循的程序,以使其雲端服務產品 (CSO) 獲得聯邦機構或美國國防部的核准,以便針對在雲端託管的系統使用建置區塊。風險管理框架 (RMF) 是聯邦機構或美國國防部遵循以使其 IT 系統獲得營運授權的程序。僅 CSP 使用 FedRAMP 程序,且 CSP 不遵循 RMF 程序。聯邦機構或美國國防部只在建立雲端服務 (例如 MilCloud) 時,才遵循 FedRAMP 程序。
-
AWS 是否支援機構針對 FedRAMP 之外服務的營運授權 (ATO)?
我們鼓勵代理機構客戶充分利用現有的 FedRAMP JAB ATO 和授權套件,來發佈自己的營運授權。
-
Amazon Web Services 是否符合 FedRAMP 規定?
是,AWS 提供下列 FedRAMP 合規服務,這些服務已獲得授權、遵守 FedRAMP 安全控制 (依據 NIST SP 800-53)、在安全 FedRAMP 儲存庫中公佈的安全套件中使用規定的 FedRAMP 範本、已由認可獨立第三方評估機構 (3PAO) 進行評估,以及維護 FedRAMP 的持續監控要求:
- AWS GovCloud (美國) 已獲得高影響級別的聯合授權委員會臨時操作授權書 (JAB P-ATO) 和多個代理機構授權 (A-ATO)。您可以在合規計劃的 AWS 服務範圍.找到位於高基本安全分類中 AWS GovCloud (美國) JAB P-ATO 邊界範圍內的服務。
- AWS 美國東部 – 西部 (維吉尼亞北部、俄亥俄、奧勒岡、加利佛尼亞北部) 已獲得中等影響級別的聯合授權委員會臨時操作授權書 (JAB P-ATO) 和多個代理機構授權 (A-ATO)。您可以在合規計劃的 AWS 服務範圍找到位於中等基本安全分類中 AWS 美國東部 – 西部 JAB P-ATO 邊界範圍內的服務。
-
與 FedRAMP 合規是否會增加我的 AWS 服務成本?
否,沒有任何區域的服務成本會因 AWS 的 FedRAMP 合規而增加。
-
涵蓋哪些 AWS 區域?
已核發兩個單獨的 FedRAMP P-ATO;一個包含 AWS GovCloud (美國) 區域,另一個涵蓋 AWS 美國東部/西部區域。
-
現在是否有美國政府實體正在使用 AWS?
有,超過 2,000 個政府機構及提供系統整合和其他產品與服務給政府機構的其他實體正在使用各種 AWS 服務。您可以瀏覽 AWS 客戶案例網頁,檢閱有關使用 AWS 的美國政府部門的案例研究。如需 AWS 如何符合政府嚴格安全規定的詳細資訊,請參閱適用於政府部門的 AWS 網頁。
-
涵蓋了哪些服務,以及如何驗證 FedRAMP 的合規性?
您可以在合規計劃的 AWS 服務範圍找到已經涵蓋在 FedRAMP 和 DoD SRG 邊界範圍內的 AWS 服務。按一下 FedRAMP 或 DoD SRG 標籤後,服務會顯示 “✓”,指示 FedRAMP JAB 已授權該服務充分滿足 AWS 美國東部-西部的 FedRAMP 中等基準要求 (以下稱為 DoD SRG IL2) 及/或 AWS GovCloud (美國) 的 FedRAMP 高基準要求 (以下稱為 DoD SRG IL2、IL4 和 IL5)。FedRAMP Marketplace 的 AWS 服務描述下發佈了這些服務。如果服務標記為「3PAO 評定」或「評定中」,則 AWS 不會宣告 FedRAMP 控制的實作或維護,因為這些服務仍在評定中。如果服務標記為「JAB 審查」或「DISA 審查」,則服務已完成 3PAO 評定,並且目前在我們的監管機構佇列中。針對這些服務,AWS 已根據環境實作了 FedRAMP 相關控制並對其進行評定,但尚未獲得 JAB 的授權。如果您想進一步了解使用這些服務的資訊及/或對其他服務感興趣,請聯絡 AWS 銷售人員和業務開發部門。
-
是否可以使用其他 AWS 服務?
可以,客戶可以評估其工作負載是否適合使用其他 AWS 服務。如需安全控制和風險接受度考量的詳盡討論,請聯絡 AWS 銷售人員和業務開發部門。
-
是否可在 AWS 上放置高影響級別系統?
可以,客戶可以評估其高影響工作負載是否適合使用 AWS。目前,客戶可以將其具有高影響級別的工作負載置於 AWS GovCloud (美國),其已獲得高影響級別的聯合授權委員會臨時營運授權 (JAB P-ATO)。
-
何處可存取 AWS FedRAMP 安全套件?
美國政府機構雇員和客戶可填寫套件存取申請表並提交至 [email protected],從 FedRAMP PMO 請求 AWS FedRAMP 安全套件的存取權。
商業客戶和合作夥伴可以請求存取 AWS FedRAMP 合作夥伴套件,以獲取有關在 AWS 產品之上進行建置的指南,以及在 AWS 上架構 FedRAMP/DoD 合規服務方面的協助。您可以透過 AWS Artifact 在您的 AWS 帳戶中找到合作夥伴套件,或透過您的 AWS 客戶經理提出請求。
-
用於參考的 FedRAMP ID 是什麼?
針對 AWS 美國東部 – 西部區域,FedRAMP ID 為 AGENCYAMAZONEW。針對 AWS GovCloud (美國) 區域,FedRAMP ID 為 F1603047866。
-
FedRAMP 授權如何處理持續監控?
在 FedRAMP 運作概念 (CONOPS) 中,授與授權之後,就會根據評定和授權程序監控 CSP 的安全狀態。若要每年取得 FedRAMP 授權的重新授權,CSP 必須監控其安全控制、定期進行評估,並證明其服務提供的安全狀態是持續可接受的。使用 FedRAMP 持續監控計劃的聯邦機構及授權官員 (AO) 和其指定團隊,需負責審核 AWS 的持續合規性。AO 和其指定團隊會持續不斷審核透過 AWS FedRAMP 持續監控程序提供的成品,以及實作 FedRAMP 控制以外規定之任一機構特定控制的證明。如需詳細資訊,請參閱您機構的資訊系統安全計劃或政策。
-
做為美國聯邦機構,是否需要與 AWS 簽訂互連安全協議 (ISA)?
否。根據 FedRAMP 每週祕訣與提示 – 2016 年 8 月 10 日,在 CSP 和聯邦機構之間不需要 ISA。
-
如果需要與 AWS 討論組織的 FedRAMP 特定 AWS 工作負載或架構,該怎麼辦?
使用 AWS Artifact (一個隨需存取 AWS 合規報告的自助服務入口網站) 可將 AWS FedRAMP 安全套件提供給客戶。登入 AWS 管理主控台中的 AWS Artifact,或者參閱 AWS Artifact 入門進一步了解詳細資訊。
如果您有關於 FedRAMP 或 DoD 合規的具體問題,請聯絡您的 AWS 客戶經理或提交 AWS Compliance Contact Us Form 與我們的 FedRAMP 合規團隊聯絡。
-
在哪裡可以找到有關與 FedRAMP 相關的其他合規計劃的詳細資訊?
如需有關任何適用合規性計劃的詳細資訊,請參閱我們的 AWS 合規性計劃網頁。您還可以找到美國聯邦資訊處理標準 (FIPS) 140-2、美國國防部雲端運算安全要求指南 (DoD CC SRG)、聯邦資訊安全管理法案 (FISMA) 和國家標準技術協會 (NIST) 特定的詳細資訊。
-
FedRAMP 與其他聯邦法規遵從計劃 (FISMA、DFARS、DoD SRG、NIST SP 800-171、FIPS 140-2) 之間有什麼關聯?
聯邦政府機構由其監察長辦公室 (OIG) 進行評估,並在內部根據美國國土安全部 (DHS) 提供的指標進行評估。NIST SP 800 特別刊物是 FISMA OIG 和 CIO 指標的標準,重點講述了 NIST SP 800-53。為讓這些代理機構依靠 CSP 的安全性,FedRAMP 合規性計劃建立在 NIST SP 800-53 控制基準之上,以符合雲端的 FISMA 要求。
美國國防部充分利用 FedRAMP 合規性計劃來滿足美國國防部雲端運算安全性要求指南 (DoD CC SRG) 影響級別的要求,兩者均需符合 FIPS 140-2 的特定加密控制。國防部聯邦採購法規補充 (DFARS) 要求處理、儲存或傳輸受控未分類資訊 (CUI) 的美國國防部承包商必須滿足某些安全標準,其中包括 NIST SP 800-171 要求。NIST SP 800-171 為代理機構提供了建議的安全要求,以保護受控未分類資訊 (CUI) 的機密性。