AWS no Dod SRG
Um número crescente de clientes do setor militar está adotando os serviços da AWS para processar, armazenar e transmitir dados do Department of Defense (DoD) dos EUA. A AWS permite que organizações de defesa e seus parceiros de negócios criem ambientes seguros para processar, manter e armazenar dados do DoD.
O Security Requirements Guide (SRG – Guia de requisitos de segurança) de computação em nuvem do Department of Defense (DoD) oferece um processo padronizado de avaliação e autorização para Cloud Service Providers (CSPs – Provedores de serviços em nuvem) com a finalidade de obter uma autorização provisória do DoD para poder atender a clientes do DoD. Uma autorização provisória da AWS emitida pela Defense Information Systems Agency (DISA – Agência de sistemas de informação de defesa) disponibiliza uma certificação reutilizável que atesta a conformidade da AWS com as normas do DoD, reduzindo o tempo necessário para que um proprietário de missão do DoD avalie e autorize um dos seus sistemas para operação na AWS. Para obter mais informações sobre o SRG, incluindo a definição completa das linhas de base de controles de segurança definidas para os níveis 2, 4, 5 e 6, consulte a página DoD Cloud Computing Security do Information Assurance Support Environment (IASE).
Como cliente do DoD, você é responsável por estar em conformidade com as diretrizes de segurança do DoD dentro do seu ambiente de aplicativos da AWS, que inclui:
• Responsabilidades do proprietário da missão, descritas no whitepaper Implementações em conformidade com o DoD na Nuvem AWS • Todos os Security Technical Implementation Guides (STIGs – Guias de implementação técnica de segurança) relevantes • Todos os STIGs de aplicativo relevantes • Orientação sobre portas e protocolos do DoD (instrução DoD 8551.01)
A infraestrutura, a governança e o ambiente operacional da AWS foram avaliados e autorizados por meio dos processos de autorização do FedRAMP e do DoD. Como um cliente que está implantando um aplicativo na infraestrutura da AWS, você herda os controles de segurança pertencentes à nossa proteção física, ambiental e de mídia. Além disso, não será mais necessário descrever em detalhes a maneira como você mantém a conformidade com essas famílias de controles. Os controles restantes da Risk Management Framework (RMF – Estrutura de gerenciamento de riscos) do DoD são compartilhados entre a AWS e os clientes. Cada organização assume a responsabilidade pela implementação dos controles dentro de sua parte do modelo de segurança compartilhada de TI. Saiba mais