FedRAMP
Panoramica
Il governo federale degli Stati Uniti offre i propri servizi ai cittadini americani utilizzando tecnologie economiche, innovative e sicure. Il cloud computing svolge un ruolo fondamentale per raggiungere un livello ottimale di efficienza e innovare in modo continuo, permettendo alla pubblica amministrazione di raggiungere i propri obiettivi in tutta la nazione. Per questo molte agenzie federali impiegano i servizi cloud AWS per elaborare, archiviare e trasmettere dati della pubblica amministrazione.
Domande frequenti
-
Che cos'è il programma FedRAMP?
FedRAMP è l’acronimo di Federal Risk and Authorization Management Program; si tratta di un programma federale statunitense che propone un approccio standardizzato a valutazioni di sicurezza, assegnazione di autorizzazioni e monitoraggio continuo nell'ambito di servizi e prodotti cloud. Gli organi competenti per il programma FedRAMP sono l'Ufficio per la gestione e il bilancio, la U.S. General Services Administration (GSA), il Dipartimento della sicurezza interna degli Stati Uniti, il Dipartimento della Difesa degli Stati Uniti (DoD), il National Institute of Standards and Technology (NIST) e il Federal Chief Information Officers (CIO) Council.
I provider di servizi cloud (CSP) che desiderano proporre le proprie offerte di servizi Cloud (CSO) all'amministrazione statunitense devono dimostrare la propria conformità al programma FedRAMP. Il programma FedRAMP applica la pubblicazione speciale serie 800 del NIST e richiede ai fornitori di servizi cloud di sottoporsi a una valutazione di sicurezza indipendente condotta da un ente valutatore di terzi per accertare che le autorizzazioni siano conformi alle norme FISMA (Federal Information Security Management Act). Per ulteriori informazioni, consulta il sito Web del programma FedRAMP.
-
Perché è importante il programma FedRAMP?
In risposta alla policy Cloud First, ora Cloud Smart Strategy, l'OMB (Office of Management and Budget) ha rilasciato il FedRAMP Policy Memo, ora Federal Cloud Computer Strategy, un documento che istituisce il primo programma di autorizzazioni di sicurezza governativo per le norme FISMA (Federal Information Security Modernization Act). FedRAMP è un programma obbligatorio per tutte le agenzie federali statunitensi e tutti i servizi cloud. Il programma FedRAMP è importante perché favorisce:
- Coerenza e affidabilità della sicurezza delle soluzioni cloud grazie a standard definiti da NIST (National Institutes of Standards & Technology) e FISMA
- Trasparenza tra governo USA e provider cloud
- automazione e monitoraggio quasi in tempo reale;
- adozione di soluzioni cloud sicure mediante valutazioni e autorizzazioni.
-
Quali sono i requisiti di conformità del programma FedRAMP?
La policy Cloud First impone a tutte le agenzie federali di applicare le procedure FedRAMP quando conducono valutazioni di sicurezza, assegnano autorizzazioni e monitorano in continuo i servizi cloud. Il Program Management Office (PMO) di FedRAMP ha delineato i seguenti requisiti per la conformità al programma FedRAMP.
- Il provider di servizi cloud deve aver ricevuto un'autorizzazione a operare (ATO) da un'agenzia federale statunitense oppure un'autorizzazione a operare provvisoria (P-ATO) dal Joint Authorization Board (JAB).
- Il provider di servizi cloud (CSP) deve soddisfare i requisiti dei controlli di sicurezza del programma FedRAMP in linea con la normativa NIST (National Institutes of Standards & Technology) 800-53, rev. 4 di livello Moderato o Elevato.
- Tutti i pacchetti di sicurezza di sistema devono impiegare i modelli stabiliti dal programma FedRAMP.
- Il provider di servizi cloud deve essere stato valutato e approvato da un ente di valutazione terzo (3PAO).
- Il pacchetto di valutazione di sicurezza completato deve essere pubblicato nel repository di sicurezza FedRAMP.
-
Quali categorie di conformità FedRAMP sono previste?
I provider di servizi cloud (CSP) possono ottenere la conformità al programma FedRAMP seguendo due percorsi.
- Autorizzazione JAB (Joint Authorization Board): per ricevere un'autorizzazione a operare provvisoria o P-ATO (Provisional Authority to Operate) dal Joint Authorization Board (JAB) del programma FedRAMP, un provider di servizi cloud viene esaminato dal PMO (Program Management Office) FedRAMP e valutato da un 3PAO accreditato FedRAMP; solo successivamente riceve un'autorizzazione P-ATO dal JAB. Il JAB è composto dai direttori informatici (CIO) di Dipartimento della Difesa (DoD), Dipartimento di Sicurezza Interna (DHS) e Amministrazione Servizi Generali (GSA).
- Autorizzazione di agenzia: per ricevere un'autorizzazione a operare o ATO (Authority to Operate) del programma FedRAMP, un provider di servizi cloud viene esaminato dal CIO o da funzionari delegati autorizzati di un'agenzia cliente per ottenere un’ATO conforme al programma FedRAMP verificata dal PMO FedRAMP.
-
In che modo le agenzie possono usare le autorizzazioni FedRAMP di AWS?
Un'organizzazione dell'agenzia federale o del dipartimento della difesa (DoD) può sfruttare le offerte di servizio (CSO) di AWS Cloud come blocchi progettuali per soluzioni ospitate nel cloud. Ogni CSO di AWS è autorizzato per l'uso federale o DoD da FedRAMP e DISA e l'autorizzazione viene documentata mediante P-ATO (Provisional Authority to Operate). I fornitori di servizi cloud (CSP) non ottengono un ATO (Authority to Operate) per le proprie offerte di servizi cloud (CSO), ma ricevono i P-ATO. Un P-ATO è un'approvazione pre-contrattuale che permette alle organizzazioni federali o DoD di utilizzare le CSO. Le agenzia federali o le organizzazioni DoD possono sfruttare i pacchetti di sicurezza FedRAMP di AWS per esaminare la documentazione di supporto, includere dettagli relativi alla responsabilità condivisa e prendere decisioni basate sul rischio di concedere un ATO. Per inoltrare ulteriori domande o richiedere ulteriori informazioni, contatta l'account manager commerciale di AWS.
Un funzionario autorizzato di un'agenzia può impiegare uno dei pacchetti di sicurezza FedRAMP di AWS per esaminarne la documentazione, includere dettagli relativi alla responsabilità condivisa e prendere decisioni in base ai rischi di assegnare un'autorizzazione operativa (ATO) ad AWS. Le agenzie sono responsabili del rilascio delle autorizzazioni a operare in AWS e in generale per le autorizzazioni dei componenti dei loro sistemi. Per inoltrare domande o richiedere ulteriori informazioni, contatta l'account manager commerciale di AWS o il team ATO su AWS.
-
AWS possiede l'autorizzazione operativa (ATO)?
AWS è un fornitore di servizi cloud (CSP) che propone offerte di servizi cloud (CSO). In qualità di CSP, AWS segue i processi FedRAMP per rendere le proprie CSO autorizzate per l'uso federale o DoD. Il processo FedRAMP non assegna un'autorizzazione operativa (ATO) alle CSP ma quella provvisoria (P-ATO). Un P-ATO è un'approvazione pre-contrattuale che permette alle organizzazioni federali o DoD di utilizzare le CSO. Le agenzie federali o DoD utilizzato la P-ATO e i relativi controlli quando seguono il processo RMF (Risk Management Framework) per ottenere la propria ATO. Si prega di notare che la P-ATO di AWS non verrà aggiornata alla ATO poiché il processo FedRAMP non concede ATO ai CSP. Le ATO vengono concesse solo come parte del processo RMF e assegnate dall'agenzia federale o dagli ufficiali di autorizzazione DoD (AO). È possibile trovare ulteriori informazioni su FedRAMP sul sito Web di FedRAMP.
-
In che modo FedRAMP è differente rispetto a RMF (Risk Management Framework)?
FedRAMP è il processo a cui si sottopongono i fornitori di servizi cloud (CSP) per ottenere l'approvazione delle proprie offerte di servizi cloud (CSO) per consentire alle agenzie federali e DoD di utilizzare blocchi progettuali per sistemi ospitati nel cloud. Il framework di gestione dei rischi (RMF) è il processo che le agenzie federali o le DoD seguono per ottenere l'autorizzazione operative dei propri sistemi IT. Solo i CSP utilizzano i processo FedRAMP e non seguono il processo RMF. Le agenzie federali o le DoD seguono il processo FedRAMP solo quando creano servizi cloud (come ad esempio MilCloud).
-
AWS supporta le autorizzazioni operative di agenzia (ATO) per servizi al di fuori del FedRAMP?
Consigliamo ai clienti di agenzia di sfruttare gli esistenti FedRAMP, JAB, ATO e i pacchetti di autorizzazione per ottenere la propria autorizzazione operativa.
-
Amazon Web Services è conforme al programma FedRAMP?
Sì, AWS propone i seguenti servizi conformi al programma FedRAMP che hanno ricevuto l'autorizzazione, hanno superato i controlli di sicurezza previsti dal programma FedRAMP (basati su NIST SP 800-53), hanno impiegato i modelli del programma FedRAMP per i pacchetti di sicurezza pubblicati nel repository sicuro FedRAMP, sono stati valutati da un'entità di valutazione di terzi indipendente accreditata (3PAO) e soddisfano i requisiti di monitoraggio continuo del programma FedRAMP:
- AWS GovCloud (Stati Uniti) ha ricevuto un'autorizzazione provvisoria del Joint Authorization Board (JAB P-ATO) e diverse autorizzazioni operative per il livello di impatto Elevato. I servizi coperti dall'autorizzazione provvisoria del Joint Authorization Board nella regione AWS GovCloud (Stati Uniti) sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS.
- Le regioni AWS Stati uniti orientali e occidentali (Virginia settentrionale, Ohio, Oregon, California settentrionale) hanno ricevuto un'autorizzazione a operare provvisoria del Joint Authorization Board (JAB P-ATO) e diverse autorizzazioni a operare di agenzie per il livello di impatto Moderato. I servizi coperti dall'autorizzazione provvisoria del Joint Authorization Board nelle regioni Stati Uniti orientali e occidentali sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS.
-
La conformità con il programma FedRAMP fa aumentare i costi dei servizi AWS?
No, la conformità di AWS con il programma FedRAMP non causa alcun aumento dei costi in alcuna regione.
-
Quali regioni AWS sono coperte?
AWS ha ottenuto due ATO diverse da FedRAMP, una a copertura della regione AWS GovCloud (Stati Uniti), l'altra delle regioni Stati Uniti occidentali e orientali.
-
Esistono già enti governativi negli Stati Uniti che si avvalgono di AWS?
Sì, più di 2,000 agenzie governative, nonché altre entità che forniscono integrazione di sistemi e altri prodotti e servizi alle agenzie stesse, usano già un'ampia gamma di servizi AWS. È possibile esaminare i casi di studio sulle entità governative statunitensi utilizzando AWS nella pagina Web delle storie di successo dei clienti AWS. Per ulteriori informazioni sulla conformità di AWS agli elevati standard di sicurezza a livello di amministrazione statale, consulta la pagina relativa a AWS per enti pubblici.
-
Quali sono i servizi coperti e come si può adempiere alla conformità FedRAMP?
I servizi AWS coperti nell'ambito DoD SRG e e del programma FedRAMP sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS. Quando si seleziona la scheda FedRAMP o DoD SRG, il simbolo "✓" indica che il JAB FedRAMP ha dichiarato il servizio sufficientemente conforme ai requisiti di base moderati di FedRAMP (in seguito SRG IL2 del Dipartimento della Difesa) per la regione AWS Stati Uniti Est-Ovest e/o i requisiti di base FedRAMP (in seguito SRG IL2, IL4 e IL5 del Dipartimento della Difesa) per AWS GovCloud (Stati Uniti). Questi servizi sono pubblicati sotto la descrizione del servizio per AWS in FedRAMP Marketplace. Se un servizio è contrassegnato con "3PAO Assessment" o "Under Assessment", AWS non afferma l'implementazione o il manutenzione dei controlli FedRAMP poiché tali servizi sono ancora in fase di valutazione. Se il servizio è contrassegnato con "JAB Review" o "DISA Review", il servizio ha completato la valutazione 3PAO ed è attualmente nella coda regolamentativa. Per tali servizi, AWS ha effettuato l'implementazione e tali servizi sono stati valutati in base ai controlli FedRAMP pertinenti nell'ambiente, ma non sono stati autorizzati dal JAB. Per ulteriori informazioni sull'utilizzo di questi servizi, oppure se sei interessato ad altri servizi, contatta l'ufficio commerciale e di sviluppo aziendale di AWS.
-
È possibile utilizzare altri servizi AWS?
Sì, i clienti possono verificare l'idoneità dei loro carichi di lavoro con altri servizi AWS. Contatta l' ufficio commerciale e di sviluppo aziendale AWS per avviare una discussione dettagliata dei controlli di sicurezza e considerazioni di accettabilità dei rischi.
-
È possibile utilizzare in AWS anche sistemi a livello di impatto elevato?
Sì, i clienti possono verificare l'idoneità dei loro carichi di lavoro con livello di impatto Elevato per l'idoneità con AWS. Attualmente, i clienti possono posizionare i propri carichi di lavoro a impatto elevato su AWS GovCloud (Stati Uniti), che ha ricevuto un'autorizzazione provvisoria del Joint Authorization Board (JAB P-ATO) di impatto Elevato.
-
Dove si trovano i pacchetti di sicurezza FedRAMP di AWS?
Stati Uniti I dipendenti e gli appaltatori governativi possono richiedere l'accesso al pacchetto di sicurezza FedRAMP di AWS tramite il FedRAMP PMO compilando un modulo di richiesta di accesso al pacchetto e inviandolo all'indirizzo [email protected].
Partner e clienti commerciali possono richiedere l'accesso al pacchetto partner FedRAMP di AWS per indicazioni relative alla creazione di offerte di AWS e assistenza nell'architettura di servizi conformi a FedRAMP/DoD su AWS. È possibile trovare il pacchetto partner nell'account AWS tramite AWS Artifact o richiedendolo tramite il gestore dell'account AWS.
-
Cos'è l'ID FedRAMP per scopi di riferimento?
Per le regioni AWS Stati Uniti orientali e occidentali, l'ID FedRAMP è AGENCYAMAZONEW. Per la regione AWS GovCloud (Stati Uniti) l'ID FedRAMP è F1603047866.
-
In che modo viene gestito il monitoraggio continuo nelle autorizzazioni FedRAMP?
All'interno del documento Concept of Operations (CONOPS) del programma FedRAMP, quando un'autorizzazione è stata assegnata, il livello di protezione di un provider di servizi cloud viene monitorato secondo il processo di valutazione e autorizzazione. Per ottenere una nuova autorizzazione di una ATO FedRAMP da un anno all'altro, i CSP devono monitorare i propri controlli di sicurezza, effettuarne delle valutazioni periodiche e dimostrare che la sicurezza della loro offerta di servizi mantiene sempre un livello accettabile. La valutazione della continuità della conformità di AWS è responsabilità delle agenzie federali che si avvalgono del programma di monitoraggio continuo FedRAMP, nonché dei funzionari autorizzati e relativi team. I funzionari autorizzati e i relativi team esaminano gli artefatti forniti tramite il processo di monitoraggio continuo FedRAMP di AWS, oltre alle prove di implementazione di controlli specifici della singola agenzia che fanno parte dei requisiti esterni ai controlli FedRAMP, in modo continuo. Per ulteriori informazioni, consulta la policy o il programma di sicurezza dei sistemi informatici della tua agenzia.
-
Le agenzie federali USA necessitano di un ISA (Interconnection Security Agreement) con AWS?
No. I Suggerimenti settimanali di FedRAMP del 10 agosto 2016 stabiliscono che non è necessario stipulare ISA tra un provider di servizi cloud e un'agenzia federale.
-
In che modo è possibile discutere con AWS di carichi di lavoro architetture AWS specifici per il programma FedRAMP?
Il pacchetto AWS FedRAMP Security Package è disponibile ai clienti con l'uso di AWS Artifact, un portale self-service per l'accesso on demand ai report di conformità AWS. Accedi ad AWS Artifact nella Console di gestione AWS o scopri di più nella pagina Nozioni di base su AWS Artifact.
Per domande specifiche di follow-up relative alla conformità FedRAMP o DoD, contatta l’Account Manager AWS o invia il modulo di contatto Conformità AWS per collegarti al team che si occupa della conformità FedRAMP.
-
Dove posso trovare più informazioni sui programmi di conformità relative a FedRAMP?
Per ulteriori informazioni sui programmi di conformità idonei, consulta la nostra pagina Web sul programma di conformità AWS. È anche possibile trovare ulteriori informazioni più specifiche qui Federal Information Processing Standard (FIPS) 140-2, Department of Defense Cloud Computing Security Requirements Guide (DoD CC SRG), Federal Information Security Management Act (FISMA) e National Institute of Standards and Technology (NIST).
-
Quali sono le connessioni tra FedRAMP e gli altri programmi di conformità federale (FISMA, DFARS, DoD SRG, NIST SP 800-171, FIPS 140-2)?
Le agenzie governative federali vengono valutate dall'OIG (Office of Inspector General) e si basano internamente su parametri forniti dal DHS (Department of Homeland Security). I criteri per i parametri FISMA OIG e CIO sono pubblicazioni speciali di NIST SP 800 con accento su NIST SP 800-53. Per quelle agenzie che fanno affidamento sulla sicurezza del CSP, FedRAMP è un programma di conformità progettato su una base di controlli NIST SP 800-53 conformi ai requisiti FISMA all'interno del cloud.
Il programma di conformità FedRAMP viene sfruttato dalle DoD per soddisfare i livelli di impatto del Department of Defense Cloud Computing Security Requirements Guide (DoD CC SRG) che richiedono la conformità con FIPS 140-2 per determinati controlli di crittografia. Il DFARS (Defense Federal Acquisition Regulation Supplement) richiede che gli appaltatori DoD elaborino, archivino o trasmettano le CUI (Controlled Unclassified Information), per corrispondere a un determinato insieme di standard, inclusi i requisiti NIST SP 800-171. NIST SP 800-171 fornisce alle agenzie i requisiti di sicurezza raccomandati per la protezione della riservatezza delle CUI (Controlled Unclassified Information).
Risorse per il programma FedRAMP
AWS nel settore pubblico Blog AWS FedRAMP Servizi AWS coperti dal programma di conformità Acceleratore zona di destinazione su AWS