国防部 (DoD) 影响级别 2 (IL2)
DoD IL2 概述
美国国防部信息系统局 (DISA) 是美国国防部 (国防部) 的一个机构,负责开发和维护 DoD 云计算 安全要求指南 (SRG) 。 SRG 定义了 DoD 用于评估云服务提供商 (CSP) 的安全状况的基线安全要求,支持授予允许 CSP 托管 DoD 任务的 DoD 临时授权 (PA) 的决定。 它合并、取代和撤销以前发布的 DoD 云安全模型 (CSM) ,并映射到 DoD 风险管理框架 (RMF) 。
DISA 指导 DoD 机构和部门规划和授权 CSP 的使用。 它还评估 CSP 产品/服务是否符合 SRG,SRG 是一个授权过程,CSP 可以通过该流程提供文档来概述其是否符合 DoD 标准。 它会在适当时) (PAs 颁发 DoD 临时授权,因此 DoD 机构和支持组织可以使用云服务,而无需自行完成完全审批过程,从而节省时间和精力。
2014 年 12 月 15 日 DoD CIO关于获取和使用商业云计算服务的更新指南备忘录指出,“FedRAMP 将作为所有 DoD 云服务的最低安全基线”。 SRG 在所有信息影响级别使用 FedRAMP 中等基线, (IL) ,并在某些方面考虑高基线。
SRG 第 5.1.1 节DoD 使用 FedRAMP 安全控制 规定,IL2 信息可以托管在一个 CSP 中,该 CSP 最小保留 FedRAMP 中等 PA 和 DoD 级别 2 PA,但须符合第 5.6.2 节中所述的人员安全要求。 但是,此方法不会缓解 CSP 无法满足任务所有者要求的其他安全和集成要求。 根据 SRG 第 5.2.2.1 节影响级别 2 位置和分离要求,DoD IL2 PA 由 FedRAMP 中等 PA 充分涵盖,因此不会针对 IL2 PA 额外评估这些要求。
Microsoft 范围内的云平台和云服务
- Azure
- Dynamics 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Graph
- Microsoft Intune
- Microsoft Stream
- Office 365 美国政府版、Office 365 美国政府版 - 高
- Power Apps
- Power Automate
- Power BI
Azure、Dynamics 365 和 DoD IL2
有关 Azure、Dynamics 365 和其他联机服务符合性的详细信息,请参阅 Azure DoD IL2 产品/服务。
Office 365 和 DoD IL2
Office 365 环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下 Office 365 环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| GCC | 活动源服务、必应服务、预订、Delve、Exchange Online、Exchange Online Protection、基础结构、智能服务、Microsoft Teams、Office 365 客户门户、Office Online、Office 服务、Office 使用情况报告、OneDrive for Business、People Card、SharePoint Online、Skype for Business、Windows Ink |
| GCC 高级 | 活动源服务、必应服务、预订、Exchange Online、Exchange Online Protection、智能服务、Microsoft Teams、Office 365 客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business、People Card、SharePoint Online、Skype for Business、Windows Ink |
资源
- Microsoft政府解决方案
- DoD 云计算安全要求指南
- FedRAMP 文档
- 适用于信息系统和组织的 NIST SP 800-37风险管理框架:安全和隐私的系统 Life-Cycle 方法
- 适用于信息系统和组织的NIST SP 800-53 安全和隐私控制
- DoD 指令 8510.01DoD 风险管理框架 (RMF) for DoD 信息技术 (IT)