国防部 (DoD) 影响级别 5 (IL5)
DoD IL5 概述
美国国防部信息系统局 (DISA) 是美国国防部 (国防部) 的一个机构,负责开发和维护 DoD 云计算 安全要求指南 (SRG) 。 SRG 定义了 DoD 用于评估云服务提供商 (CSP) 的安全状况的基线安全要求,支持授予允许 CSP 托管 DoD 任务的 DoD 临时授权 (PA) 的决定。 它合并、取代和撤销以前发布的 DoD 云安全模型 (CSM) ,并映射到 DoD 风险管理框架 (RMF) 。
DISA 指导 DoD 机构和部门规划和授权 CSP 的使用。 它还评估 CSP 产品/服务是否符合 SRG,SRG 是一个授权过程,CSP 可以通过该流程提供文档来概述其是否符合 DoD 标准。 它会在适当时) (PAs 颁发 DoD 临时授权,因此 DoD 机构和支持组织可以使用云服务,而无需自行完成完全审批过程,从而节省时间和精力。
根据 SRG 第 3.2 节信息影响级别,IL5 信息包括:
控制未分类信息 (CUI) ,需要比 IL4 提供的更高级别的保护
- CUI 注册表提供受行政部门保护的特定类别的信息,例如,CUI 类别列表中包含 20 多个类别分组。
- NIST SP 800-171保护非联邦系统和组织中的受控未分类信息 供联邦机构在与非联邦组织签订的合同或其他协议中使用。
国家安全系统 (NSS)
- NIST SP 800-59将信息系统识别为国家安全系统指南 提供了 NSS 的定义。
- CNSSI 1253国家安全系统的安全分类和控制选择 提供有关联邦机构在对国家安全信息进行分类时应适用的安全标准的指导。
2014 年 12 月 15 日 DoD CIO关于获取和使用商业云计算服务的更新指南备忘录指出,“FedRAMP 将作为所有 DoD 云服务的最低安全基线”。 SRG 在所有信息影响级别使用 FedRAMP 中等基线, (IL) ,并在某些方面考虑高基线。
SRG 第 5.1.1 节DoD 使用 FedRAMP 安全控制 规定,FedRAMP High PA 与 DoD FedRAMP+ 控制和增强 (C/CEs) 和 SRG 中的要求相补充,用于评估 CSP 在 IL5 授予 DoD PA。 无论使用哪种 C/CE 基线作为 FedRAMP High PA 的基础,都需要评估和批准其他注意事项和/或要求,然后才能在 IL5 授予 DoD PA。 具体而言, 表 2 中的 SRG 节 5.1.2DoD FedRAMP+ 安全控制/增强功能 指出,DoD IL5 PA 需要超出 FedRAMP High 基线的 10 个附加 C/CE。
此外,根据 SRG 第 5.2.2.3 节IL5 位置和分离要求, (以下要求,) 级别 5 PA 必须满足以下要求:
- DoD 与联邦政府租户/任务之间的虚拟/逻辑分离就足够了。 租户/任务系统之间的虚拟/逻辑分离是必需的。
- 与非 DoD/非联邦政府租户的物理隔离 (即公共、地方/州政府租户) 是必需的。
- CSP 将可能访问 DoD 和社区信息限制为美国公民的 CSP 员工。
Microsoft 范围内的云平台和云服务
- Azure
- Dynamics 365客户服务
- Microsoft Defender for Endpoint(曾用名:Microsoft Defender 高级威胁防护)
- Microsoft Graph
- Microsoft Stream
- Office 365 美国政府防御版
- Power Automate(以前称为 Microsoft Flow)
- Power BI
Azure、Dynamics 365和 DoD IL5
有关 Azure、Dynamics 365和其他联机服务符合性的详细信息,请参阅 Azure DoD IL5 产品/服务。
Office 365和 DoD IL5
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| DoD | 活动源服务、必应服务、预订、Exchange Online Protection、Exchange Online、智能服务、Microsoft Teams、Office 365客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business人员Card、SharePoint Online、Skype for Business、Windows Ink |
证明文档
美国政府客户可以通过提交程序包访问请求表单,直接从 FedRAMP 市场请求Office 365美国政府国防 FedRAMP 文档。 必须具有 .gov 或 .mil 电子邮件地址才能直接从 FedRAMP 访问 FedRAMP 安全包。
选择 FedRAMP 和 DoD 文档,包括系统安全计划 (SSP) 、持续监视报告、操作计划和里程碑 (POA&M) 等,可从服务信任门户 审核报告 - FedRAMP 报告 部分获取 NDA 和挂起的访问授权。 请联系 Microsoft 帐户代表寻求帮助。
资源
- Microsoft 政府解决方案
- FedRAMP 文档
- DoD 指令 8510.01DoD 风险管理框架 (RMF) for DoD 信息技术 (IT)
- 适用于信息系统和组织的 NIST SP 800-37风险管理框架:安全和隐私的系统 Life-Cycle 方法
- 适用于信息系统和组织的NIST SP 800-53 安全和隐私控制
- NIST SP 800-59将信息系统识别为国家安全系统指南
- 适用于国家安全系统的 CNSSI 1253安全分类和控制选择
- NIST SP 800-171保护非计算机系统和组织中的受控未分类信息
- 控制未分类信息 (CUI) 注册表 和 CUI 类别列表。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈