I reparti IT e gli MSP che lavorano con le agenzie governative e gli appaltatori degli Stati Uniti devono rispettare rigorosi requisiti di sicurezza su dove e come vengono archiviati i dati, nonché su chi è coinvolto nel processo di hosting e gestione degli stessi. AWS GovCloud (US) affronta questo problema fornendo due regioni isolate e sovrane che sono gestite sul territorio degli Stati Uniti da cittadini statunitensi controllati.
Questo articolo illustra come progettare soluzioni di backup e ripristino AWS sicure e conformi con AWS GovCloud quando hai a che fare con dati o clienti coperti da normative, tra cui ITAR, CJIS, FedRAMP e DFARS. Copre la pianificazione dell’infrastruttura, i requisiti di conformità, le raccomandazioni sugli strumenti e le best practice operative per il supporto dei carichi di lavoro del settore pubblico e della difesa degli Stati Uniti.
Cos’è AWS GovCloud (USA) e come si differenzia dal cloud commerciale?
AWS GovCloud (USA) consiste in due regioni AWS isolate (centri dati in una posizione geografica fisica), il cui personale è composto esclusivamente da cittadini statunitensi. Ciò consente di utilizzare l’infrastruttura cloud situata in questa regione per elaborare e archiviare dati sensibili coperti da requisiti speciali per i dati del governo degli Stati Uniti.
Ciò lo differenzia da altre offerte commerciali di cloud pubblico che possono essere gestite da cittadini non statunitensi, situate al di fuori degli Stati Uniti o che non sono fisicamente e logicamente isolate da altre infrastrutture che non soddisfano gli stessi standard di sicurezza.
Le principali funzionalità offerte da AWS GovCloud (USA) comprendono:
- Infrastruttura isolata fisicamente e logicamente
- Controllati e gestiti da cittadini statunitensi sul territorio degli Stati Uniti
- Supporto per le normative governative statunitensi che proteggono i dati sensibili, tra cui FedRAMP High, ITAR, CJIS e DoD SRG IL4 e DoD SRG IL5
- Compatibilità con le integrazioni AWS EC2, S3, RDS, Lambda e backup
Per usufruire di questi servizi, è necessario essere idonei: Gli appaltatori federali, i subappaltatori del DoD, le agenzie statali e locali che richiedono la conformità al CJIS e altri appaltatori, fornitori di servizi cloud (CSP) o fornitori di servizi gestiti (MSP) che servono agenzie federali, statali, locali, tribali o legate alla difesa degli Stati Uniti devono convalidare la loro idoneità attraverso AWS e dimostrare la loro portata di conformità e il controllo degli utenti.
Allineamento alla conformità e alla sicurezza
I seguenti quadri di conformità sono esplicitamente supportati da AWS GovCloud (US):
| Quadro di conformità | Assistenza AWS GovCloud (USA) |
|---|---|
| FedRAMP High | Supportato (ATO a livello governativo) |
| ITAR | Pienamente conforme alle restrizioni sul controllo delle esportazioni, se correttamente configurato |
| CJIS | Soddisfa le politiche di sicurezza dell’FBI in materia di giustizia penale |
| DFARS/NIST 800-171 | Consente la conformità degli appaltatori del Dipartimento della Difesa con un’attenta implementazione |
| DoD SRG IL4/DoDSRG IL5 | Supportato da una corretta configurazione del carico di lavoro |
Quando si progettano i criteri di backup, è bene pensare ad allinearli ai requisiti specifici dell’agenzia e garantire che tutte le misure di conformità e le salvaguardie tecniche siano documentate.
Creazione di una strategia di backup MSP in GovCloud
Prima di progettare e implementare una soluzione di backup basata su AWS GovCloud, assicurati di comprendere appieno la classificazione dei dati del tuo cliente (ad esempio CUI, ITAR, FCI, o classificati IL4-IL6) e quali normative si applicano. Quindi, potrai costruire la tua soluzione di backup per soddisfare questi requisiti.
Sebbene GovCloud fornisca un’infrastruttura che ti aiuta a rimanere conforme ai requisiti di sicurezza e alle leggi del governo degli Stati Uniti, è fondamentale consultarti con esperti legali e tecnici che abbiano familiarità con questo panorama durante tutto il processo di pianificazione e implementazione. Contattare i fornitori di prodotti specifici è un primo passo consigliato, in quanto sapranno come i loro prodotti soddisfano la conformità e avranno esperienza di onboarding di altri clienti con requisiti simili.
Fase 1: Selezionare uno strumento di backup compatibile
Gli strumenti di backup utilizzati devono essere compatibili con l’archiviazione ospitata in AWS GovCloud e con la gestione delle identità e degli accessi (IAM) per il controllo degli accessi. I prodotti devono inoltre supportare l’archiviazione WORM (write once, read many, cioè i dati non possono essere modificati una volta scritti) e il versioning per garantire la conformità.
Le soluzioni di backup che supportano l’integrazione con AWS GovCloud (USA) includono Dropsuite, Veeam e Commvault.
Fase 2: Configurare le impostazioni di sovranità dei dati
Per la sovranità dei dati, tutti i dati devono rimanere all’interno degli Stati Uniti e non lasciare la regione AWS GovCloud. Affinché ciò sia efficace, la replica dei dati deve essere disabilitata per tutti gli strumenti di backup per tutte le destinazioni non-GovCloud.
Anche la crittografia è un requisito. La gestione delle chiavi di crittografia può essere eseguita utilizzando AWS KMS con chiavi gestite dal cliente (CMK) dall’interno di GovCloud.
Fase 3: Automatizzare i criteri di backup e conservazione
L’automazione garantisce che la conformità non sia influenzata da errori umani. Pianifica i backup in base agli obiettivi di tempo di ripristino (RTO) e di punto di ripristino (RPO) e applica i criteri del ciclo di vita. Lo storage a livelli (ad esempio, S3 Standard e S3 Glacier) può essere sfruttato per backup economici e conformi.
Valuta e implementa le funzionalità di storage AWS che consentono la conformità, come S3 Object Lock per creare backup immutabili e versioning per creare backup storici efficienti dal punto di vista dello storage.
Fase 4: Registri di audit e accesso sicuro
Dovrai essere in grado di dimostrare la conformità in caso di richiesta da parte di un ente governativo. CloudTrail deve essere configurato all’interno della regione AWS GovCloud per il tracciamento delle modifiche, in modo da registrare tutte le attività pertinenti degli utenti e delle API.
Dovrebbe essere implementata l’autenticazione a più fattori (MFA) per tutti gli amministratori (e, idealmente, per tutti gli utenti) e i ruoli IAM dovrebbero essere limitati ai compiti necessari a ciascun utente o servizio per svolgere le proprie mansioni, seguendo il principio del minor privilegio.
Integrazione con Microsoft GCC High
Se utilizzi Microsoft 365 GCC High, un servizio cloud simile rivolto agli appaltatori governativi statunitensi, dovrai eseguire il backup dei dati memorizzati in un servizio che abbia la stessa conformità. Questo limita le opzioni per il backup dei dati coperti dalle norme governative statunitensi sulla protezione dei dati.
AWS GovCloud (USA) ti aiuta a superare questo ostacolo, fornendo un’infrastruttura conforme che può essere utilizzata come luogo di backup in un’implementazione multi-cloud, evitando di accoppiare l’infrastruttura Microsoft 365 conforme con i backup archiviati nel cloud pubblico, in violazione delle normative.
Ulteriori considerazioni sulla sicurezza dei dati e best practice per MSP e CSP
Esistono diverse considerazioni e best practice aggiuntive con cui gli MSP e i CSP multi-tenant possono migliorare l’uso di AWS GovCloud e contribuire a garantire la conformità alle leggi sulla protezione dei dati:
- Separare i dati dei clienti
- Crittografare i dati e limitare l’accesso utilizzando il controllo degli accessi basato sui ruoli (RBAC) e applicando il principio del minimo privilegio (PoLP)
- Assicurati che il tuo sistema di backup offra funzionalità di registro di audit, conservazione legale e catena di custodia
- Istruire il personale su come gestire i dati regolamentati e renderlo consapevole delle proprie responsabilità, compresi i controlli sulle esportazioni e le esigenze di SLA specifiche del cliente
Dovresti testare regolarmente il processo di ripristino e verificare che i backup contengano tutti i dati richiesti, che rispettino gli standard di conformità e che gli RTO siano rispettati.
Conformità in tutta la catena di strumenti di gestione IT
Mantenere la conformità legale necessaria per lavorare come appaltatore o subappaltatore del governo degli Stati Uniti è complesso e richiede il rispetto di molteplici e rigorosi standard di sicurezza nell’infrastruttura e nei processi IT.
La scelta di strumenti che assistano in questa fase di conformità è fondamentale per un’operazione efficiente che permetta di gestire più clienti che operano in ambienti regolamentati dalle autorità. L’utilizzo di AWS GovCloud (USA) è una di queste misure, che garantisce la sovranità dei dati e la presenza delle necessarie protezioni tecniche.
La gestione della tua infrastruttura IT e di quella dei tuoi clienti richiede anche la conformità. NinjaOne offre una piattaforma di gestione IT unificata, che comprende backup, monitoraggio e gestione remota (RMM), gestione dei dispositivi mobili (MDM) e strumenti di assistenza clienti. Siamo conformi con una serie di quadri per la protezione dei dati del governo degli Stati Uniti (con altri in arrivo), e i nostri strumenti possono essere configurati per archiviare i dati su AWS GovCloud per soddisfare esigenze di conformità più elevate.
Se sei un MSP che opera nel settore pubblico e vuoi semplificare le tue operazioni IT e scalare più velocemente, contatta un rappresentante NinjaOne per discutere i tuoi requisiti di sicurezza e conformità.
