Während Organisationen versuchen, die strengen Anforderungen des CMMC 2.0-Modells zu erfüllen, kann die Nutzung sicherer Cloud-Umgebungen dazu beitragen, den Konformitätsprozess schneller und kostengünstiger zu gestalten.

AWS GovCloud, AWS Secret Cloud, Azure Gov Cloud und Google Cloud bieten sichere und konforme Cloud-Umgebungen, die Organisationen dabei helfen, die Anforderungen des CMMC zu erfüllen.

In diesem Blog-Artikel erklären wir Ihnen, wie Sie Zugang zu diesen speziellen Cloud-Umgebungen erhalten und wie Sie Ihre Bemühungen zur CMMC-Konformität unterstützen können.

Wie ein Regierungs-Cloud-Anbieter die CMMC-Konformität vereinfachen kann

Wenn ein DoD-Auftragnehmer einen externen Cloud-Dienstleister zur Verarbeitung, Speicherung oder Übertragung von CUI verwendet, muss dieser Dienstleister spezielle Sicherheitsanforderungen erfüllen. Genauer gesagt muss der DoD-Auftragnehmer gemäß DFARS 252.204-7012 und dem CMMC-Bewertungsprozess sicherstellen, dass der CSP Sicherheitsmaßnahmen implementiert hat, die dem FedRAMP Moderate Baseline entsprechen. Diese Anforderung soll sicherstellen, dass der Anbieter in der Lage ist, die Vertraulichkeit, Integrität und Verfügbarkeit von CUI im Cloud-Umfeld zu schützen.

Das bedeutet, dass der DoD-Auftragnehmer viele Sicherheitsfunktionen von einem Regierungs-Cloud-Anbieter übernimmt. Wenn der Anbieter beispielsweise bereits Verschlüsselung implementiert hat, muss der DoD-Auftragnehmer keine Zeit oder Geld für die Implementierung dieser Fähigkeit in der Cloud aufwenden. Dies ist das Konzept der gemeinsamen Verantwortung.

In einem Modell der gemeinsamen Verantwortung müssen einige Sicherheitskontrollen und Anforderungen vollständig vom CSP erfüllt werden, andere müssen vollständig vom Kunden erfüllt werden, und für andere besteht eine gemeinsame Verantwortung zwischen dem CSP und dem Kunden.

Auch wenn Sie nicht 100 % der Sicherheit von einem CSP erben, erfüllt dieser einige der CMMC-Anforderungen für Sie. Ein CSP bietet beispielsweise in der Regel eine breite Palette von vererbbaren Kontrollen und Prozessen an, wie zum Beispiel:

• physische Sicherheit
• Medienunterstützung
• Wartung der Ausrüstung
• Bereichsschutz
• Patch- und Konfigurationsmanagement
• kontinuierliches Audit
• Präventionsmaßnahmen
• APIs-Automatisierung
• Software-Updates

Datensicherung und -speicherung

Jeder CSP wird eine einzigartige Matrix der gemeinsamen Verantwortung haben und es ist wichtig, dass Ihre Organisation versteht, welche Kontrollen und Anforderungen vom CSP abgedeckt werden und welche von Ihrer Organisation abgedeckt werden. Das CMMC empfiehlt, diese Verantwortungsmatrix schriftlich von Ihrem Anbieter zu erhalten.

Durch die Nutzung von Cloud-Diensten, die von FedRAMP zugelassen sind (oder durch Vorlage eines ähnlichen Nachweises wie im FedRAMP-Prozess), kann Ihre Organisation von vorkonfigurierten Lösungen profitieren, die speziell zur Erfüllung der Anforderungen des CMMC entwickelt wurden. Dies ist besonders vorteilhaft, wenn Sie ein kleines oder mittleres Unternehmen sind, dem im Vergleich zu großen Anbietern wie Amazon und Microsoft das Know-how und die Erfahrung fehlen.

So erhalten Sie Zugang zu AWS GovCloud

AWS GovCloud (US) ist eine isolierte Cloud-Region, die entwickelt wurde, um alle Arten von CUI-Daten und nicht klassifizierte Daten für verifizierte US-Regierungsbehörden und -einheiten zu hosten. Sie entspricht vielen regulatorischen Rahmenwerken, einschließlich FedRAMP, CJIS und den International Traffic in Arms Regulations (ITAR).

Sie können die folgenden Schritte ausführen, um Zugriff zu erhalten.

Schritt 1: Überprüfen Sie Ihre Berechtigung

AWS GovCloud steht US-Regierungsbehörden und ihren Auftragnehmern zur Verfügung. Um berechtigt zu sein, muss Ihre Organisation eine in den USA ansässige Einheit sein, deren Umgebung von US-Personen verwaltet wird.

Schritt 2: Beantragen Sie den Zugriff

Um den Prozess zu starten, besuchen Sie die AWS GovCloud (US) Seite und füllen Sie das Kontaktformular aus. Ein AWS-Vertriebsmitarbeiter wird das Formular überprüfen und sich mit Ihnen in Verbindung setzen.

Qualifizierte Kunden können auch über die AWS-Managementkonsole eines Standard-AWS-Kontos Zugriff auf AWS GovCloud (US) beantragen. AWS wird Ihre Anfrage prüfen und Sie bei Genehmigung durch den Integrationsprozess führen.

Schritt 3: Unterzeichnen Sie einen Vertrag

Um Zugriff zu erhalten, müssen Sie eine Kundenvereinbarung und eine spezifische Vereinbarung für AWS GovCloud (US) unterzeichnen.

Schritt 4: Erstellen Sie einen IAM-Benutzer

Sie können nicht mit Standard-AWS-Anmeldeinformationen auf AWS GovCloud (US) zugreifen. Sie müssen über IAM-Benutzeranmeldeinformationen von AWS GovCloud (US) verfügen. Nur der Kontoinhaber (auch bekannt als Root-Benutzer) oder ein IAM-Administrator im AWS GovCloud (US)-Konto kann IAM-Benutzer erstellen und die entsprechenden Anmeldeinformationen bereitstellen.

Die Schritte zur Erstellung eines IAM-Benutzers variieren je nach Ihrer Rolle als Lösungsanbieter oder Kontoinhaber. Diese Schritte finden Sie im AWS GovCloud (US) Benutzerhandbuch .

So erhalten Sie Zugang zur AWS Secret Cloud

AWS Secret Cloud ist eine hochsichere und skalierbare Cloud-Umgebung für Arbeitslasten, die von der US-Regierung als geheim eingestuft wurden. Es ist für die US-Geheimdienstgemeinschaft, das Verteidigungsministerium, föderale zivile Behörden, die Verteidigungsindustrie und unterstützende Organisationen konzipiert, die mit geheimen Informationen arbeiten. Es erfüllt die Anforderungen des DoD Cloud Computing Security Requirements Guide Impact Level 6 und der Intelligence Community Directive (ICD) 503.

Sie können die folgenden Schritte befolgen, um Zugang zu erhalten.

Schritt 1: Die Anforderungen verstehen

AWS Secret Cloud ist nur für Organisationen verfügbar, die spezielle Verträge mit der US-Regierung haben, die eine klassifizierte Umgebung erfordern. Der Zugang ist sehr eingeschränkt und erfordert in der Regel eine enge Zusammenarbeit mit der Regierungsbehörde, mit der Sie den Vertrag abgeschlossen haben.

Schritt 2: Zugang beantragen

Es gibt weniger öffentliche Informationen über AWS Secret Cloud als über AWS GovCloud (US). Sie müssen die Seite AWS Secret Cloud besuchen und das Kontaktformular ausfüllen, um mehr zu erfahren und Zugang zu beantragen.

Schritt 3: Koordination mit der US-Regierung

Wenn Ihr Projekt die Nutzung von AWS Secret Cloud erfordert, müssen Sie direkt mit Ihrer fördernden Regierungsbehörde zusammenarbeiten. Sie wird Sie durch die notwendigen Schritte, einschließlich Sicherheitsanforderungen und Zugangsverfahren, führen.

Wie erhalte ich Zugang zu Azure Government

Azure Government ist eine Cloud-Plattform, die entwickelt wurde, um die strengen Sicherheits- und Compliance-Anforderungen der US-Regierungsbehörden zu erfüllen. Sie gewährleistet die Einhaltung verschiedener Vorschriften, einschließlich FedRAMP High, DFARS Klausel 252.204-7012, CJIS und ITAR.

Sie können die folgenden Schritte befolgen, um Zugang zu erhalten.

Schritt 1: Überprüfen Sie die Berechtigung

Azure Government ist für US-Regierungsbehörden und deren Partner verfügbar. Wie AWS GovCloud ist es auf in den USA ansässige Einheiten beschränkt, die von US-Bürgern verwaltet werden.

Schritt 2: Beantragung des Zugangs

Um Zugang zu Azure Government zu erhalten, besuchen Sie die Seite Azure Government und füllen Sie das Formular aus, um den Prozess zu starten. Microsoft wird Ihre Berechtigung prüfen und, wenn sie genehmigt ist, mit dem Onboarding-Prozess fortfahren.

Sie können auch eine Kostenlose Testversion anfordern, um zu beginnen.

Schritt 3: Verbindung zu Azure Government herstellen

Es gibt mehrere Möglichkeiten, sich mit Azure Government zu verbinden, einschließlich des Azure Government-Portals, Azure CLI und Powershell. Microsoft stellt ausführliche Anleitungen für jede dieser Methoden zur Verfügung.

Schritt 4: Nutzung von Azure Blueprints

Microsoft bietet Azure Blueprints für CMMC an, die vorkonfigurierte Vorlagen sind, die Ihnen helfen, eine konforme Umgebung schnell einzurichten. Diese Blueprints vereinfachen den Compliance-Prozess für CMMC-Anforderungen, indem sie erklären, wie Azure Government-Dienstleistungen und -Funktionen implementiert werden können, um einen Teil der Sicherheitskontrollen zu erfüllen, die in der Verantwortung des Kunden liegen.

Ähnlich wie AWS bietet auch Microsoft Azure Government Secret für klassifizierte Daten an. Die Schritte, um Zugang zu erhalten, sind ähnlich wie oben beschrieben.

Wie erhalte ich Zugang zu Google Cloud

Google Cloud ist eine weitere Cloud-Plattform, die entwickelt wurde, um den strengsten Sicherheitsstandards der US-Regierung zu entsprechen. Zusätzlich zur Autorisierung für FedRAMP High hat Google NIST SP 800-171 Bewertungen durchgeführt, einschließlich einer CMMC-Bereitschaftsbewertung im Oktober 2023, um sich auf eine offizielle CMMC-Level-2-Bewertung vorzubereiten, sobald CMMC 2.0 abgeschlossen ist.

Im Gegensatz zu AWS und Azure bietet Google keine „regierungsisolierten Clouds“ an. Stattdessen hat Google Cloud die Genehmigung für Impact Level 5 für eine wachsende Anzahl von Diensten in seiner kommerziellen Cloud erhalten und verpflichtet sich, seine gesamte Cloud-Infrastruktur in den USA auf IL-5-Niveau zu zertifizieren. Das Ziel ist es, allen Nutzern, einschließlich denen aus dem öffentlichen Sektor, die Zuverlässigkeit, Skalierbarkeit und Innovation von Google Cloud zu bieten.

Das bedeutet jedoch, dass Organisationen, die CMMC-konform bleiben wollen, nur US-Regionen und -Rechenzentren nutzen dürfen. Die gute Nachricht ist, dass Google Cloud das umfangreichste Cloud-Service-Portfolio auf dem Markt für US-Behördenkunden bietet, einschließlich neun unterstützten Regionen und 28 Zonen.

Der Zugang zu Google Cloud ist einfach. Erstellen Sie einfach ein Google Cloud-Konto, und Sie können mit der Einrichtung Ihrer Plattform beginnen.

Wichtige Überlegungen bei der Nutzung von Regierungs-Cloud-Diensten

Bei der Nutzung eines Regierungs-Cloud-Anbieters wie AWS GovCloud, AWS Secret Cloud, Azure Government oder Google Cloud und um zu versuchen, die CMMC-Konformität zu erreichen und aufrechtzuerhalten, beachten Sie Folgendes:

• Datensouveränität: Stellen Sie sicher, dass Ihre Daten in den USA bleiben und von Amerikanern verwaltet werden, um den Anforderungen des CMMC und anderer Vorschriften zu entsprechen.
• Zugriffskontrolle: Implementieren Sie strenge Zugriffskontrollen, um zu begrenzen, wer auf sensible Informationen zugreifen kann, gemäß den CMMC-Anforderungen.
• Kontinuierliche Überwachung: Nutzen Sie die Überwachungswerkzeuge von AWS und Azure, um die Einhaltung der CMMC-Standards kontinuierlich zu bewerten und aufrechtzuerhalten.
• Dokumentation: Führen Sie eine vollständige Dokumentation der Konfiguration Ihrer Cloud-Umgebung, der Sicherheitsmaßnahmen und des Konformitätsstatus, um den CMMC-Bewertungsprozess zu rationalisieren.