Department of Defense (DoD) Impact Level 2 (IL2)

Übersicht über DoD IL2

Die Defense Information Systems Agency (DISA) ist eine Behörde des US-Verteidigungsministeriums( DoD), die für die Entwicklung und Wartung des Leitfadens für Sicherheitsanforderungen für Cloud Computing (SRG) zuständig ist. Die SRG definiert die grundlegenden Sicherheitsanforderungen, die vom DoD verwendet werden, um den Sicherheitsstatus eines Clouddienstanbieters (Cloud Service Provider, CSP) zu bewerten, und unterstützt die Entscheidung, eine vorläufige DoD-Autorisierung (Pa) zu erteilen, die es einem CSP ermöglicht, DoD-Missionen zu hosten. Es integriert, ersetzt und entfernt das zuvor veröffentlichte DoD Cloud Security Model (CSM) und ist dem DoD Risk Management Framework (RMF) zugeordnet.

DISA leitet DoD-Agenturen und -Abteilungen bei der Planung und Autorisierung der Verwendung eines CSP. Darüber hinaus bewertet es CSP-Angebote auf Konformität mit der SRG, einem Autorisierungsprozess, bei dem CSPs Dokumentationen zur Einhaltung der DoD-Standards bereitstellen können. Es gibt ggf. vorläufige DoD-Autorisierungen (PAs) aus, sodass DoD-Behörden und unterstützende Organisationen Clouddienste nutzen können, ohne selbst einen vollständigen Genehmigungsprozess durchlaufen zu müssen, was Zeit und Aufwand spart.

Das CIO-Memo des DoD vom 15. Dezember 2014 zu aktualisierten Leitlinien für den Erwerb und die Nutzung kommerzieller Cloud Computing-Dienste besagt, dass "FedRAMP als Mindestsicherheitsbaseline für alle DoD-Clouddienste dienen wird". Die SRG verwendet die FedRAMP Moderate-Baseline auf allen Informationswirkungsebenen (Il) und berücksichtigt den Hohen Baselinewert bei einigen.

SRG Section 5.1.1DoD Use of FedRAMP Security Controls besagt, dass IL2-Informationen in einem CSP gehostet werden können, der mindestens eine FedRAMP Moderate PA und eine DoD Level 2 PA enthält, vorbehaltlich der Einhaltung der in Abschnitt 5.6.2 beschriebenen Personalsicherheitsanforderungen. Dieser Ansatz verhindert jedoch nicht, dass der CSP andere Sicherheits- und Integrationsanforderungen erfüllt, wie dies vom Missionsbesitzer erforderlich ist. Gemäß SRG Abschnitt 5.2.2.1Impact Level 2 Location and Separation Requirements wird DoD IL2 PA angemessen von einer FedRAMP Moderate PA abgedeckt, sodass die Anforderungen für eine IL2 PA nicht zusätzlich bewertet werden.

Zu Microsoft gehörende Cloudplattformen und -dienste

  • Azure
  • Dynamics 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender für Endpunkt
  • Microsoft Graph
  • Microsoft Intune
  • Microsoft Stream
  • Office 365 US Government, Office 365 US Government – High
  • Power Apps
  • Power Automate
  • Power BI

Azure, Dynamics 365 und DoD IL2

Weitere Informationen zur Compliance von Azure, Dynamics 365 und anderen Onlinediensten finden Sie unter Azure DoD IL2.For more information about Azure, Dynamics 365, and other online services compliance, see the Azure DoD IL2 offer.

Office 365 und DoD IL2

Office 365-Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365-Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
GCC Aktivitätsfeeddienst, Bing-Dienste, Bookings, Delve, Exchange Online, Exchange Online Protection, Infrastruktur, Intelligente Dienste, Microsoft Teams, Office 365-Kundenportal, Office Online, Office-Dienst, Office-Nutzungsberichte, OneDrive for Business, Personenkarte, SharePoint Online, Skype for Business, Windows Ink
GCC High Aktivitätsfeeddienst, Bing-Dienste, Bookings, Exchange Online, Exchange Online Protection, Intelligent Services, Microsoft Teams, Office 365-Kundenportal, Office Online, Office-Dienstinfrastruktur, Office-Nutzungsberichte, OneDrive for Business, Personenkarte, SharePoint Online, Skype for Business, Windows Ink

Ressourcen