为执法部门部署安全、简单的用户界面,以存储和管理数字证据,并通过审计报告和系统控件验证数据完整性
概述
AWS 上的数字证据归档(DEA)可帮助调查部门在 AWS 上管理和存储数字证据。调查人员和其他执法人员可以使用配备的网络用户界面(UI)创建和更新带有相关数字证据的案例。有了该用户界面,无需再使用 USB 和硬盘驱动器等物理设备,降低了运行本地数据中心时产生的成本。
该 AWS 解决方案支持文件完整性、哈希、加密和审计日志,帮助客户满足刑事司法信息服务(CJIS)安全策略的要求。
优势
使调查单位能够使用便捷的界面集中管理其数据,而不用与 AWS 管理控制台交互。无需云知识即可利用此 AWS 解决方案的规模、弹性和自动化功能。
确保客户只需为他们已使用的存储和计算服务付费。默认存储服务通过智能分层自动节省存储成本。
通过加密数据和访问控制来提高安全性,允许根据需要授予权限。文件在上传时会经过哈希处理,并可进行验证,以确保证据以原始形式锁定,从而使用户能够维持监管链。
技术详情
您可以使用实施指南和随附的 AWS CloudFormation 模板自动部署该架构。
第 1 步
解决方案用户通过与 Amazon Cognito 联合的符合 CJIS 的现有身份提供者(IdP)登录,以访问 Amazon API Gateway 和 Web UI 上的 DEA。
第 2 步
用户使用对 API Gateway 的 API 调用来创建案例(通过 Web UI 进行访问)。
第 3 步
案例创建 API 调用将定向到解决方案 API 处理程序 AWS Lambda。
第 4 步
Lambda 将 API 事件数据发送到 Amazon CloudWatch 用于记录。
第 5 步
Amazon DynamoDB 会注册案例创建事件,并跟踪用户身份验证会话,以减少恶意案例操作。
第 6 步
DEA 使用 SDK 上传数据并通过 Amazon Simple Storage Service(Amazon S3)使用预签名 URL 上传和下载证据。
第 7 步
AWS CloudTrail 在 S3 证据存储桶中注册 CloudTrail 事件和 Amazon S3 对象级更改。
第 8 步
AWS Key Management Service(AWS KMS)客户自主管理型密钥(CMK)提供服务器端加密,防止对证据进行恶意修改。
第 9 步
Amazon S3 会根据需要调用 Lambda 进行 S3 批量操作。
第 10 步
AWS DataSync 接收迁移数据的任务,并将迁移报告上传到 Amazon S3 任务日志存储桶。Lambda 侦听 S3 任务日志存储桶中的对象创建事件,并在检测到时开始处理文件。
第 11 步
用户通过查询 DEA 审计 REST API 端点来检索审计报告。Amazon Athena 将案例审计信息返回到端点。
第 1 步
解决方案用户通过与 Amazon Cognito 联合的符合 CJIS 的现有身份提供者(IdP)登录,以访问 Amazon API Gateway 和 Web UI 上的 DEA。
第 2 步
用户使用对 API Gateway 的 API 调用来创建案例(通过 Web UI 进行访问)。
第 3 步
案例创建 API 调用将定向到解决方案 API 处理程序 AWS Lambda。
第 4 步
Lambda 将 API 事件数据发送到 Amazon CloudWatch 用于记录。
第 5 步
Amazon DynamoDB 会注册案例创建事件,并跟踪用户身份验证会话,以减少恶意案例操作。
第 6 步
DEA 使用 SDK 上传数据并通过 Amazon Simple Storage Service(Amazon S3)使用预签名 URL 上传和下载证据。
第 7 步
AWS CloudTrail 在 S3 证据存储桶中注册 CloudTrail 事件和 Amazon S3 对象级更改。
第 8 步
AWS Key Management Service(AWS KMS)客户自主管理型密钥(CMK)提供服务器端加密,防止对证据进行恶意修改。
第 9 步
Amazon S3 会根据需要调用 Lambda 进行 S3 批量操作。
第 10 步
AWS DataSync 接收迁移数据的任务,并将迁移报告上传到 Amazon S3 任务日志存储桶。Lambda 侦听 S3 任务日志存储桶中的对象创建事件,并在检测到时开始处理文件。
第 11 步
用户通过查询 DEA 审计 REST API 端点来检索审计报告。Amazon Athena 将案例审计信息返回到端点。