Compliance mit CJIS – Amazon Web Services (AWS)

Übersicht

Die CJIS-Sicherheitsrichtlinie beschreibt die „geeigneten Kontrollen zum Schutz des gesamten Lebenszyklus von CJI (Criminal Justice Information), ob im Ruhezustand oder während der Übertragung“, unabhängig vom zugrunde liegenden Informationstechnologiemodell. Durch die Nutzung von Lösungen, die auf AWS basieren, können Behörden ihre Anwendungen und Daten in der AWS-Cloud verwalten und sichern.

AWS bietet Blocks, die Behörden der öffentlichen Sicherheit und ihre Anwendungspartner nutzen können, um hochverfügbare, belastbare und sichere Anwendungen in Übereinstimmung mit der CJIS-Sicherheitsrichtlinie zu erstellen. AWS-Kunden behalten die vollständige Eigentümerschaft und Kontrolle über ihre Daten. Dies wird durch den Zugriff auf einfache, leistungsstarke, Cloud-native Tools ermöglicht, mit denen sie den gesamten Lebenszyklus sensibler Kundendaten verwalten können. Die Kunden verfügen die alleinige Kontrolle darüber, wo die Daten gespeichert werden und welche Methoden zur Sicherung der Daten bei der Übertragung und im Ruhezustand verwendet werden, und verwalten den Zugriff auf ihre auf AWS aufgebauten Informationssysteme.

Die ordnungsgemäße Sicherung von Informationen für die Criminal Justice Information (CJI) und die Einhaltung der CJIS-Sicherheitsrichtlinie erfordert eine Reihe von Sicherheitskontrollen, die darauf ausgelegt sind, sicherzustellen, dass nur autorisierte Personen Zugriff auf CJI haben. Das Prinzip der "geringsten Berechtigungen" ist eines der grundlegendsten Fundamente der CJIS Security Policy und basiert auf einem Standard, der sich darauf stützt, wer den Zugang unbedingt benötigt ("need-to-know") und das Recht auf Zugang hat ("right-to-know"). AWS-Kunden können das Prinzip der "geringsten Berechtigungen" erzwingen, indem sie ihre CJI-Daten verschlüsseln und den Zugriff auf CJI nur auf Personen mit Zugang zu den Verschlüsselungsschlüssel beschränken. Den Kunden werden AWS-Services und -Tools zur Verfügung gestellt, die es ihren Behörden und vertrauenswürdigen Partnern ermöglichen, die vollständige Kontrolle und das Eigentum über ihre eigenen Strafverfolgungsdaten zu behalten, wie z. B. AWS Key Management Service (KMS) und AWS Nitro System.

AWS KMS nutzt Hardware-Sicherheitsmodule (HSMs), die nach FIPS 140-3 validiert wurden. Sie ermöglichen es den Kunden, eigene Masterschlüssel für alle Verschlüsselungen zu erstellen, zu besitzen und zu verwalten. Diese Kundenmasterschlüssel verlassen die FIPS-validierten Hardware-Sicherheitsmodule von AWS KMS niemals unverschlüsselt und sind dem AWS-Personal grundsätzlich nicht bekannt.

Das AWS Nitro System verwendet speziell entwickelte Hardware und Server, die speziell für die Ausführung eines virtuellen Computer-Hypervisors entwickelt wurden – mehr nicht. Alle zusätzlichen und unnötigen Ports, Komponenten und Funktionen herkömmlicher Server werden entfernt. Das Sicherheitsmodell des AWS-Nitro-Systems ist gesperrt und verbietet den administrativen Zugriff, wodurch die Möglichkeit menschlicher Fehler und Manipulationen ausgeschlossen wird. Kunden können sich auch für AWS Nitro Enclaves entscheiden, die keine persistente Speicherung, keinen interaktiven Zugriff und kein externes Netzwerk bieten, um isolierte Datenverarbeitungsumgebungen zu schaffen und vertrauliche Daten weiter zu schützen und sicher zu verarbeiten.

Durch die technischen Fortschritte des AWS Nitro System und des AWS Key Management Service, die FIPS 140-3-validierte Hardware-Sicherheitsmodule für symmetrische Verschlüsselungsschlüssel nutzen, müssen Sie sich nicht mehr wie bislang auf die physische Sicherheit und Zuverlässigkeitsüberprüfungen verlassen, um den „Zugang“ einer Person zu unverschlüsselten strafrechtlichen Informationen festzulegen. Mit dem herkömmlichen Ansatz kann ein Mindestmaß an Compliance in Hinblick auf die CJIS Security Policy erreicht werden. Das lässt sich allerdings nicht mit dem Schutz verglichen, der durch starke Verschlüsselungsmthoden und die Bereitstellung von Prinzipien der "geringsten Berechtigungen" erreicht werden kann, um den CJI-Zugriff auf Personen zu beschränken, die den Zugang unbedingt benötigen ("need-to-know"), die das Recht auf Zugang haben ("right-to-know") und die Ihre ausdrückliche Autorisierung haben. Dies ermöglicht Kunden und Anwendungsanbietern den Aufbau von Lösungen, bei denen alle AWS-Mitarbeiter keinen physischen und logischen Zugriff auf CJI und Geräte haben, die CJI speichern, verarbeiten und übertragen.

Häufig gestellte Fragen

Alles öffnen

Ist AWS CJIS-konform?

Es gibt keine zentrale CJIS-Autorisierungsstelle, keinen akkreditierten Pool unabhängiger Gutachter und auch kein standardisiertes Bewertungsverfahren um festzustellen, ob eine bestimmte Lösung als CJIS-konform gilt. AWS ist bestrebt, Kunden bei der Erfüllung der CJIS-Anforderungen zu unterstützen.

Wie erfüllt ein CJIS-Kunde die Encryption-at-Rest-Anforderungen?

Alle AWS-Services mit Daten im Ruhezustand unterstützen die symmetrische Verschlüsselung FIPS 197 AES 256 gemäß der CJIS-Verschlüsselungsrichtlinie. Kunden können ihre eigenen Verschlüsselungsschlüssel mit kundenverwalteten Haupt-Verschlüsselungsschlüsseln mithilfe des AWS Key Management Service (KMS) verwalten, der FIPS 140-2-validierte Hardware-Sicherheitsmodule (HSM) verwendet und FIPS 140-2-validierte Endpunkte unterstützt.

Wie erfüllt ein CJIS-Kunde die Encryption-in-Transit-Anforderungen?

Um Kunden mit FIPS-kryptografischen Anforderungen zu unterstützen, sind FIPS-validierte APIs sowohl in AWS East/West (kommerziell) als auch in AWS GovCloud (USA) verfügbar. AWS ermöglicht es Kunden, eine sichere, verschlüsselte Session zu AWS-Servern mit HTTPS (Transport Layer Security [TLS]) zu öffnen.

Erfüllen die FIPS-Endpunkte in den AWS-Regionen USA Ost/West (kommerziell) und GovCloud (USA) die Bestimmungen des FIPS 140-3 der CJIS?

Einige AWS-Services bieten Endpunkte, die in einigen Regionen die Validierung nach dem Federal Information Processing Standard (FIPS) unterstützen. Im Gegensatz zu Standard-AWS-Endpunkten verwenden FIPS-Endpunkte eine TLS-Softwarebibliothek, die FIP 140-3 entspricht. Die Verwendung von FIPS-Endpunkten wäre erforderlich, um die CJIS-Konformität für CJI in Transit zu erfüllen. Eine Liste der FIPS-Endpunkte finden Sie unter FIPS-Endpunkte nach Service.

Welche Verantwortung trägt der Kunde für die Sicherstellung der CJIS-Compliance bei Diensten mit Komponenten, die in der Kundenumgebung eingesetzt werden (Storage Gateway, Snowball)?

Im Rahmen des AWS-Modells der geteilten Verantwortung müssen Kunden sicherstellen, dass lokal bereitgestellte Ressourcen wie Storage-Gateway-Plattenlaufwerke und Snowball-Workstations für die Datenübertragung in Übereinstimmung mit den CJIS-Kontrollen verwaltet werden, einschließlich Datenisolierung und Zugriffskontrollen.

Kunden sollten sicherstellen, dass S3-Speicher-Buckets für Snowball und Storage Gateway in AWS in Übereinstimmung mit den CJIS-Anforderungen konfiguriert sind, einschließlich der Verschlüsselung im Ruhezustand.

Haben Sie noch Fragen? Einen AWS-Business-Mitarbeiter kontaktieren

Kontakt

Sie erkunden Compliance-Rollen?

Melden Sie sich jetzt an »

Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?

Folgen Sie uns auf Twitter »