Ikhtisar

Kebijakan Keamanan CJIS menguraikan "kontrol yang tepat untuk melindungi siklus hidup penuh CJI (Criminal Justice Information), baik saat diam maupun saat bergerak," apa pun mode teknologi informasi dasarnya. Dengan menggunakan solusi yang dibangun di AWS, agensi dapat mengelola dan mengamankan aplikasi dan data di AWS cloud.

AWS menyedikan komponen penyusun yang dapat dimanfaatkan oleh agensi keamanan publik dan partner aplikasi mereka untuk membangun aplikasi dengan ketersediaan tinggi, tangguh, dan aman sesuai dengan Kebijakan Keamanan CJIS. Pelanggan AWS mempertahankan kepemilikan dan kontrol penuh atas data mereka, yang diaktifkan melalui akses ke alat asli cloud yang sederhana dan canggih yang memungkinkan mereka mengelola siklus hidup penuh dari data pelanggan yang sensitif. Pelanggan melakukan kontrol eksklusif di tempat penyimpanan data dan metode yang digunakan untuk mengamankan data saat transit dan saat istirahat, serta mengelola akses ke sistem informasi mereka yang dibangun di AWS.

Mengamankan Criminal Justice Information (CJI) dengan tepat dan mengelola kepatuhan dengan Kebijakan Keamanan CJIS memerlukan sejumlah kontrol keamanan yang bertujuan untuk memastikan bahwa hanya individu yang berwenanglah yang memiliki akses ke CJI. Prinsip hak istimewa minimum adalah salah satu dasar paling fundamental dari Kebijakan Keamanan CJIS berdasarkan standar “perlu mengetahui, berhak mengetahui”. Pelanggan AWS dapat menerapkan hak istimewa minimum dengan mengenkripsi CJI secara aman dan membatasi semua akses ke CJI hanya untuk yang memiliki akses ke kunci enkripsi. Pelanggan diberi layanan dan alat AWS agar agensi dan partner tepercaya mereka dapat mempertahankan kontrol dan kepemilikan penuh atas data peradilan pidana mereka, seperti AWS Key Management Service (KMS) dan AWS Nitro System.

AWS KMS menggunakan modul keamanan perangkat keras (HSM) yang telah divalidasi berdasarkan FIPS 140-3 dan memungkinkan pelanggan untuk membuat, memiliki, serta mengelola kunci utama pelanggan milik mereka sendiri untuk semua enkripsi. Kunci utama pelanggan ini tidak pernah keluar dari modul keamanan perangkat keras AWS KMS yang divalidasi FIPS dalam keadaan tidak terenkripsi dan tidak pernah diketahui oleh personel AWS.

AWS Nitro System menggunakan perangkat keras dan server yang dibangun khusus dan didesain untuk menjalankan hypervisor komputasi virtual—tidak lebih–dengan menghilangkan semua port, komponen, serta kemampuan tambahan dan yang tidak diperlukan yang ditemukan di server tradisional. Model keamanan AWS Nitro System dikunci dan melarang akses administratif, sehingga menghilangkan kemungkinan kesalahan manusia dan gangguan. Pelanggan juga dapat memilih AWS Nitro Enclaves yang tidak dilengkapi dengan penyimpanan persisten, akses interaktif, dan jaringan eksternal untuk membuat lingkungan komputasi terisolasi guna lebih melindungi serta agar dapat memproses data yang sangat sensitif dengan aman.

Berkat kemajuan teknologi AWS Nitro System dan AWS Key Management Service yang menggunakan modul keamanan perangkat keras yang divalidasi FIPS 140-3 untuk kunci enkripsi simetris, tak perlu lagi menggunakan metode tradisional yang mengandalkan pemeriksaan keamanan dan latar belakang secara fisik untuk mengonfirmasi suatu "akses" ke CJI yang tidak dienkripsi. Meskipun pendekatan tradisional dapat membantu mencapai kepatuhan minimum berdasarkan Kebijakan Keamanan CJIS, hal ini tidak dapat dibandingkan dengan keamanan yang dapat dicapai dengan menggunakan praktik enkripsi yang kuat dan penerapan prinsip-prinsip “hak istimewa minimum” untuk membatasi akses CJI ke pihak-pihak yang perlu mengetahui, berhak mengetahui, dan yang memiliki otorisasi eksplisit Anda. Pelanggan dan penyedia aplikasi dapat membangun solusi yang mencegah semua karyawan AWS memiliki akses fisik dan logis ke CJI dan perangkat yang menyimpan, memproses, dan mentransmisikan CJI.

Topik halaman

FAQ

Tidak ada badan otorisasi CJIS pusat, tidak ada kumpulan penilai independen yang terakreditasi, maupun pendekatan penilaian terstandardisasi untuk menentukan apakah suatu solusi tertentu dianggap sesuai dengan CJIS. AWS berkomitmen untuk membantu pelanggan memenuhi persyaratan CJIS.

Semua layanan AWS dengan data diam mendukung enkripsi simetris FIPS 197 AES 256 sesuai dengan Kebijakan Keamanan CJIS dan pelanggan dapat mengelola kunci enkripsi mereka sendiri dengan kunci enkripsi utama yang dikelola oleh pelanggan menggunakan AWS Key Management Service (KMS), yang menggunakan modul keamanan perangkat keras (HSM) yang divalidasi FIPS 140-2 dan mendukung titik akhir yang tervalidasi FIPS 140-2.

Untuk mendukung pelanggan dengan persyaratan kriptografis FIPS, API tervalidasi FIPS tersedia di AWS Timur/Barat (komersial) dan AWS GovCloud (AS). AWS memungkinkan pelanggan membuka sesi aman terenkripsi ke server AWS menggunakan HTTPS (Keamanan Lapisan Pengangkutan [TLS]).

Beberapa layanan AWS menawarkan titik akhir yang mendukung validasi Federal Information Processing Standard (FIPS) di beberapa Wilayah. Tidak seperti titik akhir AWS standar, titik akhir FIPS menggunakan pustaka perangkat lunak TLS yang sesuai dengan FIPS 140-3. Penggunaan titik akhir FIPS akan diperlukan untuk memenuhi kepatuhan CJIS untuk CJI yang bergerak. Untuk daftar titik akhir FIPS, lihat titik akhir FIPS berdasarkan Layanan.

Berdasarkan model Tanggung Jawab Bersama AWS, pelanggan harus memastikan bahwa sumber daya yang di-deploy secara lokal, seperti volume disk Storage Gateway dan stasiun kerja transfer data Snowball, dikelola sesuai dengan kontrol CJIS termasuk isolasi data dan kontrol akses.

Pelanggan harus memastikan bahwa bucket penyimpanan S3 untuk Snowball dan Storage Gateway di AWS dikonfigurasi sesuai dengan persyaratan CJIS, termasuk enkripsi saat diam.

Ada pertanyaan? Hubungi perwakilan bisnis AWS
Ingin menyelami lebih jauh pentingnya kepatuhan?
Daftar sekarang »
Ingin info terbaru tentang AWS Compliance?
Ikuti kami di Twitter »