Sử dụng AWS cho Giải pháp thông tin tư pháp hình sự
Tổng quan
Chính sách bảo mật của CJIS phác thảo "các biện pháp kiểm soát phù hợp để bảo vệ toàn bộ vòng đời của CJI (Criminal Justice Information – Thông tin tư pháp hình sự), dù ở trạng thái truyền hay lưu trữ," không phân biệt mô hình công nghệ thông tin cơ bản. Bằng cách sử dụng các giải pháp được xây dựng trên AWS, các cơ quan có thể quản lý và bảo mật các ứng dụng và dữ liệu của họ trên đám mây AWS.
AWS cung cấp các khối dựng mà các cơ quan bảo mật công khai và đối tác ứng dụng của họ có thể tận dụng để xây dựng các ứng dụng có tính khả dụng cao, bền bỉ và an toàn, phù hợp với Chính sách bảo mật của CJIS. Khách hàng của AWS sẽ duy trì toàn bộ quyền sở hữu và kiểm soát đối với dữ liệu của họ, có được nhờ quyền truy cập đến các công cụ đơn giản, mạnh mẽ dành cho đám mây. Các công cụ này giúp họ quản lý toàn bộ vòng đời của dữ liệu nhạy cảm của khách hàng. Khách hàng thực hiện quyền kiểm soát độc quyền đối với địa điểm lưu trữ dữ liệu và phương pháp được dùng để bảo mật dữ liệu ở trạng thái truyền hoặc lưu trữ, cũng như quản lý quyền truy cập vào hệ thống thông tin của họ được xây dựng trên AWS.
Việc bảo mật Thông tin tư pháp hình sự (CJI) và duy trì tuân thủ Chính sách bảo mật của CJIS theo cách phù hợp cần có một số biện pháp kiểm soát bảo mật nhằm đảm bảo chỉ những cá nhân được ủy quyền mới có quyền truy cập vào CJI. Nguyên tắc của đặc quyền tối thiểu là một trong những nền tảng cơ bản nhất trong Chính sách bảo mật của CJIS dựa trên tiêu chuẩn "nhu cầu cần biết, có quyền được biết". Khách hàng của AWS có thể thực thi đặc quyền tối thiểu bằng cách mã hóa an toàn CJI của họ và chỉ cho phép những người có quyền truy cập vào khóa mã hóa truy cập vào CJI. Khách hàng được cung cấp công cụ và dịch vụ AWS để cho phép các cơ quan và đối tác đáng tin cậy của họ giữ quyền kiểm soát và quyền sở hữu hoàn toàn đối với dữ liệu tư pháp hình sự của chính họ, chẳng hạn như Dịch vụ quản lý khóa của AWS (KMS) và Hệ thống AWS Nitro.
AWS KMS sử dụng mô-đun bảo mật phần cứng (HSM) đã được xác thực theo tiêu chuẩn FIPS 140-2 và cho phép khách hàng tạo, sở hữu và quản lý khóa chính của chính khác hàng cho tất cả loại mã hóa. Các khóa chính của khách hàng này luôn mã hóa mô-đun bảo mật phần cứng được xác thực theo FIPS của AWS KMS và nhân viên AWS không bao giờ biết.
Hệ thống AWS Nitro sử dụng phần cứng chuyên dụng và máy chủ được thiết kế đặc biệt để chạy trình điều khiển ảo hóa điện toán ảo – không còn thành phần nào khác – loại bỏ tất cả cổng, thành phần và các chức năng bổ sung không cần thiết có trên máy chủ truyền thống. Mô hình bảo mật của Hệ thống AWS Nitro bị khóa và cấm quyền truy cập quản trị, loại trừ khả năng lỗi và giả mạo từ con người. Khách hàng cũng có thể chọn AWS Nitro Enclaves không có dung lượng lưu trữ lâu dài, quyền truy cập tương tác và khả năng kết nối mạng ngoài để tạo môi trường điện toán cô lập, từ đó bảo vệ và xử lý bảo mật dữ liệu có tính nhạy cảm cao tốt hơn.
Những tiến bộ công nghệ của Hệ thống AWS Nitro và AWS Key Management Service sử dụng mô-đun bảo mật phần cứng đã được xác thực theo FIPS 140-2 cho các khóa mã hóa đối xứng đã loại bỏ nhu cầu tham gia vào phương pháp truyền thống dựa vào phương pháp bảo mật vật lý và kiểm tra lý lịch như một cách để xét "quyền truy cập" của một cá nhân có đủ điều kiện tiếp cận CJI không được mã hóa hay không. Mặc dù phương pháp truyền thống có thể giúp đạt được sự tuân thủ tối thiểu theo Chính sách bảo mật của CJIS, mức độ bảo mật lại không bằng mức độ có thể đạt được nhờ sử dụng các biện pháp thực hành mã hóa mạnh và triển khai các nguyên tắc "đặc quyền tối thiểu" để hạn chế quyền truy cập vào CJI cho những người có nhu cầu cần biết, có quyền được biết, cũng như khả năng ủy quyền rõ ràng của bạn. Điều này cho phép khách hàng và nhà cung cấp ứng dụng xây dựng các giải pháp ngăn tất cả nhân viên AWS có quyền truy cập vật lý và trực tuyến đến CJI và các thiết bị lưu trữ, xử lý và truyền CJI.
Câu hỏi thường gặp
-
AWS có tuân thủ CJIS không?
Không có tổ chức cấp phép CJIS chính, không có nhóm tổ chức đánh giá độc lập được chứng nhận và cũng không có cách tiếp cận đánh giá chuẩn hóa trong việc xác định xem một giải pháp cụ thể có được coi là tuân thủ CJIS không. AWS cam kết giúp khách hàng đáp ứng các yêu cầu CJIS.
-
Làm cách nào để khách hàng CJIS thỏa mãn điều kiện về Mã hóa ở trạng thái lưu trữ?
Tất cả dịch vụ AWS có dữ liệu ở trạng thái nghỉ hỗ trợ mã hóa đối xứng theo chuẩn FIPS 197 AES 256 theo Chính sách bảo mật của CJIS. Khách hàng có thể quản lý khóa mã hóa của chính họ bằng khóa mã hóa chính được khách hàng quản lý bằng Dịch vụ quản lý khóa (KMS) của AWS. Dịch vụ này sử dụng mô-đun bảo mật phần cứng (HSM) được FIPS 140-2 xác thực và hỗ trợ điểm cuối được FIPS 140-2 xác thực.
-
Làm cách nào để khách hàng CJIS thỏa mãn điều kiện về Mã hóa ở trạng thái truyền?
Để hỗ trợ khách hàng với các yêu cầu mã hóa chuẩn FIPS, các API được FIPS xác thực có sẵn trong cả AWS Miền Đông/Miền Tây (thương mại) và AWS GovCloud (Hoa Kỳ). AWS cho phép khách hàng mở một phiên bảo mật được mã hóa đến các máy chủ AWS bằng giao thức HTTPS (Bảo mật lớp vận chuyển [TLS]).
-
Cả hai điểm cuối AWS Miền Đông/Miền Tây (thương mại) và GovCloud (Hoa Kỳ) FIPS có đáp ứng yêu cầu FIPS 140-2/3 của CJIS không?
Một số dịch vụ AWS cung cấp các điểm cuối hỗ trợ xác thực Tiêu chuẩn xử lý thông tin liên bang (FIPS) ở một số Khu vực. Khác với các điểm cuối AWS tiêu chuẩn, điểm cuối FIPS sử dụng thư viện phần mềm TLS tuân thủ FIPS 140-2 hoặc FIP 140-3. Việc sử dụng các điểm cuối FIPS là bắt buộc để đáp ứng tuân thủ CJIS đối với CJI trong khi truyền. Để biết danh sách các điểm cuối FIPS, hãy xem Điểm cuối FIPS theo Dịch vụ.
-
Đối với các dịch vụ có thành phần được triển khai trong môi trường của khách hàng (Cổng lưu trữ, Snowball), trách nhiệm của khách hàng trong việc đảm bảo Tuân thủ CJIS là gì?
Theo Mô hình trách nhiệm chung AWS, khách hàng phải đảm bảo các tài nguyên được triển khai tại chỗ như ổ đĩa Cổng lưu trữ và máy trạm truyền dữ liệu Snowball được quản lý theo quyền kiểm soát CJIS, bao gồm hoạt động cách ly dữ liệu và quyền kiểm soát truy cập.
Khách hàng phải đảm bảo vùng lưu trữ S3 cho Snowball và Storage Gateway trong AWS được đặt cấu hình theo các yêu cầu CJIS, kể cả mã hóa ở trạng thái lưu trữ.
Tài nguyên CJIS
Chính sách bảo mật của CJIS Sơ đồ mạng CJIS đại diện Điểm cuối FIPS theo Dịch vụ của AWS Dịch vụ quản lý khóa (KMS) của AWS Hệ thống AWS Nitro Hệ thống AWS Nitro được một bên độc lập xác nhận về khả năng điện toán bảo mật của mình Báo cáo công khai – API Hệ thống AWS Nitro và Tuyên bố về bảo mật – NCC Group AWS Nitro Enclaves Trang AWS FedRAMP