การใช้ AWS สำหรับโซลูชันข้อมูลงานยุติธรรมทางอาญา
ภาพรวม
นโยบายความปลอดภัย CJIS กำหนด “การควบคุมที่เหมาะสมเพื่อการปกป้องตลอดวงจรชีวิตของ CJI (ข้อมูลงานยุติธรรมทางอาญา) ไม่ว่าในขณะพักเก็บหรือระหว่างการส่ง” ไม่ว่าจะใช้โมเดลเทคโนโลยีสารสนเทศพื้นฐานแบบใด การใช้โซลูชันที่สร้างขึ้นบน AWS จะช่วยให้หน่วยงานสามารถจัดการและรักษาความปลอดภัยแอปพลิเคชันและข้อมูลใน AWS Cloud ได้
AWS นำเสนอองค์ประกอบพื้นฐานซึ่งหน่วยงานด้านความปลอดภัยสาธารณะและคู่ค้าผู้ให้บริการแอปพลิเคชันสามารถใช้เพื่อสร้างแอปพลิเคชันที่มีความพร้อมใช้งานสูง มีความยืดหยุ่น และปลอดภัยซึ่งสอดคล้องกับนโยบายความปลอดภัย CJIS ลูกค้า AWS สามารถรักษาความเป็นเจ้าของและการควบคุมทั้งหมดในข้อมูลของตน ซึ่งสามารถใช้งานได้ผ่านการเข้าถึงเครื่องมือแบบ Cloud Native ที่เรียบง่ายและมีประสิทธิภาพสูงที่ทำให้ลูกค้าสามารถจัดการข้อมูลของลูกค้าที่มีความละเอียดอ่อนได้ตลอดวงจรชีวิตข้อมูล ลูกค้าสามารถดำเนินการควบคุมเป็นพิเศษว่าจะจัดเก็บข้อมูลที่ใดและรักษาความปลอดภัยให้กับข้อมูลในระหว่างการส่งและพักเก็บด้วยวิธีการใด รวมถึงจัดการการเข้าถึงระบบข้อมูลของตนที่สร้างขึ้นบน AWS
การรักษาความปลอดภัยข้อมูลงานยุติธรรมทางอาญา (CJI) อย่างเหมาะสมและการรักษาความสอดคล้องกับนโยบายความปลอดภัย CJIS นั้นจำเป็นต้องมีการควบคุมความปลอดภัยจำนวนมากเพื่อให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึง CJI ได้ หลักการของสิทธิพิเศษที่น้อยที่สุดเป็นหนึ่งในรากฐานที่สำคัญที่สุดของนโยบายความปลอดภัย CJIS ที่ยึดตามมาตรฐาน "ความจำเป็นที่ต้องรู้ สิทธิ์ที่จะรู้" ลูกค้า AWS สามารถบังคับใช้สิทธิ์ที่น้อยที่สุดได้โดยการเข้ารหัส CJI อย่างปลอดภัยและจำกัดการเข้าถึง CJI ทั้งหมดให้กับผู้ที่สามารถเข้าถึงคีย์การเข้ารหัสได้เท่านั้น ลูกค้าจะได้รับบริการและเครื่องมือของ AWS เพื่อช่วยให้หน่วยงานและคู่ค้าที่เชื่อถือได้สามารถคงไว้ซึ่งการควบคุมและความเป็นเจ้าของข้อมูลงานยุติธรรมทางอาญาของตนเองได้อย่างสมบูรณ์ เช่น AWS Key Management Service (KMS) และ AWS Nitro System
AWS KMS ใช้โมดูลรักษาความปลอดภัยฮาร์ดแวร์ (HSM) ที่ได้รับการตรวจสอบความถูกต้องภายใต้ FIPS 140-2 และให้ลูกค้าสามารถสร้าง เป็นเจ้าของ และจัดการคีย์หลักของลูกค้าของตนได้สำหรับการเข้ารหัสทั้งหมด คีย์หลักของลูกค้าเหล่านี้จะไม่ปล่อยให้โมดูลความปลอดภัยฮาร์ดแวร์ที่ผ่านการตรวจสอบความถูกต้อง AWS KMS FIPS ขาดการเข้ารหัสและจะไม่มีทางรู้จักโดยบุคลากรของ AWS
AWS Nitro System ใช้ฮาร์ดแวร์ที่สร้างขึ้นตามวัตถุประสงค์และเซิร์ฟเวอร์ที่ออกแบบมาเป็นพิเศษเพื่อเรียกใช้ไฮเปอร์ไวเซอร์การประมวลผลเสมือนจริง ไม่มีอะไรมากไปกว่านี้ โดยจะนำพอร์ต องค์ประกอบ และความสามารถที่เพิ่มเติมและไม่จำเป็นทั้งหมดซึ่งพบได้บนเซิร์ฟเวอร์แบบดั้งเดิมออก โมเดลการรักษาความปลอดภัยของ AWS Nitro System จะล็อกและห้ามการเข้าถึงแบบผู้ดูแลระบบ ลดการดัดแปลงแก้ไขและข้อผิดพลาดจากมนุษย์ที่อาจเกิดขึ้นได้ ลูกค้ายังสามารถเลือก AWS Nitro Enclaves ซึ่งไม่มีฟีเจอร์พื้นที่จัดเก็บแบบถาวร ไม่มีการเข้าถึงแบบตอบโต้ และไม่มีระบบเครือข่ายภายนอกเพื่อสร้างสภาพแวดล้อมการประมวลผลแยกสำหรับการปกป้องเพิ่มเติมและการประมวลผลข้อมูลที่มีความละเอียดอ่อนสูงอย่างปลอดภัย
ความก้าวหน้าทางเทคโนโลยีของ AWS Nitro System และ AWS Key Management Service ที่ใช้โมดูลรักษาความปลอดภัยฮาร์ดแวร์ซึ่งได้รับการตรวจสอบตาม FIPS 140-2 สำหรับคีย์การเข้ารหัสแบบสมมาตรได้ลดความจำเป็นในการใช้วิธีการดั้งเดิมในการพึ่งพาการตรวจสอบความปลอดภัยทางกายภาพและการตรวจสอบประวัติเพื่อให้ได้คุณสมบัติการ “เข้าถึง” แบบแยกไปยัง CJI ที่ไม่มีการเข้ารหัส ในขณะที่วิธีการดั้งเดิมสามารถช่วยให้บรรลุข้อกำหนดขั้นต่ำภายใต้นโยบายความปลอดภัย CJIS แต่ก็ไม่ได้เปรียบเทียบกับความปลอดภัยที่สามารถทำได้โดยใช้วิธีการเข้ารหัสที่รัดกุมและการใช้หลักการ “สิทธิพิเศษน้อยที่สุด” เพื่อจำกัดการเข้าถึง CJI สำหรับผู้ที่จำเป็นต้องรู้ มีสิทธิ์ที่จะรู้ และการให้สิทธิ์อนุญาตแบบเปิดเผย ซึ่งช่วยให้ลูกค้าและผู้ให้บริการแอปพลิเคชันสร้างโซลูชันซึ่งขจัดการเข้าถึงทางกายภาพและเชิงตรรกะไปยัง CJI และอุปกรณ์ซึ่งจัดเก็บ ประมวลผล และส่งข้อมูล CJI ของพนักงาน AWS ทั้งหมด
คำถามที่พบบ่อย
-
AWS ปฏิบัติตามกฎระเบียบของ CJIS หรือไม่
ไม่มีหน่วยงานกลางซึ่งได้รับสิทธิ์ของ CJIS กลุ่มผู้ประเมินอิสระที่ได้รับการรับรอง หรือแนวทางการประเมินแบบมาตรฐาน ที่จะพิจารณาว่าโซลูชันเฉพาะนั้นปฏิบัติตามข้อบังคับของ CJIS หรือไม่ AWS มุ่งมั่นที่จะช่วยให้ลูกค้าปฏิบัติงานโดยเป็นไปตามข้อกำหนดของ CJIS
-
ลูกค้า CJIS พึงพอใจต่อข้อกำหนดการเข้ารหัสข้อมูลพักเก็บเพียงใด
บริการของ AWS ทั้งหมดที่มีข้อมูลที่พักเก็บรองรับการเข้ารหัสแบบสมมาตรตาม FIPS 197 AES 256 โดยสอดคล้องกับนโยบายความปลอดภัย CJIS และลูกค้าสามารถจัดการคีย์การเข้ารหัสของตนได้ด้วยคีย์หลักการเข้ารหัสที่มีการจัดการโดยลูกค้าโดยใช้ AWS Key Management Service (KMS) ซึ่งใช้โมดูลรักษาความปลอดภัยฮาร์ดแวร์ (HSM) ที่ได้รับการตรวจสอบความถูกต้องตาม FIPS 140-2 และรองรับตำแหน่งข้อมูลที่มีการตรวจสอบความถูกต้องตาม FIPS 140-2
-
ลูกค้า CJIS พึงพอใจต่อข้อกำหนดการเข้ารหัสข้อมูลระหว่างการส่งเพียงใด
เพื่อสนับสนุนลูกค้าที่มีข้อกำหนดการเข้ารหัส FIPS API ที่ได้รับการตรวจสอบของ FIPS จึงพร้อมใช้งานทั้งใน AWS East/West (เชิงพาณิชย์) และ AWS GovCloud (สหรัฐฯ) AWS ช่วยให้ลูกค้าสามารถเปิดเซสชันที่มีการเข้ารหัสอย่างปลอดภัยไปยังเซิร์ฟเวอร์ AWS โดยใช้ HTTPS (Transport Layer Security [TLS])
-
ตำแหน่งข้อมูล FIPS ของ AWS East/West (เชิงพาณิชย์) และ GovCloud (สหรัฐฯ) ตรงตามข้อกำหนด CJIS FIPS 140-2/3 หรือไม่
บริการ AWS บางอย่างเสนอตำแหน่งข้อมูลที่รองรับการตรวจสอบมาตรฐานการประมวลผลข้อมูลของรัฐบาลกลาง (FIPS) ในบางภูมิภาค ตำแหน่งข้อมูล FIPS ต่างจากตำแหน่งข้อมูล AWS มาตรฐานตรงที่ใช้ไลบรารีซอฟต์แวร์ TLS ที่สอดคล้องกับ FIPS 140-2 หรือ FIP 140-3 การใช้ตำแหน่งข้อมูล FIPS จะต้องเป็นไปตามข้อกำหนด CJIS สำหรับ CJI in Transit สำหรับรายการตำแหน่งข้อมูล FIPS โปรดดูที่ตำแหน่งข้อมูล FIPS ตามบริการ
-
สำหรับบริการที่มีองค์ประกอบที่มีการปรับใช้งานภายในสภาพแวดล้อมของลูกค้า (Storage Gateway, Snowball) หน้าที่รับผิดชอบของลูกค้าในการรับรองถึงการปฏิบัติตาม CJIS คืออะไร
ภายใต้รูปแบบความรับผิดชอบร่วมกันของ AWS ลูกค้าต้องตรวจสอบให้มั่นใจว่าทรัพยากรที่ปรับใช้ภายใน เช่น ไดรฟ์ข้อมูลแบบดิสก์ Storage Gateway และเวิร์กสเตชันการโอนถ่ายข้อมูล Snowball ได้รับการจัดการอย่างสอดคล้องตามการควบคุมของ CJIS รวมถึงการควบคุมการแยกและการเข้าถึงข้อมูล
ลูกค้าต้องตรวจสอบให้มั่นใจว่าบัคเก็ตพื้นที่จัดเก็บ S3 สำหรับ Snowball และ Storage Gateway ใน AWS ได้รับการกำหนดค่าให้สอดคล้องกับข้อกำหนดของ CJIS รวมถึงการเข้ารหัสข้อมูลพักเก็บ
ทรัพยากร CJIS
นโยบายความปลอดภัย CJIS แผนผังเครือข่าย CJIS ตัวแทน ตำแหน่งข้อมูล AWS FIPS ตามบริการ AWS Key Management Service (KMS) AWS Nitro System AWS Nitro System ได้รับการรับรองโดยหน่วยงานอิสระเกี่ยวกับความสามารถในการประมวลผลที่เป็นความลับ รายงานสาธารณะ – AWS Nitro System API และการเรียกร้องความปลอดภัย - NCC Group AWS Nitro Enclaves หน้า AWS FedRAMP
