美國國際武器貿易條例 (ITAR)
概觀
-
什麼是 ITAR?
國際武器貿易條例 (ITAR) 管控美國國防相關文章的出口,且條例闡明非美國人不得以實體或邏輯的方式存取存放在 ITAR 環境的文章。
ITAR 美國軍需用品表 (USML) 涵蓋的物品包括設備、元件、材料、軟體、技術資訊等等,除非有特殊授權或豁免,否則只能與美國人分享。美國人是指美國綠卡 (永久居留卡) 持有人或美國公民。
-
ITAR 要求如何應用在雲端?
雲端的 ITAR 合規著重在確保視為 ITAR 技術資料的資訊不會意外發佈給未獲適當授權的外國人或其他國家。
-
AWS 如何支援需要遵守 ITAR 出口條例的客戶?
AWS 可讓客戶選擇將資料存放在 AWS GovCloud (美國),該區域只能由美國境內的美國公民進行管理。AWS GovCloud (美國) 是 Amazon 隔離的雲端環境,該區域的帳戶只能授與在美國機構工作的美國人。
由於 AWS 無法看到或知悉客戶上傳到網路的內容 (包括該資料是否需要遵守 ITAR 條例),因此 AWS GovCloud (美國) 內的所有客戶資料均被視為 ITAR 資料。
-
如何向客戶保證 AWS GovCloud (美國) 符合 ITAR 要求?
目前沒有正式的 ITAR 認證。AWS GovCloud (美國) 持續由經過認可的聯邦政府風險與授權管理計劃 (FedRAMP) 獨立第三方評估機構 (3PAO) 進行稽核,且已獲得聯合授權委員會 (JAB) 高基線 FedRAMP 臨時操作授權書 (P-ATO)。美國國防部、美國國土安全部和美國公眾服務行政部門的資訊長 (CIO) 共同代表 JAB。如需詳細資訊,請參閱在 AWS GovCloud (美國) 達到 FedRAMP 高度合規。
-
當客戶在 AWS 傳輸、處理和存放 ITAR 資料時,該如何應用 AWS 共同的責任?
AWS 需要為其提供的雲端基礎架構和核心服務負起邏輯和實體合規的責任。客戶則需為自己的內部部署 IT 基礎架構、應用程式和系統負責。聯合授權委員會 (JAB) 高基線 AWS GovCloud FedRAMP 臨時操作授權書 (P-ATO) 證明 AWS GovCloud (美國) 內擁有管制。AWS 可支援在 AWS 建置 ITAR 合規系統的客戶。以下是 AWS 服務的一些範例,這些服務協助客戶管理他們自己的安全合規義務:
保護敏感資料:客戶可使用 Amazon S3 的伺服器端加密保護敏感的非機密資料;使用 AWS CloudHSM 存放和管理安全金鑰,或使用我們的一鍵式 AWS Key Management Service (KMS)。
提高雲端可見性:客戶可使用 Amazon CloudTrail 稽核敏感資料的存取和使用,Amazon CloudTrail 是由美國人管理和操作的 API 日誌服務。
加強身分管理:客戶可透過限制個人、時間、位置,來限制對敏感資料的存取。若要限制使用者可發出哪些 API 呼叫,可使用聯合身分、簡易金鑰輪換以及 AWS 提供的其他功能強大的存取控制測試工具。
