Nutzung von AWS für Criminal Justice Information Solutions (CJIS)

Übersicht

Die CJIS Security Policy umfasst die "angemessenen Kontrollen zum Schutz des gesamten Lebenszyklus von CJI (Criminal Justice Information), ob im Ruhezustand oder bei der Übertragung", unabhängig vom zugrunde liegenden Informationstechnologiemodell. Durch die Nutzung von Lösungen, die auf AWS basieren, können Behörden ihre Anwendungen und Daten in der AWS-Cloud verwalten und sichern.

AWS bietet Blocks, die Behörden der öffentlichen Sicherheit und ihre Anwendungspartner nutzen können, um hochverfügbare, belastbare und sichere Anwendungen in Übereinstimmung mit der CJIS Security Policy zu erstellen. AWS-Kunden behalten die vollständige Eigentümerschaft und Kontrolle über ihre Daten. Dies wird durch den Zugriff auf einfache, leistungsstarke, Cloud-native Tools ermöglicht, mit denen sie den gesamten Lebenszyklus sensibler Kundendaten verwalten können. Die Kunden verfügen die alleinige Kontrolle darüber, wo die Daten gespeichert werden und welche Methoden zur Sicherung der Daten bei der Übertragung und im Ruhezustand verwendet werden, und verwalten den Zugriff auf ihre auf AWS aufgebauten Informationssysteme.

Die ordnungsgemäße Sicherung von Criminal Justice Information (CJI) und die Einhaltung der CJIS Security Policy erfordert eine Reihe von Sicherheitskontrollen, die darauf ausgelegt sind, sicherzustellen, dass nur autorisierte Personen Zugriff auf CJI haben. Das Prinzip der "geringsten Berechtigungen" ist eines der grundlegendsten Fundamente der CJIS Security Policy und basiert auf einem Standard, der sich darauf stützt, wer den Zugang unbedingt benötigt ("need-to-know") und das Recht auf Zugang hat ("right-to-know"). AWS-Kunden können das Prinzip der "geringsten Berechtigungen" erzwingen, indem sie ihre CJI-Daten verschlüsseln und den Zugriff auf CJI nur auf Personen mit Zugang zu den Verschlüsselungsschlüssel beschränken. Den Kunden werden AWS-Services und -Tools zur Verfügung gestellt, die es ihren Behörden und vertrauenswürdigen Partnern ermöglichen, die vollständige Kontrolle und das Eigentum über ihre eigenen Strafverfolgungsdaten zu behalten, wie z. B. AWS Key Management Service (KMS) und AWS Nitro System.

AWS KMS verwendet Hardware-Sicherheitsmodule (HSMs), die nach FIPS 140-2 validiert wurden und es Kunden ermöglichen, ihre eigenen Kunden-Masterschlüssel für alle Verschlüsselungen zu erstellen, zu besitzen und zu verwalten. Diese Kunden-Masterschlüssel verlassen die Hardware-Sicherheitsmodule mit FIPS-Validierung von AWS KMS niemals unverschlüsselt und sind AWS-Mitarbeitern zu keiner Zeit bekannt.

Das AWS-Nitro-System verwendet eigens entwickelte Hardware und Server, die speziell für die Ausführung eines Hypervisors für virtuelle Berechnungen entwickelt wurden – und nicht mehr – und baut alle zusätzlichen und unnötigen Ports, Komponenten und Funktionen ab, die auf herkömmlichen Servern zu finden sind. Das Sicherheitsmodell des AWS-Nitro-Systems ist gesperrt und verbietet den administrativen Zugriff, wodurch die Möglichkeit menschlicher Fehler und Manipulationen ausgeschlossen wird. Kunden können sich auch für AWS Nitro Enclaves entscheiden, die keine persistente Speicherung, keinen interaktiven Zugriff und kein externes Netzwerk bieten, um isolierte Berechnungsumgebungen zu schaffen, um hochsensible Daten weiter zu schützen und sicher zu verarbeiten.

Die technologischen Fortschritte des AWS-Nitro-Systems und des AWS Key Management Service, die FIPS 140-2-validierte Hardwaresicherheitsmodule für symmetrische Verschlüsselungsschlüssel verwenden, haben die Notwendigkeit abgebaut, auf die traditionelle Methode angewiesen zu sein, sich auf physische Sicherheit und Hintergrundprüfungen zu verlassen, um den "Zugang" einer Person zu unverschlüsselten CJI zu qualifizieren. Mit dem herkömmlichen Ansatz kann ein Mindestmaß an Compliance in Hinblick auf die CJIS Security Policy erreicht werden. Das lässt sich allerdings nicht mit dem Schutz verglichen, der durch starke Verschlüsselungsmthoden und die Bereitstellung von Prinzipien der "geringsten Berechtigungen" erreicht werden kann, um den CJI-Zugriff auf Personen zu beschränken, die den Zugang unbedingt benötigen ("need-to-know"), die das Recht auf Zugang haben ("right-to-know") und die Ihre ausdrückliche Autorisierung haben. Dies ermöglicht Kunden und Anwendungsanbietern den Aufbau von Lösungen, bei denen alle AWS-Mitarbeiter keinen physischen und logischen Zugriff auf CJI und Geräte haben, die CJI speichern, verarbeiten und übertragen.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »