Nutzung von AWS für Criminal Justice Information Solutions (CJIS)
Übersicht
Die CJIS Security Policy umfasst die "angemessenen Kontrollen zum Schutz des gesamten Lebenszyklus von CJI (Criminal Justice Information), ob im Ruhezustand oder bei der Übertragung", unabhängig vom zugrunde liegenden Informationstechnologiemodell. Durch die Nutzung von Lösungen, die auf AWS basieren, können Behörden ihre Anwendungen und Daten in der AWS-Cloud verwalten und sichern.
AWS bietet Blocks, die Behörden der öffentlichen Sicherheit und ihre Anwendungspartner nutzen können, um hochverfügbare, belastbare und sichere Anwendungen in Übereinstimmung mit der CJIS Security Policy zu erstellen. AWS-Kunden behalten die vollständige Eigentümerschaft und Kontrolle über ihre Daten. Dies wird durch den Zugriff auf einfache, leistungsstarke, Cloud-native Tools ermöglicht, mit denen sie den gesamten Lebenszyklus sensibler Kundendaten verwalten können. Die Kunden verfügen die alleinige Kontrolle darüber, wo die Daten gespeichert werden und welche Methoden zur Sicherung der Daten bei der Übertragung und im Ruhezustand verwendet werden, und verwalten den Zugriff auf ihre auf AWS aufgebauten Informationssysteme.
Die ordnungsgemäße Sicherung von Criminal Justice Information (CJI) und die Einhaltung der CJIS Security Policy erfordert eine Reihe von Sicherheitskontrollen, die darauf ausgelegt sind, sicherzustellen, dass nur autorisierte Personen Zugriff auf CJI haben. Das Prinzip der "geringsten Berechtigungen" ist eines der grundlegendsten Fundamente der CJIS Security Policy und basiert auf einem Standard, der sich darauf stützt, wer den Zugang unbedingt benötigt ("need-to-know") und das Recht auf Zugang hat ("right-to-know"). AWS-Kunden können das Prinzip der "geringsten Berechtigungen" erzwingen, indem sie ihre CJI-Daten verschlüsseln und den Zugriff auf CJI nur auf Personen mit Zugang zu den Verschlüsselungsschlüssel beschränken. Den Kunden werden AWS-Services und -Tools zur Verfügung gestellt, die es ihren Behörden und vertrauenswürdigen Partnern ermöglichen, die vollständige Kontrolle und das Eigentum über ihre eigenen Strafverfolgungsdaten zu behalten, wie z. B. AWS Key Management Service (KMS) und AWS Nitro System.
AWS KMS verwendet Hardware-Sicherheitsmodule (HSMs), die nach FIPS 140-2 validiert wurden und es Kunden ermöglichen, ihre eigenen Kunden-Masterschlüssel für alle Verschlüsselungen zu erstellen, zu besitzen und zu verwalten. Diese Kunden-Masterschlüssel verlassen die Hardware-Sicherheitsmodule mit FIPS-Validierung von AWS KMS niemals unverschlüsselt und sind AWS-Mitarbeitern zu keiner Zeit bekannt.
Das AWS-Nitro-System verwendet eigens entwickelte Hardware und Server, die speziell für die Ausführung eines Hypervisors für virtuelle Berechnungen entwickelt wurden – und nicht mehr – und baut alle zusätzlichen und unnötigen Ports, Komponenten und Funktionen ab, die auf herkömmlichen Servern zu finden sind. Das Sicherheitsmodell des AWS-Nitro-Systems ist gesperrt und verbietet den administrativen Zugriff, wodurch die Möglichkeit menschlicher Fehler und Manipulationen ausgeschlossen wird. Kunden können sich auch für AWS Nitro Enclaves entscheiden, die keine persistente Speicherung, keinen interaktiven Zugriff und kein externes Netzwerk bieten, um isolierte Berechnungsumgebungen zu schaffen, um hochsensible Daten weiter zu schützen und sicher zu verarbeiten.
Die technologischen Fortschritte des AWS-Nitro-Systems und des AWS Key Management Service, die FIPS 140-2-validierte Hardwaresicherheitsmodule für symmetrische Verschlüsselungsschlüssel verwenden, haben die Notwendigkeit abgebaut, auf die traditionelle Methode angewiesen zu sein, sich auf physische Sicherheit und Hintergrundprüfungen zu verlassen, um den "Zugang" einer Person zu unverschlüsselten CJI zu qualifizieren. Mit dem herkömmlichen Ansatz kann ein Mindestmaß an Compliance in Hinblick auf die CJIS Security Policy erreicht werden. Das lässt sich allerdings nicht mit dem Schutz verglichen, der durch starke Verschlüsselungsmthoden und die Bereitstellung von Prinzipien der "geringsten Berechtigungen" erreicht werden kann, um den CJI-Zugriff auf Personen zu beschränken, die den Zugang unbedingt benötigen ("need-to-know"), die das Recht auf Zugang haben ("right-to-know") und die Ihre ausdrückliche Autorisierung haben. Dies ermöglicht Kunden und Anwendungsanbietern den Aufbau von Lösungen, bei denen alle AWS-Mitarbeiter keinen physischen und logischen Zugriff auf CJI und Geräte haben, die CJI speichern, verarbeiten und übertragen.
-
Ist AWS CJIS-konform?
Es gibt keine zentrale CJIS-Autorisierungsstelle, keinen zugelassenen Pool unabhängiger Prüfer und auch kein standardisiertes Prüfkonzept, um zu ermitteln, ob eine bestimmte Lösung CJIS-konform ist. AWS ist bestrebt, Kunden bei der Erfüllung der CJIS-Anforderungen zu unterstützen.
-
Wie erfüllt ein CJIS-Kunde die Encryption-at-Rest-Anforderungen?
Alle AWS-Services mit At-Rest-Daten unterstützen die symmetrische Verschlüsselung nach FIPS 197 AES 256 in Übereinstimmung mit der CJIS Security Policy und Kunden können ihre eigenen Verschlüsselungsschlüssel mit kundenverwalteten Master-Schlüsseln über den AWS Key Management Service (KMS) verwalten, der FIPS 140-2 validierte Hardware-Sicherheitsmodule (HSM) verwendet und FIPS 140-2 validierte Endpunkte unterstützt.
-
Wie erfüllt ein CJIS-Kunde die Encryption-in-Transit-Anforderungen?
Um Kunden mit FIPS-kryptografischen Anforderungen zu unterstützen, sind FIPS-validierte APIs sowohl in AWS East/West (kommerziell) als auch in AWS GovCloud (USA) verfügbar. AWS ermöglicht es Kunden, eine sichere, verschlüsselte Session zu AWS-Servern mit HTTPS (Transport Layer Security [TLS]) zu öffnen.
-
Erfüllen sowohl AWS Ost/West (kommerziell) als auch GovCloud (USA) FIPS-Endpunkte die CJIS-FIPS-140-2/3-Anforderungen?
Einige AWS-Services bieten Endgeräte, die in einigen Regionen die FIPS-Validierung (Federal Information Processing Standard) unterstützen. Im Gegensatz zu Standard-AWS-Endpunkten verwenden FIPS-Endpunkte eine TLS-Softwarebibliothek, die FIPS 140-2 oder FIP 140-3 entspricht. Die Verwendung von FIPS-Endpunkten wäre erforderlich, um die CJIS-Konformität für CJI in Transit zu erfüllen. Eine Liste der FIPS-Endpunkte finden Sie unter FIPS-Endpunkte nach Service.
-
Welche Verantwortung trägt der Kunde für die Sicherstellung der CJIS-Compliance bei Diensten mit Komponenten, die in der Kundenumgebung eingesetzt werden (Storage Gateway, Snowball)?
Im Rahmen des AWS-Modells der geteilten Verantwortung müssen Kunden sicherstellen, dass lokal bereitgestellte Ressourcen wie Storage-Gateway-Plattenlaufwerke und Snowball-Workstations für die Datenübertragung in Übereinstimmung mit den CJIS-Kontrollen verwaltet werden, einschließlich Datenisolierung und Zugriffskontrollen.
Kunden sollten sicherstellen, dass S3-Speicher-Buckets für Snowball und Storage Gateway in AWS in Übereinstimmung mit den CJIS-Anforderungen konfiguriert sind, einschließlich Verschlüsselung im Ruhezustand.
