El US International Traffic in Arms Regulations (ITAR, Reglamento estadounidense sobre el tráfico internacional de armas) controla la exportación de artículos de defensa y declara que ninguna persona que no sea de EE.UU. puede disponer de acceso físico o lógico a los artículos recogidos por el marco del ITAR.

Los materiales recogidos en la Lista de Municiones de Estados Unidos ITAR incluyen equipo, componentes, materiales, software e información técnica que solo pueden compartirse con personas de EE.UU. a menos que se disponga de una autorización o exención especial. Las personas de EE.UU. son aquellos individuos que poseen una tarjeta de residencia permanente de EE.UU. o que son ciudadanos de EE.UU.

La conformidad con el ITAR en la nube se centra en garantizar que la información considerada datos técnicos no se distribuye de forma accidental a personas o naciones extranjeras. Para que los datos estén sujetos al ITAR, una carga de trabajo de TI o un tipo de dato ha de considerarse una exportación de acuerdo con la US Munitions List (USML o Lista estadounidense de municiones).

AWS proporciona a los clientes la opción de almacenar sus datos en AWS GovCloud (EE.UU.), administrada únicamente por personas de EE.UU. en terreno estadounidense. AWS GovCloud (US) es la región aislada de la nube de AWS en la que las cuentas solo se conceden a personas de EE.UU. que trabajan para organizaciones estadounidenses.

Como AWS no puede ver ni conoce lo que los clientes cargan en su red, y por lo tanto no sabe si los datos están sujetos al reglamento del ITAR, todos los datos de clientes de la región GovCloud se tratan como si estuvieran sujetos al ITAR.

No existe ninguna certificación formal del ITAR. AWS GovCloud (EE.UU.) se somete a auditorías periódicas de un asesor externo independiente (3PAO) del Programa de Administración de Autorización de Riesgo Federal (FedRAMP) y ha obtenido una autorización provisional para operar (P-ATO) de alto impacto del consejo Joint Authorization Board del FedRAMP. Los oficiales jefe de información (CIO) del Departamento de Defensa, Departamento de Seguridad Interior y Administración de Servicios Generales de EE.UU. representan al JAB.

AWS es responsable de la conformidad lógica y física de la infraestructura y los servicios principales ofrecidos en la nube. Los clientes son responsables de su propia infraestructura de TI, aplicaciones y sistemas on-premise. Como hemos mencionado anteriormente, la autorización provisional para operar (P-ATO) de nivel superior del Consejo Conjunto de Autorización (JAB) del FedRAMP demuestra los controles existentes en AWS GovCloud (EE.UU.) y garantiza que AWS respalda a los clientes que crean sistemas conformes con el ITAR en AWS. Esto facilita la administración de los clientes de sus propias obligaciones de conformidad en materia de seguridad al procesar y almacenar datos en AWS GovCloud (EE.UU). A continuación se indican varios ejemplos:

Proteja datos confidenciales: Proteja datos no clasificados confidenciales con el cifrado del lado del servidor en Amazon S3; almacene y administre por su cuenta las claves de seguridad con AWS CloudHSM o use nuestro servicio de un clic AWS Key Management Service (KMS).

Mejore la visibilidad en la nube: Audite el acceso y el uso de datos confidenciales en Amazon CloudTrail, nuestro servicio de registro de API, administrado y operado por personas de EE.UU.

Mejore la administración de identidades: Limite el acceso a datos confidenciales por persona, hora, ubicación y restrinja qué llamadas a la API pueden realizar los usuarios con la federación de identidades, la rotación de claves sencilla y otras potentes herramientas de pruebas de control del acceso disponibles.