Utilisation d'AWS pour la gestion des informations Criminal Justice Information Solutions
Présentation
La politique de sécurité CJIS présente les « contrôles appropriés pour protéger le cycle de vie complet des informations de justice pénales (CJI, Criminal Justice Information), qu'elles soient au repos ou en transit », indépendamment du modèle de technologie d'information sous-jacent. En utilisant des solutions basées sur AWS, les agences peuvent gérer et sécuriser leurs applications et leurs données dans le cloud AWS.
AWS fournit des modules de service que les agences de sécurité publique et leurs partenaires spécialisés en applications peuvent utiliser pour créer des applications hautement disponibles, résilientes et sécurisées conformément à la politique de sécurité CJIS. Les clients d'AWS conservent la propriété et le contrôle complets sur leurs données grâce à des outils cloud natifs, puissants et simples qui leur permettent de gérer le cycle de vie complet des données sensibles des clients. Les clients exercent un contrôle exclusif sur l'endroit où les données sont stockées et les méthodes utilisées pour sécuriser les données en transit et au repos. Ils gèrent également l'accès à leurs systèmes d'informations créés sur AWS.
Pour sécuriser comme il se doit les informations de justice pénale (CJI) et assurer leur conformité avec la politique de sécurité CJIS, vous devez définir un certain nombre de contrôles de sécurité visant à garantir l'accès à ces informations aux seuls utilisateurs autorisés. Le principe du « moindre privilège » est l'une des bases fondamentales de la politique de sécurité CJIS, qui s'assure que seuls les utilisateurs autorisés et requis peuvent accéder aux informations. Les clients d'AWS peuvent appliquer le principe du moindre privilège en appliquant un chiffrement sécurisé à leurs données et en limitant l'accès aux informations de justice pénale à ceux qui ont accès aux clés de chiffrement. Les clients disposent d’outils et services AWS tels que AWS Key Management Service (KMS) et AWS Nitro System, qui permettent aux agences et aux partenaires agréés de conserver un contrôle complet sur leurs données de justice pénale, dont ils sont entièrement propriétaires.
AWS KMS utilise des modules de sécurité matériels (HSM) certifiés FIPS 140-2 qui permettent aux clients de créer, posséder et gérer leurs propres clés principales pour tout le chiffrement. Ces clés principales assurent le chiffrement permanent des modules de sécurité matériels AWS KMS conformes à la norme FIPS. Le personnel AWS n'y a jamais accès.
AWS Nitro System utilise du matériel et des serveurs spécifiques conçus spécialement pour exécuter un hyperviseur de calcul virtuel, et rien de plus, qui supprime tous les ports, composants et fonctionnalités supplémentaires et inutiles trouvés sur les serveurs classiques. Le modèle de sécurité d'AWS Nitro System est verrouillé et interdit l'accès administratif, ce qui élimine la possibilité d'erreur humaine et d'altération. Les clients peuvent également choisir AWS Nitro Enclaves qui ne possède ni stockage permanent, ni accès interactif, ni réseau externe afin de créer des environnements de calcul isolés pour mieux protéger et traiter en toute sécurité les données très sensibles.
Les avancées technologiques d'AWS Nitro System et d'AWS Key Management Service utilisant des modules de sécurité matériels certifiés FIPS 140-2 pour les clés de chiffrement symétriques permettent de ne plus passer par la méthode classique qui consiste à se fier à la sécurité physique et aux vérifications des antécédents, pour autoriser « l'accès » d'une personne aux informations de justice pénale non chiffrées. Certes, vous assurez par ce biais une conformité minimale aux exigences de politique de sécurité CJIS. Cependant, la sécurité mise en place ne saurait être comparée à celle que vous obtenez en adoptant des pratiques de chiffrement fort et en déployant une politique de « moindre privilège », afin de limiter l'accès aux informations de justice pénale aux utilisateurs autorisés qui en ont besoin, avec votre autorisation explicite. Les clients et les fournisseurs d'applications peuvent ainsi créer des solutions qui enlèvent à tous les employés d'AWS la possibilité d'avoir un accès physique et logique aux informations de justice pénale et aux appareils qui stockent, traitent et transmettent ces informations.
-
AWS est-il conforme aux CJIS ?
Il n'existe aucun organisme d'autorisation CJIS central, aucun groupe d'experts indépendants accrédités, ni aucune approche d'évaluation normalisée pour déterminer si une solution particulière est considérée comme conforme aux exigences des services CJIS. AWS est résolu à aider ses clients à répondre aux exigences des services CJIS.
-
Comment un client CJIS répond-il aux exigences de chiffrement au repos ?
Tous les services AWS disposant de données au repos sont compatibles avec le chiffrement symétrique FIPS 197 AES 256 conformément à la politique de sécurité CJIS. En outre, les clients peuvent gérer leurs propres clés de chiffrement avec des clés de chiffrement principales à l'aide d'AWS Key Management Service (KMS) qui utilise les modules de sécurité matériels certifiés FIPS 140-2 et prend en charge les points de terminaison certifiés FIPS 140-2.
-
Comment un client CJIS répond-il aux exigences de chiffrement en transit ?
Pour aider les clients ayant des exigences cryptographiques FIPS, des API validées FIPS sont disponibles dans AWS East/West (commercial) et AWS GovCloud (US). AWS permet aux clients d'ouvrir une session sécurisée et chiffrée aux serveurs AWS en utilisant HTTPS (Transport Layer Security [TLS]).
-
Les points de terminaison FIPS AWS East/West (commercial) et GovCloud (États-Unis) répondent-ils aux exigences CJIS FIPS 140-2/3 ?
Certains services AWS proposent des points de terminaison qui prennent en charge la validation de la norme FIPS (Federal Information Processing Standard) dans certaines régions. Contrairement aux points de terminaison AWS standard, les points de terminaison FIPS utilisent une bibliothèque logicielle TLS conforme aux normes FIPS 140-2 ou FIP 140-3. L'utilisation de points de terminaison FIPS serait nécessaire pour répondre à la conformité CJIS pour CJI in Transit. Pour obtenir la liste des points de terminaison FIPS, consulter le page Points de terminaison FIPS par service.
-
Pour les services ayant des composants déployés au sein de l'environnement du client (Storage Gateway, Snowball), dans quelle mesure incombe-t-il au client de s'assurer de la conformité avec les services CJIS ?
Dans le cadre du modèle de responsabilité partagée d'AWS, les clients doivent s'assurer que les ressources déployées localement, comme les volumes de disque Storage Gateway et les stations de travail de transfert de données Snowball, sont gérées conformément aux contrôles des services CJIS, notamment pour l'isolation des données et les contrôles d'accès.
Les clients doivent s'assurer que la configuration des compartiments de stockage S3 pour Snowball et Storage Gateway dans AWS est conforme aux exigences des services CJIS, notamment le chiffrement au repos.
