Utilizzo di AWS per Criminal Justice Information Solutions
Panoramica
La CJIS Security Policy definisce i "controlli adeguati per proteggere l'intero ciclo di vita dei dati CJI (Criminal Justice Information), sia a riposo che in transito", indipendentemente dal modello di tecnologia informatica sottostante. L'utilizzo delle soluzioni sviluppate su AWS consente alle agenzie di gestire e mettere in sicurezza le applicazioni e i dati sul cloud di AWS.
AWS fornisce gli elementi fondamentali che le agenzie di pubblica sicurezza e i loro partner delle applicazioni possono utilizzare per creare applicazioni altamente disponibili, resilienti e sicure in linea con la CJIS Security Policy. I clienti di AWS mantengono la proprietà e il controllo completi dei dati, abilitati tramite l'accesso a strumenti nativi del cloud semplici e potenti che consentono loro di gestire l'intero ciclo di vita dei dati sensibili dei clienti. I clienti esercitano un controllo esclusivo sullo storage dei dati e sui metodi utilizzati per mettere in sicurezza i dati in transito e a riposo e gestiscono l'accesso ai propri sistemi informatici creati su AWS.
La corretta messa in sicurezza delle Criminal Justice Information (CJI) e il rispetto della conformità alla CJIS Security Policy richiede un certo numero di controlli di sicurezza volti a garantire che solo le persone autorizzate abbiano accesso alle CJI. Il principio del privilegio minimo è uno dei più importanti fondamenti della CJIS Security Policy sulla base di uno standard “need-to-know, right-to-know”. I clienti di AWS possono applicare il privilegio minimo crittografando in modo sicuro le loro CJI e limitando l’accesso alle CJI alle sole persone in possesso delle chiavi di crittografia. I clienti ricevono servizi e strumenti AWS come il Servizio AWS di gestione delle chiavi (KMS) e AWS Nitro System, che permettono alle loro agenzie e ai loro partner di fiducia di mantenere il pieno controllo e la piena proprietà dei loro dati relativi alla giustizia penale.
AWS KMS utilizza moduli di sicurezza hardware (HSM) con convalida FIPS 140-3 e consente ai propri clienti di creare, possedere e gestire le chiavi master dei propri clienti per tutta la crittografia. Tali chiavi master dei clienti non lasciano mai i moduli di sicurezza hardware con convalida FIPS di AWS KMS senza crittografia e non vengono mai rese note al personale AWS.
AWS Nitro System utilizza server e hardware progettati appositamente per l'esecuzione di un hypervisor di calcolo virtuale, il che rimuove tutte le porte, le componenti e le funzionalità aggiuntive superflue presenti sui server tradizionali. Il modello di sicurezza del sistema AWS Nitro è bloccato e vieta l'accesso amministrativo, eliminando la possibilità di errori umani e manomissioni. Inoltre, i clienti possono scegliere le AWS Nitro Enclaves che non dispongono di archiviazione persistente, accesso interattivo e reti esterne, in modo da creare ambienti di calcolo isolati per proteggere ulteriormente ed elaborare in sicurezza dati altamente sensibili.
I progressi tecnologici di AWS Nitro System e del Servizio AWS di gestione delle chiavi (AWS KMS) con modelli di sicurezza hardware con convalida FIPS 140-3 per le chiavi di crittografia simmetrica hanno eliminato la necessità di utilizzare il metodo tradizionale fondato sulla sicurezza fisica e gli accertamenti sui precedenti penali per concedere l'accesso di un individuo alle CJI non crittografate. Sebbene l’approccio tradizionale possa aiutare a raggiungere la conformità minima ai sensi della CJIS Security Policy, esso non si può paragonare alla sicurezza che si riesce a raggiungere sfruttando pratiche di crittografia forte e la distribuzione dei principi di “privilegio minimo” per limitare l’accesso alle CJI a coloro in possesso di “need-to-know”, “right-to-know” e di autorizzazione esplicita. Ciò consente a clienti e fornitori di applicazioni di creare soluzioni che rimuovono l'accesso fisico e logico dei dipendenti AWS alle CJI e ai dispositivi che archiviano, elaborano e trasmettono le CJI.
