Como usar a AWS para soluções de informação de justiça criminal
Visão geral
A Política de segurança de CJIS descreve os “controles adequados para proteger o ciclo de vida completo de CJI (Informações da justiça criminal), seja em repouso, seja em trânsito”, independentemente do modelo de tecnologia da informação subjacente. Ao usar soluções criadas na AWS, as agências podem gerenciar e proteger suas aplicações e dados na Nuvem AWS.
A AWS fornece blocos de construção que agências de segurança pública e seus parceiros de aplicações podem utilizar para construir aplicações altamente disponíveis, resilientes e seguras alinhadas com a Política de segurança de CJIS. Os clientes da AWS mantêm propriedade e controle completos sobre seus dados, que são habilitados por meio do acesso a ferramentas nativas de nuvem simples e avançadas que permitem que eles gerenciem todo o ciclo de vida dos dados confidenciais do cliente. Os clientes exercem controle exclusivo sobre o local onde os dados são armazenados e os métodos usados para proteger os dados em trânsito e em repouso e gerenciam o acesso aos seus sistemas de informação criados na AWS.
A proteção adequada das Informações da justiça criminal (CJI) e a manutenção da conformidade com a Política de segurança de CJIS requerem vários controles de segurança que visam garantir que apenas indivíduos autorizados tenham acesso às CJI. O princípio de privilégios mínimos é um dos fundamentos da Política de segurança de CJIS, com base em um padrão de “necessidade de saber, direito de saber”. Os clientes da AWS podem impor privilégios mínimos criptografando com segurança suas CJI e limitando todo o acesso às CJI apenas para aqueles com acesso às chaves de criptografia. Os clientes recebem ferramentas e produtos da AWS para permitir que suas agências e parceiros confiáveis mantenham controle e propriedade totais sobre seus próprios dados de justiça criminal, como o AWS Key Management Service (KMS) e AWS Nitro System.
O AWS KMS utiliza módulos de segurança de hardware (HSMs) que foram validados na FIPS 140-2 e permitem que os clientes criem, tenham e gerenciem suas próprias chaves mestre do cliente para toda a criptografia. Essas chaves mestre do cliente nunca deixam os módulos de segurança de hardware validados pelos FIPS do AWS KMS descriptografados e nunca são conhecidas pela equipe da AWS.
O sistema AWS Nitro usa hardware e servidores desenvolvidos especificamente para executar um hipervisor de computação virtual, nada mais, removendo todas as portas, componentes e recursos extras e desnecessários encontrados em servidores tradicionais. O modelo de segurança do AWS Nitro System é bloqueado e inviabiliza o acesso administrativo, o que elimina possibilidades de erro humano e violações. Os clientes também pode escolher o AWS Nitro Enclaves que não apresenta armazenamento persistente, acesso interativo e rede externa para criar ambientes de computação isolados para proteger ainda mais e processar com segurança dados altamente confidenciais.
Os avanços tecnológicos do AWS Nitro System e do AWS Key Management Service usando módulos de segurança de hardware, validados pela FIPS 140-2, para chaves de criptografia simétricas eliminaram a necessidade de se envolver no método tradicional de confiar na segurança física e verificações de antecedentes, como uma forma de se qualificar o “acesso” de um indivíduo às CJI não criptografadas. Embora a abordagem tradicional possa ajudar a manter a conformidade mínima com a Política de segurança de CJIS, ela não se compara à segurança que pode ser obtida usando as práticas de criptografia forte e a implantação de princípios de “privilégios mínimos” para restringir o acesso às CJI para pessoas com necessidade de saber, direito de saber e sua autorização explícita. Isso permite que clientes e provedores de aplicações criem soluções que impeçam que todos os funcionários da AWS tenham acesso físico e lógico às CJI e aos dispositivos que armazenam, processam e transmitem CJI.
-
O AWS CJIS é compatível?
Não existe um órgão de autorização central de CJIS, nem um grupo credenciado de avaliadores independentes e nem uma abordagem de avaliação padronizada para determinar se uma solução específica é considerada em conformidade com os CJIS. A AWS se compromete a ajudar os clientes a atender aos requisitos de CJIS.
-
Como um cliente de CJIS atende aos requisitos de criptografia em repouso?
Todos os serviços da AWS com dados em repouso oferecem suporte à criptografia simétrica FIPS 197 AES 256, conforme a Política de segurança de CJIS, e os clientes podem gerenciar suas próprias chaves de criptografia com chaves primárias de criptografia gerenciadas pelo cliente com o AWS Key Management Service (KMS), que usa módulos de segurança de hardware (HSM) FIPS 140-2 validados e oferece suporte a endpoints FIPS 140-2 validados.
-
Como um cliente de CJIS atende aos requisitos de criptografia em trânsito?
Para oferecer suporte a clientes com requisitos criptográficos FIPS, as APIs validadas pela FIPS estão disponíveis nas regiões AWS Leste/Oeste (comercial) e na AWS GovCloud (EUA). A AWS permite que os clientes abram uma sessão criptografada segura para servidores da AWS usando HTTPS (Transport Layer Security [TLS]).
-
Os endpoints FIPS das regiões AWS Leste/Oeste (comercial) e GovCloud (EUA) atendem aos requisitos do CJIS FIPS 140-2/3?
Alguns serviços da AWS oferecem endpoints compatíveis com a validação do Federal Information Processing Standard (FIPS) em algumas regiões. Diferentemente dos endpoints padrão da AWS, os endpoints FIPS usam uma biblioteca de software TLS compatível com o FIPS 140-2 ou FIP 140-3. O uso de endpoints FIPS seria obrigatório para atender à conformidade do CJIS para o CJI in Transit. Para obter uma lista de endpoints FIPS, consulte Endpoints FIPS por serviço.
-
Para serviços que têm componentes implantados no ambiente do cliente (Storage Gateway, Snowball), qual é a responsabilidade do cliente por garantir a conformidade com o CJIS?
No Modelo de Responsabilidade Compartilhada da AWS, os clientes devem garantir que os recursos implantados localmente, como volumes de disco do Storage Gateway e estações de trabalho de transferência de dados do Snowball, sejam gerenciados de acordo com os controles dos CJIS, incluindo isolamento de dados e controles de acesso.
Os clientes devem garantir que os buckets de armazenamento de S3 para Snowball e Storage Gateway na AWS sejam configurados de acordo com os requisitos dos CJIS, incluindo criptografia em repouso.
