ITAR
Обзор
В регионе AWS GovCloud (США) обеспечивается соответствие требованиям Правил международных перевозок вооружений США (ITAR). В рамках всеобъемлющей программы соответствия требованиям ITAR компании, обязанные соблюдать правила экспорта ITAR, должны предотвратить непреднамеренный экспорт путем предоставления доступа к защищенным данным только гражданам США и физического расположения этих данных только на территории США. Регион AWS GovCloud (США) предоставляет среду, физически расположенную на территории США; доступ к ней имеют только сотрудники AWS, которые являются гражданами США. Это позволяет соответствующим компаниям осуществлять перемещение, обработку и хранение защищенных предметов и данных с соблюдением ограничений ITAR. Аудит среды региона AWS GovCloud (США), проведенный независимыми сторонними экспертами, подтвердил наличие надлежащих средств управления и контроля для поддержки программ соответствия данным правилам экспорта.
-
Что такое ITAR?
Правила международной торговли оружием (ITAR) регулируют экспорт продуктов оборонного назначения и регламентируют, что нерезиденты США не могут иметь физического или логического доступа к продуктам, хранимым в условиях, регулируемых ITAR.
Номенклатура военного имущества США (USML), регулируемого ITAR, включает оборудование, компоненты, материалы, программное обеспечение и техническую информацию, которые могут использоваться только резидентами США в отсутствии специального разрешения или предоставления привилегии. Резиденты США – это физические лица, являющиеся владельцами грин‑карты США или гражданами США.
-
Как требования ITAR применяются к облаку?
При обеспечении соответствия требованиям ITAR в облаке особое внимание уделяется тому, чтобы информация, считаемая техническими данными, не попала случайно в распоряжение иностранных граждан или иностранных государств. Для того чтобы на данные распространялось действие ITAR, необходимо, чтобы данная рабочая ИТ‑нагрузка или этот тип данных считались экспортным продуктом в соответствии с Номенклатурой военного имущества США (USML).
-
Как AWS поддерживает клиентов, подпадающих под действие экспортных правил ITAR?
AWS предоставляет клиентам возможность хранить данные в регионе AWS GovCloud (США), который обслуживается исключительно резидентами США и находится на территории США. AWS GovCloud (США) является изолированным облачным регионом Amazon, в котором аккаунты открываются только для резидентов США, работающих на организации США.
Так как AWS не обладает возможностью контроля данных, загружаемых клиентами в ее сеть, и не располагает сведениями о них, в том числе подпадают ли они или нет под правила ITAR, все данные клиентов внутри региона GovCloud считаются данными, подпадающими под действие ITAR, и с ними обращаются соответственно.
-
Как клиент может убедиться, что регион AWS GovCloud (США) соответствует требованиям ITAR?
Формальная сертификация на соответствие требованиям ITAR отсутствует. Регион AWS GovCloud (США) регулярно проверяется аккредитованными сторонними экспертами на соответствие программе Federal Risk Authorization Management Program (FedRAMP) и имеет предварительное разрешение на ведение деятельности, выданное объединенным аттестационным комитетом FedRAMP (FedRAMP JAB P‑ATO). К представителям объединенного аттестационного комитета относятся руководители по информационным технологиям Министерства обороны США, Министерства внутренней безопасности США и Администрации общих служб США.
-
Как применяется принцип общей ответственности AWS в случае, когда клиент передает, обрабатывает и хранит в AWS данные, подпадающие под правила ITAR?
AWS отвечает за логическое и физическое соответствие предлагаемой облачной инфраструктуры и ключевых сервисов принятым требованиям. Клиенты отвечают за работу собственной локальной ИТ‑инфраструктуры, приложений и систем. Как уже указывалось выше, FedRAMP JAB P‑ATO высокого уровня для AWS подтверждает наличие в регионе AWS GovCloud (США) систем управления для поддержки клиентов, которые создают на AWS системы, соответствующие требованиям ITAR. Это облегчает клиентам выполнение их обязательств по обеспечению соответствия требованиям безопасности при обработке и хранении данных в регионе AWS GovCloud (США). Ниже приведены несколько примеров.
Обеспечение защиты конфиденциальных данных. Защищайте конфиденциальные несекретные файлы данных с помощью шифрования на стороне сервера в Amazon S3; храните ключи безопасности и управляйте ими с помощью AWS CloudHSM или используйте сервис AWS Key Management Service (KMS), которым можно управлять за один щелчок мышью.
Повышение наглядности облака. Проводите аудит доступа к конфиденциальным данным и их использования в Amazon CloudTrail, сервисе ведения журналов под управлением и обслуживанием резидентов США.
Улучшение управления удостоверениями. Ограничивайте доступ к конфиденциальным данным для отдельных людей, по времени или местоположению, ограничивайте, какие вызовы API могут делать пользователи, с помощью федерации удостоверений, простой ротации ключей и других удобных и мощных инструментов управления доступом.