การใช้ AWS สำหรับโซลูชันข้อมูลงานยุติธรรมทางอาญา
ภาพรวม
นโยบายความปลอดภัย CJIS กำหนด “การควบคุมที่เหมาะสมเพื่อการปกป้องตลอดวงจรชีวิตของ CJI (ข้อมูลงานยุติธรรมทางอาญา) ไม่ว่าในขณะพักเก็บหรือระหว่างการส่ง” ไม่ว่าจะใช้โมเดลเทคโนโลยีสารสนเทศพื้นฐานแบบใด การใช้โซลูชันที่สร้างขึ้นบน AWS จะช่วยให้หน่วยงานสามารถจัดการและรักษาความปลอดภัยแอปพลิเคชันและข้อมูลใน AWS Cloud ได้
AWS นำเสนอองค์ประกอบพื้นฐานซึ่งหน่วยงานด้านความปลอดภัยสาธารณะและคู่ค้าผู้ให้บริการแอปพลิเคชันสามารถใช้เพื่อสร้างแอปพลิเคชันที่มีความพร้อมใช้งานสูง มีความยืดหยุ่น และปลอดภัยซึ่งสอดคล้องกับนโยบายความปลอดภัย CJIS ลูกค้า AWS สามารถรักษาความเป็นเจ้าของและการควบคุมทั้งหมดในข้อมูลของตน ซึ่งสามารถใช้งานได้ผ่านการเข้าถึงเครื่องมือแบบ Cloud Native ที่เรียบง่ายและมีประสิทธิภาพสูงที่ทำให้ลูกค้าสามารถจัดการข้อมูลของลูกค้าที่มีความละเอียดอ่อนได้ตลอดวงจรชีวิตข้อมูล ลูกค้าสามารถดำเนินการควบคุมเป็นพิเศษว่าจะจัดเก็บข้อมูลที่ใดและรักษาความปลอดภัยให้กับข้อมูลในระหว่างการส่งและพักเก็บด้วยวิธีการใด รวมถึงจัดการการเข้าถึงระบบข้อมูลของตนที่สร้างขึ้นบน AWS
การรักษาความปลอดภัยข้อมูลงานยุติธรรมทางอาญา (CJI) อย่างเหมาะสมและการรักษาความสอดคล้องกับนโยบายความปลอดภัย CJIS นั้นจำเป็นต้องมีการควบคุมความปลอดภัยจำนวนมากเพื่อให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึง CJI ได้ หลักการของสิทธิพิเศษที่น้อยที่สุดเป็นหนึ่งในรากฐานที่สำคัญที่สุดของนโยบายความปลอดภัย CJIS ที่ยึดตามมาตรฐาน "ความจำเป็นที่ต้องรู้ สิทธิ์ที่จะรู้" ลูกค้า AWS สามารถบังคับใช้สิทธิ์ที่น้อยที่สุดได้โดยการเข้ารหัส CJI อย่างปลอดภัยและจำกัดการเข้าถึง CJI ทั้งหมดให้กับผู้ที่สามารถเข้าถึงคีย์การเข้ารหัสได้เท่านั้น ลูกค้าจะได้รับบริการและเครื่องมือของ AWS เพื่อช่วยให้หน่วยงานและคู่ค้าที่เชื่อถือได้สามารถคงไว้ซึ่งการควบคุมและความเป็นเจ้าของข้อมูลงานยุติธรรมทางอาญาของตนเองได้อย่างสมบูรณ์ เช่น AWS Key Management Service (KMS) และ AWS Nitro System
AWS KMS ใช้โมดูลรักษาความปลอดภัยฮาร์ดแวร์ (HSM) ที่ได้รับการตรวจสอบความถูกต้องภายใต้ FIPS 140-2 และให้ลูกค้าสามารถสร้าง เป็นเจ้าของ และจัดการคีย์หลักของลูกค้าของตนได้สำหรับการเข้ารหัสทั้งหมด คีย์หลักของลูกค้าเหล่านี้จะไม่ปล่อยให้โมดูลความปลอดภัยฮาร์ดแวร์ที่ผ่านการตรวจสอบความถูกต้อง AWS KMS FIPS ขาดการเข้ารหัสและจะไม่มีทางรู้จักโดยบุคลากรของ AWS
AWS Nitro System ใช้ฮาร์ดแวร์ที่สร้างขึ้นตามวัตถุประสงค์และเซิร์ฟเวอร์ที่ออกแบบมาเป็นพิเศษเพื่อเรียกใช้ไฮเปอร์ไวเซอร์การประมวลผลเสมือนจริง ไม่มีอะไรมากไปกว่านี้ โดยจะนำพอร์ต องค์ประกอบ และความสามารถที่เพิ่มเติมและไม่จำเป็นทั้งหมดซึ่งพบได้บนเซิร์ฟเวอร์แบบดั้งเดิมออก โมเดลการรักษาความปลอดภัยของ AWS Nitro System จะล็อกและห้ามการเข้าถึงแบบผู้ดูแลระบบ ลดการดัดแปลงแก้ไขและข้อผิดพลาดจากมนุษย์ที่อาจเกิดขึ้นได้ ลูกค้ายังสามารถเลือก AWS Nitro Enclaves ซึ่งไม่มีพื้นที่จัดเก็บแบบถาวร ไม่มีการเข้าถึงแบบตอบโต้ และไม่มีระบบเครือข่ายภายนอกเพื่อสร้างสภาพแวดล้อมการประมวลผลแยกสำหรับการปกป้องเพิ่มเติมและการประมวลผลข้อมูลที่มีความละเอียดอ่อนสูงอย่างปลอดภัย
ความก้าวหน้าทางเทคโนโลยีของ AWS Nitro System และ AWS Key Management Service ที่ใช้โมดูลรักษาความปลอดภัยฮาร์ดแวร์ซึ่งได้รับการตรวจสอบตาม FIPS 140-2 สำหรับคีย์การเข้ารหัสแบบสมมาตรได้ลดความจำเป็นในการใช้วิธีการดั้งเดิมในการพึ่งพาการตรวจสอบความปลอดภัยทางกายภาพและการตรวจสอบประวัติเพื่อให้ได้คุณสมบัติการ “เข้าถึง” แบบแยกไปยัง CJI ที่ไม่มีการเข้ารหัส ในขณะที่วิธีการดั้งเดิมสามารถช่วยให้บรรลุข้อกำหนดขั้นต่ำภายใต้นโยบายความปลอดภัย CJIS แต่ก็ไม่ได้เปรียบเทียบกับความปลอดภัยที่สามารถทำได้โดยใช้วิธีการเข้ารหัสที่รัดกุมและการใช้หลักการ “สิทธิพิเศษน้อยที่สุด” เพื่อจำกัดการเข้าถึง CJI สำหรับผู้ที่จำเป็นต้องรู้ มีสิทธิ์ที่จะรู้ และการให้สิทธิ์อนุญาตแบบเปิดเผย ซึ่งช่วยให้ลูกค้าและผู้ให้บริการแอปพลิเคชันสร้างโซลูชันซึ่งขจัดการเข้าถึงทางกายภาพและเชิงตรรกะไปยัง CJI และอุปกรณ์ซึ่งจัดเก็บ ประมวลผล และส่งข้อมูล CJI ของพนักงาน AWS ทั้งหมด
-
AWS ปฏิบัติตามกฎระเบียบของ CJIS หรือไม่
ไม่มีหน่วยงานกลางซึ่งได้รับสิทธิ์ของ CJIS กลุ่มผู้ประเมินอิสระที่ได้รับการรับรอง หรือแนวทางการประเมินแบบมาตรฐาน ที่จะพิจารณาว่าโซลูชันเฉพาะนั้นปฏิบัติตามข้อบังคับของ CJIS หรือไม่ AWS มุ่งมั่นที่จะช่วยให้ลูกค้าปฏิบัติงานโดยเป็นไปตามข้อกำหนดของ CJIS
-
ลูกค้า CJIS พึงพอใจต่อข้อกำหนดการเข้ารหัสข้อมูลพักเก็บเพียงใด
บริการของ AWS ทั้งหมดที่มีข้อมูลที่พักเก็บรองรับการเข้ารหัสแบบสมมาตรตาม FIPS 197 AES 256 โดยสอดคล้องกับนโยบายความปลอดภัย CJIS และลูกค้าสามารถจัดการคีย์การเข้ารหัสของตนได้ด้วยคีย์หลักการเข้ารหัสที่มีการจัดการโดยลูกค้าโดยใช้ AWS Key Management Service (KMS) ซึ่งใช้โมดูลรักษาความปลอดภัยฮาร์ดแวร์ (HSM) ที่ได้รับการตรวจสอบความถูกต้องตาม FIPS 140-2 และรองรับตำแหน่งข้อมูลที่มีการตรวจสอบความถูกต้องตาม FIPS 140-2
-
ลูกค้า CJIS พึงพอใจต่อข้อกำหนดการเข้ารหัสข้อมูลระหว่างการส่งเพียงใด
เพื่อสนับสนุนลูกค้าที่มีข้อกำหนดการเข้ารหัส FIPS API ที่ได้รับการตรวจสอบของ FIPS จึงพร้อมใช้งานทั้งใน AWS East/West (เชิงพาณิชย์) และ AWS GovCloud (สหรัฐฯ) AWS ช่วยให้ลูกค้าสามารถเปิดเซสชันที่มีการเข้ารหัสอย่างปลอดภัยไปยังเซิร์ฟเวอร์ AWS โดยใช้ HTTPS (Transport Layer Security [TLS])
-
ตำแหน่งข้อมูล FIPS ของ AWS East/West (เชิงพาณิชย์) และ GovCloud (สหรัฐฯ) ตรงตามข้อกำหนด CJIS FIPS 140-2/3 หรือไม่
บริการ AWS บางอย่างเสนอตำแหน่งข้อมูลที่รองรับการตรวจสอบมาตรฐานการประมวลผลข้อมูลของรัฐบาลกลาง (FIPS) ในบางภูมิภาค ตำแหน่งข้อมูล FIPS ต่างจากตำแหน่งข้อมูล AWS มาตรฐานตรงที่ใช้ไลบรารีซอฟต์แวร์ TLS ที่สอดคล้องกับ FIPS 140-2 หรือ FIP 140-3 การใช้ตำแหน่งข้อมูล FIPS จะต้องเป็นไปตามข้อกำหนด CJIS สำหรับ CJI in Transit สำหรับรายการตำแหน่งข้อมูล FIPS โปรดดูที่ตำแหน่งข้อมูล FIPS ตามบริการ
-
สำหรับบริการที่มีองค์ประกอบที่มีการปรับใช้งานภายในสภาพแวดล้อมของลูกค้า (Storage Gateway, Snowball) หน้าที่รับผิดชอบของลูกค้าในการรับรองถึงการปฏิบัติตาม CJIS คืออะไร
ภายใต้รูปแบบความรับผิดชอบร่วมกันของ AWS ลูกค้าต้องตรวจสอบให้มั่นใจว่าทรัพยากรที่ปรับใช้ภายใน เช่น ไดรฟ์ข้อมูลแบบดิสก์ Storage Gateway และเวิร์กสเตชันการโอนถ่ายข้อมูล Snowball ได้รับการจัดการอย่างสอดคล้องตามการควบคุมของ CJIS รวมถึงการควบคุมการแยกและการเข้าถึงข้อมูล
ลูกค้าต้องตรวจสอบให้มั่นใจว่าบัคเก็ตพื้นที่จัดเก็บ S3 สำหรับ Snowball และ Storage Gateway ใน AWS ได้รับการกำหนดค่าให้สอดคล้องกับข้อกำหนดของ CJIS รวมถึงการเข้ารหัสข้อมูลพักเก็บ
