Criminal Justice Information Solutions için AWS Kullanma
Genel Bakış
CJIS Güvenlik Politikası altında yatan bilgi teknolojisi modeline bakılmaksızın “bekleme veya geçiş halindeyken CJI'nin (Criminal Justice Information) tüm yaşam döngüsünü korumak için uygun kontrolleri” ana hatlarıyla belirtir. Ajanslar AWS üzerine kurulu çözümleri kullanarak uygulamalarını ve verilerini AWS bulutunda yönetebilir ve güvence altına alabilirler.
AWS, kamu güvenliği kurumlarının ve uygulama çözüm ortaklarının CJIS Güvenlik Politikası ile uyumlu olarak yüksek düzeyde erişilebilir, dayanıklı ve güvenli uygulamalar oluşturmak için kullanabilecekleri yapı taşları sağlar. AWS müşterileri hassas müşteri verilerinin tüm yaşam döngüsünü yönetmelerine olanak sağlayan basit, güçlü, bulut yerel araçlara erişim yoluyla etkinleştirilen verileri üzerinde tam sahiplik ve denetim sağlar. Müşteriler verilerin nerede depolandığı ve geçiş hâlindeki ve beklemedeki verilerin güvenliğini sağlamak için kullanılan yöntemler üzerinde özel denetim kullanır ve AWS üzerine kurulu bilgi sistemlerine erişimi yönetir.
Criminal Justice Information (CJI) için uygun güvenlik sağlanması ve CJIS Güvenlik Politikası ile uyumluluğun korunması için CJI'ye yalnızca yetkili kişilerin erişebilmesine olanak sağlanması için çeşitli güvenlik denetimleri gerekir. En az ayrıcalık ilkesi, “bilmesi gereken”, “bilmeye hakkı olan” standardına dayalı CJIS Güvenlik Politkası'nın temel unsurlarından biridir. AWS müşterileri CJI'lerini güvenle şifreleyerek ve CJI'yi yalnızca şifreleme anahtarları olanların erişebileceği biçimde kısıtlayarak en az ayrıcalık uygulayabilir. Müşterilere ajanslarının ve güvenilir çözüm ortaklarının AWS Key Management Service (KMS) ve AWS Nitro Systemgibi kendi ceza adaleti verileri üzerinde tam denetim ve sahiplik sağlamalarına olanak sağlayan AWS hizmetleri ve araçları sağlanır.
AWS KMS, FIPS 140-2 kapsamında doğrulanmış donanım güvenlik modüllerini (HSM) kullanır ve müşterilerin tüm şifreleme için kendi müşteri ana anahtarlarını oluşturmalarına, bu anahtarlara sahip olmalarına ve bu anahtarları yönetmelerine olanak sağlar. Bu müşteri ana anahtarları hiçbir zaman şifrelenmeden AWS KMS FIPS onaylı donanım güvenlik modüllerinden ayrılmaz ve AWS çalışanlarına gösterilmez.
AWS Nitro System, geleneksel sunucularda bulunan tüm ekstra ve gereksiz bağlantı noktalarını, bileşenleri ve yetenekleri kaldırarak sanal bir bilgi işlem hiper yöneticisini çalıştırmak için özel olarak tasarlanmış amaca özel donanım ve sunucular kullanır. AWS Nitro Sisteminin güvenlik modeli kilitlidir ve yönetim erişimini yasaklayarak insan hatası ve kurcalama olasılığını ortadan kaldırır. Müşteriler ayrıca son derece hassas verileri daha fazla korumak ve güvenli bir şekilde işlemek için izole bilgi işlem ortamları oluşturmak için kalıcı depolama, etkileşimli erişim ve harici ağ özelliği olmayan AWS Nitro Enclaves'i de seçebilir.
AWS Nitro System ve AWS Key Management Service'in simetrik şifreleme anahtarları için FIPS 140-2 doğrulanmış donanım güvenlik modüllerini kullanan teknolojik ilerlemeleri bir bireyin şifrelenmemiş CJI'ye "erişimini" uygun hâle getirmenin bir yolu olarak fiziksel güvenliğe ve geçmiş kontrollerine güvenmenin geleneksel yöntemini kullanma ihtiyacını ortadan kaldırmıştır. Geleneksel yaklaşım minimum düzeyde CJIS Güvenlik Politikası uyumluluğunun sağlanmasına yardımcı olabilir, ancak CJI'ye yalnızca bilgilere ulaşması gereken, ulaşmaya hakkı olan ve ulaşması için açıkça yetki verilen kişilerin erişebilmesini sağlamaya yönelik güçlü şifreleme yöntemlerinin kullanılması ve “en az ayrıcalık” ilkelerinin dağıtılmasıyla elde edilecek güvenlik düzeyine ulaşmanızı sağlamaz. Bu, müşterilerin ve uygulama sağlayıcılarının tüm AWS çalışanlarının CJI'ye ve CJI depolayan, işleyen ve ileten cihazlara fiziksel ve mantıksal olarak erişime sahip olmalarını engelleyen çözümler oluşturmalarına olanak sağlar.
-
AWS, CJIS ile uyumlu mudur?
Belirli bir çözümün CJIS ile uyumlu olarak değerlendirilip değerlendirilmediğini belirlemeye yönelik standart bir değerlendirme yaklaşımı veya resmi onaylı bir bağımsız değerlendirenler havuzu ya da merkezi bir CJIS yetkilendirme organı yoktur. AWS müşterilerin CJIS gereksinimlerini karşılamalarına yardımcı olmaya kararlıdır.
-
CJIS müşterisi Bekleme Sırasında Şifreleme Gereksinimlerini nasıl karşılar?
Bekleme durumunda veri içeren tüm AWS hizmetleri CJIS Güvenlik Politikası uyarınca FIPS 197 AES 256 simetrik şifrelemeyi destekler ve müşteriler FIPS 140-2 doğrulanmış donanım güvenlik modülleri (HSM) kullanan ve FIPS 140-2 doğrulanmış uç noktaları destekleyen AWS Anahtar Yönetimi Hizmeti'ni (AWS KMS) kullanarak müşteri tarafından yönetilen ana şifreleme anahtarlarıyla kendi şifreleme anahtarlarını yönetebilirler.
-
CJIS müşterisi Taşınma Sırasında Şifreleme Gereksinimlerini nasıl karşılar?
FIPS şifreleme gereksinimleri olan müşterileri desteklemek için FIPS onaylı API'ler, hem AWS Doğu/Batı (ticari) hem de AWS GovCloud'da (ABD) kullanılabilir. AWS, müşterilerin HTTPS (Transport Layer Security [TLS]) kullanarak AWS sunucularında güvenli, şifreli bir oturum açmalarına olanak sağlar.
-
Hem AWS Doğu/Batı (ticari) hem de GovCloud (ABD) FIPS uç noktaları CJIS FIPS 140-2/3 gereksinimlerini karşılıyor mu?
Bazı AWS hizmetleri, bazı bölgelerde Federal Bilgi İşleme Standardı (FIPS) doğrulamasını destekleyen uç noktalar sunar. Standart AWS uç noktalarının aksine FIPS uç noktaları, FIPS 140-2 veya FIP 140-3 ile uyumlu bir TLS yazılım kitaplığı kullanır. Taşınan CJI için CJIS uyumluluğunu karşılamak adına FIPS uç noktalarının kullanılması gerekecektir. FIPS uç noktalarının listesi için Hizmete göre FIPS uç noktaları bölümüne bakın.
-
Müşteri ortamında (Depolama Ağ Geçidi, Snowball) dağıtılan bileşenlere sahip hizmetler için CJIS Uyumluluğu'nu sağlamada müşterinin sorumluluğu nedir?
Müşteriler AWS Paylaşılan Sorumluluk Modeli kapsamında Depolama Ağ Geçidi disk birimleri ve Snowball veri aktarımı iş istasyonları gibi yerel olarak dağıtılan kaynakların veri izolasyonu ve erişim kontrolleri dâhil CJIS kontrollerine uygun olarak yönetildiğinden emin olmalıdır.
Müşteriler AWS'de Snowball ve Storage Gateway için S3 depolama klasörlerinin kullanımda olmayan şifreleme dâhil CJIS gereksinimlerine göre yapılandırıldıklarından emin olmalıdır.
