ITAR
Genel Bakış
AWS GovCloud (Amerika Birleşik Devletleri) bölgesi, Amerika Uluslararası Silah Ticareti Düzenlemeleri (ITAR) ile uyumluluğu destekler. Kapsamlı bir ITAR uyumluluğu programı yönetiminin bir parçası olarak ITAR ihracat düzenlemelerine tabi olan şirketlerin, korunan verilere erişimi ABD Vatandaşları; ilgili verilerin fiziksel konumunu ise ABD şeklinde sınırlayarak kasıtsız ihraçları denetlemesi gerekir. AWS GovCloud (Amerika Birleşik Devletleri), fiziksel olarak ABD'de bulunan bir ortam sunar ve AWS personelinin erişimi ABD Vatandaşları ile sınırlıdır; bu şekilde nitelikli şirketlerin ITAR kısıtlamalarına tabi olan korumalı makale ve verileri aktarmasına, işlemesine ve saklamasına izin verir. AWS GovCloud (Amerika Birleşik Devletleri) ortamı, müşteri ihracat uyumluluğu programlarını desteklemesi adına doğru denetimlerin yapıldığından emin olmak için bağımsız bir üçüncü taraf tarafından denetlenmiştir.
-
ITAR nedir?
Uluslararası Silah Ticareti Düzenlemeleri (ITAR), savunmayla ilgili makalelerin ihraç edilmesini denetler ve ABD vatandaşı olmayan kişilerin ITAR ortamında saklanan makalelere hiçbir fiziksel ve mantıksal erişime sahip olamayacağını belirtir.
ITAR ABD Mühimmat Listesi (USML) kapsamındaki maddeler, özel bir yetki veya istisna olmadığı sürece yalnızca ABD Vatandaşları ile paylaşılabilecek ekipman, aksam, malzeme, yazılım ve teknik bilgileri kapsar. ABD Vatandaşları, ABD Yeşil Kart sahipleri ve ABD Uyruklu kişilerdir.
-
ITAR gereksinimleri buluta nasıl uygulanır?
Bulutta ITAR uyumluluğu, teknik veri olarak düşünülen bilgilerin kasıtsız olarak yabancı kişilere veya uluslara verilmemesini sağlamaya odaklanır. Verilerin ITAR'a tabi olması için BT iş yükünün veya veri türünün ABD Mühimmat Listesi (USML) uyarınca bir ihracat olarak görülmesi gerekir.
-
AWS, ITAR ihracat yönetmeliklerine tabi olan müşterileri nasıl destekler?
AWS, müşterilere verilerini yalnızca ABD topraklarında ABD Vatandaşları tarafından yönetilen AWS GovCloud (ABD) ortamında saklama seçeneği sunar. AWS GovCloud (ABD), hesapların yalnızca ABD kurumları için çalışan ABD Vatandaşlarına verildiği yalıtılmış bulut bölgesidir.
AWS, verilerin ITAR'a tabi olup olmadığı da dahil olmak üzere müşteriler tarafından ağımıza yüklenen verileri görmediğinden veya bilmediğinden GovCloud bölgesindeki tüm müşteri verileri ITAR verileri olarak görülür.
-
AWS GovCloud (ABD), ITAR gereksinimlerini karşılayan müşterilere garanti sağlıyor mu?
Resmi bir ITAR Sertifikası yoktur. AWS GovCloud (ABD), bağımsız bir üçüncü taraf değerlendirme kuruluşu (3PAO) olan resmi onaylı Federal Risk ve Yetkilendirme Yönetim Programı (FedRAMP) tarafından devamlı olarak denetlenmektedir ve FedRAMP Yüksek Ortak Yetkilendirme Kurulu (JAB) tarafından Geçici Çalışma Yetkisi (P-ATO) verilmiştir. JAB ABD Savunma Bakanlığı, İç Güvenlik Bakanlığı ve Genel Hizmetler İdaresi'nin Bilgi Teknolojileri Direktörleri (CIO) tarafından temsil edilir.
-
AWS üzerinde ITAR düzenlemelerine tabi verileri ileten, işleyen ve depolayan Müşteriler için AWS Paylaşılan Sorumluluk modeli nasıl uygulanır?
Sunulan bulut altyapısının ve temel hizmetlerin mantıksal ve fiziksel uyumluluğu AWS'nin sorumluluğundadır. Müşteriler, kendi kurumlarında bulunan BT altyapısı, uygulamalar ve sistemlerden kendileri sorumludur. Yukarıda belirtildiği üzere AWS GovCloud FedRAMP Yüksek JAB P-ATO, AWS’nin AWS üzerinde ITAR ile uyumlu sistemler oluşturmasını desteklemek üzere AWS GovCloud (ABD) bölgesinde gerekli denetimlerin uygulandığını onaylamaktadır. Bu da AWS GovCloud (ABD) bölgesinde veri işleyen ve depolayan müşterilerin kendi güvenlik mevzuatlarına uyumluluk yükümlülüklerini yönetmesini sağlamaktadır. Aşağıda birkaç örnek verilmiştir:
Hassas Verileri Koruma: Amazon S3'de sunucu tarafından şifrelemeyle sınıflandırılmamış hassas verileri koruyun; AWS CloudHSM ile güvenlik anahtarlarını saklayın ve yönetin veya tek tıklamalı AWS Key Management Service (KMS) özelliğimizi kullanın.
Bulut Görünürlüğünü İyileştirme: API destekli günlük kaydı hizmetimiz olan ve ABD Vatandaşları tarafından yönetilen ve çalıştırılan Amazon CloudTrail ile hassas verilere erişimi ve bu verilerin kullanımını denetleyin.
Kimlik Yönetimini Güçlendirme: Hassas verilere erişimi kişi, zaman ve konum tabanlı olarak sınırlandırın ve kimlik federasyonu, kolay anahtar değiştirme ve diğer güçlü erişim denetimi test araçlarını kullanarak kullanıcıların yapabileceği API çağrılarını sınırlandırın.