Sử dụng AWS cho Giải pháp thông tin tư pháp hình sự

Chính sách bảo mật của CJIS phác thảo "các biện pháp kiểm soát phù hợp để bảo vệ toàn bộ vòng đời của CJI (Criminal Justice Information – Thông tin tư pháp hình sự), dù ở trạng thái truyền hay lưu trữ," không phân biệt mô hình công nghệ thông tin cơ bản. Bằng cách sử dụng các giải pháp được xây dựng trên AWS, các cơ quan có thể quản lý và bảo mật các ứng dụng và dữ liệu của họ trên đám mây AWS.

AWS cung cấp các khối dựng mà các cơ quan bảo mật công khai và đối tác ứng dụng của họ có thể tận dụng để xây dựng các ứng dụng có tính khả dụng cao, bền bỉ và an toàn, phù hợp với Chính sách bảo mật của CJIS. Khách hàng của AWS sẽ duy trì toàn bộ quyền sở hữu và kiểm soát đối với dữ liệu của họ, có được nhờ quyền truy cập đến các công cụ đơn giản, mạnh mẽ dành cho đám mây. Các công cụ này giúp họ quản lý toàn bộ vòng đời của dữ liệu nhạy cảm của khách hàng. Khách hàng thực hiện quyền kiểm soát độc quyền đối với địa điểm lưu trữ dữ liệu và phương pháp được dùng để bảo mật dữ liệu ở trạng thái truyền hoặc lưu trữ, cũng như quản lý quyền truy cập vào hệ thống thông tin của họ được xây dựng trên AWS.

Việc bảo mật Thông tin tư pháp hình sự (CJI) và duy trì tuân thủ Chính sách bảo mật của CJIS theo cách phù hợp cần có một số biện pháp kiểm soát bảo mật nhằm đảm bảo chỉ những cá nhân được ủy quyền mới có quyền truy cập vào CJI. Nguyên tắc của đặc quyền tối thiểu là một trong những nền tảng cơ bản nhất trong Chính sách bảo mật của CJIS dựa trên tiêu chuẩn "nhu cầu cần biết, có quyền được biết". Khách hàng của AWS có thể thực thi đặc quyền tối thiểu bằng cách mã hóa an toàn CJI của họ và chỉ cho phép những người có quyền truy cập vào khóa mã hóa truy cập vào CJI. Khách hàng được cung cấp công cụ và dịch vụ AWS để cho phép các cơ quan và đối tác đáng tin cậy của họ giữ quyền kiểm soát và quyền sở hữu hoàn toàn đối với dữ liệu tư pháp hình sự của chính họ, chẳng hạn như AWS Key Management Service (KMS) và AWS Nitro System.

AWS KMS sử dụng mô-đun bảo mật phần cứng (HSM) đã được xác thực theo tiêu chuẩn FIPS 140-2 và cho phép khách hàng tạo, sở hữu và quản lý khóa chính của chính khác hàng cho tất cả loại mã hóa. Các khóa chính của khách hàng này luôn mã hóa mô-đun bảo mật phần cứng được xác thực theo FIPS của AWS KMS và nhân viên AWS không bao giờ biết.

Hệ thống AWS Nitro sử dụng phần cứng chuyên dụng và máy chủ được thiết kế đặc biệt để chạy trình điều khiển ảo hóa điện toán ảo – không còn thành phần nào khác – loại bỏ tất cả cổng, thành phần và các chức năng bổ sung không cần thiết có trên máy chủ truyền thống. Mô hình bảo mật của Hệ thống AWS Nitro bị khóa và cấm quyền truy cập quản trị, loại trừ khả năng lỗi và giả mạo từ con người. Khách hàng cũng có thể chọn AWS Nitro Enclaves không có dung lượng lưu trữ lâu dài, quyền truy cập tương tác và khả năng kết nối mạng ngoài để tạo môi trường điện toán cô lập, từ đó bảo vệ và xử lý bảo mật dữ liệu có tính nhạy cảm cao tốt hơn.

Những tiến bộ công nghệ của Hệ thống AWS Nitro và AWS Key Management Service sử dụng mô-đun bảo mật phần cứng đã được xác thực theo FIPS 140-2 cho các khóa mã hóa đối xứng đã loại bỏ nhu cầu tham gia vào phương pháp truyền thống dựa vào phương pháp bảo mật vật lý và kiểm tra lý lịch như một cách để xét "quyền truy cập" của một cá nhân có đủ điều kiện tiếp cận CJI không được mã hóa hay không. Mặc dù phương pháp truyền thống có thể giúp đạt được sự tuân thủ tối thiểu theo Chính sách bảo mật của CJIS, mức độ bảo mật lại không bằng mức độ có thể đạt được nhờ sử dụng các biện pháp thực hành mã hóa mạnh và triển khai các nguyên tắc "đặc quyền tối thiểu" để hạn chế quyền truy cập vào CJI cho những người có nhu cầu cần biết, có quyền được biết, cũng như khả năng ủy quyền rõ ràng của bạn. Điều này cho phép khách hàng và nhà cung cấp ứng dụng xây dựng các giải pháp ngăn tất cả nhân viên AWS có quyền truy cập vật lý và trực tuyến đến CJI và các thiết bị lưu trữ, xử lý và truyền tải CJI.