ITAR

Tổng quan

Vùng AWS GovCloud (Hoa Kỳ) hỗ trợ việc tuân thủ Quy định về buôn bán vũ khí quốc tế của Hoa Kỳ (ITAR). Trong hoạt động quản lý chương trình tuân thủ ITAR toàn diện, các công ty tuân theo quy định xuất khẩu của ITAR phải kiểm soát hoạt động xuất khẩu ngoài ý muốn bằng cách chỉ cấp quyền truy cập dữ liệu được bảo vệ cho Người Mỹ và chỉ cho phép dữ liệu đó đặt tại Hoa Kỳ. AWS GovCloud (Hoa Kỳ) cung cấp môi trường thực ở Hoa Kỳ và tại những nơi chỉ cấp quyền truy cập của Nhân viên AWS cho Người Mỹ, từ đó để các công ty đủ điều kiện truyền tải, xử lý và lưu trữ các hạng mục và dữ liệu được bảo vệ theo các hạn chế của ITAR. Môi trường AWS GovCloud (Hoa Kỳ) đã được một bên thứ ba độc lập kiểm toán để xác thực rằng các biện pháp kiểm soát thích hợp đang được áp dụng nhằm hỗ trợ các chương trình tuân thủ xuất khẩu của khách hàng.

• ITAR là gì?

  Quy định về buôn bán vũ khí quốc tế (ITAR) kiểm soát việc xuất khẩu các hạng mục liên quan đến quốc phòng và nêu rõ rằng tất cả những cá nhân không phải Người Mỹ đều không thể truy cập vật lý hoặc logic vào các hạng mục được lưu trữ trong môi trường ITAR.

  Các vật liệu có trong Danh sách quân nhu Hoa Kỳ (USML) của ITAR bao gồm thiết bị, bộ phận, tài liệu, phần mềm, thông tin kỹ thuật chỉ được phép chia sẻ với Người Mỹ nếu không có việc miễn trừ hoặc ủy quyền đặc biệt. Người Mỹ là những cá nhân sở hữu Thẻ xanh Hoa Kỳ hoặc là công dân Hoa Kỳ.
  

• Các yêu cầu của ITAR áp dụng như thế nào trong đám mây?

  Việc tuân thủ ITAR trong đám mây tập trung đảm bảo rằng thông tin được coi là dữ liệu kỹ thuật không vô tình phân phối cho người nước ngoài hay các quốc gia khác. Để dữ liệu tuân theo ITAR, khối lượng công việc CNTT hoặc loại dữ liệu phải được coi là mục xuất khẩu theo Danh sách quân nhu Hoa Kỳ (USML).
  

• AWS hỗ trợ những khách hàng tuân theo các quy định xuất khẩu của ITAR như thế nào?

  AWS cung cấp cho khách hàng tùy chọn lưu trữ dữ liệu của họ trong AWS GovCloud (US) hoàn toàn thuộc quyền quản lý của Người Mỹ tại lãnh thổ Hoa Kỳ. AWS GovCloud (US) là vùng đám mây riêng biệt của Amazon, tại đây các tài khoản chỉ được cấp cho Người Mỹ đang làm việc cho các tổ chức Hoa Kỳ.

  Vì AWS không nhìn thấy hay nắm rõ nội dung khách hàng đang tải lên mạng của mình, bao gồm cả việc dữ liệu đó có được coi là tuân thủ các quy định của ITAR hay không, nên tất cả dữ liệu của khách hàng trong vùng GovCloud đều được coi là dữ liệu ITAR.

• AWS GovCloud (US) làm cách nào để đảm bảo với khách hàng về việc đáp ứng các yêu cầu của ITAR?

  Không có Chứng nhận ITAR chính thức. AWS GovCloud (US) được kiểm toán liên tục bởi một tổ chức đánh giá bên thứ ba độc lập (3PAO) có chứng nhận theo Chương trình quản lý ủy quyền và rủi ro liên bang (FedRAMP), cũng như được cấp Thẩm quyền hoạt động có điều kiện (P-ATO) từ Hội đồng ủy quyền chung (JAB) cấp cao FedRAMP. Giám đốc công nghệ thông tin (CIO) của Bộ Quốc phòng Hoa Kỳ, Bộ An ninh Nội địa và Cục quản lý Dịch vụ công đại diện cho JAB.

• Trách nhiệm chung của AWS được áp dụng như thế nào khi Khách hàng truyền tải, xử lý và lưu trữ dữ liệu theo các quy định của ITAR trên AWS?

  AWS chịu trách nhiệm về việc tuân thủ logic và vật lý của cơ sở hạ tầng đám mây cũng như các dịch vụ cốt lõi được cung cấp. Khách hàng chịu trách nhiệm về cơ sở hạ tầng, ứng dụng và hệ thống CNTT tại chỗ của họ. Như đã đề cập ở trên, Thẩm quyền hoạt động có điều kiện do Hội đồng ủy quyền chung cấp cao FedRAMP cấp cho AWS GovCloud chứng thực các biện pháp kiểm soát đang được thực hiện trong AWS GovCloud (Hoa Kỳ) để đảm bảo rằng AWS hỗ trợ khách hàng xây dựng các hệ thống tuân thủ ITAR trên AWS. Nhờ đó, khách hàng có thể quản lý các nghĩa vụ tuân thủ bảo mật của riêng mình khi xử lý và lưu trữ dữ liệu trong AWS GovCloud (US). Dưới đây là một số ví dụ:

  Bảo vệ dữ liệu nhạy cảm: Bảo vệ dữ liệu nhạy cảm chưa phân loại bằng cách mã hóa phía máy chủ trong Amazon S3; lưu trữ và quản lý khóa bảo mật với AWS CloudHSM hoặc sử dụng AWS Key Management Service (KMS) một lần nhấp của chúng tôi.

  Cải thiện khả năng hiển thị đám mây: Kiểm tra quyền truy cập và việc sử dụng dữ liệu nhạy cảm trong Amazon CloudTrail. Đây là dịch vụ ghi nhật ký API của chúng tôi, do Người Mỹ quản lý và điều hành.

  Củng cố khả năng quản lý danh tính: Giới hạn quyền truy cập dữ liệu nhạy cảm theo cá nhân, thời gian, vị trí, đồng thời hạn chế những lệnh gọi API mà người dùng có thể thực hiện với liên kết danh tính, xoay vòng khóa dễ dàng cũng như các công cụ kiểm tra kiểm soát truy cập mạnh mẽ khác hiện có.