Uso de AWS para las soluciones de información de justicia penal

Información general

La política de seguridad de CJIS describe los “controles apropiados para proteger el ciclo de vida completo de la CJI (información de justicia penal), ya sea en reposo o en tránsito”, independientemente del modelo de tecnología de la información subyacente. Con el uso de soluciones creadas en AWS, las agencias pueden administrar y proteger sus aplicaciones y datos en la nube de AWS.

AWS proporciona componentes básicos que las agencias de seguridad pública y sus socios de aplicaciones pueden usar para crear aplicaciones altamente disponibles, resilientes y seguras en consonancia con la política de seguridad de CJIS. Los clientes de AWS mantienen la propiedad y el control total de sus datos, lo que se consigue mediante el acceso a herramientas sencillas, potentes y nativas de la nube que les permiten administrar todo el ciclo de vida de los datos sensibles de los clientes. Los clientes ejercen un control exclusivo sobre el lugar donde se almacenan los datos y los métodos usados para asegurar los datos en tránsito y en reposo; asimismo, administran el acceso a sus sistemas de información creados en AWS.

La protección adecuada de la información de justicia penal (CJI) y el mantenimiento del cumplimiento de la política de seguridad de CJIS requiere una serie de controles de seguridad destinados a garantizar que solo las personas autorizadas tengan acceso a la CJI. El principio del mínimo privilegio es uno de los pilares fundamentales de la política de seguridad de CJIS según el estándar de “necesidad de saber, derecho a saber”. Los clientes de AWS pueden hacer valer el menor privilegio; para ello, deben cifrar de forma segura su CJI y limitar todo acceso a ella solo a aquellos que tengan acceso a las claves de cifrado. Los clientes disponen de servicios y herramientas de AWS que permiten a sus agencias y socios de confianza retener por completo el control y la propiedad de sus propios datos de justicia penal, como AWS Key Management Service (KMS) y AWS Nitro System.

AWS KMS usa módulos de seguridad de hardware (HSM) que han sido validados según la norma FIPS 140-2 y permiten a los clientes crear, poseer y administrar sus propias claves principales para todo el cifrado. Estas claves principales de cliente nunca dejan los módulos de seguridad de hardware validados por la norma FIPS de AWS KMS sin cifrar y el personal de AWS no puede verlas.

El AWS Nitro System usa servidores creados específicamente para ejecutar un hipervisor informático virtual, nada más, al eliminar todos los puertos, componentes y capacidades adicionales e innecesarios que se encuentran en los servidores tradicionales. El modelo de seguridad del AWS Nitro System está bloqueado y prohíbe el acceso administrativo, lo que elimina la posibilidad de errores humanos y alteraciones. Los clientes también pueden elegir AWS Nitro Enclaves, que no cuenta con almacenamiento persistente, acceso interactivo ni redes externas a fin de crear entornos informáticos aislados para proteger y procesar de forma segura los datos altamente sensibles.

Los avances tecnológicos del AWS Nitro System y el AWS Key Management Service, que usan módulos de seguridad de hardware validados por la norma FIPS 140-2 para las claves de cifrado simétricas, han eliminado la necesidad de recurrir al método tradicional de confiar en la seguridad física y las comprobaciones de antecedentes como forma de calificar el “acceso” de una persona a la CJI no cifrada. Aunque el enfoque tradicional puede ayudar a lograr un cumplimiento mínimo de la política de seguridad de CJIS, no se compara con la seguridad que se puede lograr con las prácticas de cifrado sólidas y la implementación de principios de “privilegios mínimos” para restringir el acceso a la CJI a aquellos con “necesidad de saber, derecho a saber” y su autorización explícita. Esto permite a los clientes y a los proveedores de aplicaciones crear soluciones que eliminan el acceso físico y lógico de todos los empleados de AWS a la CJI y a los dispositivos que almacenan, procesan y transmiten CJI.

Preguntas frecuentes

¿AWS cumple con los requisitos de CJIS?

No existe un organismo central de autorización de CJIS, un conjunto de evaluadores independientes acreditados ni una estrategia de evaluación estandarizada para determinar si una solución específica puede considerarse en conformidad con CJIS. AWS está comprometida con ayudar a los clientes para estar en conformidad con los requisitos de CJIS.
¿Cómo satisface un cliente de CJIS los requisitos de cifrado en reposo?

Todos los servicios de AWS con datos en reposo son compatibles con el cifrado simétrico FIPS 197 AES 256 de acuerdo con la política de seguridad de CJIS y los clientes pueden administrar sus propias claves de cifrado con claves de cifrado principales administradas por el cliente mediante AWS Key Management Service (KMS), que usa módulos de seguridad de hardware (HSM) validados por FIPS 140-2 y es compatible con puntos de conexión validados por FIPS 140-2.
¿Cómo satisface un cliente de CJIS los requisitos de cifrado en tránsito?

Para ayudar a los clientes con los requisitos criptográficos de FIPS, las API validadas por FIPS están disponibles tanto en AWS Este/Oeste (comercial) como en AWS GovCloud (EE. UU.). AWS permite a los clientes abrir una sesión segura y cifrada a los servidores de AWS mediante HTTPS (Transport Layer Security [TLS]).
¿Los puntos de conexión de FIPS de AWS Este/Oeste (comercial) y GovCloud (EE. UU.) cumplen los requisitos FIPS 140-2/3 del CJIS?

Algunos servicios de AWS ofrecen puntos de conexión que admiten la validación del Estándar Federal de Procesamiento de Información (FIPS) en algunas regiones. A diferencia de los puntos de conexión de AWS estándar, los puntos de conexión de FIPS utilizan una biblioteca de software TLS que cumple con las normas FIPS 140-2 o FIP 140-3. El uso de puntos de conexión de FIPS es necesario para la conformidad con CJIS para CJI en tránsito. Para obtener una lista de puntos de conexión de FIPS, consulte Puntos de conexión de FIPS por servicio.
En el caso de los servicios que tienen componentes que se implementan en el entorno del cliente (Storage Gateway, Snowball), ¿cuál es la responsabilidad del cliente para garantizar el cumplimiento con CJIS?

Según el modelo de responsabilidad compartida de AWS, los clientes deben garantizar que los recursos implementados localmente, como los volúmenes de disco de Storage Gateway y las estaciones de trabajo de transferencia de datos de Snowball, se administran de acuerdo con los controles de CJIS, que incluyen el aislamiento de datos y los controles de acceso.

Los clientes deben asegurarse de que los buckets de almacenamiento S3 para Snowball y Storage Gateway en AWS están configurados de acuerdo con los requisitos de CJIS, incluido el cifrado en reposo.