Utilizzo di AWS per Criminal Justice Information Solutions

Panoramica

La CJIS Security Policy definisce i "controlli adeguati per proteggere l'intero ciclo di vita dei dati CJI (Criminal Justice Information), sia a riposo che in transito", indipendentemente dal modello di tecnologia informatica sottostante. L'utilizzo delle soluzioni sviluppate su AWS consente alle agenzie di gestire e mettere in sicurezza le applicazioni e i dati sul cloud di AWS.

AWS fornisce gli elementi fondamentali utilizzabili dalle agenzie di pubblica sicurezza e dai loro partner delle applicazioni per creare applicazioni altamente disponibili, resilienti e sicure in linea con la CJIS Security Policy. I clienti di AWS mantengono la proprietà e il controllo completi dei dati, abilitati tramite l'accesso a strumenti nativi del cloud semplici e potenti che consentono loro di gestire l'intero ciclo di vita dei dati sensibili dei clienti. I clienti esercitano un controllo esclusivo sullo storage dei dati e sui metodi utilizzati per mettere in sicurezza i dati in transito e a riposo e gestiscono l'accesso ai propri sistemi informatici creati su AWS.

La corretta messa in sicurezza delle Criminal Justice Information (CJI) e il rispetto della conformità con la CJIS Security Policy richiede un certo numero di controlli di sicurezza volti a garantire che solo gli individui autorizzati abbiano accesso alle CJI. Il principio del privilegio minimo è uno dei più importanti fondamenti della CJIS Security Policy sulla base di uno standard “need-to-know, right-to-know”. I clienti di AWS possono applicare il privilegio minimo crittografando in modo sicuro le loro CJI e limitando l’accesso alle CJI alle sole persone in possesso delle chiavi di crittografia. I clienti usufruiscono di servizi e strumenti AWS quali il Servizio AWS di gestione delle chiavi (KMS) e l’AWS Nitro System, che permettono alle loro agenzie e partner di fiducia di mantenere il controllo e la proprietà completi dei loro dati relativi alla giustizia penale.

AWS KMS utilizza moduli di sicurezza hardware (Hardware Security Modules, HSM) con convalida FIPS 140-2 e consente ai propri clienti di creare, possedere e gestire le chiavi master dei propri clienti per tutta la crittografia. Tali chiavi master del cliente non lasciano mai i moduli di sicurezza hardware con convalida FIPS di AWS KMS senza crittografia e non vengono mai rese note al personale AWS.

Il sistema AWS Nitro utilizza server e hardware creati appositamente progettati specificamente per l'esecuzione di un hypervisor virtuale di calcolo, il che rimuove tutte le porte, i componenti e le funzionalità aggiuntivi non necessari che si trovano sui server tradizionali. Il modello di sicurezza del sistema AWS Nitro è bloccato e vieta l'accesso amministrativo, eliminando la possibilità di errori umani e manomissioni. I clienti possono anche scegliere le AWS Nitro Enclaves che non hanno un'archiviazione persistente, accesso interattivo e reti esterne, in modo da creare ambienti di elaborazione isolati per proteggere ulteriormente ed elaborare in sicurezza dati altamente sensibili.

I progressi tecnologici del sistema AWS Nitro e di AWS Key Management Service con modelli di sicurezza hardware con convalida FIPS 140-2 per le chiavi di crittografia simmetrica hanno eliminato la necessità di utilizzare il metodo tradizionale fondato sulla sicurezza fisica e gli accertamenti sui precedenti penali per concedere l'accesso di un individuo alle CJI non crittografate. Sebbene l’approccio tradizionale possa aiutare a raggiungere la conformità minima ai sensi della CJIS Security Policy, esso non si può paragonare alla sicurezza che si riesce a raggiungere sfruttando pratiche di crittografia forte e la distribuzione dei principi di “privilegio minimo” per limitare l’accesso alle CJI a coloro in possesso di “need-to-know”, “right-to-know” e di autorizzazione esplicita. Ciò consente a clienti e fornitori di applicazioni di creare soluzioni che rimuovono l'accesso fisico e logico dei dipendenti AWS alle CJI e ai dispositivi che archiviano, elaborano e trasmettono le CJI.

Domande frequenti

AWS è conforme alle CJI?

Non esistono organi di autorizzazione CJIS centrali, gruppi accreditati di valutatori indipendenti, né un approccio di valutazione standardizzato per determinare se una particolare soluzione sia considerata conforme a CJIS. AWS si impegna ad aiutare i clienti a soddisfare i requisiti CJIS.
Come fa un cliente CJIS a soddisfare i requisiti di crittografia dei dati inattivi?

Tutti i servizi AWS con dati a riposo supportano la crittografia simmetrica AES 256 di FIPS 197 ai sensi della CJIS Security Policy. I clienti possono gestire le proprie chiavi di crittografia con quelle master gestite dai clienti tramite AWS Key Management Service (KMS), che utilizza moduli di sicurezza hardware (HSM) con convalida FIPS 140-2 e supporta gli endpoint con convalida FIPS 140-2.
Come fa un cliente CJIS a soddisfare i requisiti di crittografia in transito?

Per supportare i clienti nell'adempimento ai requisiti di crittografia di FIPS, FIPS ha confermato la disponibilità di API in AWS Stati Uniti orientali/occidentali (commerciale) e AWS GovCloud (Stati Uniti). AWS consente ai clienti di aprire una sessione protetta crittografata nei server AWS tramite HTTPS (Transport Layer Security, TLS).
Gli endpoint FIPS in AWS Stati Uniti orientali/occidentali (commerciale) e GovCloud (Stati Uniti) soddisfano i requisiti FIPS 140-2/3 di CJIS?

Alcuni servizi AWS offrono endpoint che supportano la convalida del Federal Information Processing Standard (FIPS) in alcune regioni. A differenza degli endpoint AWS standard, quelli FIPS utilizzano una libreria software TLS conforme a FIPS 140-2 o FIP 140-3. L'utilizzo di endpoint FIPS sarebbe necessario per soddisfare la conformità CJIS per CJI in Transit. Per un elenco degli endpoint FIPS, consulta endpoint FIPS per servizio.
Per i servizi con componenti distribuiti all'interno dell'ambiente del cliente (Storage Gateway, Snowball), qual è la responsabilità del cliente per garantire la conformità con CJIS?

Alla luce del Modello di responsabilità condivisa AWS, i clienti devono garantire che le risorse distribuite localmente, quali i volumi dei dischi di Storage Gateway e le workstation per il trasferimento di dati di Snowball, vengano gestite conformemente con i controlli CJIS, compresi l'isolamento dei dati e i controlli degli accessi.

I clienti devono assicurarsi che i bucket di storage S3 per Snowball e Storage Gateway in AWS siano configurati in linea con i requisiti CJIS, compresa la crittografia a riposo.