Como usar a AWS para soluções de informação de justiça criminal

A Política de segurança de CJIS descreve os “controles adequados para proteger o ciclo de vida completo de CJI (Informações da justiça criminal), seja em repouso, seja em trânsito”, independentemente do modelo de tecnologia da informação subjacente. Ao usar soluções criadas na AWS, as agências podem gerenciar e proteger suas aplicações e dados na Nuvem AWS.

A AWS fornece blocos de construção que agências de segurança pública e seus parceiros de aplicações podem utilizar para construir aplicações altamente disponíveis, resilientes e seguras alinhadas com a Política de segurança de CJIS. Os clientes da AWS mantêm propriedade e controle completos sobre seus dados, que são habilitados por meio do acesso a ferramentas nativas de nuvem simples e avançadas que permitem que eles gerenciem todo o ciclo de vida dos dados confidenciais do cliente. Os clientes exercem controle exclusivo sobre o local onde os dados são armazenados e os métodos usados para proteger os dados em trânsito e em repouso e gerenciam o acesso aos seus sistemas de informação criados na AWS.

A proteção adequada das Informações da justiça criminal (CJI) e a manutenção da conformidade com a Política de segurança de CJIS requerem vários controles de segurança que visam garantir que apenas indivíduos autorizados tenham acesso às CJI. O princípio de privilégios mínimos é um dos fundamentos da Política de segurança de CJIS, com base em um padrão de “necessidade de saber, direito de saber”. Os clientes da AWS podem impor privilégios mínimos criptografando com segurança suas CJI e limitando todo o acesso às CJI apenas para aqueles com acesso às chaves de criptografia. Os clientes recebem ferramentas e produtos da AWS para permitir que suas agências e parceiros confiáveis mantenham controle e propriedade totais sobre seus próprios dados de justiça criminal, como o AWS Key Management Service (KMS) e AWS Nitro System.

O AWS KMS utiliza módulos de segurança de hardware (HSMs) que foram validados na FIPS 140-2 e permitem que os clientes criem, tenham e gerenciem suas próprias chaves mestre do cliente para toda a criptografia. Essas chaves mestre do cliente nunca deixam os módulos de segurança de hardware validados pelos FIPS do AWS KMS descriptografados e nunca são conhecidas pela equipe da AWS.

O sistema AWS Nitro usa hardware e servidores desenvolvidos especificamente para executar um hipervisor de computação virtual, nada mais, removendo todas as portas, componentes e recursos extras e desnecessários encontrados em servidores tradicionais. O modelo de segurança do AWS Nitro System é bloqueado e inviabiliza o acesso administrativo, o que elimina possibilidades de erro humano e violações. Os clientes também pode escolher o AWS Nitro Enclaves que não apresenta armazenamento persistente, acesso interativo e rede externa para criar ambientes de computação isolados para proteger ainda mais e processar com segurança dados altamente confidenciais.

Os avanços tecnológicos do AWS Nitro System e do AWS Key Management Service usando módulos de segurança de hardware, validados pela FIPS 140-2, para chaves de criptografia simétricas eliminaram a necessidade de se envolver no método tradicional de confiar na segurança física e verificações de antecedentes, como uma forma de se qualificar o “acesso” de um indivíduo às CJI não criptografadas. Embora a abordagem tradicional possa ajudar a manter a conformidade mínima com a Política de segurança de CJIS, ela não se compara à segurança que pode ser obtida usando as práticas de criptografia forte e a implantação de princípios de “privilégios mínimos” para restringir o acesso às CJI para pessoas com necessidade de saber, direito de saber e sua autorização explícita. Isso permite que clientes e provedores de aplicações criem soluções que impeçam que todos os funcionários da AWS tenham acesso físico e lógico às CJI e aos dispositivos que armazenam, processam e transmitem CJI.