Поделиться через

Поддержка Azure для элементов управления экспортом

Для навигации по правилам управления экспортом корпорация Майкрософт опубликовала технический документ по элементам управления экспортом Microsoft Azure . В нем описываются элементы управления экспортом США, особенно они применяются к программному обеспечению и техническим данным, проверяет потенциальные источники рисков контроля экспорта и предлагает конкретные рекомендации, которые помогут вам оценить свои обязательства под этими элементами управления. Дополнительные сведения доступны из часто задаваемых вопросов по экспорту облачных служб, которые доступны из часто задаваемых вопросов о экспорте продуктов Майкрософт.

Замечание

Отказ: Вы полностью несете ответственность за обеспечение собственного соответствия всем применимым законам и нормативным актам. Информация, указанная в этой статье, не является юридической консультацией, и вы должны обратиться к своему юридическому консультанту по любым вопросам о соответствии нормативным требованиям.

Общие сведения о законах контроля экспорта

Определения, связанные с экспортом, различаются в различных правилах контроля экспорта. В упрощенных терминах экспорт часто подразумевает передачу ограниченной информации, материалов, оборудования, программного обеспечения и т. д., иностранному лицу или внешнему назначению с помощью любого средства. Политика контроля экспорта США применяется с помощью законов и правил контроля экспорта, управляемых главным образом Министерством торговли, Госдепартаментом, Министерством энергетики, ядерной регуляторной комиссией и Министерством финансов. Соответствующие учреждения в каждом департаменте отвечают за определенные области контроля экспорта на основе их исторического администрирования, как показано в таблице 1.

Таблица 1. Законы и правила контроля экспорта США

Регулятор Закон или регулирование Справка
Министерство торговли:
Бюро промышленности и безопасности (BIS)		 - Закон об управлении экспортом (EAA) 1979
года — правила администрирования экспорта (EAR)		 - P.L. 96-72
- 15 CFR Части 730 – 774
Госдепартамент:
Управление по контролю за торговлей обороной (DDTC)		 - Закон о контроле над экспортом оружия (AECA) - Международные правила торговли оружием (ITAR)
- 22 Кодекс США 39
- 22 CFR разделы 120 – 130
Департамент энергетики:
Национальная администрация по ядерной безопасности (NNSA)		 - Закон об атомной энергии 1954 года (AEA)
— помощь иностранным атомарным энергетическим мероприятиям		 - 42 Кодекс США, § 2011 и след.
- 10 CFR часть 810
Ядерная регуляторная комиссия (NRC) - Закон о ядерном нераспространении 1978
года — экспорт и импорт ядерного оборудования и материалов		 - P.L. 95-242
- 10 CFR часть 110
Министерство финансов:
Управление по контролю за иностранными активами (OFAC)		 - Закон о торговле с врагом (TWEA)
- регулирование контроля иностранных активов		 - 50 U.S.C. разделы 5 и 16
- 31 CFR часть 500

В этой статье содержится обзор текущих правил контроля экспорта США, рекомендаций по облачным вычислениям и обязательствам Azure в поддержку требований к контролю экспорта.

УХО

Министерство торговли США отвечает за применение правил администрирования экспорта (EAR) через Бюро промышленности и безопасности (BIS). В соответствии с определениями BIS экспорт — это передача защищенной технологии или информации в иностранное место назначения или выпуск защищенной технологии или информации иностранному лицу в Соединенных Штатах, также известное как экспорт. Элементы, зависящие от EAR, можно найти в списке управления коммерцией (CCL), и каждый элемент имеет уникальный номер классификации экспорта (ECCN). Элементы, не перечисленные в списке CCL, назначаются как EAR99, и большинство коммерческих продуктов EAR99 не требуют экспорта лицензии. Однако в зависимости от назначения, конечного пользователя или конечного использования предмета, даже для предмета, относящегося к категории EAR99, может потребоваться лицензия на экспорт BIS.

EAR применим к элементам двойного использования, имеющим как коммерческие, так и военные приложения, и к элементам с чисто коммерческим приложением. БИС предоставил рекомендации по тому, что поставщики облачных служб (CSP) не являются экспортерами данных клиентов из-за использования облачных служб. Кроме того, в окончательном правиле, опубликованном 3 июня 2016 года, BIS пояснил, что требования к лицензированию EAR не применяются, если передача и хранение неклассифицированных технических данных и программного обеспечения шифруются с помощью Стандарта федеральной обработки информации (FIPS) 140 сертифицированных криптографических модулей и не намеренно хранятся в стране или регионе, находящихся под военным эмбарго, то есть в группе стран и регионов D:5, как описано в дополнение No 1 к части 740 EAR, или если они находятся в Российской Федерации. Министерство коммерции США ясно заявило, что, когда данные или программное обеспечение передаются в облако, клиент, а не поставщик облачных услуг, является экспортером , который несет ответственность за обеспечение передачи, хранения и доступа к этим данным или программному обеспечению соответствует EAR.

Azure и Azure Government могут помочь вам соответствовать требованиям Положений о экспортном контроле. За исключением региона Azure в Гонконге САР, Центра обработки данных Azure и Azure для государственных организаций не находятся в запрещенных странах или регионах Или в Российской Федерации.

Службы Azure используют проверенные модули шифрования FIPS 140 в базовой операционной системе и предоставляют множество вариантов шифрования данных при передаче и хранении, включая управление ключами шифрования с помощью Azure Key Vault. Служба Key Vault может хранить ключи шифрования в проверенных аппаратных модулях безопасности FIPS 140 (HSM) под вашим контролем, также известных как ключи, управляемые клиентом (CMK). Ключи, созданные внутри HSM Azure Key Vault, не экспортируются. Нет четкой текстовой версии ключа за пределами HSM. Эта привязка применяется базовым HSM. Azure Key Vault разработан, развернут и работает таким образом, чтобы корпорация Майкрософт и ее агенты не видели или не извлекали криптографические ключи. См. статью Как Azure Key Vault защищает ваши ключи для получения дополнительных гарантий.

Вы несете ответственность за выбор регионов Azure или Azure для государственных организаций для развертывания приложений и данных. Кроме того, вы несете ответственность за разработку приложений для применения сквозного шифрования данных, соответствующего требованиям EAR. Корпорация Майкрософт не проверяет, утверждает или отслеживает приложения, развернутые в Azure или Azure для государственных организаций.

Azure для государственных организаций обеспечивает дополнительный уровень защиты с помощью договорных обязательств по хранению данных клиентов в США и ограничению доступа к системам, обрабатывающим ваши данные, для экранированных лиц США. Дополнительные сведения о поддержке Azure для EAR см. в предложении соответствия требованиям AZURE EAR.

ITAR

Госдепартамент США имеет полномочия по контролю за экспортом статей, услуг и связанных технологий в соответствии с международными правилами в области оружия (ITAR), управляемыми Управлением по контролю за торговлей обороной (DDTC). Элементы под защитой ИТАР документируются в списке боеприпасов США (USML). Если вы являетесь производителем, экспортером и брокером оборонных изделий, услуг и связанных технологий, как это определено в USML, вы должны быть зарегистрированы в DDTC, должны понимать и соблюдать ИТАР, и должны самостоятельно сертифицировать свою деятельность в соответствии с ИТАР.

DDTC пересмотрел правила ИТАР, вступившие в силу 25 марта 2020 года, чтобы привести их в более тесное соответствие с ПРЭ. Эти изменения в ITAR ввели исключение для сквозного шифрования данных, которое включало многие из тех же терминов, что министерство торговли США приняло в 2016 году для EAR. В частности, измененные правила ИТАР указывают, что действия, которые не представляют собой экспорт, реэкспорт, повторную передачу или временные импорты, включают (среди других действий) отправку, принятие или хранение технических данных, которые 1) неклассифицированны, 2) защищены с помощью сквозного шифрования, 3) защищены с помощью криптографических модулей FIPS 140, как указано в правилах, 4) не намеренно отправлены лицу или не хранятся в стране или регионе, запрещенном в § 126.1 или Российской Федерации, и 5) не отправлены из страны или региона, запрещенного в § 126.1 или Российской Федерации. Кроме того, DDTC пояснил, что данные, передаваемые через Интернет, не считаются хранимыми. Сквозное шифрование подразумевает, что данные всегда шифруются между источником и предполагаемым получателем, а средства расшифровки не предоставляются третьим лицам.

Нет сертификации соответствия ITAR; однако Azure и Azure для правительства помогут вам выполнить свои обязательства по соблюдению ITAR. За исключением региона Azure в Гонконге САР, Центра обработки данных Azure и Azure для государственных организаций не находятся в запрещенных странах или регионах Или в Российской Федерации. Службы Azure используют проверенные модули шифрования FIPS 140 в базовой операционной системе и предоставляют множество вариантов шифрования данных при передаче и хранении, включая управление ключами шифрования с помощью Azure Key Vault. Служба Key Vault может хранить ключи шифрования в проверенных аппаратных модулях безопасности FIPS 140 (HSM) под вашим контролем, также известных как ключи, управляемые клиентом (CMK). Ключи, созданные внутри HSM Azure Key Vault, не экспортируются. Нет четкой текстовой версии ключа за пределами HSM. Эта привязка применяется базовым HSM. Azure Key Vault разработан, развернут и работает таким образом, чтобы корпорация Майкрософт и ее агенты не видели или не извлекали криптографические ключи. См. статью Как Azure Key Vault защищает ваши ключи для получения дополнительных гарантий.

Вы несете ответственность за выбор регионов Azure или Azure для государственных организаций для развертывания приложений и данных. Кроме того, вы несете ответственность за проектирование приложений для применения сквозного шифрования данных, соответствующего требованиям ITAR. Корпорация Майкрософт не проверяет, утверждает или отслеживает приложения, развернутые в Azure или Azure для государственных организаций.

Azure для государственных организаций обеспечивает дополнительный уровень защиты с помощью договорных обязательств по хранению данных клиентов в США и ограничению доступа к системам, обрабатывающим ваши данные, для экранированных лиц США. Дополнительные сведения о поддержке Azure для ITAR см. в предложении о соответствии требованиям ИТАР Azure.

DoE 10 CFR часть 810

Регламент по контролю экспорта Министерства энергетики США (DoE) 10 CFR Часть 810 реализует раздел 57b.(2) Закона об атомной энергии 1954 (AEA), в соответствии с разделом 302 Закона 1978 года о ядерном нераспространении (NNPA). Она управляется Национальной администрацией по ядерной безопасности (NNSA). Измененная часть 810 (окончательное правило) вступила в силу 25 марта 2015 года и, помимо прочего, контролирует экспорт несклассифицированной ядерной технологии и помощи. Она обеспечивает мирную ядерную торговлю, помогая гарантировать, что ядерные технологии, экспортированные из Соединенных Штатов, будут использоваться только для мирных целей. В пункте 810.7 (b) указано, что для предоставления или передачи чувствительной ядерной технологии любой зарубежной стороне требуется специальное разрешение Министерства энергетики США.

Azure для государственных организаций может помочь вам выполнить требования Министерства энергетики США (DoE) 10 CFR, часть 810 по контролю экспорта, так как он спроектирован для реализации конкретных контрольных мер, ограничивающих доступ к информации и системам только гражданам США среди оперативного персонала Azure. Если вы развертываете данные в Azure для государственных организаций, вы несете ответственность за собственный процесс классификации безопасности. Для данных, подлежащих экспортному контролю DoE, система классификации дополняется контролем неклассифицированной управляемой ядерной информации (UCNI), установленным разделом 148 AEA. Дополнительные сведения о поддержке Azure для DoE 10 CFR Часть 810 см. в предложении по соответствию требованиям Azure DoE 10 CFR Часть 810.

NRC 10 CFR часть 110

Комиссия по ядерному регулированию (NRC) несет ответственность за экспорт и импорт ядерного оборудования и материалов в соответствии с правилами контроля экспорта 10 CFR, часть 110. NRC регулирует экспорт и импорт ядерных объектов и связанных оборудования и материалов. NRC не регулирует ядерную технологию и помощь, связанную с этими элементами, которые находятся под юрисдикцией DoE. Поэтому правила NRC 10 CFR, часть 110, не будут применимы к Azure или Azure для государственных организаций.

Законы о санкциях OFAC

Управление по контролю за иностранными активами (OFAC) отвечает за администрирование и применение экономических и торговых санкций на основе внешней политики США и целей национальной безопасности в отношении целевых иностранных стран/регионов, террористов, международных торговцев наркотиками и тех организаций, занимающихся деятельностью, связанной с распространением оружия массового уничтожения.

OFAC определяет запрещенные транзакции как торговые или финансовые сделки и другие сделки, в которых лица США не могут заниматься, если не разрешено OFAC или явно исключены законом. Для получения информации о веб-взаимодействии см. FAQ № 73 для общего руководства, выпущенного OFAC, в котором указано, например, что "Фирмы, которые содействуют или участвуют в электронной торговле, должны сделать все возможное, чтобы непосредственно знать своих клиентов."

Как указано в Дополнении об обработке данных (DPA) к Условиям использования онлайн-сервисов Майкрософт, корпорация Майкрософт не контролирует и не ограничивает регионы, из которых клиент или его конечные пользователи могут получать доступ к данным клиента или перемещать их. Для онлайн-сервисов Майкрософт принимает все необходимые меры, чтобы предотвратить транзакции с организациями из стран и регионов, на которые распространяется эмбарго OFAC. Например, подпадающее под санкции лицо не имеет права использовать услуги Azure. OFAC не выпустил инструкции, подобные тем, которые предоставлены BIS для EAR и которые различают вмененный экспорт между поставщиками облачных услуг и клиентами. Поэтому вам придется исключить целевые объекты санкций из онлайн-транзакций , связанных с приложениями, включая веб-сайты, развернутые в Azure. Корпорация Майкрософт не блокирует сетевой трафик на веб-сайты, развернутые в Azure. Несмотря на то, что OFAC упоминает, что клиенты могут ограничить доступ в диапазонах таблиц IP, они также признают, что этот подход не полностью отвечает рискам соответствия требованиям в Интернете. Поэтому OFAC рекомендует, чтобы компании электронной коммерции могли напрямую знать своих клиентов. Корпорация Майкрософт не несет ответственности и не имеет средств для непосредственного знания конечных пользователей, взаимодействующих с приложениями, развернутыми в Azure.

Санкции OFAC существуют для предотвращения "проведения бизнеса с целью санкций", то есть предотвращения транзакций с участием торговли, платежей, финансовых инструментов и т. д. Санкции OFAC не предназначены для предотвращения просмотра общедоступного веб-сайта резидентом запрещенной страны или региона.

Управление требованиями к управлению экспортом

Вы должны тщательно оценить, как использование Azure может включать элементы управления экспортом США и определить, могут ли какие-либо данные, которые вы хотите хранить или обрабатывать в облаке, могут быть подвержены элементам управления экспортом. Корпорация Майкрософт предоставляет вам договорные обязательства, операционные процессы и технические функции, которые помогут вам выполнить свои обязательства по контролю экспорта при использовании Azure. Следующие функции Azure доступны для управления потенциальными рисками управления экспортом.

  • Возможность управления расположением данных — у вас есть видимость о том, где хранятся данные, и надежные средства для ограничения хранилища данных в одном географическом регионе или регионе. Например, вы можете убедиться, что данные хранятся в США или вашей стране или регионе, а также свести к минимуму передачу контролируемых технологий или технических данных за пределы целевой страны или региона. Ваши данные не хранятся намеренно в несоответствующем расположении в соответствии с правилами EAR и ITAR.
  • Сквозное шифрование — подразумевает, что данные всегда шифруются между источником и предполагаемым получателем, а средства расшифровки не предоставляются сторонним лицам. Azure использует проверенные модули шифрования FIPS 140 в базовой операционной системе и предоставляет множество вариантов шифрования данных при передаче и хранении, включая управление ключами шифрования с помощью Azure Key Vault. Служба Key Vault может хранить ключи шифрования в проверенных аппаратных модулях безопасности FIPS 140 (HSM) под вашим контролем, также известных как ключи, управляемые клиентом (CMK). Azure Key Vault разработан, развернут и работает таким образом, чтобы корпорация Майкрософт и ее агенты не видели или не извлекали криптографические ключи.
  • Контроль доступа к данным — вы можете знать и контролировать, кто может получить доступ к данным и каким условиям. Персонал технической поддержки Майкрософт не нуждается и не имеет доступа по умолчанию к вашим данным. Для таких редких случаев, когда для разрешения ваших запросов на поддержку требуется повышенный доступ к вашим данным, Customer Lockbox для Azure предоставляет вам возможность утверждать или отклонять запросы на доступ к данным.
  • Средства и протоколы для предотвращения несанкционированного предполагаемого экспорта и повторного экспорта — помимо безопасной гавани сквозного шифрования EAR и ITAR для физических хранилищ, использование шифрования также помогает защититься от потенциального предполагаемого экспорта или повторного экспорта. Даже если у лица, не являющегося гражданином США, есть доступ к зашифрованным данным, ничего не раскрывается, поскольку это лицо не может читать или понимать данные, пока они зашифрованы, тем самым исключая раскрытие контролируемых данных. Однако ДЛЯ ИТАР требуется некоторая авторизация перед предоставлением иностранным лицам информации о доступе, которая позволит им расшифровать технические данные ITAR. Azure предлагает широкий спектр возможностей шифрования и решений, гибкость выбора вариантов шифрования и надежных средств для управления шифрованием.

Местонахождение данных клиентов

Корпорация Майкрософт предоставляет строгие обязательства клиентов относительно расположения и передачи данных облачных служб. Большинство служб Azure развертываются в регионе и позволяют указать регион, в который будет развернута служба, например в США. Это обязательство помогает гарантировать, что данные клиентов , хранящиеся в регионе США, останутся в США и не будут перемещены в другой регион за пределами США.

Шифрование данных

Azure имеет обширную поддержку для защиты данных с помощью шифрования данных, включая различные модели шифрования:

  • Шифрование на стороне сервера, использующее управляемые службой ключи, ключи, управляемые клиентом (CMK) в Azure, или CMK в оборудовании, управляемом клиентом.
  • Шифрование на стороне клиента, позволяющее управлять ключами локально или в другом безопасном расположении.

Шифрование данных обеспечивает гарантии изоляции, которые привязаны непосредственно к доступу к ключу шифрования. Так как Azure использует надежные шифры для шифрования данных, доступ к данным может иметь только сущности с доступом к ключам шифрования. Отмена или удаление ключей шифрования делает соответствующие данные недоступными.

Криптография, аттестованная по стандарту FIPS 140

Федеральный стандарт обработки информации (FIPS) 140 — это стандарт правительства США, определяющий минимальные требования к безопасности для криптографических модулей в продуктах информационной технологии. Текущая версия стандарта FIPS 140-3 имеет требования к безопасности, охватывающие 11 областей, связанных с проектированием и реализацией модуля шифрования. Корпорация Майкрософт поддерживает активное обязательство соответствовать требованиям FIPS 140, проверяя криптографические модули с момента создания стандарта в 2001 году. Корпорация Майкрософт проверяет свои криптографические модули в рамках программы проверки криптографических модулей (CMVP) Национального института стандартов и технологий США (NIST). Несколько продуктов Майкрософт, включая многие облачные службы, используют эти криптографические модули.

Хотя текущее руководство по реализации CMVP FIPS 140 исключает проверку FIPS 140 для облачной службы, поставщики облачных служб могут получать и работать с проверенными криптографическими модулями FIPS 140 для вычислительных элементов, составляющих их облачные службы. Azure создается с помощью сочетания аппаратных, коммерчески доступных операционных систем (Linux и Windows) и конкретной версии Windows. Через жизненный цикл разработки безопасности Майкрософт (SDL) все службы Azure используют утвержденные алгоритмы FIPS 140 для обеспечения безопасности данных, так как операционная система использует утвержденные алгоритмы FIPS 140 при работе в гипермасштабируемом облаке. Соответствующие модули шифрования прошли проверку FIPS 140 в рамках программы валидации FIPS Microsoft Windows. Кроме того, вы можете хранить собственные криптографические ключи и другие секреты в проверенных аппаратных модулях безопасности FIPS 140 (HSM).

Управление ключом шифрования

Правильная защита ключей шифрования и управление ими необходима для обеспечения безопасности данных. Azure Key Vault — это облачная служба для безопасного хранения секретов и управления ими. Key Vault позволяет хранить ключи шифрования в аппаратных модулях безопасности (HSM), проверенных FIPS 140. Дополнительные сведения см. в разделе "Управление ключами шифрования данных".

Шифрование данных при передаче

Azure предоставляет множество вариантов шифрования данных при передаче. Шифрование данных при передаче изолирует сетевой трафик от другого трафика и помогает защитить данные от перехвата. Дополнительные сведения см. в разделе "Шифрование данных в транзитном режиме".

Шифрование данных в состоянии покоя

Azure предоставляет широкие возможности шифрования неактивных данных , чтобы обеспечить защиту данных и обеспечить соответствие требованиям с помощью ключей шифрования, управляемых корпорацией Майкрософт, и ключей шифрования, управляемых клиентом. Этот процесс использует несколько ключей шифрования и служб, таких как Azure Key Vault и Идентификатор Microsoft Entra, чтобы обеспечить безопасный доступ к ключам и централизованное управление ключами. Дополнительные сведения о шифровании службы хранилища Azure и шифровании дисков Azure см. в разделе "Шифрование неактивных данных".

База данных SQL Azure предоставляет прозрачное шифрование данных (TDE) по умолчанию. TDE в режиме реального времени выполняет шифрование и расшифровку операций с файлами данных и журналами. Ключ шифрования базы данных (DEK) — это симметричный ключ, хранящийся в загрузочной записи базы данных для обеспечения доступности во время восстановления. Он защищен с помощью сертификата, хранящегося в базе данных master сервера, или асимметричного ключа TDE Protector, хранящегося под вашим контролем в Azure Key Vault. Key Vault поддерживает использование собственного ключа (BYOK), который позволяет хранить средство защиты TDE в Key Vault и управлять задачами управления ключами, включая смену ключей, разрешения, удаление ключей, включение аудита и создания отчетов для всех предохранителей TDE и т. д. Ключ можно создать с помощью Хранилища ключей, импортировать или передать в Хранилище ключей с локального устройства HSM. Вы также можете использовать функцию Always Encrypted базы данных SQL Azure, которая предназначена специально для защиты конфиденциальных данных, позволяя шифровать данные внутри приложений и никогда не раскрывать ключи шифрования ядра СУБД. Таким образом, Always Encrypted обеспечивает разделение между теми пользователями, кто владеет данными, и может просматривать их и тех пользователей, которые управляют данными, но не должны иметь доступа.

Ограничения на инсайдерский доступ

Все сотрудники Azure и Azure для государственных организаций в США подвергаются проверкам на фоновые данные Майкрософт. Дополнительные сведения см. в разделе "Скрининг".

Внутренняя угроза характеризуется как возможность предоставления скрытых подключений и доступа привилегированного администратора поставщика облачных услуг (CSP) к вашим системам и данным. Дополнительные сведения о том, как корпорация Майкрософт ограничивает внутренний доступ к вашим данным, см. в разделе Ограничения на внутренний доступ.

Мониторинг ресурсов Azure

Azure предоставляет основные службы, которые можно использовать для получения подробных сведений о подготовленных ресурсах Azure и получения оповещений о подозрительных действиях, включая внешние атаки, направленные на приложения и данные. Дополнительные сведения об этих службах см. в разделе "Мониторинг клиентов" ресурсов Azure.

Заключение

Вы должны тщательно оценить, как использование Azure может включать элементы управления экспортом США и определить, могут ли какие-либо данные, которые вы хотите хранить или обрабатывать в облаке, могут быть подвержены элементам управления экспортом. Microsoft Azure предоставляет важные технические функции, операционные процессы и договорные обязательства по управлению рисками контроля экспорта. Когда могут быть задействованы технические данные, подлежащие экспортному контролю США, Azure настроена таким образом, чтобы предоставлять функции, которые помогают снизить потенциальный риск того, что вы непреднамеренно нарушите правила экспортного контроля США при доступе к контролируемым техническим данным в Azure. С соответствующим планированием вы можете использовать функции Azure и собственные внутренние процедуры, чтобы обеспечить полное соответствие элементам управления экспортом США при использовании платформы Azure.

Дальнейшие шаги

Чтобы помочь вам перейти к правилам управления экспортом, корпорация Майкрософт опубликовала технический документ по элементам управления экспортом Microsoft Azure , описывающий элементы управления экспортом США (особенно при применении к программному обеспечению и техническим данным), проверяет потенциальные источники рисков контроля экспорта и предлагает конкретные рекомендации, которые помогут вам оценить свои обязательства в рамках этих элементов управления.

Дополнительные сведения: