Поделиться через

Azure для общественной безопасности и справедливости

Обзор

Государственные учреждения безопасности и правосудия находятся под давлением, чтобы обеспечить безопасность общин, уменьшить преступность и повысить скорость реагирования. Облачные вычисления преобразуют способ работы правоохранительных органов. Это помогает интеллектуальным системам обеспечения осведомленности полиции, системам нательных видеокамер по всей стране или региону и для повседневного мобильного взаимодействия полиции.

При правильном планировании и защите облачные службы могут обеспечить мощные новые возможности для государственных учреждений безопасности и правосудия. Эти возможности включают управление цифровыми доказательствами, анализ данных и поддержку принятия решений в режиме реального времени. Решения можно доставлять на последних мобильных устройствах. Однако не все поставщики облачных служб равны. Как правоохранительные органы принимают облако, им нужен поставщик облачных служб, которому они могут доверять. Основная часть миссии правоохранительных органов требует от партнеров, которые привержены выполнению полного диапазона потребностей в обеспечении безопасности, соответствия требованиям и оперативной деятельности.

С устройств в облако корпорация Майкрософт ставит на первое место конфиденциальность и информационную безопасность, повышая производительность сотрудников на местах и по всему отделу. Государственные учреждения по безопасности и правосудию могут объединять высокозащищенные мобильные устройства с доступом "в любое время" к облаку. При этом они могут способствовать текущим расследованиям, анализу данных, управлению доказательствами и защите граждан от угроз.

Корпорация Майкрософт рассматривает соответствие служб уголовного правосудия (CJIS) как обязательство, а не флажок. В Корпорации Майкрософт мы стремимся предоставлять решения, соответствующие применимым элементам управления безопасностью CJIS, сегодня и в будущем. Кроме того, мы расширим нашу приверженность общественной безопасности и справедливости через:

Информационные службы уголовного правосудия (CJIS)

Отдел информационной службы уголовного правосудия (CJIS) Федерального бюро расследований США (ФБР) предоставляет государственным, местным и федеральным правоохранительным органам и федеральным органам уголовного правосудия доступ к информации уголовного правосудия (CJI), например отпечатки пальцев и уголовные истории. Правоохранительные органы и другие государственные учреждения в Соединенных Штатах должны обеспечить использование облачных служб для передачи, хранения или обработки CJI соответствует политике безопасности CJIS, которая устанавливает минимальные требования к безопасности и средства контроля для защиты CJI.

Политика безопасности Azure и CJIS

Приверженность Майкрософт соблюдению применимых нормативных требований CJIS содействует обеспечению соответствия организаций уголовного правосудия политике безопасности CJIS при реализации облачных решений. Дополнительные сведения о поддержке Azure для CJIS см. в информации о соответствии требованиям Azure CJIS.

В оставшейся части этой статьи рассматриваются технологии, которые можно использовать для защиты хранилища или обработки CJI в облачных службах Azure. Эти технологии помогут вам установить единый контроль над CJI, за которые вы отвечаете.

Замечание

Вы несете полную ответственность за обеспечение соблюдения всех применимых законов и правил. Информация, указанная в этой статье, не является юридической консультацией, и вы должны обратиться к своему юридическому консультанту по любым вопросам о соответствии нормативным требованиям.

Местонахождение данных клиентов

Корпорация Майкрософт предоставляет строгие обязательства клиентов относительно расположения и передачи данных облачных служб. Большинство служб Azure развертываются в регионе и позволяют указать регион, в который будет развернута служба, например в США. Это обязательство помогает гарантировать, что данные клиентов , хранящиеся в регионе США, останутся в США и не будут перемещены в другой регион за пределами США.

Разделение арендаторов

Azure — это платформа общедоступных облачных служб с гипермасштабированием, которая обеспечивает доступ к полнофункциональное окружение, включающее последние облачные инновации, такие как искусственный интеллект, машинное обучение, службы Интернета вещей, аналитика больших данных, интеллектуальная граничная среда и многое другое, чтобы повысить эффективность и разблокировать аналитические сведения об операциях и производительности.

Мультитенантная облачная платформа подразумевает, что несколько клиентских приложений и данных хранятся на одном физическом оборудовании. Azure использует логическую изоляцию для разделения приложений и данных от других клиентов. Этот подход обеспечивает масштабирование и экономические преимущества мультитенантных облачных служб, не позволяя другим клиентам получать доступ к данным или приложениям.

Azure устраняет предполагаемый риск совместного использования ресурсов, предоставляя надежную основу для обеспечения мультитенантной, криптографически определенной, логически изолированной облачной службы с помощью общего набора принципов:

  • Элементы управления доступом пользователей с аутентификацией и разделением полномочий.
  • Изоляция вычислений для обработки
  • Сетевая изоляция, включая шифрование данных при передаче
  • Изоляция хранилища с шифрованием данных в состоянии покоя
  • Процессы обеспечения безопасности, внедренные в структуру службы, для правильной разработки логически изолированных служб

Логическая изоляция вычислений реализуется через изоляцию гипервизора, изоляцию Drawbridge и изоляцию на основе контекста пользователя. Помимо логической изоляции вычислений Azure также обеспечивает физическую изоляцию вычислений, если для рабочих нагрузок требуются выделенные физические серверы. Например, если требуется изоляция физических вычислений, можно использовать выделенный узел Azure или изолированные виртуальные машины, развернутые на серверном оборудовании, выделенном для одного клиента. Дополнительные сведения см. в руководстве Azure по безопасной изоляции.

Шифрование данных

Azure имеет обширную поддержку для защиты данных с помощью шифрования данных, включая различные модели шифрования:

  • Шифрование на стороне сервера, использующее управляемые службой ключи, ключи, управляемые клиентом (CMK) в Azure, или CMK в оборудовании, управляемом клиентом.
  • Шифрование на стороне клиента, позволяющее управлять ключами локально или в другом безопасном расположении.

Шифрование данных обеспечивает гарантии изоляции, которые привязаны непосредственно к доступу к ключу шифрования. Так как Azure использует надежные шифры для шифрования данных, доступ к данным может иметь только сущности с доступом к ключам шифрования. Отмена или удаление ключей шифрования делает соответствующие данные недоступными. Если вам требуется дополнительная безопасность для наиболее конфиденциальных данных клиента, хранящихся в службах Azure, вы можете зашифровать его с помощью собственных ключей шифрования, которые вы контролируете в Azure Key Vault.

Криптография, аттестованная по стандарту FIPS 140

Федеральный стандарт обработки информации (FIPS) 140 — это стандарт правительства США, определяющий минимальные требования к безопасности для криптографических модулей в продуктах информационной технологии. Корпорация Майкрософт поддерживает активное обязательство соответствовать требованиям FIPS 140, проверяя криптографические модули с момента создания стандарта в 2001 году. Корпорация Майкрософт проверяет свои криптографические модули в рамках программы проверки криптографических модулей (CMVP) Национального института стандартов и технологий США (NIST). Несколько продуктов Майкрософт, включая многие облачные службы, используют эти криптографические модули.

Хотя текущее руководство по реализации CMVP FIPS 140 исключает проверку FIPS 140 для облачной службы, поставщики облачных служб могут получать и работать с проверенными криптографическими модулями FIPS 140 для вычислительных элементов, составляющих их облачные службы. Azure создается с помощью сочетания аппаратных, коммерчески доступных операционных систем (Linux и Windows) и конкретной версии Windows. Через жизненный цикл разработки безопасности Майкрософт (SDL) все службы Azure используют утвержденные алгоритмы FIPS 140 для обеспечения безопасности данных, так как операционная система использует утвержденные алгоритмы FIPS 140 при работе в гипермасштабируемом облаке. Соответствующие модули шифрования прошли проверку FIPS 140 в рамках программы валидации FIPS Microsoft Windows. Кроме того, вы можете хранить собственные криптографические ключи и другие секреты в проверенных аппаратных модулях безопасности FIPS 140 (HSM) под вашим контролем, также известных как ключи, управляемые клиентом.

Управление ключом шифрования

Правильная защита ключей шифрования и управление ими необходима для обеспечения безопасности данных. Azure Key Vault — это облачная служба для безопасного хранения секретов и управления ими. Key Vault позволяет хранить ключи шифрования в аппаратных модулях безопасности (HSM), проверенных FIPS 140. Дополнительные сведения см. в разделе "Управление ключами шифрования данных".

С помощью Key Vault можно импортировать или создать ключи шифрования в HSM, гарантируя, что ключи никогда не покидают границу защиты HSM для поддержки сценариев использования собственного ключа (BYOK ). Ключи, созданные внутри HSM Key Vault, не экспортируются. Нет четкой текстовой версии ключа за пределами HSM. Эта привязка применяется базовым HSM. Azure Key Vault разработан, развернут и работает таким образом, чтобы корпорация Майкрософт и ее агенты не видели или не извлекали криптографические ключи. Подробнее см. в статье Как Azure Key Vault защищает ваши ключи? Таким образом, если вы используете CMK, хранящиеся в HSM Azure Key Vault, вы эффективно сохраняете единоличное владение ключами шифрования.

Шифрование данных при передаче

Azure предоставляет множество вариантов шифрования данных при передаче. Шифрование данных при передаче изолирует сетевой трафик от другого трафика и помогает защитить данные от перехвата. Дополнительные сведения см. в разделе "Шифрование данных в транзитном режиме".

Шифрование данных в состоянии покоя

Azure предоставляет широкие возможности шифрования неактивных данных , чтобы обеспечить защиту данных и обеспечить соответствие требованиям с помощью ключей шифрования, управляемых корпорацией Майкрософт, и ключей шифрования, управляемых клиентом. Этот процесс использует несколько ключей шифрования и служб, таких как Azure Key Vault и Идентификатор Microsoft Entra, чтобы обеспечить безопасный доступ к ключам и централизованное управление ключами. Дополнительные сведения о шифровании службы хранилища Azure и шифровании дисков Azure см. в разделе "Шифрование неактивных данных".

База данных SQL Azure предоставляет прозрачное шифрование данных (TDE) по умолчанию. TDE в режиме реального времени выполняет шифрование и расшифровку операций с файлами данных и журналами. Ключ шифрования базы данных (DEK) — это симметричный ключ, хранящийся в загрузочной записи базы данных для обеспечения доступности во время восстановления. Он защищен с помощью сертификата, хранящегося в базе данных master сервера, или асимметричного ключа TDE Protector, хранящегося под вашим контролем в Azure Key Vault. Key Vault поддерживает использование собственного ключа (BYOK), который позволяет хранить средство защиты TDE в Key Vault и управлять задачами управления ключами, включая смену ключей, разрешения, удаление ключей, включение аудита и создания отчетов для всех предохранителей TDE и т. д. Ключ можно создать с помощью Хранилища ключей, импортировать или передать в Хранилище ключей с локального устройства HSM. Вы также можете использовать функцию Always Encrypted базы данных SQL Azure, которая предназначена специально для защиты конфиденциальных данных, позволяя шифровать данные внутри приложений и никогда не раскрывать ключи шифрования ядра СУБД. Таким образом, Always Encrypted обеспечивает разделение между теми пользователями, которые имеют данные (и могут просматривать их) и тех пользователей, которые управляют данными (но не должны иметь доступа).

Шифрование данных, используемое

Microsoft предоставляет возможность защитить ваши данные на всех этапах жизненного цикла: в состоянии покоя, при передаче и при использовании. Конфиденциальные вычисления Azure — это набор возможностей безопасности данных, которые обеспечивают шифрование данных во время использования. При таком подходе, когда данные в открытом виде, что необходимо для эффективной обработки данных в памяти, данные защищаются внутри доверенной аппаратной среды выполнения (TEE), также известной как анклав.

Технологии, такие как расширения Intel Software Guard (Intel SGX) или AMD Secure Encrypted Virtualization (SEV-SNP), являются недавними улучшениями ЦП, поддерживающими реализации конфиденциальных вычислений. Эти технологии предназначены в качестве расширений виртуализации и предоставляют наборы функций, включая шифрование памяти и целостность памяти, конфиденциальность состояния ЦП и целостность, а также аттестацию. Дополнительные сведения см. в документации по конфиденциальным вычислениям Azure .

многофакторная проверка подлинности (MFA)

Политика безопасности CJIS версии 5.9.2 пересмотрела требования многофакторной проверки подлинности (MFA) для защиты CJI. Многофакторная проверка подлинности требует использования двух или более различных факторов, определенных следующим образом:

  • То, что вы знаете, например, имя пользователя или пароль или личный идентификационный номер (ПИН-код)
  • Что-то у Вас есть, например, жесткий маркер, такой как криптографический ключ, хранящийся на устройстве, или одноразовый пароль (OTP), передаваемый на специализированное аппаратное устройство.
  • Что-то, что связано с вами, например, биометрическая информация

Согласно политике безопасности CJIS, идентификация и проверка подлинности пользователей организации требуют MFA для привилегированных и не привилегированных учетных записей в рамках требований к управлению доступом CJI. MFA требуется на уровне проверки подлинности 2 (AAL2), как описано в Национальном институте стандартов и технологий (NIST) SP 800-63Digital Identity Guidelines. Аутентификаторы и проверяющие, работающие в AAL2, должны быть проверены в соответствии с требованиями FIPS 140 уровня 1.

Приложение Microsoft Authenticator обеспечивает дополнительный уровень безопасности для учетной записи Microsoft Entra. Он доступен на мобильных телефонах под управлением Android и iOS. С помощью приложения Microsoft Authenticator можно предоставить вторичную проверку подлинности для сценариев MFA в соответствии с требованиями MFA политики безопасности CJIS. Как упоминалось ранее, политика безопасности CJIS требует, чтобы решения для жестких токенов использовали криптографические модули, проверенные на уровне 140 FIPS 1. Приложение Microsoft Authenticator соответствует требованиям проверки FIPS 140 уровня 1 для всех аутентификаций Microsoft Entra, как описано в методах проверки подлинности в идентификаторе Microsoft Entra ID — приложение Microsoft Authenticator. Соответствие FIPS 140 для Microsoft Authenticator в настоящее время обеспечено для iOS и осуществляется для Android.

Кроме того, Azure может помочь вам удовлетворить и превысить требования MFA политики безопасности CJIS, поддерживая самый высокий уровень проверки подлинности 3 (AAL3). Согласно разделу 4.3 NIST SP 800-63B, многофакторные аутентификаторы , используемые в AAL3, должны полагаться на аппаратные криптографические модули, проверенные на уровне FIPS 140 уровня 2 в целом с по крайней мере FIPS 140 уровня 3 для физической безопасности, что превышает требования MFA политики безопасности CJIS. Проверяющие лица на AAL3 должны проверяться на уровне FIPS 140 1 или выше.

Идентификатор Microsoft Entra ID поддерживает требования аутентификатора и проверяющего NIST SP 800-63B AAL3.

  • Требования к аутентификатору: Ключи безопасности FIDO2, смарт-карты и Windows Hello для бизнеса помогут вам соответствовать требованиям AAL3, включая базовые требования проверки FIPS 140. Поддержка Идентификатора Microsoft Entra для NIST SP 800-63B AAL3 превышает требования MFA политики безопасности CJIS.
  • Требования к проверяющим: Microsoft Entra ID использует общий проверенный криптографический модуль Windows FIPS 140 уровня 1 для всех своих операций, связанных с криптографией аутентификации. Поэтому это средство проверки, соответствующее стандарту FIPS 140.

Дополнительные сведения см. в документации по Azure NIST SP 800-63.

Ограничения на инсайдерский доступ

Внутренняя угроза характеризуется как возможность предоставления скрытых подключений и доступа привилегированного администратора поставщика облачных услуг (CSP) к вашим системам и данным. Дополнительные сведения о том, как корпорация Майкрософт ограничивает внутренний доступ к вашим данным, см. в разделе Ограничения на внутренний доступ.

Мониторинг ресурсов Azure

Azure предоставляет основные службы, которые можно использовать для получения подробных сведений о подготовленных ресурсах Azure и получения оповещений о подозрительных действиях, включая внешние атаки, направленные на приложения и данные. Дополнительные сведения об этих службах см. в разделе "Мониторинг клиентов" ресурсов Azure.

Дальнейшие шаги