Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Gambaran Umum
Lembaga keamanan publik dan peradilan berada di bawah tekanan yang meningkat untuk menjaga masyarakat tetap aman, mengurangi kejahatan, dan meningkatkan daya tanggap. Komputasi awan mengubah cara lembaga penegak hukum mendekati pekerjaan mereka. Ini membantu dengan sistem kesadaran kepolisian cerdas, sistem kamera tubuh di seluruh negeri/wilayah, dan kolaborasi polisi bergerak sehari-hari.
Ketika direncanakan dan diamankan dengan benar, layanan cloud dapat memberikan kemampuan baru yang kuat untuk lembaga keselamatan publik dan peradilan. Kemampuan ini mencakup manajemen bukti digital, analisis data, dan dukungan keputusan waktu nyata. Solusi dapat disampaikan di perangkat seluler terbaru. Namun, tidak semua penyedia cloud sama. Karena lembaga penegak hukum merangkul cloud, mereka membutuhkan penyedia layanan cloud yang dapat mereka percayai. Inti dari misi penegakan hukum menuntut mitra yang berkomitmen untuk memenuhi berbagai kebutuhan keamanan, kepatuhan, dan operasional.
Dari perangkat ke cloud, Microsoft mengutamakan privasi dan keamanan informasi, sekaligus meningkatkan produktivitas bagi petugas di lapangan dan di seluruh departemen. Lembaga keamanan publik dan keadilan dapat menggabungkan perangkat seluler yang sangat aman dengan akses "kapan saja-di mana saja" ke cloud. Dengan demikian, mereka dapat berkontribusi pada penyelidikan yang sedang berlangsung, menganalisis data, mengelola bukti, dan membantu melindungi warga negara dari ancaman.
Microsoft memperlakukan kepatuhan Layanan Informasi Peradilan Pidana (CJIS) sebagai komitmen, bukan kotak centang. Di Microsoft, kami berkomitmen untuk menyediakan solusi yang memenuhi kontrol keamanan CJIS yang berlaku, saat ini dan di masa mendatang. Selain itu, kami memperluas komitmen kami terhadap keselamatan dan keadilan publik melalui:
- Unit Kejahatan Digital Microsoft
- Pusat Operasi Pertahanan Siber Microsoft
- Solusi Microsoft untuk keselamatan dan keadilan publik
Layanan Informasi Peradilan Pidana (CJIS)
Divisi Layanan Informasi Peradilan Pidana (CJIS) dari Biro Investigasi Federal AS (FBI) memberikan penegak hukum negara bagian, lokal, dan federal serta lembaga peradilan pidana akses ke informasi peradilan pidana (CJI), misalnya, catatan sidik jari dan riwayat kriminal. Penegakan hukum dan lembaga pemerintah lainnya di Amerika Serikat harus memastikan bahwa penggunaan layanan cloud mereka untuk transmisi, penyimpanan, atau pemrosesan CJI mematuhi Kebijakan Keamanan CJIS, yang menetapkan persyaratan dan kontrol keamanan minimum untuk melindungi CJI.
Kebijakan Keamanan Azure dan CJIS
Komitmen Microsoft untuk memenuhi kontrol peraturan CJIS yang berlaku membantu organisasi peradilan pidana mematuhi Kebijakan Keamanan CJIS saat menerapkan solusi berbasis cloud. Untuk informasi selengkapnya tentang dukungan Azure untuk CJIS, lihat Penawaran kepatuhan Azure CJIS.
Sisa artikel ini membahas teknologi yang dapat Anda gunakan untuk melindungi CJI yang disimpan atau diproses di layanan cloud Azure. Teknologi ini dapat membantu Anda membangun kendali tunggal atas CJI yang menjadi tanggung jawab Anda.
Nota
Anda bertanggung jawab sepenuhnya untuk memastikan kepatuhan Anda sendiri dengan semua hukum dan peraturan yang berlaku. Informasi yang diberikan dalam artikel ini bukan merupakan nasihat hukum, dan Anda harus berkonsultasi dengan penasihat hukum Anda untuk pertanyaan apa pun mengenai kepatuhan terhadap peraturan.
Lokasi data pelanggan
Microsoft memberikan komitmen pelanggan yang kuat mengenai residensi data layanan cloud dan kebijakan transfer. Sebagian besar layanan Azure disebarkan secara regional dan memungkinkan Anda menentukan wilayah tempat layanan akan disebarkan, misalnya, Amerika Serikat. Komitmen ini membantu memastikan bahwa data pelanggan yang disimpan di wilayah AS akan tetap berada di Amerika Serikat dan tidak akan dipindahkan ke wilayah lain di luar Amerika Serikat.
Pemisahan penyewa
Azure adalah platform layanan cloud multipenyewa publik hyperscale yang memberi Anda akses ke lingkungan kaya fitur yang menggabungkan inovasi cloud terbaru seperti kecerdasan buatan, pembelajaran mesin, layanan IoT, analitik big data, edge cerdas, dan banyak lagi untuk membantu Anda meningkatkan efisiensi dan membuka wawasan tentang operasi dan performa Anda.
Platform cloud multipenyewa menyiratkan bahwa beberapa aplikasi dan data pelanggan disimpan pada perangkat keras fisik yang sama. Azure menggunakan isolasi logis untuk memisahkan aplikasi dan data Anda dari pelanggan lain. Pendekatan ini memberikan skala dan manfaat ekonomi dari layanan cloud multipenyewa sekaligus secara ketat membantu mencegah pelanggan lain mengakses data atau aplikasi Anda.
Azure mengatasi risiko yang dirasakan dari berbagi sumber daya dengan menyediakan fondasi yang dapat dipercaya untuk memastikan layanan cloud multipenyewa, tertentu secara kriptografis, terisolasi secara logis menggunakan serangkaian prinsip umum:
- Kontrol akses pengguna dengan autentikasi dan pemisahan identitas
- Isolasi komputasi untuk pemrosesan
- Isolasi jaringan termasuk enkripsi data dalam transit
- Isolasi penyimpanan dengan enkripsi data saat tidak aktif
- Proses jaminan keamanan yang tertanam dalam desain layanan untuk mengembangkan layanan yang terisolasi secara logis dengan benar
Isolasi komputasi logis diimplementasikan melalui isolasi Hypervisor, isolasi Drawbridge, dan isolasi berbasis konteks Pengguna. Selain isolasi komputasi logis, Azure juga memberi Anda isolasi komputasi fisik jika Anda memerlukan server fisik khusus untuk beban kerja Anda. Misalnya, jika Anda menginginkan isolasi komputasi fisik, Anda dapat menggunakan Azure Dedicated Host atau Isolated Virtual Machines, yang disebarkan pada perangkat keras server yang didedikasikan untuk satu pelanggan. Untuk informasi selengkapnya, lihat Panduan Azure untuk isolasi yang aman.
Pengamanan data melalui enkripsi
Azure memiliki dukungan luas untuk melindungi data Anda menggunakan enkripsi data, termasuk berbagai model enkripsi:
- Enkripsi sisi server yang menggunakan kunci yang dikelola layanan, kunci yang dikelola pelanggan (CMK) di Azure, atau CMK dalam perangkat keras yang dikendalikan pelanggan.
- Enkripsi sisi klien yang memungkinkan Anda mengelola dan menyimpan kunci secara lokal atau di lokasi aman lainnya.
Enkripsi data memberikan jaminan isolasi yang terkait langsung dengan akses kunci enkripsi. Karena Azure menggunakan cipher yang kuat untuk enkripsi data, hanya entitas dengan akses ke kunci enkripsi yang dapat memiliki akses ke data. Mencabut atau menghapus kunci enkripsi membuat data yang sesuai tidak dapat diakses. Jika Anda memerlukan keamanan ekstra untuk data pelanggan paling sensitif yang disimpan di layanan Azure, Anda dapat mengenkripsinya menggunakan kunci enkripsi Anda sendiri yang Anda kendalikan di Azure Key Vault.
Kriptografi FIPS 140 yang tervalidasi
Federal Information Processing Standard (FIPS) 140 adalah standar pemerintah AS yang mendefinisikan persyaratan keamanan minimum untuk modul kriptografi dalam produk teknologi informasi. Microsoft mempertahankan komitmen aktif untuk memenuhi persyaratan FIPS 140, setelah memvalidasi modul kriptografi sejak awal standar pada tahun 2001. Microsoft memvalidasi modul kriptografinya di bawah Program Validasi Modul Kriptografi (CMVP) Institut Standar dan Teknologi Nasional (NIST) AS. Beberapa produk Microsoft, termasuk banyak layanan cloud, menggunakan modul kriptografi ini.
Meskipun panduan implementasi CMVP FIPS 140 saat ini menghalangi validasi FIPS 140 untuk layanan cloud, penyedia layanan cloud dapat memperoleh dan mengoperasikan modul kriptografi tervalidasi FIPS 140 untuk elemen komputasi yang terdiri dari layanan cloud mereka. Azure dibangun dengan kombinasi perangkat keras, sistem operasi yang tersedia secara komersial (Linux dan Windows), dan versi Windows khusus Azure. Melalui Microsoft Security Development Lifecycle (SDL), semua layanan Azure menggunakan algoritma yang disetujui FIPS 140 untuk keamanan data karena sistem operasi menggunakan algoritma yang disetujui FIPS 140 saat beroperasi di cloud skala hiper. Modul kripto yang sesuai divalidasi FIPS 140 sebagai bagian dari program validasi Microsoft Windows FIPS. Selain itu, Anda dapat menyimpan kunci kriptografi Anda sendiri dan rahasia lainnya dalam modul keamanan perangkat keras (HSM) yang divalidasi FIPS 140 di bawah kendali Anda, juga dikenal sebagai kunci yang dikelola pelanggan.
Manajemen kunci enkripsi
Perlindungan dan pengelolaan kunci enkripsi yang tepat sangat penting untuk keamanan data. Azure Key Vault adalah layanan cloud untuk menyimpan dan mengelola rahasia dengan aman. Key Vault memungkinkan Anda menyimpan kunci enkripsi dalam modul keamanan perangkat keras (HSM) yang divalidasi FIPS 140. Untuk informasi selengkapnya, lihat Manajemen kunci enkripsi data.
Dengan Key Vault, Anda dapat mengimpor atau membuat kunci enkripsi di HSM, memastikan bahwa kunci tidak pernah meninggalkan batas perlindungan HSM untuk mendukung skenario bawa kunci Anda sendiri (BYOK). Kunci yang dihasilkan di dalam HSM Key Vault tidak dapat diekspor – tidak boleh ada versi teks jelas dari kunci di luar HSM. Pengikatan ini ditegakkan oleh perangkat keras keamanan yang mendasar. Azure Key Vault dirancang, disebarkan, dan dioperasikan sehingga Microsoft dan agennya tidak melihat atau mengekstrak kunci kriptografi Anda. Untuk informasi selengkapnya, lihat Bagaimana Azure Key Vault melindungi kunci Anda? Oleh karena itu, jika Anda menggunakan CMK yang disimpan di Azure Key Vault HSM, Anda secara efektif mempertahankan kepemilikan tunggal atas kunci enkripsi.
Enkripsi data dalam perjalanan
Azure menyediakan banyak opsi untuk mengenkripsi data saat transit. Enkripsi data saat transit mengisolasi lalu lintas jaringan Anda dari lalu lintas lain dan membantu melindungi data dari penyadapan. Untuk informasi selengkapnya, lihat Enkripsi data saat transit.
Enkripsi data saat istirahat
Azure menyediakan opsi ekstensif untuk mengenkripsi data tidak aktif untuk membantu Anda melindungi data dan memenuhi kebutuhan kepatuhan Anda menggunakan kunci enkripsi yang dikelola Microsoft dan kunci enkripsi yang dikelola pelanggan. Proses ini bergantung pada beberapa kunci dan layanan enkripsi seperti Azure Key Vault dan ID Microsoft Entra untuk memastikan akses kunci yang aman dan manajemen kunci terpusat. Untuk informasi selengkapnya tentang enkripsi Azure Storage dan enkripsi Azure Disk, lihat Enkripsi data tidak aktif.
Azure SQL Database menyediakan enkripsi data transparan (TDE) saat tidak aktif secara default. TDE melakukan operasi enkripsi real-time dan dekripsi data dan file log. Database Encryption Key (DEK) adalah kunci simetris yang disimpan dalam catatan boot database untuk ketersediaan selama pemulihan. Ini diamankan melalui sertifikat yang disimpan dalam database master server atau kunci asimetris yang disebut Pelindung TDE yang disimpan di bawah kontrol Anda di Azure Key Vault. Key Vault mendukung bawa kunci Anda sendiri (BYOK), yang memungkinkan Anda menyimpan Pelindung TDE di Key Vault dan mengontrol tugas manajemen kunci termasuk rotasi kunci, izin, menghapus kunci, mengaktifkan audit/pelaporan pada semua Pelindung TDE, dan sebagainya. Kunci dapat dihasilkan oleh Key Vault, diimpor, atau ditransfer ke Key Vault dari perangkat HSM lokal. Anda juga dapat menggunakan fitur Always Encrypted dari Azure SQL Database, yang dirancang khusus untuk membantu melindungi data sensitif dengan memungkinkan Anda mengenkripsi data di dalam aplikasi Anda dan tidak pernah mengungkapkan kunci enkripsi ke mesin database. Dengan cara ini, Always Encrypted menyediakan pemisahan antara pengguna yang memiliki data (dan dapat melihatnya) dan pengguna yang mengelola data (tetapi seharusnya tidak memiliki akses).
Enkripsi data yang digunakan
Microsoft memungkinkan Anda melindungi data Anda di seluruh siklus hidupnya: saat tidak aktif, saat transit, dan sedang digunakan. Komputasi rahasia Azure adalah sekumpulan kemampuan keamanan data yang menawarkan enkripsi data saat digunakan. Dengan pendekatan ini, ketika data dalam keadaan jelas, yang diperlukan untuk pemrosesan data yang efisien dalam memori, data dilindungi di dalam lingkungan eksekusi tepercaya (TEE) berbasis perangkat keras, juga dikenal sebagai enclave.
Teknologi seperti Intel Software Guard Extensions (Intel SGX), atau AMD Secure Encrypted Virtualization (SEV-SNP) adalah peningkatan CPU terbaru yang mendukung implementasi komputasi rahasia. Teknologi ini dirancang sebagai ekstensi virtualisasi dan menyediakan set fitur termasuk enkripsi dan integritas memori, kerahasiaan dan integritas status CPU, dan pengesahan. Untuk informasi selengkapnya, lihat dokumentasi komputasi rahasia Azure .
Autentikasi multifaktor (MFA)
Kebijakan Keamanan CJIS v5.9.2 merevisi persyaratan autentikasi multifaktor (MFA) untuk perlindungan CJI. MFA memerlukan penggunaan dua atau lebih faktor berbeda yang didefinisikan sebagai berikut:
- Sesuatu yang Anda ketahui, misalnya, nama pengguna/kata sandi atau nomor identifikasi pribadi (PIN)
- Sesuatu yang Anda miliki, misalnya, token keras seperti kunci kriptografi yang disimpan atau kata sandi sekali pakai (OTP) yang dikirimkan ke perangkat keras khusus
- Sesuatu yang Anda adalah, misalnya, informasi biometrik
Menurut Kebijakan Keamanan CJIS, identifikasi dan otentikasi pengguna organisasi memerlukan MFA untuk akun istimewa dan non-hak istimewa sebagai bagian dari persyaratan kontrol akses CJI. MFA diperlukan pada Authenticator Assurance Level 2 (AAL2), sebagaimana dijelaskan dalam National Institute of Standards and Technology (NIST) SP 800-63Digital Identity Guidelines. Pengautentikasi dan verifikator yang dioperasikan di AAL2 harus divalidasi untuk memenuhi persyaratan FIPS 140 Level 1.
Aplikasi Microsoft Authenticator memberikan tingkat keamanan ekstra untuk akun Microsoft Entra Anda. Ini tersedia di ponsel yang menjalankan Android dan iOS. Dengan aplikasi Microsoft Authenticator, Anda dapat memberikan verifikasi sekunder untuk skenario MFA untuk memenuhi persyaratan MFA Kebijakan Keamanan CJIS Anda. Seperti disebutkan sebelumnya, Kebijakan Keamanan CJIS mengharuskan solusi untuk token keras menggunakan modul kriptografi yang divalidasi di FIPS 140 Level 1. Aplikasi Microsoft Authenticator memenuhi persyaratan validasi FIPS 140 Level 1 untuk semua autentikasi Microsoft Entra, seperti yang dijelaskan dalam Metode autentikasi di Microsoft Entra ID - aplikasi Microsoft Authenticator. Kepatuhan FIPS 140 untuk Microsoft Authenticator saat ini diterapkan untuk iOS dan sedang berlangsung untuk Android.
Selain itu, Azure dapat membantu Anda memenuhi dan melampaui persyaratan MFA Kebijakan Keamanan CJIS Anda dengan mendukung Jaminan Pengautentikasi Level 3 (AAL3) tertinggi. Menurut NIST SP 800-63B Bagian 4.3, pengautentikasi multi-faktor yang digunakan di AAL3 harus mengandalkan modul kriptografi perangkat keras yang divalidasi pada FIPS 140 Level 2 secara keseluruhan dengan setidaknya FIPS 140 Level 3 untuk keamanan fisik, yang melebihi persyaratan MFA Kebijakan Keamanan CJIS. Verifikator di AAL3 harus divalidasi pada FIPS 140 Level 1 atau lebih tinggi.
Microsoft Entra ID mendukung persyaratan NIST SP 800-63B AAL3 pengautentikasi dan verifikat:
- Persyaratan pengautentikasi: Kunci keamanan FIDO2, kartu pintar, dan Windows Hello for Business dapat membantu Anda memenuhi persyaratan AAL3, termasuk persyaratan validasi FIPS 140 yang mendasarinya. Dukungan ID Microsoft Entra untuk NIST SP 800-63B AAL3 melebihi persyaratan MFA Kebijakan Keamanan CJIS.
- Persyaratan verifikasi: Microsoft Entra ID menggunakan modul kriptografi Windows FIPS 140 Level 1 yang divalidasi secara keseluruhan untuk semua operasi kriptografi terkait autentikasinya. Oleh karena itu, ini adalah verifikator yang sesuai dengan FIPS 140.
Untuk informasi selengkapnya, lihat dokumentasi Azure NIST SP 800-63.
Pembatasan akses orang dalam
Ancaman orang dalam ditandai sebagai potensi untuk menyediakan koneksi pintu belakang dan akses administrator istimewa penyedia layanan cloud (CSP) ke sistem dan data Anda. Untuk informasi selengkapnya tentang cara Microsoft membatasi akses orang dalam ke data Anda, lihat Pembatasan akses orang dalam.
Memantau sumber daya Azure Anda
Azure menyediakan layanan penting yang dapat Anda gunakan untuk mendapatkan wawasan mendalam tentang sumber daya Azure yang disediakan dan mendapatkan pemberitahuan tentang aktivitas mencurigakan, termasuk serangan luar yang ditujukan untuk aplikasi dan data Anda. Untuk informasi selengkapnya tentang layanan ini, lihat Pemantauan pelanggan sumber daya Azure.
Langkah selanjutnya
- Keamanan Azure
- Microsoft untuk keamanan dan keadilan publik
- Solusi pemerintah Microsoft
- Apa yang dimaksud Azure Government?
- Menjelajahi Azure Government
- Kepatuhan Azure Government
- Layanan Informasi Peradilan Pidana (CJIS)
- Kebijakan Keamanan CJIS
- Penawaran kepatuhan Azure CJIS
- Penawaran kepatuhan Azure FedRAMP
- Kontrol Keamanan dan Privasi NIST SP 800-53untuk Sistem informasi dan Organisasi