為了協助您瀏覽導出控制規則,Microsoft已發佈 Microsoft Azure 匯出控件 白皮書。 它描述美國出口管制特別適用於軟體和技術數據、檢閱潛在的出口控制風險來源,並提供特定指引來協助您評估這些控制下的義務。 雲端匯出常見問題提供額外的資訊,可以從 匯出Microsoft產品的常見問題中取得。
備註
免責聲明: 您完全負責確保自己遵守所有適用的法律和法規。 本文中提供的資訊並不構成法律建議,您應該諮詢您的法律顧問以取得有關法規合規性的任何問題。
出口管制法概觀
出口相關定義在各種出口管制法規中有些不同。 在簡化的術語中,出口通常意味著以任何方式將受限制的資訊、材料、設備、軟體等轉移到外國個人或外國目的地。 美國出口管制政策是通過商務部、國務院、能源部、核監管委員會和財政部主要管理的出口管制法律法規來執行的。 各部門內的個別機構會根據其歷史管理負責出口管制的特定領域,如表 1 所示。
資料表 1。 美國出口管制法律法規
| 調節器 | 法律/法規 | 參考文獻 |
|---|---|---|
|
商務部: 工業和安全局(BIS) |
- 1979 年出口管理法(EAA) - 出口管理條例(EAR) |
-
P.L. 96-72 - 15 CFR 第 730 – 774 部分 |
|
國務院: 國防貿易管制局(DDTC) |
- 武器出口管制法(AECA) - 國際武器管制條例(ITAR) |
-
22 美國法典第39條 - 22聯邦法規章120至130 |
|
能源部: 國家核安全管理局(NNSA) |
- 1954年原子能法(AEA) - 對外國原子能活動的援助 |
-
美國法典第 42 編 2011 及後續條文 - 10 CFR 第 810 部分 |
| 核監管委員會(NRC) | - 1978 年《核不擴散法》- 核設備和材料進出口 |
-
P.L. 95-242 - 10 CFR 第 110 部分 |
|
財政部: 外國資產管制辦公室(OFAC) |
- 與敵國貿易法(TWEA) - 外國資產管制條例 |
-
50 美國法典 第 5 節和第 16 節 - 第 31 聯邦法規編碼第 500 部分 |
本文包含目前美國出口管制法規、雲端運算考慮,以及支援出口控制需求之 Azure 功能和承諾的檢閱。
耳朵
美國商務部負責通過工業和安全域(BIS)執行出口管理條例(EAR)。 根據BIS 的定義,出口是將受保護的技術或信息轉移到外國目的地,或向美國外國人發放受保護的技術或資訊,也稱為出口。 受 EAR 約束的專案可以在商務控制清單 (CCL) 中找到,而且每個專案都有指派的唯一匯出控制分類編號 (ECCN)。 CCL 上未列出的項目會被指定為 EAR99,而且大部分的 EAR99 商業產品不需要出口許可證。 不過,視目的端、使用者或專案使用方式而定,即使是 EAR99 專案也可能需要 BIS 導出授權。
EAR 適用於同時具有商業和軍事應用程式的雙重用途專案,以及具有純商業應用程式的專案。 BIS 已提供指引,因為客戶使用雲端服務,雲端服務提供者(CSP)不會匯出客戶的數據。 此外,在 2016 年 6 月 3 日發布的最終規則中,BIS 澄清,如果未分類技術數據和軟體的傳輸和儲存使用聯邦資訊處理標準(FIPS) 140 驗證的加密模組進行端對端加密,且並非刻意儲存在軍事禁運國家/地區,即國家/地區群組 D:5,如 EAR 的補充文件第 740 部分的第 1 款所述,或儲存在俄羅斯聯邦內,則不適用 EAR 授權要求。 美國商務部已明確表示,當數據或軟體上傳到雲端時,客戶,而不是雲端提供者,是負責確保傳輸、儲存和存取該數據或軟體符合 EAR 的 導出 者。
Azure 和 Azure Government 都可協助您符合您的 EAR 合規性需求。 除了香港特別行政區的 Azure 區域以外,Azure 和 Azure Government 資料中心不在被禁止的國家/地區或俄羅斯聯邦。
Azure 服務依賴基礎作系統中 經過 FIPS 140 驗證的密碼編譯模組,並提供 許多選項來加密 傳輸中的數據和待用數據,包括使用 Azure Key Vault 的加密密鑰管理。 Key Vault 服務可以將加密金鑰儲存在您的控制之下的 FIPS 140 驗證硬體安全性模組 (HSM),也稱為客戶自控密鑰 (CMK)。 在 Azure Key Vault HSM 內產生的金鑰無法匯出 – HSM 外部沒有金鑰的純文字版本。 底層 HSM 會施行此系結。 Azure Key Vault 的設計、部署及運行方式使得 Microsoft 及其代理無法查看或提取您的加密金鑰。 如需額外的保證,請參閱 Azure Key Vault 如何保護您的密鑰?
您必須負責選擇 Azure 或 Azure Government 區域來部署應用程式和數據。 此外,您負責設計應用程式,以套用符合EAR需求的端對端數據加密。 Microsoft不會檢查、核准或監視部署在 Azure 或 Azure Government 上的應用程式。
Azure Government 透過合約承諾提供額外的保護,確保客戶數據儲存在美國,同時限制可能接觸處理您數據之系統的潛在存取權限,僅限於已篩選的美國人員。 如需有關EAR之 Azure 支援的詳細資訊,請參閱 Azure EAR 合規性供應專案。
ITAR
美國國務院在國防貿易管制局(DDTC)管理的《國際武器管制條例》(ITAR)下,對國防物品、服務和相關技術擁有出口管制權。 ITAR保護下的項目記載在美國軍火清單(USML)上。 如果您是 USML 上定義的防禦文章、服務和相關技術的製造商、匯出者和代理人,您必須向 DDTC 註冊,必須瞭解並遵守 ITAR,而且必須自行證明您根據 ITAR 運作。
DDTC 修訂了 2020 年 3 月 25 日生效 的 ITAR 規則 ,使其與 EAR 更緊密地配合。 這些 ITAR 修訂引進了端對端數據加密,其中包含了美國商務部在 2016 年為 EAR 採用的許多相同詞彙。 具體來說,修訂後的 ITAR 規則指出,不構成出口、再出口、再轉移或臨時進口的活動包括(其他活動中)傳送、取用或儲存技術數據,當該數據為 1)非機密,2)使用端對端加密保護,3)使用符合 FIPS 140 標準的加密模組保護,如法規規定,4)未故意傳送給或儲存在 § 126.1 所禁止的國家/地區或俄羅斯聯邦內的個人,且 5)不是從 § 126.1 所禁止的國家/地區或俄羅斯聯邦發送。 此外,DDTC 釐清了透過因特網傳輸的數據不會被視為儲存。 端對端加密表示數據一律會在原始程式與預定收件者之間保持加密,且解密方式不會提供給任何第三方。
沒有ITAR合規性認證;不過,Azure 和 Azure Government 都可協助您履行 ITAR 合規性義務。 除了香港特別行政區的 Azure 區域以外,Azure 和 Azure Government 資料中心不在被禁止的國家/地區或俄羅斯聯邦。 Azure 服務依賴基礎作系統中 經過 FIPS 140 驗證的密碼編譯模組,並提供 許多選項來加密 傳輸中的數據和待用數據,包括使用 Azure Key Vault 的加密密鑰管理。 Key Vault 服務可以將加密金鑰儲存在您的控制之下的 FIPS 140 驗證硬體安全性模組 (HSM),也稱為客戶自控密鑰 (CMK)。 在 Azure Key Vault HSM 內產生的金鑰無法匯出 – HSM 外部沒有金鑰的純文字版本。 底層 HSM 會施行此系結。 Azure Key Vault 的設計、部署及運行方式使得 Microsoft 及其代理無法查看或提取您的加密金鑰。 如需額外的保證,請參閱 Azure Key Vault 如何保護您的密鑰?
您必須負責選擇 Azure 或 Azure Government 區域來部署應用程式和數據。 此外,您負責設計應用程式,以套用符合 ITAR 需求的端對端數據加密。 Microsoft不會檢查、核准或監視部署在 Azure 或 Azure Government 上的應用程式。
Azure Government 透過合約承諾提供額外的保護,確保客戶數據儲存在美國,同時限制可能接觸處理您數據之系統的潛在存取權限,僅限於已篩選的美國人員。 如需 AZURE ITAR 支援的詳細資訊,請參閱 Azure ITAR 合規性供應專案。
DoE 10 CFR 第 810 部分
美國能源部(DoE)出口管制條例 10 CFR第810部分 實施 1954年《原子能法 》第57b.(2)條,經 1978年《核不擴散法 》第302條(NNPA)修訂。 它由 國家核安全域(NNSA)管理。 修訂后的第810部分(最終規則)於2015年3月25日生效,除其他事項外,它控制了未分類的核技術和援助的出口。 它通過幫助確保從美國出口的核技術僅用於和平目的,從而實現和平核貿易。 第810.7段(b)規定,需要特定的 DoE 授權,才能向任何外國實體提供或轉讓敏感核技術。
Azure Government 可協助您符合 DoE 10 CFR 第 810 部分輸出控制要求,因為它的設計目的是實施特定控制措施,將存取資訊和系統的權限限制於 Azure 營運人員中的美國人士。 如果您要將數據部署到 Azure Government,您必須負責自己的安全分類流程。 對於受 DoE 出口管制的數據,分類系統由 AEA 第 148 節所建立的 未分類控制核資訊 (UCNI) 控制來增強。 如需 DoE 10 CFR 第 810 部分 Azure 支援的詳細資訊,請參閱 Azure DoE 10 CFR 第 810 部分合規性供應專案。
NRC 10 CFR 第 110 部分
核監管委員會(NRC)負責根據10個CFR第110部分出口管制條例進出口核設備和材料。 國家發改委對核設施及相關設備和材料的進出口進行監管。 NRC沒有規範與這些專案有關的核技術和援助,這些項目位於 DoE 管轄範圍內。 因此, NRC 10 CFR 第 110 部分法規不適用於 Azure 或 Azure Government。
OFAC 制裁法
外國資產管制辦公室(OFAC)負責根據美國外交政策和國家安全目標,對目標為外國/地區、恐怖分子、國際毒品販運者以及從事大規模殺傷性武器擴散活動的實體進行經貿制裁。
OFAC 將禁止的交易定義為貿易或金融交易,以及其他交易行為,而美國人士不得參與此類交易,除非獲得 OFAC 授權或有法規明確豁免。 如需以網路為基礎的互動,請參閱 OFAC 發佈的一般指引常見問題 73 ,例如,指定「促進或參與電子商務的公司應盡最大努力直接了解客戶」。
如Microsoft在線服務條款 數據保護增補(DPA)所述,「Microsoft不會控制或限制客戶或客戶終端使用者可能存取或行動客戶數據的區域。 對於Microsoft在線服務,Microsoft進行盡職盡責,以防止與 OFAC 封鎖國家/地區的實體交易。 例如,不允許制裁目標布建 Azure 服務。 OFAC 尚未發出指引,例如 BIS 為 EAR 提供的指引,在被視為匯出時,雲端服務提供者和客戶之間會有所區別。 因此, 您必須負責將制裁目標排除在涉及應用程式的在線交易 中,包括部署在 Azure 上的網站。 Microsoft不會封鎖 Azure 上部署網站的網路流量。 雖然 OFAC 提到客戶可以根據 IP 數據表範圍來限制存取,但他們也承認這種方法不會完全解決因特網的公司合規性風險。 因此,OFAC建議電子商務公司應該直接知道他們的客戶。 Microsoft不負責,也沒有辦法直接知道與部署在 Azure 上的應用程式互動的終端使用者。
OFAC制裁措施已到位,以防止“以制裁目標進行業務”,即防止涉及貿易、付款、金融工具等的交易。 OFAC制裁並非旨在防止被禁國家/地區的居民檢視公共網站。
管理出口管制需求
您應該仔細評估您使用 Azure 可能會如何牽涉到美國出口管制,並判斷您想要儲存或處理雲端的任何數據是否可能受到導出控制。 Microsoft提供合約承諾、作業程式和技術功能,以協助您在使用 Azure 時履行出口控制義務。 下列 Azure 功能可協助您管理潛在的導出控制風險:
- 控制資料位置的能力 – 您可以檢視 資料儲存的位置,以及強固的工具,將資料記憶體限製為單一地理位置或國家/地區。 例如,您可以確定資料儲存在美國或您選擇的國家/地區,並將受控制技術/技術數據的傳輸降到目標國家/地區之外。 您的數據不會 刻意儲存 在不符合規範的位置,與 EAR 和 ITAR 規則一致。
- 端對端加密 – 表示數據一律會在原始程式與預定收件者之間保持加密,且解密方式不會提供給任何第三方。 Azure 依賴基礎作系統中的 FIPS 140 驗證密碼編譯模組,並提供 許多選項來加密 傳輸中的數據和待用數據,包括使用 Azure Key Vault 的加密密鑰管理。 Key Vault 服務可以將加密金鑰儲存在您的控制之下的 FIPS 140 驗證硬體安全性模組 (HSM),也稱為客戶自控密鑰 (CMK)。 Azure Key Vault 是設計、部署及操作,使得 Microsoft 及其代理 看不到或擷取您的密碼編譯密鑰。
- 控制資料的存取 – 您可以知道及控制誰可以存取您的數據,以及哪些條款。 Microsoft技術支持人員不需要,也不需要預設存取您的數據。 對於解決支援要求需要提升數據存取權的罕見實例, 適用於 Azure 的客戶加密箱 會讓您負責核准或拒絕數據存取要求。
- 防止未經授權的導出/重新導出的工具和通訊協定 – 除了實體儲存位置的 EAR 和 ITAR 端對端加密 安全港之外, 加密的使用也有助於防止可能被視為匯出或被視為重新匯出,因為即使非美國人員可以存取加密的數據,也不會向無法讀取或了解數據的非美國人員透露任何數據,而該數據加密,因此不會釋放任何受控制的數據。 不過,ITAR 需要一些授權,才能將存取資訊授與外國人員,以便將ITAR技術數據解密。 Azure 提供各種加密功能和解決方案、在加密選項中選擇的彈性,以及管理加密的強大工具。
客戶資料位置
Microsoft針對雲端服務數據落地和傳輸原則提供強有力的客戶承諾。 大部分的 Azure 服務會以區域方式部署,並可讓您指定將部署服務的區域,例如美國。 此承諾可協助確保儲存在美國地區的 客戶數據 會留在美國,且不會移至美國以外的另一個區域。
資料加密
Azure 有廣泛的支援,可使用 數據加密來保護您的數據,包括各種加密模型:
- 伺服器端加密會使用服務管理的密鑰、Azure 中的客戶自控密鑰(CMK)或客戶控制硬體中的 CMK。
- 可讓您在內部部署或另一個安全位置管理及儲存金鑰的用戶端加密。
數據加密提供直接系結至加密金鑰存取的隔離保證。 由於 Azure 針對數據加密使用強式加密,因此只有具有加密密鑰存取權的實體可以存取數據。 撤銷或刪除加密金鑰會讓對應的數據無法存取。
FIPS 140 驗證的密碼編譯
美國聯邦資訊處理標準 (FIPS) 140 是美國政府標準,定義資訊技術產品中密碼編譯模組的最低安全性需求。 標準目前的版本 FIPS 140-3 具有安全性需求,涵蓋與密碼編譯模組設計和實作相關的 11 個領域。 Microsoft積極履行承諾,致力於符合FIPS 140 需求,並自2001年標準創立以來一直驗證密碼編譯模組。 Microsoft根據美國國家標準與技術研究院(NIST) 密碼編譯模組驗證計劃(CMVP)驗證其密碼編譯模組。 多個Microsoft產品,包括許多雲端服務,都使用這些密碼編譯模組。
雖然目前的 CMVP FIPS 140 實作指引不允許對雲端服務進行 FIPS 140 驗證,但雲端服務提供者可以取得並運行經 FIPS 140 驗證的密碼編譯模組,作為組成其雲端服務的運算元素。 Azure 是以硬體、商用作系統(Linux 和 Windows)和 Azure 特定版本的 Windows 組合所建置。 透過Microsoft 安全性開發生命週期 (SDL),所有 Azure 服務都會使用 FIPS 140 核准的演算法來獲得資料安全性,因為作系統在超大規模雲端作業時會使用 FIPS 140 核准的演算法。 對應的密碼編譯模組是 FIPS 140,會作為Microsoft Windows FIPS 驗證程式的一部分進行驗證。 此外,您可以將自己的密碼編譯密鑰和其他秘密儲存在 FIPS 140 驗證的硬體安全性模組 (HSM) 中。
加密金鑰管理
對加密金鑰的適當保護和管理對於資料安全性而言至關重要。 Azure Key Vault 是一項雲端服務,可安全地儲存和管理秘密。 Key Vault 可讓您將加密金鑰儲存在已驗證 FIPS 140 的硬體安全性模組 (HSM) 中。 如需詳細資訊,請參閱 數據加密金鑰管理。
傳輸中資料加密
Azure 提供許多選項來 加密傳輸中的數據。 傳輸中的數據加密會隔離網路流量與其他流量,並協助保護數據免於攔截。 如需詳細資訊,請參閱 傳輸中的數據加密。
靜態資料加密
Azure 提供大量選項來 加密待用數據 ,以協助您保護數據,並使用Microsoft管理的加密密鑰和客戶管理的加密金鑰來符合合規性需求。 此程式依賴多個加密金鑰和服務,例如 Azure Key Vault 和 Microsoft Entra ID,以確保金鑰存取安全,以及集中式密鑰管理。 如需 Azure 儲存體加密和 Azure 磁碟加密的詳細資訊,請參閱 靜態資料加密。
Azure SQL Database 預設會提供靜態透明資料加密(TDE)。 TDE 會對資料和記錄檔執行即時加密及解密作業。 資料庫加密金鑰 (DEK) 是儲存於資料庫開機記錄中的對稱金鑰,可用來在復原期間提供可用性。 它是透過儲存在伺服器之 master 資料庫中的憑證,或稱為 TDE 保護裝置的非對稱密鑰,儲存在 Azure Key Vault 中的控制下受到保護。 Key Vault 支援 攜帶您自己的金鑰 (BYOK),可讓您將 TDE 保護裝置儲存在 Key Vault 中,並控制密鑰管理工作,包括金鑰輪替、許可權、刪除金鑰、啟用所有 TDE 保護裝置的稽核/報告等等。 密鑰可由 Key Vault 產生、匯入或 從內部部署 HSM 裝置傳輸至 Key Vault。 您也可以使用 Azure SQL Database 的 Always Encrypted 功能,這項功能是特別設計來協助您保護敏感數據,方法是讓您加密應用程式內的數據, 且永遠不會向資料庫引擎顯示加密密鑰。 以這種方式,Always Encrypted 提供擁有數據的使用者與可檢視數據的使用者以及管理數據但不應具有存取權的用戶之間的區隔。
內部人員存取的限制
美國的所有 Azure 和 Azure Government 員工都會受到Microsoft背景檢查。 如需詳細資訊,請參閱 篩選。
內部威脅的特點是提供隱密連接和雲端服務提供者(CSP)的特權管理員存取權,以訪問您的系統和數據。 如需了解 Microsoft 如何限制內部人員存取你的資料,請參閱 內部人員存取的限制。
監視您的 Azure 資源
Azure 提供基本服務,可讓您深入瞭解您布建的 Azure 資源,並收到可疑活動的警示,包括針對應用程式和數據的外部攻擊。 如需這些服務的詳細資訊,請參閱 客戶監視 Azure 資源。
結論
您應該仔細評估您對 Azure 的使用方式可能會牽涉到美國匯出控制措施,並判斷您想要儲存或處理雲端的任何數據是否可能受到導出控制。 Microsoft Azure 提供重要的技術功能、作業程式和合約承諾,以協助您管理導出控制風險。 如果可能涉及受美國出口管制的技術數據,Azure 將被設定為提供一些功能,以協助減低您在 Azure 中存取受控技術數據時不小心違反美國出口管制的潛在風險。 透過適當的規劃,您可以使用 Azure 功能和您自己的內部程式,協助確保使用 Azure 平臺時,完全符合美國出口控制措施。
後續步驟
為了協助您瀏覽導出控制規則,Microsoft已發佈 Microsoft Azure 匯出控制 白皮書,其中說明美國出口管制(特別是適用於軟體和技術數據),檢閱潛在的出口控制風險來源,並提供特定指引,協助您評估這些控制下的義務。
深入瞭解: