適用於公共安全和司法的 Azure
概觀
公共安全和司法機關正承受巨大壓力,需要保持社區安全、減少犯罪並改善回應能力。 雲端運算正在改變執法機關處理其工作的方式。 其正在協助智慧警務感知系統、全國各地的穿戴式攝影機系統,以及日常的機動警察協作。
若得到適當規劃和保護,雲端服務可為公共安全和司法機關提供強大的新功能。 這些功能包括數位證據管理、資料分析和即時決策支援。 可在最新的行動裝置上提供解決方案。 不過,並非所有的雲端提供者都可相提並論。 執法機關若要欣然接受雲端,必須要有足以信賴的雲端服務提供者。 執法任務的關鍵,需要合作夥伴致力於滿足各種安全性、法規遵循和作業上的需求。
從裝置到雲端,Microsoft 將隱私權和資訊安全性放在首位,同時提高現場執法人員和整個部門人員的產能。 公共安全和司法機關可將高度安全的行動裝置與「隨時隨地」存取雲端結合在一起。 如此一來,這些機關就可以參與正在進行的調查、分析數據、管理證據,以及協助保護公民免受威脅。
Microsoft 會將刑事司法資訊服務 (CJIS) 合規性視為一項承諾,而不是核取方塊。 在 Microsoft,我們致力於提供不論是現在還是未來,都能符合適用 CJIS 安全性控制的解決方案。 此外,我們透過下列方式擴大對公共安全和司法的承諾:
刑事司法資訊服務 (CJIS)
美國聯邦調查局 (FBI) 的刑事司法資訊服務 (CJIS) 部門為州、地方和聯邦執法和刑事司法機關提供刑事司法資訊 (CJI),例如指紋記錄和刑事歷史記錄。 美國執法部門和其他政府機關必須確保其使用雲端服務傳輸、儲存或處理 CJI 時符合 CJIS 安全性原則,從而建立保護 CJI 的最低安全性需求和控制。
Azure 和 CJIS 安全性原則
Microsoft 承諾符合適用的 CJIS 法規控制,這可協助刑事司法組織在實作雲端型解決方案時遵守 CJIS 安全性原則。 如需 Azure 支援 CJIS 的詳細資訊,請參閱 Azure CJIS 合規性供應項目。
本文的其餘部分會討論您可以使用哪些技術,保護 Azure 雲端服務中儲存或處理的 CJI。 這些技術可協助您獨自控制您負責的 CJI。
注意
您完全負責確保自己遵守所有適用的法律和法規。 本文中提供的資訊不應看作法律建議,若您對法規合規性有任何問題,應該諮詢您的法律顧問。
客戶資料位置
Microsoft 對雲端服務資料落地和傳輸原則提供強有力的客戶承諾。 大部分的 Azure 服務都是依區域部署,可讓您指定要將服務部署到哪個區域,例如,美國。 此承諾有助於確保儲存在美國區域中的客戶資料將會保留在美國,而不會移至美國以外的另一個區域。
租用戶隔離
Azure 是一個超大規模公用多租用戶雲端服務平台,可讓您存取功能豐富的環境,其中納入最新的雲端創新,例如人工智慧、機器學習、IoT 服務、巨量資料分析、智慧邊緣,以及更多功能,以協助您提高效率,並打開對作業和效能的見解。
多租用戶雲端平台表示多個客戶應用程式和資料會儲存在相同的實體硬體上。 Azure 會使用邏輯隔離,將您的應用程式和資料與其他客戶隔離。 這種方法提供多租用戶雲端服務的規模和經濟效益,同時嚴格地協助防止其他客戶存取您的資料或應用程式。
Azure 藉由提供可信任的基礎,使用一組常見的原則,確保多租用戶以密碼編譯方式確定邏輯隔離的雲端服務,來解決資源共用的認知風險:
- 搭配驗證和身分識別分隔的使用者存取控制
- 用於處理的計算隔離
- 網路隔離,包括傳輸中資料加密
- 搭配待用資料加密的儲存體隔離
- 內嵌在服務設計中的安全性保證流程,用來正確開發邏輯隔離的服務
邏輯計算隔離是透過 Hypervisor 隔離、Drawbridge 隔離和使用者內容型隔離來實作。 除了邏輯計算隔離之外,如果您的工作負載需要專用的實體伺服器,Azure 也會為您提供實體計算隔離。 例如,如果您需要實體計算隔離,則可以使用 Azure 專用主機或隔離式虛擬機器,這些虛擬機器部署在專用於單一客戶的伺服器硬體上。 如需詳細資訊,請參閱 Azure 安全隔離指引。
資料加密
Azure 具有廣泛的支援,以使用資料加密來保護您的資料,包括各種加密模型:
- 在 Azure 中使用服務管理金鑰、客戶自控金鑰 (CMK),或在客戶控制的硬體中使用 CMK 的伺服器端加密。
- 用戶端加密可讓您在內部部署或另一個安全位置中管理和儲存金鑰。
資料加密提供直接繫結至加密金鑰存取權的隔離保證。 由於 Azure 會將強式加密用於資料加密,因此只有具有加密金鑰存取權的實體可以存取資料。 撤銷或刪除加密金鑰會造成對應的資料無法存取。 如果您需要額外的安全性,以在 Azure 服務中儲存最具敏感性的客戶資料,您可以使用您在 Azure Key Vault 中控制的專屬加密金鑰來加密該資料。
FIPS 140 驗證的加密
聯邦資訊處理標準 (FIPS) 140 是美國政府標準,針對資訊技術產品和系統中的密碼編譯模組,定義最低安全性需求。 Microsoft 持續致力於符合 FIPS 140 需求,已驗證 2001 年標準推出以來的密碼編譯模組。 Microsoft 根據美國國家標準暨技術研究院 (NIST) 密碼編譯模組驗證方案 (CMVP) 驗證其密碼編譯模組。 多項 Microsoft 產品,包括許多雲端服務,都使用這些密碼編譯模組。
雖然目前的 CMVP FIPS 140 實作指引排除了雲端服務的 FIPS 140 驗證,但雲端服務提供者可為構成其雲端服務的運算元素取得並操作 FIPS 140 驗證的密碼編譯模組。 Azure 是由硬體、商用作業系統 (Linux 和 Windows) 和 Azure 特定版本 Windows 的組合所建置而成的。 透過 Microsoft 安全性開發生命週期 (SDL),所有 Azure 服務都會針對資料安全性使用 FIPS 140 核准的演算法,因為作業系統在超大規模雲端操作時會使用 FIPS 140 核准的演算法。 對應的密碼編譯模組是驗證為 Microsoft Windows FIPS 驗證方案一部分的 FIPS 140。 此外,您可以將自己的密碼編譯金鑰和其他祕密存放在您控制下且經 FIPS 140 驗證的硬體安全性模組 (HSM) 中,也稱為客戶自控金鑰。
加密金鑰管理
適當的加密和加密金鑰的管理對於資料安全至關重要。 Azure Key Vault 是可安全儲存及管理秘密的雲端服務。 Key Vault 可讓您將加密金鑰存放在經過 FIPS 140 驗證的硬體安全性模組 (HSM) 中。 如需詳細資訊,請參閱資料加密金鑰管理。
使用 Key Vault,您可以在 HSM 中匯入或產生加密金鑰,確保金鑰永遠不會離開 HSM 保護界限,以支援攜帶您自己的金鑰 (BYOK) 案例。 在 Key Vault HSM 內產生的金鑰無法匯出 - HSM 外部沒有純文字版本的金鑰。 此繫結由基礎 HSM 強制執行。 Azure Key Vault 的設計、部署和操作方式旨在讓 Microsoft 及其代理程式看不到或無法擷取您的密碼編譯金鑰。 如需詳細資訊,請參閱 Azure Key Vault 如何保護您的金鑰?因此,如果您使用存放在 Azure Key Vault HSM 中的 CMK,則可以有效地維護加密金鑰的唯一所有權。
傳輸中資料加密
Azure 提供了許多為傳輸中的資料加密的選項。 傳輸中資料加密會隔離網路流量與其他流量,並協助保護資料免於遭受攔截。 如需詳細資訊,請參閱傳輸中資料加密。
待用資料加密
Azure 提供廣泛的選項用以加密待用資料,透過 Microsoft 管理的加密密鑰和客戶管理的加密金鑰,協助您保護資料並符合合規性需求。 此流程仰賴多個加密金鑰和服務,例如 Azure Key Vault 和 Microsoft Entra ID,以確保安全金鑰存取和集中式金鑰管理。 如需 Azure 儲存體加密和 Azure 磁碟加密的詳細資訊,請參閱待用資料加密。
Azure SQL Database 預設 \(英文\) 會提供待用資料的透明資料加密 (TDE)。 TDE 會對資料和記錄檔執行即時加密及解密作業。 資料庫加密金鑰 (DEK) 是儲存於資料庫開機記錄中的對稱金鑰,可用來在復原期間提供可用性。 其會透過存放在伺服器主要資料庫中的憑證或稱為 TDE 保護裝置的非對稱金鑰來保護,該金鑰儲存在 Azure Key Vault 中。 Key Vault 支援攜帶您自己的金鑰 (BYOK),可讓您將 TDE 保護裝置存放在 Key Vault 中,並控制金鑰管理工作,包括金鑰輪替、權限、刪除金鑰、在所有 TDE 保護裝置上啟用稽核/報告等等。 此金鑰可由 Key Vault 產生、匯入,或從內部部署 HSM 裝置轉移到 Key Vault。 您也可以使用 Azure SQL Database 的 Always Encrypted 功能,這項功能是專為協助您保護敏感資料而設計,方法是可讓您加密應用程式內的資料,且永遠不會向資料庫引擎顯示加密金鑰。 透過這種方式,Always Encrypted 可在擁有資料 (且可以檢視資料) 的那些使用者和管理資料 (但應該不具備存取權) 的那些使用者之間做出區隔。
使用中資料加密
Microsoft 可讓您在整個生命週期中保護您的資料:待用、傳輸中和使用中。 Azure 機密運算是一組資料安全功能,可為使用中的資料提供加密機制。 透過這種方法,當資料處於純文字狀態 (若要在記憶體中有效處理資料,需要此狀態) 時,資料就會在硬體型受信任執行環境 (TEE) 內受到保護,也稱為記憶體保護區。
Intel Software Guard Extensions (Intel SGX) 或 AMD Secure Encrypted Virtualization (SEV-SNP) 等技術是支援機密運算實作的最新 CPU 改進功能。 這些技術設計為虛擬化延伸模組,並提供功能集,包括記憶體加密和完整性、CPU 狀態機密性和完整性以及證明。 如需詳細資訊,請參閱 Azure 機密運算文件。
Multi-factor authentication (MFA) (NIST - 回到基本概念:Multi-Factor Authentication (MFA))
CJIS 安全性原則 5.9.2 版已修訂 CJI 保護的多重要素驗證 (MFA) 需求。 MFA 需要使用兩個以上的不同要素,定義如下:
- 您知道的東西,例如使用者名稱/密碼或個人識別號碼 (PIN)
- 您具有的東西,例如,密碼編譯金鑰存放所在的硬式權杖或傳輸至特殊化硬體裝置的一次性密碼 (OTP)
- 您身上的某些特徵,例如生物特徵辨識資訊
根據 CJIS 安全性原則,組織使用者的識別和驗證會要求 MFA 在 CJI 存取控制需求中具有特殊權限和非特殊權限的帳戶。 驗證器保證層級 2 (AAL2) 需要 MFA,如美國國家標準暨技術研究院 (NIST) SP 800-63數位身分識別指導方針中所述。 在 AAL2 操作的驗證器和驗證裝置應經過驗證,以符合 FIPS 140 層級 1 的需求。
Microsoft Authenticator 應用程式會為您的 Microsoft Entra 帳戶提供額外的安全性層級。 其可在執行 Android 和 iOS 的行動電話上使用。 使用 Microsoft Authenticator 應用程式,您可以為 MFA 案例提供次要驗證,以符合 CJIS 安全性原則 MFA 需求。 如先前所述,CJIS 安全性原則要求硬式權杖的解決方案使用 FIPS 140 層級 1 驗證的密碼編譯模組。 Microsoft Authenticator 應用程式符合所有 Microsoft Entra 驗證的 FIPS 140 層級 1 驗證需求,如 Microsoft Entra ID 中的驗證方法 - Microsoft Authenticator 應用程式中所述。 Microsoft Authenticator 的 FIPS 140 合規性目前可供 iOS 使用,但對於 Android 仍在進行中。
此外,Azure 可藉由支援最高驗證器保證層級 3 (AAL3),協助您符合並超過 CJIS 安全性原則 MFA 需求。 根據 NIST SP 800-63B 第 4.3 節,在 AAL3 使用的多重要素驗證器應該依賴在 FIPS 140 層級 2 上驗證的硬體密碼編譯模組,整體而言至少為 FIPS 140 層級 3,才能取得實體安全性,這超過 CJIS 安全性原則 MFA 需求。 AAL3 的驗證器應在 FIPS 140 層級 1 或更高層級進行驗證。
Microsoft Entra ID 同時支援驗證器和驗證裝置 NIST SP 800-63B AAL3 需求:
- 驗證器需求:FIDO2 安全性金鑰、智慧卡和 Windows Hello 企業版可協助您符合 AAL3 需求,包括基礎 FIPS 140 驗證需求。 NIST SP 800-63B AAL3 的 Microsoft Entra ID 支援超過 CJIS 安全性原則 MFA 需求。
- 驗證裝置需求:Microsoft Entra ID 針對其所有驗證相關的密碼編譯作業,使用 Windows FIPS 140 層級 1 的整體驗證密碼編譯模組。 因此,其是符合 FIPS-140 規範的驗證裝置。
如需詳細資訊,請參閱 Azure NIST SP 800-63 文件。
內部人員存取限制
內部人員威脅的特點是,有可能提供您系統和資料的後端連線和雲端服務提供者 (CSP) 特殊權限管理員存取權。 如需 Microsoft 如何限制內部人員存取您資料的詳細資訊,請參閱內部人員存取限制。
監視您的 Azure 資源
Azure 會提供基本 Azure 服務,您可以用來深入了解已佈建的 Azure 資源,並收到可疑活動的警示,包括針對應用程式和資料的外部攻擊所發出的警示。 如需這些服務的詳細資訊,請參閱 Azure 資源的客戶監視。