概觀
公共安全和司法機構在維護社區安全、減少犯罪和提高回應能力方面承受著越來越大的壓力。 雲計算正在改變執法機構處理工作的方式。 它正在幫助實現智慧警務感知系統、遍佈全國/地區的隨身攝像頭系統以及日常移動警察協作。
如果得到適當的規劃和保護,雲服務可以為公共安全和司法機構提供強大的新功能。 這些功能包括數字證據管理、數據分析和即時決策支援。 解決方案可以在最新的行動裝置上交付。 但是,並非所有雲供應商都是平等的。 隨著執法機構採用雲,他們需要值得信賴的雲服務提供者。 執法任務的核心要求合作夥伴致力於滿足全方位的安全性、合規性和運營需求。
從設備到雲,Microsoft 將隱私和資訊安全放在首位,同時提高現場和整個部門官員的工作效率。 公共安全和司法機構可以將高度安全的行動裝置與「隨時隨地」的雲訪問相結合。 在此過程中,他們可以為正在進行的調查做出貢獻、分析數據、管理證據並幫助保護公民免受威脅。
Microsoft 將刑事司法資訊服務 (CJIS) 合規性視為一項承諾,而不是一個複選框。 在 Microsoft,我們致力於提供滿足當前和未來適用 CJIS 安全控制的解決方案。 此外,我們通過以下方式擴展我們對公共安全和正義的承諾:
刑事司法資訊服務 (CJIS)
美國聯邦調查局 (FBI ) 的刑事司法資訊服務 (CJIS) 部門為州、地方和聯邦執法和刑事司法機構提供刑事司法資訊 (CJI) 的訪問許可權,例如指紋記錄和犯罪歷史。 美國的執法部門和其他政府機構必須確保他們使用雲服務來傳輸、存儲或處理 CJI 符合 CJIS 安全策略,該策略規定了保護 CJI 的最低安全要求和控制措施。
Azure 和 CJIS 安全策略
Microsoft 致力於滿足適用的 CJIS 法規控制措施,這有助於刑事司法組織在實施基於雲的解決方案時遵守 CJIS 安全策略。 有關 Azure 對 CJIS 的支援的詳細資訊,請參閱 Azure CJIS 合規性產品/服務。
本文的其餘部分討論了可用於保護 Azure 雲服務中存儲或處理的 CJI 的技術。 這些技術可以説明您建立對您負責的 CJI 的唯一控制權。
備註
您應承擔全部責任,確保您自己遵守所有適用法令規定。 本文中提供的資訊並不構成法律建議,您應該諮詢您的法律顧問以取得有關法規合規性的任何問題。
客戶資料位置
Microsoft針對雲端服務數據落地和傳輸原則提供強有力的客戶承諾。 大部分的 Azure 服務會以區域方式部署,並可讓您指定將部署服務的區域,例如美國。 此承諾可協助確保儲存在美國地區的 客戶數據 會留在美國,且不會移至美國以外的另一個區域。
租戶分離
Azure 是一個超大規模的公有多租戶雲服務平臺,可讓你訪問功能豐富的環境,該環境融合了最新的雲創新,如人工智慧、機器學習、IoT 服務、大數據分析、智慧邊緣等,以説明你提高效率並深入瞭解你的運營和性能。
多租用戶雲端平台表示多個客戶應用程式和資料會儲存在相同的實體硬體上。 Azure 使用邏輯隔離將應用程式和數據與其他客戶隔離開來。 這種方法提供了多租戶雲服務的規模和經濟優勢,同時嚴格説明防止其他客戶訪問您的數據或應用程式。
Azure 通過提供值得信賴的基礎來確保使用一組通用原則確保多租戶、加密確定、邏輯隔離的雲服務,從而解決了資源分享的感知風險:
- 具有身份驗證和身份分離的用戶訪問控制
- 用於處理的計算隔離
- 網路隔離,包括傳輸中的數據加密
- 通過靜態數據加密實現存儲隔離
- 嵌入到服務設計中的安全保障流程中,以正確開發邏輯隔離的服務
邏輯計算隔離是通過 Hypervisor 隔離、Drawbridge 隔離和基於使用者上下文的隔離來實現的。 除了邏輯計算隔離之外,如果需要為工作負載提供專用物理伺服器,Azure 還會提供物理計算隔離。 例如,如果需要物理計算隔離,可以使用 Azure 專用主機或隔離虛擬機,它們部署在專用於單個客戶的伺服器硬體上。 有關詳細資訊,請參閱 Azure 安全隔離指南。
資料加密
Azure 有廣泛的支援,可使用 數據加密來保護您的數據,包括各種加密模型:
- 伺服器端加密會使用服務管理的密鑰、Azure 中的客戶自控密鑰(CMK)或客戶控制硬體中的 CMK。
- 可讓您在內部部署或另一個安全位置管理及儲存金鑰的用戶端加密。
數據加密提供直接系結至加密金鑰存取的隔離保證。 由於 Azure 針對數據加密使用強式加密,因此只有具有加密密鑰存取權的實體可以存取數據。 撤銷或刪除加密金鑰會讓對應的數據無法存取。 如果你需要對存儲在 Azure 服務中的最敏感的客戶數據提供額外的安全性,可以使用你在 Azure Key Vault 中控制的加密密鑰對其進行加密。
FIPS 140 驗證的密碼編譯
美國聯邦資訊處理標準 (FIPS) 140 是美國政府標準,定義資訊技術產品中密碼編譯模組的最低安全性需求。 Microsoft積極履行承諾,致力於符合FIPS 140 需求,並自2001年標準創立以來一直驗證密碼編譯模組。 Microsoft根據美國國家標準與技術研究院(NIST) 密碼編譯模組驗證計劃(CMVP)驗證其密碼編譯模組。 多個Microsoft產品,包括許多雲端服務,都使用這些密碼編譯模組。
雖然目前的 CMVP FIPS 140 實作指引不允許對雲端服務進行 FIPS 140 驗證,但雲端服務提供者可以取得並運行經 FIPS 140 驗證的密碼編譯模組,作為組成其雲端服務的運算元素。 Azure 是以硬體、商用作系統(Linux 和 Windows)和 Azure 特定版本的 Windows 組合所建置。 透過Microsoft 安全性開發生命週期 (SDL),所有 Azure 服務都會使用 FIPS 140 核准的演算法來獲得資料安全性,因為作系統在超大規模雲端作業時會使用 FIPS 140 核准的演算法。 對應的密碼編譯模組是 FIPS 140,會作為Microsoft Windows FIPS 驗證程式的一部分進行驗證。 此外,您可以將自己的加密金鑰和其他金鑰存儲在您控制的經過 FIPS 140 驗證的硬體安全模組 (HSM) 中,也稱為 客戶管理的密鑰。
加密金鑰管理
對加密金鑰的適當保護和管理對於資料安全性而言至關重要。 Azure Key Vault 是一項雲端服務,可安全地儲存和管理秘密。 Key Vault 可讓您將加密金鑰儲存在已驗證 FIPS 140 的硬體安全性模組 (HSM) 中。 如需詳細資訊,請參閱 數據加密金鑰管理。
使用 Key Vault,您可以在 HSM 中導入或生成加密密鑰,確保密鑰永遠不會離開 HSM 保護邊界以支援 自帶金鑰 (BYOK) 場景。 在 Key Vault HSM 內生成的金鑰不可匯出 - HSM 外部不能有金鑰的明文版本。 底層 HSM 會施行此系結。 Azure Key Vault 的設計、部署及運行方式使得 Microsoft 及其代理無法查看或提取您的加密金鑰。 有關詳細資訊,請參閱 Azure Key Vault 如何保護密鑰? 因此,如果您使用存儲在 Azure Key Vault HSM 中的 CMK,則可以有效地保持加密密鑰的唯一擁有權。
傳輸中資料加密
Azure 提供許多選項來 加密傳輸中的數據。 傳輸中的數據加密會隔離網路流量與其他流量,並協助保護數據免於攔截。 如需詳細資訊,請參閱 傳輸中的數據加密。
靜態資料加密
Azure 提供大量選項來 加密待用數據 ,以協助您保護數據,並使用Microsoft管理的加密密鑰和客戶管理的加密金鑰來符合合規性需求。 此程式依賴多個加密金鑰和服務,例如 Azure Key Vault 和 Microsoft Entra ID,以確保金鑰存取安全,以及集中式密鑰管理。 如需 Azure 儲存體加密和 Azure 磁碟加密的詳細資訊,請參閱 靜態資料加密。
Azure SQL Database 預設會提供靜態透明資料加密(TDE)。 TDE 會對資料和記錄檔執行即時加密及解密作業。 資料庫加密金鑰 (DEK) 是儲存於資料庫開機記錄中的對稱金鑰,可用來在復原期間提供可用性。 它是透過儲存在伺服器的主資料庫中的憑證,或您控制下的 Azure Key Vault 中儲存的稱為 TDE 保護裝置的非對稱密鑰來保護。 Key Vault 支援 攜帶您自己的金鑰 (BYOK),可讓您將 TDE 保護裝置儲存在 Key Vault 中,並控制密鑰管理工作,包括金鑰輪替、許可權、刪除金鑰、啟用所有 TDE 保護裝置的稽核/報告等等。 密鑰可由 Key Vault 產生、匯入或 從內部部署 HSM 裝置傳輸至 Key Vault。 您也可以使用 Azure SQL Database 的 Always Encrypted 功能,這項功能是特別設計來協助您保護敏感數據,方法是讓您加密應用程式內的數據, 且永遠不會向資料庫引擎顯示加密密鑰。 如此一來,Always Encrypted 會提供擁有數據的使用者(且可檢視數據)與管理數據的使用者(但不應存取權)之間的分隔。
使用中的數據加密
Microsoft可讓您在整個生命週期內保護數據:待用、傳輸中及使用中。 Azure 機密運算 是一組數據安全性功能,可在使用時提供數據加密。 使用這種方法,當數據為明文數據(在記憶體中進行高效數據處理所必需的)時,數據將在基於硬體的可信執行環境 (TEE)(也稱為 enclave)中受到保護。
Intel Software Guard Extensions (Intel SGX) 或 AMD Secure Encrypted Virtualization (SEV-SNP) 等技術是支援機密計算實施的最新 CPU 改進。 這些技術設計為虛擬化延伸模組,並提供功能集,包括記憶體加密和完整性、CPU 狀態機密性和完整性,以及證明。 有關詳細資訊,請參閱 Azure 機密計算 文件。
多重要素驗證 (MFA)
CJIS 安全策略 v5.9.2 修訂了 CJI 保護的多重身份驗證 (MFA) 要求。 MFA 需要使用兩個或多個不同的因素,定義如下:
- 您知道的資訊,例如使用者名稱/密碼或個人身份證號碼 (PIN)
- 您擁有的東西,例如,硬令牌,例如儲存在專用硬體設備上的加密金鑰或傳輸到專用硬體設備的一次性密碼 (OTP)
- 您的身份,例如生物識別資訊
根據 CJIS 安全策略,作為 CJI 訪問控制要求的一部分,組織使用者的識別和身份驗證需要對特權和非特權帳戶進行 MFA。 按照美國國家標準與技術研究院 (NIST) SP 800-63數位身份指南中所述,需要達到身份驗證器保證級別 2 (AAL2) 所需的 MFA。 在 AAL2 中運行的身份驗證器和驗證程式應經過驗證,以滿足 FIPS 140 第 1 級的要求。
Microsoft Authenticator 應用程式為您的 Microsoft Entra 帳戶提供額外的安全級別。 它可在運行 Android 和 iOS 的手機上使用。 使用 Microsoft Authenticator 應用程式,您可以為 MFA 方案提供輔助驗證,以滿足您的 CJIS 安全策略 MFA 要求。 如前所述,CJIS 安全策略要求硬令牌解決方案使用經 FIPS 140 第 1 級驗證的加密模組。 Microsoft Authenticator 應用程式滿足所有 Microsoft Entra 身份驗證的 FIPS 140 級別 1 驗證要求,如 Microsoft Entra ID 中的身份驗證方法 - Microsoft Authenticator 應用程式中所述。 Microsoft Authenticator 的 FIPS 140 合規性目前適用於 iOS,Android 正在開發中。
此外,Azure 可以通過支援最高的身份驗證器保證級別 3 (AAL3) 來説明您滿足並 超越 CJIS 安全策略 MFA 要求。 根據 NIST SP 800-63B 第 4.3 節,AAL3 中使用的多因素 身份驗證器 應依賴於經過 FIPS 140 2 級整體驗證的硬體加密模組,並且至少達到 FIPS 140 3 級的物理安全性,這超過了 CJIS 安全策略 MFA 要求。 AAL3 的驗證程式應按照 FIPS 140 1 級或更高級別進行驗證。
Microsoft Entra ID 支援驗證器和驗證器 NIST SP 800-63B AAL3 要求:
- 身份驗證器要求: FIDO2 安全密鑰、智慧卡和 Windows Hello 企業版可以説明您滿足 AAL3 要求,包括基礎 FIPS 140 驗證要求。 Microsoft Entra ID 對 NIST SP 800-63B AAL3 的支持超過了 CJIS 安全策略 MFA 要求。
- 驗證員要求: Microsoft Entra ID 使用經過 Windows FIPS 140 第 1 級 整體驗證的加密模組執行所有與身份驗證相關的加密作。 因此,它是符合 FIPS 140 的驗證器。
有關詳細資訊,請參閱 Azure NIST SP 800-63 文件。
內部人員存取的限制
內部威脅的特點是提供隱密連接和雲端服務提供者(CSP)的特權管理員存取權,以訪問您的系統和數據。 如需了解 Microsoft 如何限制內部人員存取你的資料,請參閱 內部人員存取的限制。
監視您的 Azure 資源
Azure 提供基本服務,可讓您深入瞭解您布建的 Azure 資源,並收到可疑活動的警示,包括針對應用程式和數據的外部攻擊。 如需這些服務的詳細資訊,請參閱 客戶監視 Azure 資源。