Norme degli Stati Uniti sul traffico internazionale di beni e servizi correlati alla difesa

Le Norme degli Stati Uniti sul traffico internazionale di beni e servizi correlati alla difesa (ITAR) controllano l'esportazione di articoli relativi alla difesa dagli Stati Uniti e impongono che nessun soggetto non statunitense possa disporre di accesso fisico o logico agli articoli archiviati nell'ambiente ITAR.

Gli articoli coperti dallo United States Munitions List (USML) dell'ITAR includono apparecchiature, componenti, materiali, software e informazioni tecniche che possono essere condivisi solo con soggetti statunitensi, salvo in caso di autorizzazione o esenzione speciali. I Soggetti statunitensi sono persone fisiche titolari di Carta Verde statunitense (Carta di Residenza Permanente) o cittadini statunitensi.

La conformità alle norme ITAR nel cloud consiste nell'accertare che le informazioni considerate dati tecnici ITAR non vengano involontariamente distribuite a persone o nazioni estere senza l'apposita autorizzazione.

AWS fornisce ai propri clienti un'opzione che permette di archiviare i dati nella Regione AWS GovCloud (Stati Uniti), gestita esclusivamente da soggetti statunitensi in località sul territorio americano. AWS GovCloud (US) è un ambiente del cloud di Amazon isolato, in cui vengono accettati account esclusivamente a Soggetti statunitensi che lavorano per aziende statunitensi.

Poiché AWS non ha alcuna visibilità su ciò che i clienti caricano nella propria rete, né può verificare se tali dati siano da considerare soggetti alle norme ITAR, tutti i dati dei clienti all'interno di AWS GovCloud (Stati Uniti) sono trattati come dati ITAR.

Formalmente, non esiste alcuna certificazione per le norme ITAR. AWS GovCloud (US) è continuamente sottoposto ad audit da parte di un'entità di controllo di terzi indipendente (3PAO) accreditata del Federal Risk Authorization Management Program (FedRAMP) e ha ricevuto un'autorizzazione provvisoria a operare FedRAMP (P-ATO) dal Joint Authorization Board (JAB) classificata nello Standard elevato. Il JAB è composto dai Chief Information Officers (CIO) del Dipartimento della difesa, del Dipartimento di sicurezza interna e dell’Amministrazione dei servizi generali degli Stati Uniti. Per ulteriori informazioni, consulta Ottenimento della conformità elevata FedRAMP in AWS GovCloud (Stati Uniti).

AWS è responsabile della conformità logica e fisica dell'infrastruttura cloud e dei servizi principali offerti. I clienti sono responsabili per infrastruttura IT, applicazioni e sistemi nelle proprie sedi. L'autorizzazione provvisoria a operare FedRAMP (P-ATO) di AWS GovCloud da parte del Joint Authorization Board (JAB) allo standard elevato attesta i controlli in atto all'interno di AWS GovCloud (US). AWS supporta i clienti che hanno in corso la costruzione di sistemi conformi alle norme ITAR in AWS. Di seguito sono riportati alcuni esempi di servizi AWS che aiutano i clienti a gestire i propri obblighi di conformità alla sicurezza:

• Protezione dei dati sensibili: i clienti possono proteggere i dati sensibili non riservati con la crittografia lato server in Amazon S3, archiviare e gestire le chiavi di sicurezza con AWS CloudHSM oppure usare l'intuitivo Servizio AWS di gestione delle chiavi (AWS KMS).
• Miglioramento della visibilità sul cloud: i clienti possono esaminare l'accesso e l'utilizzo dei dati sensibili con Amazon CloudTrail, il servizio di registrazione API gestito e azionato da soggetti statunitensi.
• Irrobustimento della gestione dell'identità: i clienti possono limitare l'accesso ai dati sensibili in base alla persona, all'orario e alla località. Per limitare le chiamate API che gli utenti sono in grado di effettuare, è possibile utilizzare la federazione delle identità, la rotazione facile delle chiavi e altri efficaci strumenti di verifica per il controllo degli accessi disponibili in AWS.