美国法院工作人员需要访问数十个系统和应用程序才能完成
“ITAR 合规性”一词用词不当。 与 FedRAMP 和其他合规框架不同,没有正式的“ITAR 合规性”或“ITAR 认证”流程。 属于 ITAR 管辖的组织需要了解这些法规如何适用于他们,并制定内部政策和控制措施来保护 ITAR 技术数据。
让我们来看看 ITAR 的全部内容,以及 Keeper 的网络安全套件如何帮助您遵守它。
什么是 ITAR 合规性?
《国际武器贸易条例》(ITAR) 监管《美国军火清单》 (USML) 中所述的太空和国防相关物品和服务的进出口。 除了航天飞机和鱼雷之外,USML 还包括 ITAR 所说的“技术数据”:用于建造航天飞机、鱼雷和其他军事和太空硬件的计划、图表、照片和其他文档等。
从网络安全和 IT 合规的角度来看,ITAR 要求公司确保只有“美国人”可以访问技术数据。 值得注意的是,“美国人 (U.S. Persons)”这个短语根据 ITAR 的定义,不仅指美国公民或合法永久居民,还包括在美国成立的任何组织,以及联邦、州和地方政府实体。
通常,技术数据方面的 ITAR 合规性涉及确保所有数据中心位于美国并仅由美国人管理。 此外,组织必须确保只有美国人才能访问技术数据。
哪些组织必须遵守 ITAR?
向美国国防部 (DoD) 销售产品或服务的组织,或者向从事这些的公司销售产品或服务的组织,必须遵守 ITAR 法规。 这意味着国防部供应链中的每个组织(从主承包商到下游,包括批发商、分销商和 IT 服务提供商)都必须遵守 ITAR。
Keeper Security Government Cloud (KSGC) 符合 ITAR 标准
作为 FedRAMP 进程中(中等影响级别)云服务提供商,以及 FedRAMP 市场上列出的第一个也是唯一一个密码管理器,Keeper 完全有能力帮助组织实现 ITAR 合规性。
托管在 AWS GovCloud 上
Keeper 的 FedRAMP 环境 Keeper Security Government Cloud (KSGC) 托管在 AWS GovCloud 上,该云仅使用仅可由美国人访问的位于美国的数据中心。 AWS GovCloud 中存储的所有数据在传输过程中和静态时都经过加密。
由美国人设计、管理和提供支持的美国平台
所有在 KSGC 工作的 Keeper 软件工程师和 DevOps 人员都是美国人,所有 KSGC 源代码都是在美国开发的,并且严格限制美国人的 Keeper 人员访问 KSGC 环境。
此外,KSGC 在美国设有专门的客户成功和客户支持团队,他们接受过安全处理 ITAR 管辖的技术数据的培训。
细粒度权限控制
除了让 IT 管理员完全控制员工密码的使用之外,Keeper 顶级的密码管理解决方案还提供具有最小权限访问的细粒度基于角色的访问控制 (RBAC)。 使用 Keeper,管理员可以确保只有美国人可以访问 ITAR 技术数据,并且他们只能访问他们有权访问的数据。
零知识安全架构
Keeper 是一家零知识安全提供商。 零知识是一种系统架构,通过遵循以下原则来保证最高级别的安全和隐私:
1. 数据在设备级别加密和解密(而不是在服务器上)
2.应用程序从不存储纯文本(人类可读)数据
3. 服务器从不接收明文数据
4. 任何员工或中介都无法查看未加密的数据
5. 解密和加密数据的密钥来源于用户的主控密钥
6. 多层加密提供用户、组和管理员级别的访问控制
7. 数据共享使用公钥加密技术进行安全密钥分发
数据在传输并存储到 Keeper 的数字保险库之前会在用户设备上进行加密。 当数据同步到另一台设备时,数据将保持加密状态,直到在另一台设备上解密为止。
用户的记录数据在离开最终用户的设备、通过互联网传输并存储在 Keeper Vault 后的整个时间内都保持加密状态。 这意味着任何人(甚至是 Keeper 自己的员工)都无法解密我们的用户存储在其 Keeper Vault 中的数据。 数据只能在最终用户设备上使用主密码进行解密。
Keeper 使用的加密方法是一种众所周知的可信算法,称为 AES(高级加密标准),密钥长度为 256 位。 Keeper 使用 PBKDF2 和 HMAC-SHA256 将用户的主密码转换为 256 位加密密钥,至少需要 1,000 轮。 每个用户都有一个 2048 位 RSA 密钥,用于安全共享记录数据。
零信任访问策略
Keeper 使 IT 管理员能够在整个组织范围内实施全面的密码安全,支持零信任安全模型核心的用户和设备验证。 这包括为每个帐户使用强而独特的密码,以及在所有支持它的帐户上使用多因素身份验证 (MFA)。
强大的合规性审计和报告
KSGC 对环境中执行的所有操作或输入的数据生成可追踪的电子审计跟踪。 使用 Keeper 的 高级报告和警报 (ARAM) 模块,IT 和安全管理员还可以接收异常或潜在风险行为的实时电子邮件、短信或 Webhooks 通知;自动将实时事件数据输入外部电子表格或 SIEM 解决方案;并创建自定义的、基于时间的报告以供内部使用、合规性审核或两者兼而有之。
想要详细了解 Keeper Security Government Cloud 如何帮助您的组织满足 ITAR 要求? 请立即访问 KSGC 产品页面或联系我们的团队。