共用方式為


Azure 的出口管制支援

為了協助您了解出口管制規定,Microsoft 已發佈 Microsoft Azure 出口管制白皮書。 它特別描述了適用於軟體和技術資料的美國出口管制條例、回顧出口管制風險的潛在來源,並提供具體指導來幫助您評估這些管制下的義務。 《雲端出口常見問題集》中提供了更多資訊,您可以透過出口 Microsoft 產品 (英文) 上的常見問題集來取得。

注意

免責聲明:您需完全負責確保自己遵守所有適用的法律和法規。 本文提供的資訊不構成法律建議,如果您對法規遵循有任何疑問,請諮詢您的法律顧問。

出口管制法概觀

不同出口管制法規中與出口相關的定義略有不同。 簡而言之,出口通常代表以任何方式向外國人或外國目的地轉讓受限制的資訊、材料、設備、軟體等。 美國的出口管制政策是透過主要由商務部、國務院、能源部、核能管理委員會和財政部管理的出口管制法律和法規來執行。 各部門內設機構依歷史管理狀況負責具體的出口管制領域,如表 1 所示。

資料表 1。 美國出口管制法律和法規

監管者 法律/法規 參考
商務部:
工業安全局 (BIS)
- 1979 年出口管理法 (EAA)
- 出口管理條例 (EAR)
- P.L.96-72
- 15 CFR 第 730 – 774 編
國務院:
國防貿易管制局 (DDTC)
- 武器出口管制法 (AECA)
- 國際武器貿易條例 (ITAR)
- 22 U.S.C.39
- 22 CFR 第 120 – 130 編
能源部:
國家核子安全局 (NNSA)
- 1954 年原子能法 (AEA)
- 對外國原子能活動的援助
- 42 U.S.C.2011 et. seq.
- 10 CFR 第 810 編
核能管理委員會 (NRC) - 1978 年核子不擴散法
- 核子設備與材料的進出口
- P.L.95-242
- 10 CFR 第 110 編
財政部:
外國資產管制辦公室 (OFAC)
- 與敵方通商法案 (TWEA)
- 外國資產管制條例
- 50 U.S.C.第 5 節和第 16 節
- 31 CFR 第 500 編

本文回顧了目前的美國出口管制法規、雲端運算注意事項以及支援出口管制需求的 Azure 功能和承諾。

EAR

美國商務部負責透過工業與安全局 (BIS) 執行出口管理條例 (EAR)。 根據 BIS 定義,出口是指將受保護的技術或資訊轉移到外國目的地,或向在美國的外國人發佈受保護的技術或資訊,也被稱為視為出口。 可以在商業管制清單 (CCL) 中找到受 EAR 約束的商品,並且每件商品都分配有唯一的出口管制分類號碼 (ECCN)。 未在 CCL 中列出的商品會被指定為 EAR99,且大多數 EAR99 商業產品不需要出口許可證。 然而,根據商品的目的地、終端使用者或最終用途,即使是 EAR99 商品也可能需要 BIS 出口許可證。

EAR 適用於具有商業和軍事用途的兩用商品以及具有純粹商業用途的商品。 BIS 已提供指導,指出雲端服務提供者 (CSP) 不得因客戶使用雲端服務而出口客戶資料。 此外,在 2016 年 6 月 3 日發佈的最終規則中,BIS 澄清,如果未分類技術資料和軟體的傳輸和儲存使用聯邦資訊處理標準 (FIPS) 140 驗證過的密碼編譯模組來進行端對端加密,且並非故意儲存在軍事禁運的國家/地區,即 EAR 第 740 編的附錄 1 中描述的 D:5 國家/地區群組,或俄羅斯聯邦,那麼 EAR 的許可證需求將不適用。 美國商務部明確表示,當資料或軟體上傳到雲端時,出口者是客戶,而非雲端服務提供者,客戶有責任確保傳輸、儲存和對該資料或軟體的存取符合 EAR 的規定。

Azure 和 Azure Government 都可以協助您滿足 EAR 合規性需求。 除位於香港特別行政區的 Azure 區域外,Azure 和 Azure Government 資料中心不位於受禁國家/區域或俄羅斯聯邦。

Azure 服務依賴於基礎作業系統中經 FIPS 140 驗證的密碼編譯模組,並提供您許多用於加密傳輸中和靜態資料的選項,包括使用 Azure Key Vault 進行加密金鑰管理。 Key Vault 服務可以將加密金鑰儲存在您所控制,經過 FIPS 140 驗證的硬體安全模組 (HSM) 中,也稱為客戶自控金鑰 (CMK)。 在 Azure Key Vault HSM 內產生的金鑰無法匯出 - HSM 外部沒有純文字版本的金鑰。 此繫結由基礎 HSM 強制執行。 Azure Key Vault 的設計、部署和操作方式,目的在讓 Microsoft 及其代理程式看不到或無法擷取您的密碼編譯金鑰。 如需額外的保證,請參閱 Azure Key Vault 如何保護您的金鑰? (部分機器翻譯)

您負責選擇 Azure 或 Azure Government 區域來部署應用程式和資料。 此外,您負責設計應用程式,以套用符合 EAR 需求的端對端資料加密。 Microsoft 不會檢查、核准或監視部署在 Azure 或 Azure Government 上的應用程式。

Azure Government 透過有關在美國儲存客戶資料的合約承諾,以及限制只有經過篩選的美國人員可存取處理您資料的系統,提供額外一層保護。 如需 Azure 的 EAR 支援的詳細資訊,請參閱 Azure EAR 合規性供應項目 (英文)。

ITAR

根據由國防貿易管制局 (DDTC) 管理的國際武器貿易條例 (ITAR),美國國務院對國防物品、服務和相關技術擁有出口管制權。 受 ITAR 保護的商品記錄在美國軍需物品清單 (USML) 中。 如果您是 USML 中定義的國防物品、服務和相關技術的製造商、出口商和代理商,您必須在 DDTC 註冊、必須了解並遵守 ITAR,並且必須自我證明您遵照 ITAR 營運。

DDTC 修訂了 ITAR 規定,於 2020 年 3 月 25 日生效,使其與 EAR 更加一致。 這些 ITAR 修訂引進了端對端資料加密,其中包含了美國商務部在 2016 年為 EAR 採用的許多相同詞彙。 具體而言,修訂後的 ITAR 規定指出,不構成出口、再出口、再轉讓或臨時進口的活動包括 (除其他活動外) 傳送、取得或儲存以下技術資料:1) 未分類、2 ) 使用端對端加密進行保護、3) 使用法規中所規定,符合 FIPS 140 規範的密碼編譯模組進行保護,4) 並非故意傳送或儲存在 § 126.1 所述的禁止國家/地區的人員或俄羅斯聯邦,以及 5) 不是從 § 126.1 或俄羅斯聯邦禁止的國家/地區傳送的。 此外,DDTC 澄清,透過網際網路傳輸的資料不被視為儲存資料。 端對端加密代表資料在發起者和預定接收者之間始終保持加密狀態,並且不向任何第三方提供解密方法。

沒有 ITAR 合規性認證;但是,Azure 和 Azure Government 都可以協助您履行 ITAR 法規遵循義務。 除位於香港特別行政區的 Azure 區域外,Azure 和 Azure Government 資料中心不位於受禁國家/區域或俄羅斯聯邦。 Azure 服務依賴於基礎作業系統中經 FIPS 140 驗證的密碼編譯模組,並提供您許多用於加密傳輸中和靜態資料的選項,包括使用 Azure Key Vault 進行加密金鑰管理。 Key Vault 服務可以將加密金鑰儲存在您所控制,經過 FIPS 140 驗證的硬體安全模組 (HSM) 中,也稱為客戶自控金鑰 (CMK)。 在 Azure Key Vault HSM 內產生的金鑰無法匯出 - HSM 外部沒有純文字版本的金鑰。 此繫結由基礎 HSM 強制執行。 Azure Key Vault 的設計、部署和操作方式,目的在讓 Microsoft 及其代理程式看不到或無法擷取您的密碼編譯金鑰。 如需額外的保證,請參閱 Azure Key Vault 如何保護您的金鑰? (部分機器翻譯)

您負責選擇 Azure 或 Azure Government 區域來部署應用程式和資料。 此外,您負責設計應用程式,以套用符合 ITAR 需求的端對端資料加密。 Microsoft 不會檢查、核准或監視部署在 Azure 或 Azure Government 上的應用程式。

Azure Government 透過有關在美國儲存客戶資料的合約承諾,以及限制只有經過篩選的美國人員可存取處理您資料的系統,提供額外一層保護。 如需 Azure 的 ITAR 支援的詳細資訊,請參閱 Azure ITAR 合規性供應項目 (英文)。

DoE 10 CFR Part 810

美國能源部 (DoE) 出口管制法規 10 CFR 第 810 編實施了 1954 年原子能法第 57b.(2) 節的規定,該條款經 1978年 核子不擴散法第 302 節修訂。 它由國家核子安全局 (NNSA) 管理。 修訂後的第 810 編 (最終規則) 於 2015 年 3 月 25 日生效,其中包括控制未分類核子技術和援助的出口。 它透過確保從美國出口的核子技術僅用於和平目的來達成和平核子貿易。 第 810.7 (b) 項規定,需要具體的 DoE 授權,才能向任何外國實體提供或轉移敏感核子技術。

Azure Government 可以幫助您滿足 DoE 10 CFR 第 810 編出口管制要求,因為它目的在實作特定的管制措施,限制 Azure 作業人員中,美國人對資訊和系統的存取權。 如果您要將資料部署到 Azure Government,您必須負責自己的安全性分類程序。 對於受 DoE 出口管制的資料,分類系統由 AEA 第 148 節所建立的未分類管制核子資訊 (UCNI) 控制措施得到增強。 如需 Azure 的 DoE 10 CFR 第 810 編支援的詳細資訊,請參閱 Azure DoE 10 CFR 第 810 編合規性供應項目 (英文)。

NRC 10 CFR 第 110 編

核能管理委員會 (NRC) 依據 10 CFR 第 110 編出口管制法規負責核子設備和材料的進出口。 NRC 監管核能設施及相關設備和材料的進出口。 NRC 不監管與這些商品相關的核能技術和援助,這些商品屬於美國能源部的管轄範圍。 因此,NRC 10 CFR 第 110 編法規不適用於 Azure 或 Azure Government。

OFAC 制裁法

外國資產管制辦公室 (OFAC) 負責根據美國外交政策和國家安全目標,針對目標外國/地區、恐怖分子、國際販毒者和這些實體管理和執行經濟和貿易制裁從事與大規模毀滅性武器擴散有關的活動。

OFAC 將禁止交易定義為貿易或金融交易以及其他美國人不得參與的交易,除非獲得 OFAC 授權或法規明確豁免。 針對網路互動,請參閱常見問題集第 73 號 (英文) 以取得 OFAC 發佈的一般指導,其中規定,例如「促進或從事電子商務的公司應盡力直接了解其客戶」。

正如 Microsoft 線上服務條款資料保護增補 (DPA) 所述,「Microsoft 不控制或限制客戶或客戶的終端使用者可以存取或移動客戶資料的區域。」 針對 Microsoft 線上服務,Microsoft 會進行盡職調查,以防止來自 OFAC 封鎖國家/地區的實體交易。 例如,不允許制裁目標佈建 Azure 服務。 OFAC 尚未發佈指導,例如 BIS 為 EAR 提供的指導,在視同出口方面對雲端服務提供者和客戶進行了區分。 因此,將制裁目標從涉及您應用程式 (包括部署在 Azure 上的網站) 的線上交易中排除,將成為您的責任。 Microsoft 不會封鎖部署在 Azure 上的網站的網路流量。 儘管 OFAC 提到客戶可以根據 IP 表格範圍限制存取權,但他們也承認這種方法並不能完全解決網際網路的公司合規性風險。 因此,OFAC 建議電子商務公司應該直接了解其客戶。 Microsoft 不負責也沒有辦法直接了解與 Azure 上部署的應用程式互動的終端使用者。

OFAC 制裁目的在防止「與制裁目標進行業務」,即阻止涉及貿易、支付、金融工具等的交易。 OFAC 制裁並非意在阻止受禁國家/地區的居民查看公共網站。

管理出口管制需求

你應該仔細評估 Azure 的使用方式可能會如何影響美國的出口管制措施,並確定您想要在雲端儲存或處理的任何資料是否可能受到出口管制。 Microsoft 為您提供合約承諾、作業流程和技術功能,以協助你在使用 Azure 時履行出口管制義務。 以下 Azure 功能可協助您管理潛在的出口管制風險:

  • 控制資料位置的能力 – 您可以清楚地了解您的資料儲存位置,並使用強大的工具將資料儲存限制在單一地理位置或國家/地區。 例如,您可以因此確保資料儲存在美國或您選擇的國家/地區,並盡量減少管制技術/技術資料向目標國家/地區以外的轉移。 您的資料沒有故意儲存在不符合規範置,這符合 EAR 和 ITAR 規定。
  • 端對端加密 – 代表資料在發起者和預定接收者之間始終保持加密狀態,並且不向任何第三方提供解密方法。 Azure 依賴於基礎作業系統中經 FIPS 140 驗證的密碼編譯模組,並提供您許多用於加密傳輸中和靜態資料的選項,包括使用 Azure Key Vault 進行加密金鑰管理。 Key Vault 服務可以將加密金鑰儲存在您所控制,經過 FIPS 140 驗證的硬體安全模組 (HSM) 中,也稱為客戶自控金鑰 (CMK)。 Azure Key Vault 的設計、部署和操作方式,目的在讓 Microsoft 及其代理程式看不到或無法擷取您的密碼編譯金鑰
  • 控制資料的存取權限 – 您可以了解並控制誰可以存取您的資料以及以什麼條件存取您的資料。 Microsoft 技術支援人員不需要也沒有對您資料的預設存取權限。 在為解決您的支援要求時需要提高資料存取權的極少數情況下,Azure 客戶加密箱可讓您負責核准或拒絕資料存取要求。
  • 防止未經授權的視為出口/再出口的工具和協定 - 除了用於實際儲存位置的 EAR 和 ITAR 端對端加密安全港之外,使用加密也有助於防止潛在的視為出口或視為再出口,即使非美國人可以存取加密資料,但在資料加密時,對於無法讀取或理解加密資料的非美國人,不會洩漏任何資訊,因此不會釋放任何受控資料。 然而,在向外國人授予存取權資訊以便他們能夠解密 ITAR 技術資料之前,ITAR 需要一些授權。 Azure 提供各種加密功能和解決方案、加密選項的靈活性選擇以及用於管理加密的強大工具。

客戶資料位置

Microsoft 對雲端服務資料落地和傳輸原則提供強有力的客戶承諾。 大部分的 Azure 服務都是依區域部署,可讓您指定要將服務部署到哪個區域,例如,美國。 此承諾有助於確保儲存在美國區域中的客戶資料將會保留在美國,而不會移至美國以外的另一個區域。

資料加密

Azure 提供各種支援,能使用資料加密來保護您的資料,包括各種加密模型:

  • 在 Azure 中使用服務管理金鑰、客戶自控金鑰 (CMK),或在客戶控制的硬體中使用 CMK 的伺服器端加密。
  • 用戶端加密可讓您在內部部署或另一個安全位置中管理和儲存金鑰。

資料加密提供直接繫結至加密金鑰存取權的隔離保證。 由於 Azure 在資料加密時使用強式加密,因此只有具有加密金鑰存取權的實體可以存取資料。 撤銷或刪除加密金鑰會造成對應的資料無法存取。

經 FIPS 140 驗證的加密

聯邦資訊處理標準 (FIPS) 140 是一項美國政府標準,針對資訊技術產品和系統中的密碼編譯模組,定義最低安全性需求。 標準的目前版本 FIPS 140-3 具有安全性需求,涵蓋與密碼編譯模組設計和實作相關的 11 個領域。 Microsoft 持續致力於符合 FIPS 140 需求,已驗證 2001 年標準推出以來的密碼編譯模組。 Microsoft 根據美國國家標準暨技術研究院 (NIST) 密碼編譯模組驗證方案 (CMVP) 驗證其密碼編譯模組。 多項 Microsoft 產品,包括許多雲端服務,都使用這些密碼編譯模組。

雖然目前的 CMVP FIPS 140 實作指引排除了雲端服務的 FIPS 140 驗證,但雲端服務提供者可為構成其雲端服務的運算元素取得並操作 FIPS 140 驗證的密碼編譯模組。 Azure 是由硬體、商用作業系統 (Linux 和 Windows) 和 Azure 特定版本 Windows 的組合所建置而成的。 透過 Microsoft 安全性開發生命週期 (SDL),所有 Azure 服務都會針對資料安全性使用 FIPS 140 核准的演算法,因為作業系統在超大規模雲端操作時會使用 FIPS 140 核准的演算法。 對應的密碼編譯模組是驗證為 Microsoft Windows FIPS 驗證方案一部分的 FIPS 140。 此外,您可以將自己的密碼編譯金鑰和其他祕密儲存在經 FIPS 140 驗證的硬體安全性模組 (HSM) 中。

加密金鑰管理

正確的加密和加密金鑰的管理對於資料安全至關重要。 Azure Key Vault 是可安全儲存及管理秘密的雲端服務。 Key Vault 可讓您將加密金鑰存放在經過 FIPS 140 驗證的硬體安全性模組 (HSM) 中。 如需詳細資訊,請參閱資料加密金鑰管理 (英文)。

傳輸中資料加密

Azure 提供了許多為傳輸中的資料加密的選項。 傳輸中資料加密會隔離網路流量與其他流量,並協助保護資料免於遭到攔截。 如需詳細資訊,請參閱傳輸中資料加密 (英文)。

待用資料加密

Azure 提供這各種選項用以加密待用資料,透過 Microsoft 管理的加密金鑰和客戶自控加密金鑰,協助您保護資料並符合合規性需求。 此流程仰賴多個加密金鑰和服務,例如 Azure Key Vault 和 Microsoft Entra ID,以確保安全金鑰存取和集中式金鑰管理。 如需 Azure 儲存體加密和 Azure 資料箱磁碟加密的詳細資訊,請參閱待用資料加密

Azure SQL Database 預設 \(英文\) 會提供待用資料的透明資料加密 (TDE)。 TDE 會對資料和記錄檔執行即時加密及解密作業。 資料庫加密金鑰 (DEK) 是儲存於資料庫開機記錄中的對稱金鑰,可用來在復原期間提供可用性。 其會透過存放在伺服器主要資料庫中的憑證或稱為 TDE 保護裝置的非對稱金鑰來保護,該金鑰儲存在 Azure Key Vault 中。 Key Vault 支援攜帶您自己的金鑰 (BYOK),可讓您將 TDE 保護裝置存放在 Key Vault 中,並控制金鑰管理工作,包括金鑰輪替、權限、刪除金鑰、在所有 TDE 保護裝置上啟用稽核/報告等等。 此金鑰可由 Key Vault 產生、匯入,或從內部部署 HSM 裝置轉移到 Key Vault。 您也可以使用 Azure SQL Database 的 Always Encrypted 功能,這項功能是專為協助您保護敏感資料而設計,方法是可讓您加密應用程式內的資料,且永遠不會向資料庫引擎顯示加密金鑰。 透過這種方式,Always Encrypted 可在擁有資料且可以檢視資料的那些使用者和管理資料但應該不具備存取權的那些使用者之間做出區隔。

內部人員存取限制

美國的所有 Azure 和 Azure Government 員工都會受到 Microsoft 背景檢查。 如需詳細資訊,請參閱篩選

內部人員威脅的特徵是可能提供後門連線和雲端服務提供者 (CSP) 您系統和資料的特殊權限系統管理員存取權。 如需 Microsoft 如何限制內部人員存取您資料的詳細資訊,請參閱內部人員存取限制 (英文)。

監視您的 Azure 資源

Azure 會提供基本 Azure 服務,您可以用來深入了解已佈建的 Azure 資源,並收到可疑活動的警示,包括針對應用程式和資料的外部攻擊所發出的警示。 如需這些服務的詳細資訊,請參閱 Azure 資源的客戶監視

推論

你應該仔細評估 Azure 的使用方式可能會如何影響美國的出口管制措施,並確定您想要在雲端儲存或處理的任何資料是否可能受到出口管制。 Microsoft Azure 提供重要的技術功能、作業程序和合約承諾,以協助您管理出口管制風險。 在可能涉及受美國出口管制的技術資料的情況下,Azure 已設定為提供一些功能,協助緩解您在存取 Azure 中的受控技術資料時無意中違反美國出口管制的潛在風險。 透過適當的規劃,你可以使用 Azure 功能和自己的內部程序來協助確保在使用 Azure 平台時完全遵守美國出口管制法規。

下一步

為了協助您了解出口管制規則,Microsoft 已發佈 Microsoft Azure 出口管制白皮書,其中描述美國出口管制條例 (特別是適用於軟體和技術資料的情況)、回顧出口管制風險的潛在來源,並提供具體指導來幫助您評估這些管制下的義務。

深入了解: