Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsstapel für virtuelle Rechenzentren
Der Sicherheitsstapel für virtuelle Rechenzentren (VDSS) dient dem Schutz der Anwendungen, die für das jeweilige Unternehmen DOD verantwortlich sind und in dem Server gehostet werden. AWS Der VDSS bietet eine Enklave für Sicherheitsdienste. Das VDSS führt den Großteil der Sicherheitsoperationen in der SCCA durch. Diese Komponente umfasst Sicherheits- und Netzwerkdienste, z. B. Zugriffskontrollen für eingehende Verbindungen und Perimeterschutzdienste, einschließlich Firewalls für Webanwendungen, DDOS Schutz, Load Balancer und Netzwerkrouting-Ressourcen. VDSSSie können sich in der Cloud-Infrastruktur oder vor Ort in Ihrem Rechenzentrum befinden. AWS oder Drittanbieter können VDSS Funktionen über Infrastructure-as-a-Service (IaaS) oder AWS diese Funktionen über Software-as-a-Service (SaaS) -Lösungen anbieten. Weitere Informationen zu den VDSS finden Sie im DoD Cloud Computing Security Requirements Guide
Die folgende Tabelle enthält die Mindestanforderungen für dieVDSS. Es wird erklärt, ob LZA die einzelnen Anforderungen erfüllt werden und welche AWS-Services Sie verwenden können, um diese Anforderungen zu erfüllen.
| ID | VDSSSicherheitsanforderung | AWS Technologien | Weitere Ressourcen | Abgedeckt von LZA |
|---|---|---|---|---|
| 2.1.2.1 | Sie sorgen VDSS für eine virtuelle Trennung des gesamten Verwaltungs-, Benutzer- und Datenverkehrs. | Isolieren VPCs | Abgedeckt | |
| 2.1.2.2 | Sie VDSS müssen die Verwendung von Verschlüsselung für die Segmentierung des Verwaltungsverkehrs ermöglichen. | Amazon VPC (Datenverkehr zwischen Instances verschlüsseln) |
Bewährte Verschlüsselungsmethoden für Amazon VPC | Abgedeckt |
| 2.1.2.3 | Sie VDSS müssen eine Reverse-Proxyfunktion zur Bearbeitung von Zugriffsanfragen von Kundensystemen bereitstellen. | N/A | Bereitstellung von Inhalten über einen vollständig verwalteten Reverse-Proxy |
Nicht abgedeckt |
| 2.1.2.4 | Sie VDSS müssen die Möglichkeit bieten, Konversationen auf Anwendungsebene anhand vordefinierter Regeln (einschließlichHTTP) zur Identifizierung und Blockierung bösartiger Inhalte zu überprüfen und zu filtern. | Teilweise abgedeckt | ||
| 2.1.2.5 | Sie VDSS müssen eine Funktion bieten, mit der unautorisierter Datenverkehr auf Anwendungsebene unterschieden und blockiert werden kann. | AWS WAF | So verwenden Sie Amazon GuardDuty und AWS WAF blockieren automatisch verdächtige Hosts |
Nicht abgedeckt |
| 2.1.2.6 | Sie VDSS müssen über die Möglichkeit verfügen, die Netzwerk- und Systemaktivitäten zu überwachen, um böswillige Aktivitäten für den Verkehr zu erkennen und zu melden, der in virtuelle private Netze/Enklaven des Missionseigentümers ein- und ausläuft. | AWS
Werkstatt Nitro Enklaven |
Teilweise abgedeckt | |
| 2.1.2.7 | Sie VDSS müssen die Möglichkeit bieten, Netzwerk- und Systemaktivitäten zu überwachen, um erkannte bösartige Aktivitäten zu stoppen oder zu blockieren. | N/A | Teilweise abgedeckt | |
| 2.1.2.8 | Sie überprüfen VDSS und filtern den Verkehr zwischen virtuellen privaten Netzen/Enklaven des Missionsbesitzers. | Network Firewall | Stellen Sie eine zentrale Verkehrsfilterung bereit |
Abgedeckt |
| 2.1.2.9 | Sie führen eine Unterbrechung und Überprüfung des SSL TLS Kommunikationsverkehrs durch und unterstützen dabei die einfache und doppelte Authentifizierung für den Datenverkehr, der für Systeme bestimmt ist, die auf dem Server gehostet werden. VDSS CSE | Network Firewall | Bereitstellungsmodelle für Network Firewall |
Abgedeckt |
| 2.1.2.10 | Sie müssen eine Schnittstelle für die VDSS Durchführung von Häfen, Protokollen und Dienstverwaltungstätigkeiten (PPSM) bereitstellen, um den Betreibern die Kontrolle zu ermöglichen. MCD | Network Firewall | Bereitstellungsmodelle für Network Firewall |
Abgedeckt |
| 2.1.2.11 | Sie VDSS müssen eine Überwachungsfunktion bereitstellen, mit der Protokolldateien und Ereignisdaten für die Cybersicherheitsanalyse erfasst werden. | Protokollierung zur Reaktion auf Sicherheitsvorfälle | Abgedeckt | |
| 2.1.2.12 | Sie VDSS stellen Sicherheitsinformationen und Ereignisdaten an ein zugewiesenes Archivierungssystem zur gemeinsamen Erfassung und Speicherung von Ereignisprotokollen und leiten sie an ein zugewiesenes Archivierungssystem weiter, damit privilegierte Benutzer, die Grenz- und Missionsaktivitäten durchführen, gemeinsam auf sie zugreifen können. CND | CloudWatch Amazon-Protokolle | Sicherheit in CloudWatch Protokollen | Abgedeckt |
| 2.1.2.13 | Sie VDSS müssen ein FIPS -140-2-konformes Verschlüsselungsschlüsselverwaltungssystem für die Speicherung der vom DoD generierten und zugewiesenen privaten Serververschlüsselungsschlüsselanmeldedaten für den Zugriff und die Verwendung durch die Web Application Firewall (WAF) bei der SSL TLS Ausführung/Unterbrechung und Überprüfung verschlüsselter Kommunikationssitzungen bereitstellen. | Verbessern Sie die Amazon CloudFront Origin Security mit AWS WAF Secrets Manager |
Nicht abgedeckt | |
| 2.1.2.14 | Sie VDSS müssen die Möglichkeit bieten, das Hijacking von Anwendungssitzungen zu erkennen und zu identifizieren. | N/A | N/A | Nicht abgedeckt |
| 2.1.2.15 | Sie VDSS müssen eine DMZ DoD-Erweiterung zur Unterstützung von Internetanwendungen (IFAs) bereitstellen. | N/A | N/A | Nicht abgedeckt |
| 2.1.2.16 | Sie VDSS müssen eine vollständige Paketerfassung (FPC) oder gleichwertige FPC Cloud-Dienste für die Aufzeichnung und Interpretation von Übertragungen bieten. | N/A | Abgedeckt | |
| 2.1.2.17 | Sie VDSS müssen Metriken und Statistiken zum Netzwerkpaketfluss für alle Datenübertragungen bereitstellen. | CloudWatch | Überwachen Sie den Netzwerkdurchsatz der Schnittstellenendpunkte VPC mit CloudWatch |
Abgedeckt |
| 2.1.2.18 | Sie VDSS müssen die Kontrolle des Verkehrs vorsehen, der in das virtuelle private Netzwerk jedes Missionsbesitzers ein- und ausläuft. | Network Firewall | Stellen Sie eine zentrale Verkehrsfilterung bereit |
Abgedeckt |
Es gibt KomponentenCAP, die Sie definieren und die in diesem Leitfaden nicht behandelt werden, da jede Behörde ihre eigene CAP Verbindung hat AWS. Sie können die Komponenten von VDSS durch die ergänzen, um den LZA eingehenden Verkehr besser kontrollieren zu können AWS. Die in der verwendeten Dienste LZA ermöglichen das Scannen von Grenzen und internem Datenverkehr, um Ihre Umgebung zu schützen. Um mit dem Aufbau einer fortzufahrenVDSS, gibt es einige zusätzliche Infrastrukturkomponenten, die nicht in der enthalten sindLZA.
Mithilfe der virtuellen privaten Cloud (VPCs) können Sie in jeder Cloud Grenzen festlegen, AWS-Konto um die Einhaltung der SCCA Standards zu erleichtern. Dies ist nicht Teil der KonfigurationVPCs, LZA da IP-Adressierung und Routing Komponenten sind, die Sie je nach Bedarf für Ihre Infrastruktur einrichten müssen. Sie können Komponenten wie Domain Name System Security Extensions (DNSSEC) in Amazon Route 53 implementieren. Sie können auch kommerzielle Produkte AWS WAF oder Drittanbieter hinzufügen, WAFs um die erforderlichen Standards zu erreichen.
Um die Anforderung 2.1.2.7 in der zu erfüllen, können Sie außerdem eine Network Firewall verwenden DISASCCA, um die Umgebung zu schützen GuardDutyund vor bösartigem Datenverkehr zu schützen und zu überwachen.
