Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Paquete de seguridad para centros de datos virtuales
El objetivo del paquete de seguridad para centros de datos virtuales (VDSS) es proteger las aplicaciones alojadas en las que están DOD alojadas los propietarios de la misión. AWS VDSSProporciona un enclave para los servicios de seguridad. VDSSRealiza la mayor parte de las operaciones de seguridad en elSCCA. Este componente contiene servicios de seguridad y red, como los servicios de conectividad entrante, controles de acceso y protección perimetral, incluidos los firewalls de aplicaciones web, la DDOS protección, los equilibradores de carga y los recursos de enrutamiento de redes. VDSSPueden residir en la infraestructura de la nube o de forma local, en su centro de datos. AWS o los proveedores externos pueden proporcionar VDSS capacidades a través de infraestructura como servicio (IaaS) o AWS pueden ofrecer estas capacidades a través de soluciones de software como servicio (SaaS). Para obtener más información sobreVDSS, consulte la Guía de requisitos de seguridad de la computación en la nube del DoD
La siguiente tabla contiene los requisitos mínimos para. VDSS Explica si cumplen LZA con cada requisito y cuáles Servicios de AWS puede utilizar para cumplir con estos requisitos.
| ID | VDSSrequisito de seguridad | AWS tecnologías | Recursos adicionales | Cubierto por LZA |
|---|---|---|---|---|
| 2.1.2.1 | VDSSMantendrán una separación virtual de todo el tráfico de administración, usuarios y datos. | Aislar VPCs | Cubierto | |
| 2.1.2.2 | VDSSPermitirá el uso del cifrado para la segmentación del tráfico de gestión. | Amazon VPC (cifra el tráfico entre instancias) |
Mejores prácticas de cifrado para Amazon VPC | Cubierto |
| 2.1.2.3 | VDSSProporcionarán una capacidad de proxy inverso para gestionar las solicitudes de acceso de los sistemas cliente. | N/A | Servir contenido mediante un proxy inverso totalmente gestionado |
No está cubierto |
| 2.1.2.4 | VDSSDeberán proporcionar la capacidad de inspeccionar y filtrar las conversaciones de la capa de aplicación en función de un conjunto predefinido de reglas (incluidasHTTP) para identificar y bloquear el contenido malicioso. | Cubierto parcialmente | ||
| 2.1.2.5 | VDSSProporcionará una capacidad que pueda distinguir y bloquear el tráfico no autorizado de la capa de aplicación. | AWS WAF | Cómo usar Amazon GuardDuty y AWS WAF bloquear automáticamente los anfitriones sospechosos |
¿No está cubierto |
| 2.1.2.6 | VDSSProporcionarán una capacidad que supervise las actividades de la red y el sistema a fin de detectar y denunciar las actividades maliciosas del tráfico que entra y sale de las redes o enclaves privados virtuales del propietario de la misión. | AWS
Taller sobre Nitro Enclaves |
Cubierto parcialmente | |
| 2.1.2.7 | VDSSDeberán proporcionar una capacidad que supervise las actividades de la red y el sistema para detener o bloquear la actividad maliciosa detectada. | N/A | Cubierto parcialmente | |
| 2.1.2.8 | VDSSInspeccionarán y filtrarán el tráfico que circule entre las redes o enclaves privados virtuales del propietario de la misión. | Network Firewall | Implemente un filtrado de tráfico centralizado |
Cubierto |
| 2.1.2.9 | VDSSDeberán interrumpir e inspeccionar el tráfico de SSL TLS comunicaciones que permita la autenticación única y doble para el tráfico destinado a los sistemas alojados en el. CSE | Network Firewall | Modelos de implementación para Network Firewall |
Cubierto |
| 2.1.2.10 | VDSSProporcionarán una interfaz para llevar a cabo los puertos, los protocolos y las actividades de gestión de servicios (PPSM) a fin de proporcionar control a los operadores. MCD | Network Firewall | Modelos de implementación para Network Firewall |
Cubierto |
| 2.1.2.11 | VDSSDeberán proporcionar una capacidad de monitoreo que capture archivos de registro y datos de eventos para el análisis de ciberseguridad. | Registro para la respuesta a incidentes de seguridad | Cubierto | |
| 2.1.2.12 | VDSSProporcionarán o enviarán la información de seguridad y los datos de los eventos a un sistema de archivo asignado para que los usuarios privilegiados que realicen actividades fronterizas y de misión recopilen, almacenen y accedan a los registros de eventos de forma común. CND | Amazon CloudWatch Logs | Seguridad en CloudWatch los registros | Cubierto |
| 2.1.2.13 | VDSSProporcionarán un sistema de gestión de claves de cifrado compatible con la FIPS -140-2 para almacenar las credenciales de las claves de cifrado privadas del servidor generadas y asignadas por el DoD para su acceso y uso por parte del Firewall de aplicaciones web (WAF) en la ejecución de, TLS interrupción e inspección SSL de sesiones de comunicación cifradas. | Mejora la seguridad de Amazon CloudFront Origin con AWS WAF Secrets Manager |
No está cubierto | |
| 2.1.2.14 | VDSSDeberán proporcionar la capacidad de detectar e identificar el secuestro de las sesiones de la aplicación. | N/A | N/A | No está cubierto |
| 2.1.2.15 | VDSSProporcionarán una DMZ extensión del DoD para respaldar las aplicaciones orientadas a Internet ()IFAs. | N/A | N/A | No cubierto |
| 2.1.2.16 | VDSSProporcionarán una capacidad de captura completa de paquetes (FPC) o una FPC capacidad equivalente a un servicio en la nube para grabar e interpretar las comunicaciones transversales. | N/A | Cubierto | |
| 2.1.2.17 | VDSSProporcionarán métricas y estadísticas del flujo de paquetes de la red para todas las comunicaciones transversales. | CloudWatch | Supervise el rendimiento de la red de los puntos finales de la interfaz mediante VPC CloudWatch |
Cubierto |
| 2.1.2.18 | VDSSPreverá la inspección del tráfico que entra y sale de la red privada virtual del propietario de cada misión. | Network Firewall | Implemente un filtrado de tráfico centralizado |
Cubierto |
Hay componentes CAP que usted define y que no se tratan en esta guía porque cada agencia tiene su propia CAP conexión con ellos AWS. Puede complementar los componentes del VDSS con el LZA para ayudar a inspeccionar el tráfico que entra AWS. Los servicios utilizados LZA permiten escanear los límites y el tráfico interno para ayudar a proteger su entorno. Para seguir creando unVDSS, hay algunos componentes de infraestructura adicionales que no están incluidos en elLZA.
Al utilizar una nube privada virtual (VPCs), puede establecer límites en cada uno de ellos Cuenta de AWS para ayudar a cumplir con los SCCA estándares. Esto no se configura como parte de eso LZA porque VPCs el direccionamiento IP y el enrutamiento son componentes que debe configurar según sea necesario para su infraestructura. Puede implementar componentes como las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) en Amazon Route 53. También puede agregar anuncios comerciales AWS WAF o de terceros WAFs para ayudarlo a alcanzar los estándares necesarios.
Además, para cumplir con el requisito 2.1.2.7 del DISASCCA, puede utilizar un Network GuardDutyFirewall para ayudar a proteger y monitorear el entorno en busca de tráfico malicioso.
