Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Stack de sécurité pour les centres de données virtuels
L'objectif du Virtual Data Center Security Stack (VDSS) est de protéger les applications DOD propriétaires de missions hébergées dans. AWS VDSSIl fournit une enclave pour les services de sécurité. VDSSexécute la majeure partie des opérations de sécurité dans leSCCA. Ce composant contient des services de sécurité et de réseau, tels que les contrôles d'accès à la connectivité entrante et les services de protection du périmètre, notamment les pare-feux d'applications Web, DDOS la protection, les équilibreurs de charge et les ressources de routage réseau. Ils VDSS peuvent résider dans l'infrastructure cloud ou sur site, dans votre centre de données. AWS ou des fournisseurs tiers peuvent fournir des VDSS fonctionnalités via une infrastructure en tant que service (IaaS), ou AWS peuvent proposer ces fonctionnalités via des solutions logicielles en tant que service (SaaS). Pour plus d'informations à ce sujetVDSS, consultez le guide des exigences de sécurité du DoD en matière de cloud computing
Le tableau suivant contient les exigences minimales pour leVDSS. Il explique s'il LZA répond à chaque exigence et lequel Services AWS vous pouvez utiliser pour répondre à ces exigences.
| ID | VDSSexigence de sécurité | AWS technologies | Ressources supplémentaires | Couvert par LZA |
|---|---|---|---|---|
| 2.1.2.1 | Ils VDSS doivent maintenir une séparation virtuelle de tout le trafic de gestion, d'utilisateur et de données. | Isoler VPCs | Couvert | |
| 2.1.2.2 | Il VDSS doit autoriser l'utilisation du chiffrement pour la segmentation du trafic de gestion. | Amazon VPC (Chiffrer le trafic entre les instances) |
Bonnes pratiques en matière de chiffrement pour Amazon VPC | Couvert |
| 2.1.2.3 | Il VDSS doit fournir une capacité de proxy inverse pour traiter les demandes d'accès provenant des systèmes clients. | N/A | Diffusion de contenu à l'aide d'un proxy inverse entièrement géré |
Non couvert |
| 2.1.2.4 | Ils VDSS doivent fournir la capacité d'inspecter et de filtrer les conversations au niveau de l'application sur la base d'un ensemble de règles prédéfinies (notammentHTTP) pour identifier et bloquer les contenus malveillants. | Partiellement couvert | ||
| 2.1.2.5 | Il VDSS doit fournir une capacité capable de distinguer et de bloquer le trafic non autorisé de la couche application. | AWS WAF | Comment utiliser Amazon GuardDuty et AWS WAF bloquer automatiquement les hôtes suspects |
Non couvert |
| 2.1.2.6 | Il VDSS doit fournir une capacité de surveillance des activités du réseau et du système afin de détecter et de signaler les activités malveillantes concernant le trafic entrant et sortant des réseaux/enclaves privés virtuels du propriétaire de la mission. | AWS
Atelier Nitro Enclaves |
Partiellement couvert | |
| 2.1.2.7 | Il VDSS doit fournir une capacité permettant de surveiller les activités du réseau et du système afin d'arrêter ou de bloquer les activités malveillantes détectées. | N/A | Partiellement couvert | |
| 2.1.2.8 | Ils VDSS inspecteront et filtreront le trafic transitant entre les réseaux/enclaves privés virtuels du propriétaire de la mission. | Network Firewall | Déployez un filtrage centralisé du trafic |
Couvert |
| 2.1.2.9 | Ils VDSS doivent effectuer une interruption et une inspection du SSL trafic de TLS communication prenant en charge l'authentification unique et double pour le trafic destiné aux systèmes hébergés dans leCSE. | Network Firewall | Modèles de déploiement pour Network Firewall |
Couvert |
| 2.1.2.10 | Ils VDSS doivent fournir une interface pour mener les activités liées aux ports, aux protocoles et à la gestion des services (PPSM) afin de fournir un contrôle aux MCD opérateurs. | Network Firewall | Modèles de déploiement pour Network Firewall |
Couvert |
| 2.1.2.11 | Il VDSS doit fournir une capacité de surveillance qui capture les fichiers journaux et les données d'événements à des fins d'analyse de cybersécurité. | Journalisation pour la réponse aux incidents de sécurité | Couvert | |
| 2.1.2.12 | Ils VDSS doivent fournir ou transmettre des informations de sécurité et des données d'événements à un système d'archivage attribué pour la collecte, le stockage et l'accès communs aux journaux d'événements par les utilisateurs privilégiés effectuant des CND activités liées aux limites et aux missions. | Amazon CloudWatch Logs | Sécurité dans les CloudWatch journaux | Couvert |
| 2.1.2.13 | Il VDSS doit fournir un système de gestion des clés de chiffrement conforme à la norme FIPS -140-2 pour le stockage des informations d'identification des clés de chiffrement privées du serveur générées et attribuées par le DoD pour l'accès et l'utilisation par le Web Application Firewall (WAF) lors de l'exécution de SSL TLS /break et de l'inspection de sessions de communication cryptées. | Améliorez la sécurité des CloudFront origines d'Amazon grâce AWS WAF à Secrets Manager |
Non couvert | |
| 2.1.2.14 | Ils VDSS doivent fournir la capacité de détecter et d'identifier le piratage de session d'application. | N/A | N/A | Non couvert |
| 2.1.2.15 | Ils VDSS fourniront une DMZ extension DoD à prendre en charge pour prendre en charge les applications connectées à Internet ()IFAs. | N/A | N/A | Non couvert |
| 2.1.2.16 | Ils VDSS doivent fournir une capacité de capture complète des paquets (FPC) ou une FPC capacité équivalente à un service cloud pour l'enregistrement et l'interprétation des communications transitoires. | N/A | Couvert | |
| 2.1.2.17 | Il VDSS doit fournir des mesures et des statistiques sur le flux de paquets réseau pour toutes les communications transitoires. | CloudWatch | Surveillez le débit réseau des points de VPC terminaison de l'interface à l'aide de CloudWatch |
Couvert |
| 2.1.2.18 | Ils VDSS doivent prévoir l'inspection du trafic entrant et sortant du réseau privé virtuel de chaque propriétaire de mission. | Network Firewall | Déployez un filtrage centralisé du trafic |
Couvert |
Certains éléments CAP que vous définissez ne sont pas abordés dans ce guide car chaque agence a son propre CAP lien avec AWS. Vous pouvez compléter les composants du VDSS par le LZA afin d'aider à inspecter le trafic entrant AWS. Les services utilisés dans le LZA cadre de l'analyse des limites et du trafic interne permettent de sécuriser votre environnement. Afin de continuer à construire unVDSS, certains composants d'infrastructure supplémentaires ne sont pas inclus dans leLZA.
En utilisant le cloud privé virtuel (VPCs), vous pouvez définir des limites dans chacun Compte AWS d'entre eux afin de respecter les SCCA normes. Cela n'est pas configuré dans le cadre du LZA car VPCs l'adressage IP et le routage sont des composants que vous devez configurer en fonction des besoins de votre infrastructure. Vous pouvez implémenter des composants tels que les extensions de sécurité du système de noms de domaine (DNSSEC) dans Amazon Route 53. Vous pouvez également ajouter AWS WAF ou faire appel à un tiers, commercial, WAFs pour vous aider à atteindre les normes nécessaires.
En outre, pour répondre à l'exigence 2.1.2.7 du DISASCCA, vous pouvez utiliser Network GuardDutyFirewall pour sécuriser et surveiller l'environnement afin de détecter tout trafic malveillant.
