Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tumpukan Keamanan Pusat Data Virtual
Tujuan dari Virtual Data Center Security Stack (VDSS) adalah untuk melindungi aplikasi DOD pemilik misi yang di-host. AWS VDSSIni menyediakan kantong untuk layanan keamanan. VDSSMelakukan sebagian besar operasi keamanan diSCCA. Komponen ini berisi layanan keamanan dan jaringan, seperti kontrol akses konektivitas masuk dan layanan perlindungan perimeter, termasuk firewall aplikasi web, DDOS perlindungan, penyeimbang beban, dan sumber daya perutean jaringan. VDSSDapat berada di infrastruktur cloud atau di tempat, di pusat data Anda. AWS atau vendor pihak ketiga dapat memberikan VDSS kemampuan melalui infrastruktur sebagai layanan (IaaS), atau AWS dapat menawarkan kemampuan ini melalui solusi perangkat lunak sebagai layanan (SaaS). Untuk informasi selengkapnya tentang iniVDSS, lihat Panduan Persyaratan Keamanan Komputasi Cloud DoD
Tabel berikut berisi persyaratan minimum untukVDSS. Ini menjelaskan apakah LZA alamat setiap persyaratan dan yang dapat Layanan AWS Anda gunakan untuk memenuhi persyaratan ini.
| ID | VDSSpersyaratan keamanan | AWS teknologi | Sumber daya tambahan | Ditutupi oleh LZA |
|---|---|---|---|---|
| 2.1.2.1 | VDSSMempertahankan pemisahan virtual dari semua manajemen, pengguna, dan lalu lintas data. | Mengisolasi VPCs | Tercakup | |
| 2.1.2.2 | VDSSHarus memungkinkan penggunaan enkripsi untuk segmentasi lalu lintas manajemen. | Amazon VPC (Enkripsi lalu lintas antar instance) |
Praktik terbaik enkripsi untuk Amazon VPC | Tercakup |
| 2.1.2.3 | VDSSHarus menyediakan kemampuan proxy terbalik untuk menangani permintaan akses dari sistem klien. | N/A | Menyajikan konten menggunakan proxy terbalik yang dikelola sepenuhnya |
Tidak tercakup |
| 2.1.2.4 | VDSSHarus menyediakan kemampuan untuk memeriksa dan memfilter percakapan lapisan aplikasi berdasarkan seperangkat aturan yang telah ditentukan (termasukHTTP) untuk mengidentifikasi dan memblokir konten berbahaya. | Sebagian tertutup | ||
| 2.1.2.5 | VDSSHarus menyediakan kemampuan yang dapat membedakan dan memblokir lalu lintas lapisan aplikasi yang tidak sah. | AWS WAF | Cara menggunakan Amazon GuardDuty dan secara otomatis AWS WAF memblokir host yang mencurigakan |
Tidak tercakup |
| 2.1.2.6 | VDSSHarus menyediakan kemampuan yang memantau aktivitas jaringan dan sistem untuk mendeteksi dan melaporkan aktivitas berbahaya bagi lalu lintas yang masuk dan keluar dari jaringan pribadi virtual Pemilik Misi. | AWS
Lokakarya Nitro Enclave |
Sebagian tertutup | |
| 2.1.2.7 | VDSSHarus menyediakan kemampuan yang memantau aktivitas jaringan dan sistem untuk menghentikan atau memblokir aktivitas berbahaya yang terdeteksi. | N/A | Sebagian tertutup | |
| 2.1.2.8 | Mereka VDSS harus memeriksa dan menyaring lalu lintas yang melintasi antara pemilik misi jaringan pribadi virtual/kantong. | Network Firewall | Menyebarkan penyaringan lalu lintas terpusat |
Tercakup |
| 2.1.2.9 | VDSSHarus melakukan pemutusan dan inspeksi lalu lintas SSL TLS komunikasi yang mendukung otentikasi tunggal dan ganda untuk lalu lintas yang ditujukan untuk sistem yang dihosting di dalam. CSE | Network Firewall | Model penyebaran untuk Network Firewall |
Tercakup |
| 2.1.2.10 | VDSSHarus menyediakan antarmuka untuk melakukan kegiatan pelabuhan, protokol, dan manajemen layanan (PPSM) untuk memberikan kontrol bagi MCD operator. | Network Firewall | Model penyebaran untuk Network Firewall |
Tercakup |
| 2.1.2.11 | VDSSHarus menyediakan kemampuan pemantauan yang menangkap file log dan data peristiwa untuk analisis keamanan siber. | Pencatatan untuk respon insiden keamanan | Tercakup | |
| 2.1.2.12 | VDSSHarus menyediakan atau memasukkan informasi keamanan dan data peristiwa ke sistem pengarsipan yang dialokasikan untuk pengumpulan umum, penyimpanan, dan akses ke log peristiwa oleh pengguna istimewa yang melakukan aktivitas Batas dan Misi. CND | CloudWatch Log Amazon | Keamanan di CloudWatch Log | Tercakup |
| 2.1.2.13 | VDSSHarus menyediakan sistem manajemen kunci enkripsi yang sesuai FIPS -140-2 untuk penyimpanan DoD yang dihasilkan dan ditetapkan kredenal kunci enkripsi pribadi server untuk akses dan penggunaan oleh Web Application Firewall (WAF) dalam SSL TLS pelaksanaan/istirahat dan inspeksi sesi komunikasi terenkripsi. | Tingkatkan keamanan CloudFront asal Amazon dengan AWS WAF dan Secrets Manager |
Tidak tercakup | |
| 2.1.2.14 | VDSSHarus menyediakan kemampuan untuk mendeteksi dan mengidentifikasi pembajakan sesi aplikasi. | N/A | N/A | Tidak tercakup |
| 2.1.2.15 | VDSSHarus menyediakan DMZ Ekstensi DoD untuk mendukung mendukung Aplikasi Menghadapi Internet ()IFAs. | N/A | N/A | Tidak tercakup |
| 2.1.2.16 | VDSSHarus menyediakan full packet capture (FPC) atau FPC kemampuan layanan cloud yang setara untuk merekam dan menafsirkan komunikasi yang melintasi. | N/A | Tercakup | |
| 2.1.2.17 | VDSSHarus menyediakan metrik aliran paket jaringan dan statistik untuk semua komunikasi yang melintasi. | CloudWatch | Memantau throughput jaringan dari titik VPC akhir antarmuka menggunakan CloudWatch |
Tercakup |
| 2.1.2.18 | VDSSHarus mengatur pemeriksaan lalu lintas yang masuk dan keluar setiap pemilik misi jaringan pribadi virtual. | Network Firewall | Menyebarkan penyaringan lalu lintas terpusat |
Tercakup |
Ada komponen yang Anda tentukan dan CAP yang tidak tercakup dalam panduan ini karena masing-masing agensi memiliki CAP koneksi mereka sendiri AWS. Anda dapat melengkapi komponen VDSS dengan untuk membantu memeriksa lalu lintas yang masuk AWS. LZA Layanan yang digunakan dalam LZA menyediakan pemindaian lalu lintas batas dan internal untuk membantu mengamankan lingkungan Anda. Untuk terus membangun aVDSS, ada beberapa komponen infrastruktur tambahan yang tidak termasuk dalamLZA.
Dengan menggunakan virtual private cloud (VPCs), Anda dapat menetapkan batasan di masing-masing Akun AWS untuk membantu mematuhi SCCA standar. Ini tidak dikonfigurasi sebagai bagian dari LZA karenaVPCs, pengalamatan IP, dan perutean adalah komponen yang harus Anda atur sesuai kebutuhan untuk infrastruktur Anda. Anda dapat mengimplementasikan komponen seperti Ekstensi Keamanan Sistem Nama Domain (DNSSEC) di Amazon Route 53. Anda juga dapat menambahkan AWS WAF atau pihak ketiga, komersial WAFs untuk membantu Anda mencapai standar yang diperlukan.
Selain itu, untuk mendukung persyaratan 2.1.2.7in DISASCCA, Anda dapat menggunakan dan Network GuardDutyFirewall untuk membantu mengamankan dan memantau lingkungan untuk lalu lintas berbahaya.
