Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Stack di sicurezza per data center virtuali
Lo scopo del Virtual Data Center Security Stack (VDSS) è proteggere le applicazioni DOD proprietarie della missione ospitate in. AWS VDSSFornisce un'enclave per i servizi di sicurezza. VDSSEsegue la maggior parte delle operazioni di sicurezza in. SCCA Questo componente contiene servizi di sicurezza e di rete, come connettività in entrata, controlli degli accessi e servizi di protezione perimetrale, inclusi firewall per applicazioni Web, DDOS protezione, bilanciamenti del carico e risorse di routing di rete. VDSSPossono risiedere nell'infrastruttura cloud o on-premise, nel tuo data center. AWS oppure i fornitori di terze parti possono fornire VDSS funzionalità tramite Infrastructure as a Service (IaaS) AWS o possono offrire tali funzionalità tramite soluzioni software as a service (SaaS). Per ulteriori informazioni suVDSS, consulta la DoD Cloud Computing Security Requirements Guide
La tabella seguente contiene i requisiti minimi per. VDSS Spiega se LZA soddisfa ogni requisito e quali possono essere utilizzati per Servizi AWS soddisfarli.
| ID | VDSSrequisito di sicurezza | AWS tecnologie | Risorse aggiuntive | Coperto da LZA |
|---|---|---|---|---|
| 2.1.2.1 | VDSSDevono mantenere la separazione virtuale di tutto il traffico di gestione, utente e dati. | Isolare VPCs | Coperto | |
| 2.1.2.2 | VDSSDevono consentire l'uso della crittografia per la segmentazione del traffico di gestione. | Amazon VPC (crittografa il traffico tra le istanze) |
Le migliori pratiche di crittografia per Amazon VPC | Coperto |
| 2.1.2.3 | VDSSDevono fornire una funzionalità di reverse proxy per gestire le richieste di accesso dai sistemi client. | N/D | Servire contenuti utilizzando un reverse proxy completamente gestito |
Non coperto |
| 2.1.2.4 | VDSSDevono fornire la capacità di ispezionare e filtrare le conversazioni a livello di applicazione sulla base di un insieme predefinito di regole (tra cuiHTTP) l'identificazione e il blocco dei contenuti dannosi. | Parzialmente coperto | ||
| 2.1.2.5 | VDSSDevono fornire una capacità in grado di distinguere e bloccare il traffico non autorizzato a livello di applicazione. | AWS WAF | Come usare Amazon GuardDuty e AWS WAF bloccare automaticamente gli host sospetti |
Non coperto |
| 2.1.2.6 | VDSSDevono fornire una capacità di monitoraggio delle attività della rete e del sistema per rilevare e segnalare le attività dannose relative al traffico in entrata e in uscita dalle reti/enclavi private virtuali del proprietario della missione. | AWS
Laboratorio Nitro Enclaves |
Parzialmente coperto | |
| 2.1.2.7 | VDSSDevono fornire una capacità di monitoraggio delle attività di rete e di sistema per fermare o bloccare le attività dannose rilevate. | N/D | Parzialmente coperto | |
| 2.1.2.8 | VDSSDeve ispezionare e filtrare il traffico che attraversa reti/enclavi private virtuali del titolare della missione. | Network Firewall | Implementa un filtraggio centralizzato del traffico |
Coperto |
| 2.1.2.9 | VDSSDeve eseguire l'interruzione e l'ispezione del traffico di SSL TLS comunicazione supportando l'autenticazione singola e doppia per il traffico destinato ai sistemi ospitati all'interno del. CSE | Network Firewall | Modelli di implementazione per Network Firewall |
Coperto |
| 2.1.2.10 | VDSSDevono fornire un'interfaccia per condurre porti, protocolli e attività di gestione dei servizi (PPSM) al fine di fornire il controllo agli operatori. MCD | Network Firewall | Modelli di implementazione per Network Firewall |
Coperto |
| 2.1.2.11 | VDSSDevono fornire una capacità di monitoraggio che acquisisca file di registro e dati sugli eventi per l'analisi della sicurezza informatica. | Registrazione per la risposta agli incidenti di sicurezza | Coperto | |
| 2.1.2.12 | VDSSForniscono o forniscono informazioni sulla sicurezza e dati sugli eventi a un sistema di archiviazione assegnato per la raccolta, l'archiviazione e l'accesso comuni ai registri degli eventi da parte degli utenti privilegiati che svolgono attività di confine e missione. CND | CloudWatch Registri Amazon | Sicurezza nei registri CloudWatch | Coperto |
| 2.1.2.13 | VDSSFornirà un sistema di gestione delle chiavi di crittografia conforme a FIPS -140-2 per l'archiviazione delle credenziali della chiave di crittografia privata generate dal DoD e assegnate al server per l'accesso e l'uso da parte del Web Application Firewall (WAF) nell'esecuzione di SSL TLS /interruzione e ispezione di sessioni di comunicazione crittografate. | Migliora la sicurezza di CloudFront origine di Amazon con AWS WAF Secrets Manager |
Non coperto | |
| 2.1.2.14 | VDSSDevono fornire la capacità di rilevare e identificare il dirottamento della sessione applicativa. | N/D | N/D | Non coperto |
| 2.1.2.15 | VDSSDovranno fornire un'DMZestensione DoD per supportare le applicazioni con accesso a Internet ()IFAs. | N/D | N/D | Non coperto |
| 2.1.2.16 | VDSSDevono fornire una capacità di acquisizione completa dei pacchetti (FPC) o una FPC capacità equivalente a un servizio cloud per la registrazione e l'interpretazione delle comunicazioni trasversali. | N/D | Coperto | |
| 2.1.2.17 | VDSSDevono fornire metriche e statistiche sul flusso di pacchetti di rete per tutte le comunicazioni in transito. | CloudWatch | Monitora il throughput di rete degli endpoint di interfaccia utilizzando VPC CloudWatch |
Coperto |
| 2.1.2.18 | VDSSDevono provvedere all'ispezione del traffico in entrata e in uscita dalla rete privata virtuale del proprietario di ciascuna missione. | Network Firewall | Implementa un filtraggio centralizzato del traffico |
Coperto |
Ci sono alcuni componenti definiti dall'CAPutente e che non sono trattati in questa guida, poiché ogni agenzia ha i propri CAP collegamenti con AWS. È possibile integrare i componenti di VDSS con il LZA per aiutare a ispezionare il traffico in AWS entrata. I servizi utilizzati LZA forniscono la scansione dei confini e del traffico interno per proteggere l'ambiente. Per continuare a creare unVDSS, ci sono alcuni componenti dell'infrastruttura aggiuntivi che non sono inclusi in. LZA
Utilizzando il cloud privato virtuale (VPCs), è possibile stabilire dei limiti in ciascuno di essi Account AWS per contribuire al rispetto degli SCCA standard. Questo non è configurato come parte del programmaVPCs, LZA perché l'indirizzamento IP e il routing sono componenti che è necessario configurare in base alle esigenze dell'infrastruttura. Puoi implementare componenti come Domain Name System Security Extensions (DNSSEC) in Amazon Route 53. Puoi anche aggiungere prodotti commerciali AWS WAF o di terze parti WAFs per aiutarti a raggiungere gli standard necessari.
Inoltre, per supportare il requisito 2.1.2.7 del DISASCCA, è possibile utilizzare un Network GuardDutyFirewall per proteggere e monitorare l'ambiente per il traffico dannoso.
