翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
仮想データセンターのセキュリティスタック
Virtual Data Center Security Stack (VDSS) の目的は、ホストされているDODミッションオーナーアプリケーションを保護することです AWS。VDSS は、 セキュリティサービス用のエンクレーブを提供します。は、 のセキュリティオペレーションの大部分VDSSを実行しますSCCA。このコンポーネントには、ウェブアプリケーションファイアウォール、保護、DDOSロードバランサー、ネットワークルーティングリソースなどのインバウンド接続アクセスコントロールや境界保護サービスなどのセキュリティサービスとネットワークサービスが含まれています。VDSS は、クラウドインフラストラクチャまたはオンプレミス、データセンター内に配置できます。 AWS またはサードパーティーベンダーは、Infrastructure as a Service (IaaS) を通じてVDSS機能を提供するか、Software as a Service (SaaS) ソリューションを通じてこれらの機能を提供 AWS できます。の詳細についてはVDSS、DoD クラウドコンピューティングセキュリティ要件ガイド
次の表に、 の最小要件を示しますVDSS。が各要件LZAに対応するかどうか、およびこれらの要件を満たすために AWS のサービス 使用できるものについて説明します。
| ID | VDSS セキュリティ要件 | AWS テクノロジー | 追加リソース | 対象 LZA |
|---|---|---|---|---|
| 2.1.2.1 | は、すべての管理トラフィック、ユーザートラフィック、およびデータトラフィックの仮想分離を維持するVDSSものとします。 | 分離 VPCs | 対象 | |
| 2.1.2.2 | は、管理トラフィックのセグメンテーションに暗号化の使用を許可するVDSSものとします。 | Amazon VPC (インスタンス間のトラフィックを暗号化) |
Amazon の暗号化のベストプラクティス VPC | 対象 |
| 2.1.2.3 | は、クライアントシステムからのアクセスリクエストを処理するリバースプロキシ機能を提供するVDSSものとします。 | 該当なし | フルマネージドリバースプロキシを使用したコンテンツの配信 |
対象外 |
| 2.1.2.4 | は、悪意のあるコンテンツを識別してブロックするための事前定義されたルールのセット ( を含むHTTP) に基づいて、アプリケーションレイヤーの会話を検査およびフィルタリングする機能を提供するVDSSものとします。 | 部分的にカバー | ||
| 2.1.2.5 | は、不正なアプリケーションレイヤートラフィックを区別してブロックできる機能を提供するVDSSものとします。 | AWS WAF | Amazon GuardDuty と を使用して疑わしいホスト AWS WAF を自動的にブロックする方法 |
対象外 |
| 2.1.2.6 | は、ネットワークとシステムのアクティビティをモニタリングして、ミッション所有者の仮想プライベートネットワーク/エンクレーブに出入りするトラフィックの悪意のあるアクティビティを検出してレポートする機能を提供するVDSSものとします。 | AWS Nitro Enclaves ワークショップ |
部分的にカバー | |
| 2.1.2.7 | は、ネットワークおよびシステムのアクティビティをモニタリングして、検出された悪意のあるアクティビティを停止またはブロックする機能を提供するVDSSものとします。 | 該当なし | 部分的にカバー | |
| 2.1.2.8 | VDSS は、ミッション所有者の仮想プライベートネットワーク/エンクレーブ間のトラフィックトラバースを検査し、フィルタリングします。 | Network Firewall | 集中型トラフィックフィルタリングをデプロイする |
対象 |
| 2.1.2.9 | VDSS は、 内でホストされているシステム宛てのトラフィックのシングル認証とデュアル認証をサポートする SSL/TLS 通信トラフィックのブレークと検査を実行しますCSE。 | Network Firewall | Network Firewall のデプロイモデル |
対象 |
| 2.1.2.10 | は、MCDオペレーターに制御を提供するために、ポート、プロトコル、サービス管理 (PPSM) アクティビティを実行するためのインターフェイスを提供するVDSSものとします。 | Network Firewall | Network Firewall のデプロイモデル |
対象 |
| 2.1.2.11 | は、サイバーセキュリティ分析用のログファイルとイベントデータをキャプチャするモニタリング機能を提供するVDSSものとします。 | セキュリティインシデント対応のログ記録 | 対象 | |
| 2.1.2.12 | は、Boundary および Mission CNDアクティビティを実行する特権ユーザーによる一般的な収集、ストレージ、イベントログへのアクセスのために、セキュリティ情報とイベントデータを割り当てられたアーカイブシステムに提供またはフィードVDSSします。 | Amazon CloudWatch ログ | CloudWatch ログのセキュリティ | 対象 |
| 2.1.2.13 | は、暗号化された通信セッションの実行SSL/TLS中断および検査時に Web Application Firewall (WAF) がアクセスおよび使用するための DoD が生成および割り当てたサーバープライベート暗号化キー認証情報を保存するための FIPS-140-2 準拠の暗号化キー管理システムを提供するVDSSものとします。 | AWS WAF と Secrets Manager を使用して Amazon CloudFront オリジンセキュリティを強化する |
対象外 | |
| 2.1.2.14 | は、アプリケーションセッションのハイジャックを検出して識別する機能を提供するVDSSものとします。 | 該当なし | 該当なし | 対象外 |
| 2.1.2.15 | は、インターネット向けアプリケーション () をサポートするための DoD DMZ拡張機能を提供するVDSSものとしますIFAs。 | 該当なし | 該当なし | 対象外 |
| 2.1.2.16 | は、トラバース通信を記録および解釈するための完全なパケットキャプチャ (FPC) またはクラウドサービス同等のFPC機能を提供するVDSSものとします。 | 該当なし | 対象 | |
| 2.1.2.17 | は、すべてのトラバース通信のネットワークパケットフローメトリクスと統計を提供するVDSSものとします。 | CloudWatch | を使用してインターフェイスVPCエンドポイントのネットワークスループットをモニタリングする CloudWatch |
対象 |
| 2.1.2.18 | は、各ミッション所有者の仮想プライベートネットワークに出入りするトラフィックの検査のために を提供するVDSSものとします。 | Network Firewall | 集中型トラフィックフィルタリングをデプロイする |
対象 |
各機関CAPは独自のCAP接続を持っているため、ユーザーが定義し、このガイドでは説明されていない のコンポーネントがあります AWS。に着信するトラフィックを検査LZAできるように、 のコンポーネントを VDSSで補完できます AWS。で使用されるサービスは、境界と内部トラフィックスキャンLZAを提供し、環境を保護します。の構築を継続するためにVDSS、 に含まれていないインフラストラクチャコンポーネントがいくつか追加されていますLZA。
Virtual Private Cloud (VPCs) を使用すると、各 に境界を確立 AWS アカウント して、SCCA標準に準拠できます。VPCs、IP アドレス指定、ルーティングはインフラストラクチャに必要なコンポーネントLZAであるため、これは の一部として設定されていません。Amazon Route 53 では、ドメインネームシステムセキュリティ拡張 (DNSSEC) などのコンポーネントを実装できます。 AWS WAF またはサードパーティーの商用 を追加して、必要な基準を満たすWAFsこともできます。
さらに、 で要件 2.1.2.7 DISA をサポートするためにSCCA、 GuardDuty と Network Firewall を使用して、悪意のあるトラフィックに対して環境を保護し、モニタリングできます。
