기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
가상 데이터 센터 관리형 서비스
가상 데이터 센터 관리형 서비스(VDMS)의 목적은 호스트 보안 및 공유 데이터 센터 서비스를 제공하는 것입니다. 의 함수는의 허브에서 VDMS 실행SCCA되거나 미션 소유자는 자체적으로 해당 함수의 일부를 배포할 수 있습니다 AWS 계정. 이 구성 요소는 AWS 환경 내에서 제공될 수 있습니다. 에 대한 자세한 내용은 DoD 클라우드 컴퓨팅 보안 요구 사항 안내서를 VDMS참조하세요. DoD
다음 표에는에 대한 최소 요구 사항이 포함되어 있습니다VDMS. 가 각 요구 사항을 LZA 해결하는지 여부와 이러한 요구 사항을 충족하는 데 사용할 수 있는 사항에 AWS 서비스 대해 설명합니다.
| ID | VDMS 보안 요구 사항 | AWS 기술 | 추가 리소스 | 적용 대상 LZA |
|---|---|---|---|---|
| 2.1.3.1 | VDMS는 보장된 규정 준수 평가 솔루션(ACAS) 또는 승인된 동등한 솔루션을 제공하여 내의 모든 엔클레이브에 대해 지속적인 모니터링을 수행해야 합니다CSE. | Amazon Inspector를 사용한 취약성 스캔 |
부분적으로 포함됨 | |
| 2.1.3.2 | VDMS는 내 모든 엔클레이브에 대한 엔드포인트 보안을 관리하기 위해 호스트 기반 보안 시스템(HBSS) 또는 이에 상응하는 승인된를 제공해야 합니다CSE. | N/A | N/A | 보장되지 않음 |
| 2.1.3.3 | VDMS는 원격 시스템 DoD 공통 액세스 카드(OCloud) 내에서 인스턴스화된 시스템에 대한 DoD 권한 사용자의 2단계 인증을 위한 온라인 인증서 상태 프로토콜( 워크로드 보안CAC) 응답기를 포함하는 자격 증명 서비스를 제공해야 합니다CSE. | 다음을 통해 다중 인증(MFA) 사용 가능: AWS Identity and Access Management (IAM) |
Amazon용 CAC 카드 구성 WorkSpaces | 부분적으로 포함됨 |
| 2.1.3.4 | VDMS는 내의 모든 엔클레이브에 대해 시스템 및 애플리케이션을 제공하는 구성 및 업데이트 관리 시스템을 제공해야 합니다CSE. | (YouTube 비디오)를 사용하여 패치 관리 자동화 AWS Systems Manager |
부분적으로 포함됨 | |
| 2.1.3.5 | VDMS는 내의 모든 엔클레이브에 대해 디렉터리 액세스, 디렉터리 페더레이션, 동적 호스트 구성 프로토콜(DHCP) 및 도메인 이름 시스템(DNS)을 포함하는 논리적 도메인 서비스를 제공해야 합니다CSE. | 에 대한 DNS 속성 구성 VPC | 부분적으로 포함됨 | |
| 2.1.3.6 | VDMS는 사용자 및 데이터 네트워크와 CSE 논리적으로 분리된 내의 시스템 및 애플리케이션을 관리하기 위한 네트워크를 제공해야 합니다. | N/A | 적용됨 | |
| 2.1.3.7 | VDMS는 및 활동을 수행하는 권한이 있는 사용자가 이벤트 로그를 공통적으로 수집, 저장 및 액세스할 수 있는 시스템, 보안, 애플리케이션 및 사용자 MCP 활동 이벤트 로깅 BCP 및 아카이빙 시스템을 제공해야 합니다. | 를 사용한 중앙 집중식 로깅 OpenSearch |
적용됨 | |
| 2.1.3.8 | VDMS는 클라우드 시스템 프로비저닝, 배포 및 구성을 활성화하기 위해 DoD 권한 있는 사용자 인증 및 권한 부여 속성을 CSP의 자격 증명 및 액세스 관리 시스템과 교환할 수 있도록를 제공해야 합니다. | AWS Managed Microsoft AD | AWS Managed Microsoft AD 보안 구성 개선 | 보장되지 않음 |
| 2.1.3.9 | VDMS는 TCCM 역할의 임무와 목표를 실행하는 데 필요한 기술적 기능을 구현해야 합니다. | N/A | 부분적으로 포함됨 |
다음 이미지와 같이 LZA는 VDMS 기본 요구 사항을 충족하기 위해 기본 구성 요소를 배치합니다. VDMS 표준을 충족하기 위해가 배포LZA된 후 구성해야 하는 몇 가지 추가 구성 요소가 있습니다. 이전 테이블에서 추가 리소스 열의 링크를 검토해야 합니다. 이러한 링크는 이러한 추가 항목을 구성하거나 추가 보안 강화를 제공하는 데 도움이 됩니다.
추가 서비스 통합
이전 표의 추가 리소스 열에는 VDMS 요구 사항을 충족하기 LZA 위해를 확장하는 데 도움이 되는 리소스가 나열되어 있습니다. AWS 는 보안 클라우드 아키텍처를 구성하는 데 도움이 되는 몇 가지 워크숍 자료를 추가로 제공합니다. 수정하지 않으면가 IL4/IL5 요구 사항을 LZA 충족하지만 추가 서비스를 배포하여 환경의 보안을 강화할 수 있습니다 AWS .
예를 들어 Amazon Inspector는 소프트웨어 취약성 및 의도하지 않은 네트워크 노출이 AWS 있는지 워크로드를 지속적으로 검사하는 취약성 관리 서비스입니다. 이를 사용하여 Windows 및 Linux와 같은 호스트 운영 체제의 취약성을 식별하고 조사할 수 있습니다. Amazon Inspector는 호스트 기반 보안 시스템(HBSS)에 필요한 모든 요구 사항을 완전히 통합하지는 못할 수 있지만, 최소한 인스턴스에 대한 기본 수준의 취약성 평가를 제공합니다.
운영 체제 패치 적용
운영 체제 패치 적용은 보안 환경 운영의 핵심 구성 요소입니다.는 일관된 패치 기준을 유지하고 패치 배포를 자동화 AWS Systems Manager하기 위해의 기능인 Patch Manager를 사용할 것을 AWS 제안하고 권장합니다. Patch Manager는 보안 관련 업데이트 및 기타 유형의 업데이트를 모두 사용하여 관리형 노드에 패치를 적용하는 프로세스를 자동화합니다.
패치 관리자를 사용하면 운영 체제와 애플리케이션 모두에 패치를 적용할 수 있습니다. (Windows Server에서 애플리케이션 지원은 Microsoft에서 릴리스한 애플리케이션에 대한 업데이트로 제한됩니다.) 자세한 내용은 AWS 클라우드 운영 및 마이그레이션 블로그에서 AWS Systems Manager 패치 관리자를 사용하여 다단계 사용자 지정 패치 프로세스 오케스트레이션
패치 관리자 사용에 대한 지침은 step-by-step AWS 관리 및 거버넌스 도구 워크숍
에서 Microsoft Windows 워크로드를 보호하는 방법에 대한 자세한 내용은 워크숍에서 Windows 워크로드 보안을 AWS참조하세요. AWS
