기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
가상 데이터 센터 보안 스택
가상 데이터 센터 보안 스택(VDSS)의 목적은에서 호스팅되는 DOD 미션 소유자 애플리케이션을 보호하는 것입니다 AWS. 는 보안 서비스에 대한 엔클레이브를 VDSS 제공합니다. 는에서 보안 작업의 대량을 VDSS 수행합니다SCCA. 이 구성 요소에는 인바운드 연결 액세스 제어와 같은 보안 및 네트워크 서비스와 웹 애플리케이션 방화벽, 보호, 로드 밸런서, 네트워킹 라우팅 리소스를 포함한 경계 DDOS 보호 서비스가 포함되어 있습니다. 는 클라우드 인프라 또는 온프레미스, 데이터 센터에 상주할 VDSS 수 있습니다. AWS 또는 타사 공급업체는 서비스형 인프라(IaaS)를 통해 VDSS 기능을 제공하거나 서비스형 소프트웨어(SaaS) 솔루션을 통해 이러한 기능을 제공할 AWS 수 있습니다. 에 대한 자세한 내용은 DoD 클라우드 컴퓨팅 보안 요구 사항 안내서를 VDSS참조하세요. DoD
다음 표에는에 대한 최소 요구 사항이 포함되어 있습니다VDSS. 가 각 요구 사항을 LZA 해결하는지 여부와 이러한 요구 사항을 충족하는 데 사용할 수 있는 사항에 AWS 서비스 대해 설명합니다.
| ID | VDSS 보안 요구 사항 | AWS 기술 | 추가 리소스 | 적용 대상 LZA |
|---|---|---|---|---|
| 2.1.2.1 | VDSS는 모든 관리, 사용자 및 데이터 트래픽의 가상 분리를 유지해야 합니다. | 격리 VPCs | 적용됨 | |
| 2.1.2.2 | 는 관리 트래픽의 세분화에 암호화를 사용할 수 있도록 허용VDSS해야 합니다. | AmazonVPC(인스턴스 간 트래픽 암호화) |
Amazon의 암호화 모범 사례 VPC | 적용됨 |
| 2.1.2.3 | VDSS는 클라이언트 시스템의 액세스 요청을 처리할 수 있는 역방향 프록시 기능을 제공해야 합니다. | N/A | 완전 관리형 역방향 프록시를 사용하여 콘텐츠 제공 |
보장되지 않음 |
| 2.1.2.4 | VDSS는 사전 정의된 규칙 세트( 포함HTTP)를 기반으로 애플리케이션 계층 대화를 검사하고 필터링하여 악성 콘텐츠를 식별하고 차단하는 기능을 제공해야 합니다. | 부분적으로 포함됨 | ||
| 2.1.2.5 | VDSS는 승인되지 않은 애플리케이션 계층 트래픽을 구별하고 차단할 수 있는 기능을 제공합니다. | AWS WAF | Amazon GuardDuty 및를 사용하여 의심스러운 호스트를 자동으로 차단 AWS WAF 하는 방법 |
보장되지 않음 |
| 2.1.2.6 | VDSS는 네트워크 및 시스템 활동을 모니터링하여 미션 소유자 가상 프라이빗 네트워크/엔클레이브에 들어오고 나가는 트래픽에 대한 악의적인 활동을 탐지하고 보고하는 기능을 제공해야 합니다. | AWS Nitro Enclaves 워크숍 |
부분적으로 포함됨 | |
| 2.1.2.7 | 는 네트워크 및 시스템 활동을 모니터링하여 탐지된 악성 활동을 중지하거나 차단하는 기능을 제공해야 VDSS 합니다. | N/A | 부분적으로 포함됨 | |
| 2.1.2.8 | VDSS는 미션 소유자 가상 프라이빗 네트워크/엔클레이브 간의 트래픽을 검사하고 필터링해야 합니다. | 네트워크 방화벽 | 중앙 집중식 트래픽 필터링 배포 |
적용됨 |
| 2.1.2.9 | VDSS는 내에서 호스팅되는 시스템으로 향하는 트래픽에 대한 단일 및 이중 인증을 지원하는 SSL/TLS 통신 트래픽의 중단 및 검사를 수행해야 합니다CSE. | 네트워크 방화벽 | Network Firewall용 배포 모델 |
적용됨 |
| 2.1.2.10 | VDSS는 MCD 운영자에 대한 제어를 제공하기 위해 포트, 프로토콜 및 서비스 관리(PPSM) 활동을 수행하는 인터페이스를 제공해야 합니다. | 네트워크 방화벽 | Network Firewall용 배포 모델 |
적용됨 |
| 2.1.2.11 | VDSS는 사이버 보안 분석을 위해 로그 파일 및 이벤트 데이터를 캡처하는 모니터링 기능을 제공해야 합니다. | 보안 인시던트 대응을 위한 로깅 | 적용됨 | |
| 2.1.2.12 | VDSS는 경계 및 임무 CND 활동을 수행하는 권한이 있는 사용자가 이벤트 로그를 공통적으로 수집, 저장 및 액세스할 수 있도록 보안 정보 및 이벤트 데이터를 할당된 아카이빙 시스템에 제공하거나 공급해야 합니다. | Amazon CloudWatch 로그 | CloudWatch 로그의 보안 | 적용됨 |
| 2.1.2.13 | VDSS는 암호화된 통신 세션의 실행SSL/TLS중단 및 검사 시 웹 애플리케이션 방화벽(WAF)이 액세스하고 사용할 수 있도록 DoD 생성 및 할당된 서버 프라이빗 암호화 키 자격 증명을 저장하기 위한 FIPS-140-2 호환 암호화 키 관리 시스템을 제공해야 합니다. | 보장되지 않음 | ||
| 2.1.2.14 | 는 애플리케이션 세션 하이재킹을 감지하고 식별하는 기능을 제공해야 VDSS 합니다. | N/A | N/A | 보장되지 않음 |
| 2.1.2.15 | VDSS는 인터넷 연결 애플리케이션()을 지원하는 DoD DMZ 확장을 제공해야 합니다IFAs. | N/A | N/A | 보장되지 않음 |
| 2.1.2.16 | VDSS는 순회 통신을 기록하고 해석하기 위한 전체 패킷 캡처(FPC) 또는 클라우드 서비스 동등 FPC 기능을 제공해야 합니다. | N/A | 적용됨 | |
| 2.1.2.17 | VDSS는 모든 순회 통신에 대한 네트워크 패킷 흐름 지표 및 통계를 제공해야 합니다. | CloudWatch | 를 사용하여 인터페이스 VPC 엔드포인트의 네트워크 처리량 모니터링 CloudWatch |
적용됨 |
| 2.1.2.18 | 는 각 미션 소유자 가상 프라이빗 네트워크로 들어오고 나가는 트래픽 검사를 제공해야 VDSS 합니다. | 네트워크 방화벽 | 중앙 집중식 트래픽 필터링 배포 |
적용됨 |
정의한의 구성 요소가 CAP 있으며, 각 기관은 자체 CAP 연결을 가지고 있기 때문에이 가이드에서 다루지 않습니다 AWS. 로 들어오는 트래픽을 검사하는 LZA 데 도움이 되도록의 구성 요소를 VDSS로 보완할 수 있습니다 AWS. 에 사용되는 서비스는 환경을 보호하는 데 도움이 되는 경계 및 내부 트래픽 스캔을 LZA 제공합니다. 를 계속 빌드하기 위해에 포함되지 않은 몇 VDSS가지 추가 인프라 구성 요소가 있습니다LZA.
Virtual Private Cloud(VPCs)를 사용하면 각에 경계를 설정 AWS 계정 하여 SCCA 표준을 준수할 수 있습니다. VPCs, IP 주소 지정 및 라우팅은 인프라에 필요한 대로 설정해야 하는 구성 요소LZA이므로의 일부로 구성되지 않습니다. Amazon Route 53에서 도메인 이름 시스템 보안 확장(DNSSEC)과 같은 구성 요소를 구현할 수 있습니다. AWS WAF 또는 타사 상용 WAFs를 추가하여 필요한 표준을 달성할 수도 있습니다.
또한 DISA의 요구 사항 2.1.2.7을 지원하기 위해 GuardDuty 및 네트워크 방화벽을 사용하여 악성 트래픽이 있는지 환경을 보호하고 모니터링할 SCCA수 있습니다.
