As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Pilha de segurança de data center virtual
O objetivo do Virtual Data Center Security Stack (VDSS) é proteger os aplicativos do DOD proprietário da missão que estão hospedados em. AWS O VDSS fornece um enclave para serviços de segurança. O VDSS executa a maior parte das operações de segurança noSCCA. Esse componente contém serviços de segurança e rede, como controles de acesso à conectividade de entrada e serviços de proteção de perímetro, incluindo firewalls de aplicativos web, DDOS proteção, balanceadores de carga e recursos de roteamento de rede. Eles VDSS podem residir na infraestrutura de nuvem ou no local, em seu data center. AWS ou fornecedores terceirizados podem fornecer VDSS recursos por meio de infraestrutura como serviço (IaaS) AWS ou podem oferecer esses recursos por meio de soluções de software como serviço (SaaS). Para obter mais informações sobre oVDSS, consulte o Guia de requisitos de segurança de computação em nuvem do DoD
A tabela a seguir contém os requisitos mínimos para VDSS o. Ele explica se o LZA atende a cada requisito e qual Serviços da AWS você pode usar para atender a esses requisitos.
| ID | VDSSrequisito de segurança | AWS tecnologias | Recursos adicionais | Coberto por LZA |
|---|---|---|---|---|
| 2.1.2.1 | Eles VDSS devem manter a separação virtual de todo o tráfego de gerenciamento, usuário e dados. | Isolar VPCs | Coberto | |
| 2.1.2.2 | Isso VDSS deve permitir o uso de criptografia para segmentação do tráfego de gerenciamento. | Amazon VPC (criptografe o tráfego entre instâncias) |
Melhores práticas de criptografia para a Amazon VPC | Coberto |
| 2.1.2.3 | Eles VDSS devem fornecer um recurso de proxy reverso para lidar com solicitações de acesso de sistemas clientes. | N/D | Servir conteúdo usando um proxy reverso totalmente gerenciado |
Não coberto |
| 2.1.2.4 | Eles VDSS devem fornecer a capacidade de inspecionar e filtrar conversas na camada de aplicação com base em um conjunto predefinido de regras (incluindoHTTP) para identificar e bloquear conteúdo malicioso. | Parcialmente coberto | ||
| 2.1.2.5 | Eles VDSS devem fornecer um recurso que possa distinguir e bloquear o tráfego não autorizado da camada de aplicação. | AWS WAF | Como usar a Amazon GuardDuty e AWS WAF bloquear automaticamente hosts suspeitos |
Não coberto |
| 2.1.2.6 | O VDSS deve fornecer um recurso que monitore as atividades da rede e do sistema para detectar e denunciar atividades maliciosas de tráfego que entra e sai das redes/enclaves virtuais privados do Proprietário da Missão. | AWS
Workshop Nitro Enclaves |
Parcialmente coberto | |
| 2.1.2.7 | Eles VDSS devem fornecer uma capacidade que monitore as atividades da rede e do sistema para interromper ou bloquear atividades maliciosas detectadas. | N/D | Parcialmente coberto | |
| 2.1.2.8 | Eles VDSS devem inspecionar e filtrar o tráfego que passa entre as redes/enclaves virtuais privados do proprietário da missão. | Firewall de rede | Implemente a filtragem de tráfego centralizada |
Coberto |
| 2.1.2.9 | O VDSS deve realizar a interrupção e inspeção do SSL tráfego de TLS comunicação com suporte à autenticação única e dupla para tráfego destinado a sistemas hospedados noCSE. | Firewall de rede | Modelos de implantação para Network Firewall |
Coberto |
| 2.1.2.10 | Eles VDSS devem fornecer uma interface para conduzir portas, protocolos e atividades de gerenciamento de serviços (PPSM) a fim de fornecer controle aos MCD operadores. | Firewall de rede | Modelos de implantação para Network Firewall |
Coberto |
| 2.1.2.11 | Eles VDSS devem fornecer uma capacidade de monitoramento que capture arquivos de log e dados de eventos para análise de cibersegurança. | Registro para resposta a incidentes de segurança | Coberto | |
| 2.1.2.12 | Eles VDSS devem fornecer ou alimentar informações de segurança e dados de eventos a um sistema de arquivamento alocado para coleta, armazenamento e acesso comuns a registros de eventos por usuários privilegiados que realizam atividades de fronteira e missão. CND | CloudWatch Registros da Amazon | Segurança em CloudWatch registros | Coberto |
| 2.1.2.13 | O VDSS deve fornecer um sistema de gerenciamento de chaves de criptografia compatível com FIPS -140-2 para armazenamento de credenciais de chave de criptografia privada de servidor geradas e atribuídas pelo DoD para acesso e uso pelo Web Application Firewall (WAF) na execução de SSL TLS /break e inspeção de sessões de comunicação criptografadas. | Melhore a segurança de CloudFront origem da Amazon com AWS WAF o Secrets Manager |
Não coberto | |
| 2.1.2.14 | Eles VDSS devem fornecer a capacidade de detectar e identificar o sequestro de sessões de aplicativos. | N/D | N/D | Não coberto |
| 2.1.2.15 | Eles VDSS fornecerão uma DMZ extensão do DoD para oferecer suporte a aplicativos voltados para a Internet ()IFAs. | N/D | N/D | Não coberto |
| 2.1.2.16 | Eles VDSS devem fornecer captura completa de pacotes (FPC) ou FPC capacidade equivalente ao serviço em nuvem para gravar e interpretar comunicações transversais. | N/D | Coberto | |
| 2.1.2.17 | Eles VDSS devem fornecer métricas e estatísticas de fluxo de pacotes de rede para todas as comunicações de travessia. | CloudWatch | Monitore a taxa de transferência da rede dos VPC endpoints da interface usando CloudWatch |
Coberto |
| 2.1.2.18 | VDSSDevem prever a inspeção do tráfego que entra e sai da rede privada virtual de cada proprietário da missão. | Firewall de rede | Implemente a filtragem de tráfego centralizada |
Coberto |
Há componentes do CAP que você define e que não são abordados neste guia porque cada agência tem sua própria CAP conexão com AWS. Você pode complementar os componentes do VDSS com o LZA para ajudar a inspecionar o tráfego que entra AWS. Os serviços usados no LZA fornecem verificação de limites e tráfego interno para ajudar a proteger seu ambiente. Para continuar construindo umVDSS, existem alguns componentes adicionais de infraestrutura que não estão incluídos noLZA.
Ao usar a nuvem privada virtual (VPCs), você pode estabelecer limites em cada uma Conta da AWS para ajudar a aderir aos SCCA padrões. Isso não é configurado como parte do LZA porque VPCs o endereçamento IP e o roteamento são componentes que você deve configurar conforme necessário para sua infraestrutura. Você pode implementar componentes como Domain Name System Security Extensions (DNSSEC) no Amazon Route 53. Você também pode adicionar anúncios comerciais AWS WAF ou de terceiros WAFs para ajudá-lo a atingir os padrões necessários.
Além disso, para dar suporte ao requisito 2.1.2.7 no DISASCCA, você pode usar o Network GuardDutyFirewall para ajudar a proteger e monitorar o ambiente em busca de tráfego mal-intencionado.
