本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
虚拟数据中心安全堆栈
虚拟数据中心安全堆栈 (VDSS) 的目的是保护托管在中的DOD AWS任务所有者应用程序。为安全服务VDSS提供了一个飞地。VDSS执行中的大部分安全操作SCCA。此组件包含安全和网络服务,例如入站连接访问控制和外围保护服务,包括 Web 应用程序防火墙、DDOS保护、负载均衡器和网络路由资源。VDSS可以驻留在云基础架构中,也可以驻留在您的数据中心内部。 AWS 或者第三方供应商可以通过基础设施即服务 (IaaS) 提供VDSS功能, AWS 也可以通过软件即服务 (SaaS) 解决方案提供这些功能。有关更多信息VDSS,请参阅美国国防部云计算安全要求指南
下表包含的最低要求VDSS。它解释了是否LZA满足了每项要求以及 AWS 服务 您可以使用哪些来满足这些要求。
| ID | VDSS安全要求 | AWS 技术 | 其他资源 | 由 LZA |
|---|---|---|---|---|
| 2.1.2.1 | VDSS应将所有管理、用户和数据流量保持虚拟隔离。 | 隔离 VPCs | 已覆盖 | |
| 2.1.2.2 | VDSS应允许使用加密来分段管理流量。 | Amazon VPC(加密实例之间的流量) |
Amazon 加密最佳实践 VPC | 已覆盖 |
| 2.1.2.3 | VDSS应提供反向代理功能来处理来自客户端系统的访问请求。 | 不适用 | 使用完全托管的反向代理提供内容 |
未覆盖 |
| 2.1.2.4 | VDSS应提供根据一组预定义的规则(包括HTTP)检查和过滤应用层对话的功能,以识别和阻止恶意内容。 | 已部分覆盖 | ||
| 2.1.2.5 | VDSS应提供一种能够区分和阻止未经授权的应用层流量的功能。 | AWS WAF | 如何使用 Amazon GuardDuty 和 AWS WAF 自动屏蔽可疑主机 |
未覆盖 |
| 2.1.2.6 | VDSS应提供监控网络和系统活动的能力,以检测和报告进出任务所有者虚拟专用网络/飞地的流量的恶意活动。 | AWS
Nitro Enclaves 车间 |
已部分覆盖 | |
| 2.1.2.7 | VDSS应提供监控网络和系统活动的功能,以阻止或阻止检测到的恶意活动。 | 不适用 | 已部分覆盖 | |
| 2.1.2.8 | 他们VDSS应检查和过滤任务所有者虚拟专用网络/飞地之间穿越的流量。 | Network | 部署集中式流量过滤 |
已覆盖 |
| 2.1.2.9 | VDSS必须对SSL/TLS通信流量进行中断和检查,支持对发往其中托管的系统的流量进行单一和双重身份验证CSE。 | Network | Network Firewall 的部署模型 |
已覆盖 |
| 2.1.2.10 | VDSS应提供一个接口来进行端口、协议和服务管理 (PPSM) 活动,以便为MCD操作员提供控制。 | Network | Network Firewall 的部署模型 |
已覆盖 |
| 2.1.2.11 | VDSS应提供监控功能,用于捕获日志文件和事件数据以进行网络安全分析。 | 记录安全事件响应 | 已覆盖 | |
| 2.1.2.12 | VDSS应向分配的存档系统提供或提供安全信息和事件数据,以便执行边界和任务CND活动的特权用户共同收集、存储和访问事件日志。 | Amazon CloudWatch 日志 | CloudWatch 日志中的安全性 | 已覆盖 |
| 2.1.2.13 | VDSS应提供符合 FIPS -140-2 标准的加密密钥管理系统,用于存储国防部生成和分配的服务器私有加密密钥凭据,以供 Web 应用程序防火墙 (WAF) 在执行 SSL /中TLS断和检查加密通信会话时访问和使用。 | 未覆盖 | ||
| 2.1.2.14 | VDSS应提供检测和识别应用程序会话劫持的能力。 | 不适用 | 不适用 | 未覆盖 |
| 2.1.2.15 | VDSS应提供国防部DMZ扩展,以支持面向互联网的应用程序 () IFAs。 | 不适用 | 不适用 | 未覆盖 |
| 2.1.2.16 | VDSS应提供完整的数据包捕获 (FPC) 或等同于云服务的FPC功能,用于记录和解释穿越的通信。 | 不适用 | 已覆盖 | |
| 2.1.2.17 | VDSS应为所有穿越通信提供网络数据包流指标和统计数据。 | CloudWatch | 使用监控接口VPC端点的网络吞吐量 CloudWatch |
已覆盖 |
| 2.1.2.18 | VDSS应规定对进出每个特派团所有者虚拟专用网络的流量进行检查。 | Network | 部署集中式流量过滤 |
已覆盖 |
有些部分是你定义的CAP,但本指南中没有涵盖这些组成部分,因为每个机构都有自己的CAP联系 AWS。您可以VDSS用来补充其LZA中的组件,以帮助检查进入的流量 AWS。中使用的服务LZA提供边界和内部流量扫描,以帮助保护您的环境。为了继续构建 aVDSS,还有一些未包含在中的其他基础架构组件LZA。
通过使用虚拟私有云 (VPCs),您可以在每个云中建立界限 AWS 账户 ,以帮助遵守SCCA标准。这不是作为其中的一部分进行配置的VPCs,LZA因为 IP 寻址和路由是必须根据基础架构的需要进行设置的组件。您可以在 Amazon Route 53 中实现诸如域名系统安全扩展 (DNSSEC) 之类的组件。您也可以添加第三方 AWS WAF 或商业广告,WAFs以帮助您达到必要的标准。
此外,要支持中的要求 2.1.2.7 DISASCCA,您可以使用和 Network Fi GuardDutyrew all 来帮助保护和监控环境中是否存在恶意流量。
