本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
虛擬資料中心安全堆疊
Virtual Data Center Security Stack (VDSS) 的目的是保護託管在其中DOD的任務擁有者應用程式 AWS。VDSS 提供安全服務的 enclave。會在 中VDSS執行大量安全操作SCCA。此元件包含安全和網路服務,例如傳入連線存取控制和周邊保護服務,包括 Web 應用程式防火牆、DDOS保護、負載平衡器和聯網路由資源。VDSS 可以位於雲端基礎設施或內部部署中,也可以位於您的資料中心。 AWS 或第三方供應商可以透過基礎設施即服務 (IaaS) 提供VDSS功能,也可以透過軟體即服務 (SaaS) 解決方案 AWS 提供這些功能。如需 的詳細資訊VDSS,請參閱 DoD 雲端運算安全需求指南
下表包含 的最低需求VDSS。它說明 是否LZA滿足每個需求,以及 AWS 服務 您可以用來滿足這些需求。
| ID | VDSS 安全需求 | AWS 技術 | 其他資源 | 涵蓋於 LZA |
|---|---|---|---|---|
| 2.1.2.1 | VDSS 應維持所有管理、使用者和資料流量的虛擬分離。 | 隔離 VPCs | 涵蓋 | |
| 2.1.2.2 | VDSS 應允許使用加密來分割管理流量。 | Amazon VPC (加密執行個體之間的流量) |
Amazon 的加密最佳實務 VPC | 涵蓋 |
| 2.1.2.3 | VDSS 應提供反向代理功能來處理來自用戶端系統的存取請求。 | N/A | 使用全受管反向代理來提供內容 |
未涵蓋 |
| 2.1.2.4 | VDSS 應提供根據預先定義的規則集 (包括 HTTP) 檢查和篩選應用程式層對話的功能,以識別和封鎖惡意內容。 | 部分涵蓋 | ||
| 2.1.2.5 | VDSS 應提供可區分和封鎖未經授權應用程式層流量的功能。 | AWS WAF | 如何使用 Amazon GuardDuty 和 AWS WAF 自動封鎖可疑主機 |
未涵蓋 |
| 2.1.2.6 | VDSS 應提供監控網路和系統活動的功能,以偵測和報告進出任務擁有者虛擬私有網路/叢集的流量惡意活動。 | AWS Nitro Enclaves 研討會 |
部分涵蓋 | |
| 2.1.2.7 | VDSS 應提供監控網路和系統活動的功能,以停止或封鎖偵測到的惡意活動。 | N/A | 部分涵蓋 | |
| 2.1.2.8 | VDSS 應檢查和篩選任務擁有者虛擬私有網路/叢集之間的流量周遊。 | 網路防火牆 | 部署集中式流量篩選 |
涵蓋 |
| 2.1.2.9 | VDSS 應執行 SSL/TLS 通訊流量的中斷和檢查,以支援目標為 內託管系統之流量的單一和雙重身分驗證CSE。 | 網路防火牆 | Network Firewall 的部署模型 |
涵蓋 |
| 2.1.2.10 | VDSS 應提供介面來執行連接埠、通訊協定和服務管理 (PPSM) 活動,以便為MCD操作員提供控制。 | 網路防火牆 | Network Firewall 的部署模型 |
涵蓋 |
| 2.1.2.11 | VDSS 應提供監控功能,可擷取日誌檔案和事件資料以進行網路安全分析。 | 記錄安全事件回應 | 涵蓋 | |
| 2.1.2.12 | VDSS 應提供安全性資訊和事件資料或將其饋送至配置的封存系統,以供執行邊界和任務CND活動的有權限使用者共同收集、儲存和存取事件日誌。 | Amazon CloudWatch Logs | CloudWatch 日誌中的安全性 | 涵蓋 |
| 2.1.2.13 | VDSS 應提供 FIPS-140-2 相容加密金鑰管理系統,用於儲存產生的 DoD 和指派的伺服器私有加密金鑰憑證,以供 Web Application Firewall (WAF) 在執行SSL/TLS中斷和檢查加密通訊工作階段時使用。 | 未涵蓋 | ||
| 2.1.2.14 | VDSS 應提供偵測和識別應用程式工作階段劫持的功能。 | N/A | N/A | 未涵蓋 |
| 2.1.2.15 | VDSS 應提供 DoD DMZ延伸以支援面向網際網路的應用程式 (IFAs)。 | N/A | N/A | 未涵蓋 |
| 2.1.2.16 | VDSS 應提供完整的封包擷取 (FPC) 或雲端服務對等FPC功能,以記錄和解釋周遊通訊。 | N/A | 涵蓋 | |
| 2.1.2.17 | VDSS 應提供所有周遊通訊的網路封包流量指標和統計資料。 | CloudWatch | 使用 監控介面VPC端點的網路輸送量 CloudWatch |
涵蓋 |
| 2.1.2.18 | VDSS 應提供流量的檢查,以進出每個任務擁有者的虛擬私有網路。 | 網路防火牆 | 部署集中式流量篩選 |
涵蓋 |
CAP 您定義的 有元件,而且本指南未涵蓋這些元件,因為每個代理機構都有自己的CAP連線 AWS。您可以使用 VDSS 補充 的元件,LZA以協助檢查傳入 的流量 AWS。中使用的服務LZA提供邊界和內部流量掃描,以協助保護您的環境。為了繼續建置 VDSS,有一些額外的基礎設施元件不包含在 中LZA。
透過使用虛擬私有雲端 (VPCs),您可以在每個 中建立界限 AWS 帳戶 ,以協助遵守SCCA標準。這不會設定為 的一部分,LZA因為 VPCs、IP 定址和路由是您必須視需要為基礎設施設定的元件。您可以在 Amazon Route 53 中實作網域名稱系統安全延伸模組 (DNSSEC) 等元件。您也可以新增 AWS WAF 或第三方商業 WAFs,以協助您達成必要的標準。
此外,若要支援 DISA 中的要求 2.1.2.7SCCA,您可以使用 GuardDuty和 Network Firewall 協助保護和監控環境是否有惡意流量。
