Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Managed Services für virtuelle Rechenzentren
Der Zweck von Virtual Data Center Managed Services (VDMS) besteht darin, Hostsicherheit und gemeinsam genutzte Rechenzentrumsdienste bereitzustellen. Die Funktionen von VDMS können entweder im Hub Ihres SCCA ausgeführt werden, oder der Missionsbesitzer kann Teile davon selbst bereitstellen. AWS-Konten Diese Komponente kann in Ihrer AWS Umgebung bereitgestellt werden. Weitere Informationen zum VDMS finden Sie im DoD Cloud Computing Security Requirements Guide
Die folgende Tabelle enthält die Mindestanforderungen für das VDMS. Es wird erklärt, ob die LZA jede Anforderung erfüllt und welche AWS-Services Sie verwenden können, um diese Anforderungen zu erfüllen.
| ID (ID) | VDMS-Sicherheitsanforderung | AWS Technologien | Weitere Ressourcen | Von LZA abgedeckt |
|---|---|---|---|---|
| 2.1.3.1 | Der VDMS muss eine Assured Compliance Assessment Solution (ACAS) oder ein anerkanntes Äquivalent bereitstellen, um eine kontinuierliche Überwachung aller Enklaven innerhalb der CSE durchzuführen. | Scannen von Sicherheitslücken mit Amazon Inspector |
Teilweise abgedeckt | |
| 2.1.3.2 | Das VDMS muss ein Host-Based Security System (HBSS) oder ein anerkanntes Äquivalent bereitstellen, um die Endpunktsicherheit für alle Enklaven innerhalb der CSE zu gewährleisten. | – | – | Nicht abgedeckt |
| 2.1.3.3 | Das VDMS stellt Identitätsdienste bereit, darunter einen Online Certificate Status Protocol (OCloud Workload Security) -Responder für die Zwei-Faktor-Authentifizierung von DoD-privilegierten Benutzern mit DoD-Rechten für Systeme, die innerhalb der CSE instanziiert sind, über ein Remote-System mit Common Access Card (CAC). | Multi-Faktor-Authentifizierung (MFA) verfügbar über: AWS Identity and Access Management (IAM) |
Konfigurieren Sie eine CAC-Karte für Amazon WorkSpaces | Teilweise abgedeckt |
| 2.1.3.4 | Das VDMS muss ein Verwaltungssystem für Konfiguration und Aktualisierung bereitstellen, das Systeme und Anwendungen für alle Enklaven innerhalb der CSE bereitstellt. | Automatisierung des Patch-Managements |
Teilweise abgedeckt | |
| 2.1.3.5 | Das VDMS muss logische Domänendienste bereitstellen, darunter Verzeichniszugriff, Verzeichnisverbund, Dynamic Host Configuration Protocol (DHCP) und Domain Name System (DNS) für alle Enklaven innerhalb der CSE. | DNS-Attribute für Ihre VPC konfigurieren | Teilweise abgedeckt | |
| 2.1.3.6 | Das VDMS stellt ein Netzwerk zur Verwaltung von Systemen und Anwendungen innerhalb des CSE bereit, das logisch von den Nutzer- und Datennetzwerken getrennt ist. | – | Abgedeckt | |
| 2.1.3.7 | Das VDMS stellt ein System zur Protokollierung und Archivierung von Ereignissen in den Bereichen Sicherheit, Anwendung und Benutzeraktivitäten bereit, das die gemeinsame Erfassung, Speicherung und den Zugriff auf Ereignisprotokolle durch privilegierte Benutzer, die BCP- und MCP-Aktivitäten ausführen, ermöglicht. | Zentralisierte Protokollierung mit OpenSearch |
Abgedeckt | |
| 2.1.3.8 | Das VDMS muss den Austausch von Authentifizierungs- und Autorisierungsattributen für privilegierte DoD-Benutzer mit dem Identitäts- und Zugriffsmanagementsystem des CSP ermöglichen, um die Bereitstellung, Bereitstellung und Konfiguration von Cloud-Systemen zu ermöglichen. | AWS Managed Microsoft AD | Verbessern Sie Ihre Sicherheitskonfiguration AWS Managed Microsoft AD | Nicht abgedeckt |
| 2.1.3.9 | Das VDMS muss die technischen Fähigkeiten bereitstellen, die für die Erfüllung der Aufgaben und Ziele der TCCM-Rolle erforderlich sind. | – | Teilweise abgedeckt |
Wie in der folgenden Abbildung dargestellt, legt das LZA die grundlegenden Komponenten zur Erfüllung der VDMS-Grundanforderungen fest. Es gibt einige zusätzliche Komponenten, die Sie nach der Bereitstellung der LZA konfigurieren müssen, damit Sie die VDMS-Standards erfüllen können. Stellen Sie in der vorherigen Tabelle sicher, dass Sie die Links in der Spalte Zusätzliche Ressourcen überprüfen. Diese Links helfen Ihnen entweder bei der Konfiguration dieser zusätzlichen Elemente oder bieten weitere Sicherheitsverbesserungen.
Zusätzliche Serviceintegration
In der Spalte Zusätzliche Ressourcen der vorherigen Tabelle sind Ressourcen aufgeführt, mit denen Sie die LZA erweitern können, um die VDMS-Anforderungen zu erfüllen. AWS bietet außerdem einige Workshop-Materialien, die Ihnen bei der Konfiguration einer sicheren Cloud-Architektur helfen. Ohne Änderungen erfüllt das LZA die IL4 IL5 /-Anforderungen, Sie können jedoch zusätzliche Dienste bereitstellen, um die Sicherheit Ihrer AWS Umgebung zu erhöhen.
Amazon Inspector ist beispielsweise ein Schwachstellen-Management-Service, der Ihre AWS Workloads kontinuierlich auf Softwareschwachstellen und unbeabsichtigte Netzwerkgefährdungen überprüft. Sie können ihn verwenden, um Sicherheitslücken in Host-Betriebssystemen wie Windows und Linux zu identifizieren und zu untersuchen. Obwohl Amazon Inspector möglicherweise nicht alle erforderlichen Anforderungen für ein Host Based Security System (HBSS) vollständig erfüllt, bietet es zumindest eine grundlegende Schwachstellenbewertung von Instances.
Betriebssystem-Patching
Das Patchen von Betriebssystemen ist eine Kernkomponente für den Betrieb einer sicheren Umgebung. AWS bietet und empfiehlt die Verwendung von Patch Manager, einer Funktion von AWS Systems Manager, zur Aufrechterhaltung konsistenter Patch-Baselines und zur Automatisierung der Patch-Bereitstellung. Patch Manager automatisiert das Patchen von verwalteten Knoten sowohl mit sicherheitsrelevanten Updates als auch mit anderen Arten von Updates.
Sie können Patchmanager verwenden, um Patches sowohl für Betriebssysteme als auch für Anwendungen durchzuführen. (Unter Windows Server ist die Anwendungsunterstützung auf Updates für von Microsoft veröffentlichte Anwendungen beschränkt.) Weitere Informationen finden Sie unter Orchestrieren von mehrstufigen, benutzerdefinierten Patch-Prozessen mithilfe von AWS Systems Manager Patch Manager
step-by-stepAnweisungen zur Verwendung von Patch Manager finden Sie im Workshop zu AWS Management- und
Weitere Informationen zum Sichern von Microsoft Windows-Workloads finden Sie im AWS Workshop zum Sichern von Windows-Workloads
