Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsstapel für virtuelle Rechenzentren
Der Zweck des Virtual Data Center Security Stack (VDSS) besteht darin, Anwendungen zu schützen, in denen DOD-Missionsinhaber gehostet werden. AWS Das VDSS bietet eine Enklave für Sicherheitsdienste. Der VDSS führt den Großteil der Sicherheitsoperationen im SCCA durch. Diese Komponente umfasst Sicherheits- und Netzwerkdienste wie Zugriffskontrollen für eingehende Verbindungen und Perimeterschutzdienste, einschließlich Firewalls für Webanwendungen, DDOS-Schutz, Load Balancer und Netzwerkrouting-Ressourcen. Das VDSS kann sich in der Cloud-Infrastruktur oder vor Ort in Ihrem Rechenzentrum befinden. AWS oder Drittanbieter können VDSS-Funktionen über Infrastructure-as-a-Service (IaaS) oder AWS diese Funktionen über Software-as-a-Service (SaaS) -Lösungen anbieten. Weitere Informationen zum VDSS finden Sie im DoD Cloud Computing Security Requirements Guide
Die folgende Tabelle enthält die Mindestanforderungen für das VDSS. Es wird erklärt, ob die LZA jede Anforderung erfüllt und welche AWS-Services Sie verwenden können, um diese Anforderungen zu erfüllen.
| ID (ID) | VDSS-Sicherheitsanforderung | AWS Technologien | Weitere Ressourcen | Von LZA abgedeckt |
|---|---|---|---|---|
| 2.1.2.1 | Der VDSS sorgt für eine virtuelle Trennung des gesamten Verwaltungs-, Nutzer- und Datenverkehrs. | Isolieren VPCs | Abgedeckt | |
| 2.1.2.2 | Das VDSS muss die Verwendung von Verschlüsselung für die Segmentierung des Verwaltungsverkehrs ermöglichen. | Amazon VPC (Datenverkehr zwischen Instances verschlüsseln) |
Bewährte Methoden zur Verschlüsselung für Amazon VPC | Abgedeckt |
| 2.1.2.3 | Das VDSS muss eine Reverse-Proxy-Funktion zur Bearbeitung von Zugriffsanfragen von Kundensystemen bereitstellen. | – | Bereitstellung von Inhalten über einen vollständig verwalteten Reverse-Proxy |
Nicht abgedeckt |
| 2.1.2.4 | Das VDSS muss die Möglichkeit bieten, Konversationen auf Anwendungsebene auf der Grundlage eines vordefinierten Regelwerks (einschließlich HTTP) zu überprüfen und zu filtern, um bösartige Inhalte zu identifizieren und zu blockieren. | Teilweise abgedeckt | ||
| 2.1.2.5 | Das VDSS muss über eine Funktion verfügen, mit der nicht autorisierte Zugriffe auf Anwendungsebene unterschieden und blockiert werden können. | AWS WAF | So verwenden Sie Amazon GuardDuty und AWS WAF blockieren automatisch verdächtige Hosts |
Nicht abgedeckt |
| 2.1.2.6 | Das VDSS muss über eine Funktion verfügen, mit der die Netzwerk- und Systemaktivitäten überwacht werden können, um böswillige Aktivitäten für den Verkehr zu erkennen und zu melden, der in virtuelle private Netze/Enklaven des Missionseigentümers ein- und ausläuft. | AWS
Werkstatt Nitro Enklaven |
Teilweise abgedeckt | |
| 2.1.2.7 | Das VDSS muss über eine Funktion verfügen, mit der Netzwerk- und Systemaktivitäten überwacht werden können, um erkannte bösartige Aktivitäten zu stoppen oder zu blockieren. | – | Teilweise abgedeckt | |
| 2.1.2.8 | Der VDSS überprüft und filtert den Verkehr, der zwischen virtuellen privaten Netzen/Enklaven des Missionsbesitzers fließt. | Network Firewall | Stellen Sie eine zentralisierte Verkehrsfilterung bereit |
Abgedeckt |
| 2.1.2.9 | Das VDSS unterbricht und überprüft den SSL/TLS Kommunikationsverkehr und unterstützt dabei die einfache und doppelte Authentifizierung für den Datenverkehr, der für Systeme bestimmt ist, die innerhalb der CSE gehostet werden. | Network Firewall | Bereitstellungsmodelle für Network Firewall |
Abgedeckt |
| 2.1.2.10 | Das VDSS muss eine Schnittstelle für die Durchführung von Häfen, Protokollen und Service Management (PPSM) bereitstellen, um den MCD-Betreibern die Kontrolle zu ermöglichen. | Network Firewall | Bereitstellungsmodelle für Network Firewall |
Abgedeckt |
| 2.1.2.11 | Das VDSS muss eine Überwachungsfunktion bereitstellen, mit der Protokolldateien und Ereignisdaten für die Cybersicherheitsanalyse erfasst werden. | Protokollierung zur Reaktion auf Sicherheitsvorfälle | Abgedeckt | |
| 2.1.2.12 | Das VDSS stellt Sicherheitsinformationen und Ereignisdaten an ein zugewiesenes Archivierungssystem zur gemeinsamen Erfassung und Speicherung von Ereignisprotokollen bereit oder leitet sie an ein zugewiesenes Archivierungssystem weiter, damit privilegierte Benutzer, die CND-Aktivitäten im Rahmen von Grenz- und Missionsgebieten durchführen, gemeinsam auf sie zugreifen können. | CloudWatch Amazon-Protokolle | Sicherheit in CloudWatch Protokollen | Abgedeckt |
| 2.1.2.13 | Das VDSS muss ein FIPS-140-2-konformes Verschlüsselungsschlüsselverwaltungssystem für die Speicherung der vom DoD generierten und zugewiesenen privaten Serververschlüsselungsschlüsselanmeldedaten für den Zugriff und die Verwendung durch die Web Application Firewall (WAF) bei der Ausführung von SSL/TLS Unterbrechungen und Inspektionen verschlüsselter Kommunikationssitzungen bereitstellen. | Verbessern Sie die CloudFront Amazon-Origin-Sicherheit mit AWS WAF Secrets Manager |
Nicht abgedeckt | |
| 2.1.2.14 | Das VDSS muss in der Lage sein, das Hijacking von Anwendungssitzungen zu erkennen und zu identifizieren. | – | – | Nicht abgedeckt |
| 2.1.2.15 | Der VDSS stellt eine DoD-DMZ-Erweiterung zur Unterstützung von Internetanwendungen () bereit. IFAs | – | – | Nicht abgedeckt |
| 2.1.2.16 | Das VDSS muss eine vollständige Paketerfassung (FPC) oder eine gleichwertige FPC-Funktion für die Aufzeichnung und Interpretation von Übertragungen bieten. | – | Abgedeckt | |
| 2.1.2.17 | Das VDSS stellt Metriken und Statistiken zum Netzwerkpaketfluss für alle Datenübertragungen zur Verfügung. | CloudWatch | Überwachen Sie den Netzwerkdurchsatz von VPC-Endpunkten mit der Schnittstelle CloudWatch |
Abgedeckt |
| 2.1.2.18 | Das VDSS sorgt für die Kontrolle des Verkehrs, der in das virtuelle private Netz jedes Missionsbesitzers ein- und ausläuft. | Network Firewall | Stellen Sie eine zentralisierte Verkehrsfilterung bereit |
Abgedeckt |
Es gibt Komponenten der GAP, die Sie definieren und die in diesem Leitfaden nicht behandelt werden, da jede Agentur ihre eigene GAP-Verbindung hat AWS. Sie können die Komponenten des VDSS durch die LZA ergänzen, um den eingehenden Verkehr besser kontrollieren zu können. AWS Die in der LZA verwendeten Dienste ermöglichen das Scannen von Grenzen und internem Datenverkehr, um Ihre Umgebung zu schützen. Um mit dem Aufbau eines VDSS fortzufahren, gibt es einige zusätzliche Infrastrukturkomponenten, die nicht in der LZA enthalten sind.
Mithilfe der virtuellen privaten Cloud (VPCs) können Sie in jeder Cloud Grenzen festlegen, AWS-Konto um die Einhaltung der SCCA-Standards zu unterstützen. Dies ist nicht als Teil der LZA konfiguriert VPCs, da IP-Adressierung und Routing Komponenten sind, die Sie nach Bedarf für Ihre Infrastruktur einrichten müssen. Sie können Komponenten wie Domain Name System Security Extensions (DNSSEC) in Amazon Route 53 implementieren. Sie können auch kommerzielle Produkte AWS WAF oder Drittanbieter hinzufügen, WAFs um die erforderlichen Standards zu erreichen.
Um die Anforderung 2.1.2.7 im DISA SCCA zu erfüllen, können Sie außerdem eine Network Firewall verwenden, um die Umgebung zu schützen GuardDutyund auf bösartigen Datenverkehr zu überwachen.
