Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Virtual Data Center Managed Services
El propósito de Virtual Data Center Managed Services (VDMS) es proporcionar seguridad para el host y servicios de centro de datos compartidos. Las funciones del VDMS pueden ejecutarse en el centro de su SCCA o el propietario de la misión puede implementar partes de él por su cuenta. Cuentas de AWS Este componente se puede proporcionar en su entorno. AWS Para obtener más información sobre el VDMS, consulte la Guía de requisitos de seguridad de la computación en la nube del DoD
La siguiente tabla contiene los requisitos mínimos del VDMS. En ella se explica si la LZA cumple con cada requisito y cuál Servicios de AWS puede utilizar para cumplirlos.
| ID | Requisito de seguridad de VDMS | AWS tecnologías | Recursos adicionales | Cubierto por LZA |
|---|---|---|---|---|
| 2.1.3.1 | El VDMS proporcionará una solución de evaluación asegurada del cumplimiento (ACAS), o un equivalente aprobado, para llevar a cabo una supervisión continua de todos los enclaves del CSE. | Escaneo de vulnerabilidades con Amazon Inspector |
Cubierto parcialmente | |
| 2.1.3.2 | El VDMS proporcionará un sistema de seguridad basado en el host (HBSS), o un equivalente aprobado, para gestionar la seguridad de los puntos finales en todos los enclaves del CSE. | N/A | N/A | No está cubierto |
| 2.1.3.3 | El VDMS proporcionará servicios de identidad para incluir un respondedor del Protocolo de estado de certificados en línea (seguridad de la OCloud carga de trabajo) para la autenticación de dos factores mediante la tarjeta de acceso común (CAC) del DoD remota de los usuarios con privilegios del DoD en los sistemas instanciados dentro del CSE. | La autenticación multifactor (MFA) está disponible a través de: AWS Identity and Access Management (IAM) |
Configurar una tarjeta CAC para Amazon WorkSpaces | Cubierto parcialmente |
| 2.1.3.4 | El VDMS proporcionará un sistema de gestión de configuraciones y actualizaciones que sirva a los sistemas y aplicaciones de todos los enclaves del CSE. | Automatizar la administración de parches |
Cubierto parcialmente | |
| 2.1.3.5 | El VDMS proporcionará servicios de dominio lógico que incluyan el acceso a los directorios, la federación de directorios, el protocolo de configuración dinámica de host (DHCP) y el sistema de nombres de dominio (DNS) para todos los enclaves del CSE. | Configure los atributos de DNS para su VPC | Cubierto parcialmente | |
| 2.1.3.6 | El VDMS proporcionará una red para gestionar los sistemas y las aplicaciones dentro del CSE que esté separada lógicamente de las redes de usuarios y datos. | N/A | Cubierto | |
| 2.1.3.7 | El VDMS proporcionará un sistema de registro y archivado de eventos del sistema, la seguridad, las aplicaciones y la actividad del usuario para que los usuarios privilegiados que realicen actividades de BCP y MCP recopilen, almacenen y accedan a los registros de eventos de manera común. | Registro centralizado con OpenSearch |
Cubierto | |
| 2.1.3.8 | El VDMS permitirá el intercambio de los atributos de autenticación y autorización de los usuarios con privilegios del DoD con el sistema de administración de identidad y acceso del CSP para permitir el aprovisionamiento, la implementación y la configuración del sistema en la nube. | AWS Managed Microsoft AD | Mejore su configuración de seguridad AWS Managed Microsoft AD | No está cubierto |
| 2.1.3.9 | El VDMS implementará las capacidades técnicas necesarias para ejecutar la misión y los objetivos de la función de TCCM. | N/A | Cubierto parcialmente |
Como se muestra en la siguiente imagen, la LZA establece los componentes fundamentales para cumplir con los requisitos básicos del VDMS. Hay algunos componentes adicionales que debe configurar después de implementar la LZA para cumplir con los estándares del VDMS. En la tabla anterior, asegúrese de revisar los enlaces de la columna Recursos adicionales. Estos enlaces le ayudan a configurar estos elementos adicionales o proporcionan más mejoras de seguridad.
Integración de servicios complementarios
En la columna de recursos adicionales de la tabla anterior se enumeran los recursos que le ayudarán a ampliar la LZA para cumplir con los requisitos del VDMS. AWS Además, ofrece algunos materiales de taller que le ayudarán a configurar una arquitectura de nube segura. Sin modificaciones, la LZA cumple con los IL5 requisitos IL4/, pero puede implementar servicios adicionales para mejorar la seguridad de su AWS entorno.
Por ejemplo, Amazon Inspector es un servicio de gestión de vulnerabilidades que analiza continuamente sus AWS cargas de trabajo en busca de vulnerabilidades de software y exposición no intencionada a la red. Puede usarlo para identificar e investigar vulnerabilidades en los sistemas operativos anfitriones, como Windows y Linux. Aunque es posible que Amazon Inspector no incorpore completamente todos los requisitos necesarios para un sistema de seguridad basado en host (HBSS), al menos proporciona una evaluación de vulnerabilidad de nivel básico de las instancias.
Revisiones del sistema operativo
La aplicación de parches al sistema operativo es un componente fundamental del funcionamiento de un entorno seguro. AWS ofrece y recomienda el uso del Administrador de parches, una capacidad que permite mantener bases de AWS Systems Manager referencia de parches consistentes y automatizar la implementación de parches. Patch Manager automatiza el proceso de parchear los nodos gestionados tanto con actualizaciones relacionadas con la seguridad como con otros tipos de actualizaciones.
Puede utilizar Patch Manager para aplicar parches a los sistemas operativos y a las aplicaciones. (En Windows Server, el soporte de aplicaciones se limita a las actualizaciones de las aplicaciones publicadas por Microsoft). Para obtener más información, consulte Cómo organizar procesos de parches personalizados y de varios pasos mediante AWS Systems Manager Patch Manager en el blog
Para step-by-step obtener instrucciones sobre el uso de Patch Manager, consulte el taller sobre herramientas AWS de gestión y gobierno
Para obtener más información sobre cómo proteger las cargas de trabajo de Microsoft Windows en AWS, consulte el taller Cómo proteger las cargas de trabajo de Windows en el AWS
