Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Paquete de seguridad para centros de datos virtuales
El objetivo del paquete de seguridad para centros de datos virtuales (VDSS) es proteger las aplicaciones alojadas en las misiones del Departamento de Defensa. AWS El VDSS proporciona un enclave para los servicios de seguridad. El VDSS realiza la mayor parte de las operaciones de seguridad en la SCCA. Este componente contiene servicios de seguridad y red, como la conectividad entrante, los controles de acceso y los servicios de protección perimetral, incluidos los firewalls de aplicaciones web, la protección contra DDOS, los equilibradores de carga y los recursos de enrutamiento de redes. El VDSS puede residir en la infraestructura de la nube o de forma local, en su centro de datos. AWS o los proveedores externos pueden proporcionar capacidades de VDSS a través de infraestructura como servicio (IaaS) o AWS pueden ofrecer estas capacidades a través de soluciones de software como servicio (SaaS). Para obtener más información sobre el VDSS, consulte la Guía de requisitos de seguridad de la computación en la nube del DoD
La siguiente tabla contiene los requisitos mínimos del VDSS. En ella se explica si la LZA aborda cada requisito y cuál Servicios de AWS puede utilizar para cumplirlos.
| ID | Requisito de seguridad del VDSS | AWS tecnologías | Recursos adicionales | Cubierto por LZA |
|---|---|---|---|---|
| 2.1.2.1 | El VDSS mantendrá una separación virtual de todo el tráfico de administración, usuarios y datos. | Aislar VPCs | Cubierto | |
| 2.1.2.2 | El VDSS permitirá el uso del cifrado para la segmentación del tráfico de gestión. | Amazon VPC (cifrado del tráfico entre instancias) |
Prácticas recomendadas de cifrado para Amazon VPC | Cubierto |
| 2.1.2.3 | El VDSS proporcionará una capacidad de proxy inverso para gestionar las solicitudes de acceso de los sistemas cliente. | N/A | Servir contenido mediante un proxy inverso totalmente gestionado |
No está cubierto |
| 2.1.2.4 | El VDSS proporcionará la capacidad de inspeccionar y filtrar las conversaciones de la capa de aplicación en función de un conjunto predefinido de reglas (incluida la HTTP) para identificar y bloquear el contenido malicioso. | Cubierto parcialmente | ||
| 2.1.2.5 | El VDSS proporcionará una capacidad que pueda distinguir y bloquear el tráfico no autorizado de la capa de aplicación. | AWS WAF | Cómo usar Amazon GuardDuty y AWS WAF bloquear automáticamente los anfitriones sospechosos |
¿No está cubierto |
| 2.1.2.6 | El VDSS proporcionará una capacidad que supervise las actividades de la red y el sistema para detectar y denunciar las actividades maliciosas del tráfico que entra y sale de las redes o enclaves privados virtuales del propietario de la misión. | AWS
Taller sobre Nitro Enclaves |
Cubierto parcialmente | |
| 2.1.2.7 | El VDSS proporcionará una capacidad que supervise las actividades de la red y el sistema para detener o bloquear las actividades maliciosas detectadas. | N/A | Cubierto parcialmente | |
| 2.1.2.8 | El VDSS inspeccionará y filtrará el tráfico que circule entre las redes o enclaves privados virtuales del propietario de la misión. | Network Firewall | Implemente un filtrado de tráfico centralizado |
Cubierto |
| 2.1.2.9 | El VDSS deberá analizar e inspeccionar el tráfico de SSL/TLS comunicaciones mediante la autenticación simple y doble del tráfico destinado a los sistemas alojados en el CSE. | Network Firewall | Modelos de implementación para Network Firewall |
Cubierto |
| 2.1.2.10 | El VDSS proporcionará una interfaz para llevar a cabo las actividades de administración de puertos, protocolos y servicios (PPSM) a fin de proporcionar control a los operadores del MCD. | Network Firewall | Modelos de implementación para Network Firewall |
Cubierto |
| 2.1.2.11 | El VDSS proporcionará una capacidad de monitoreo que capture archivos de registro y datos de eventos para el análisis de ciberseguridad. | Registro para la respuesta a incidentes de seguridad | Cubierto | |
| 2.1.2.12 | El VDSS proporcionará o alimentará la información de seguridad y los datos de los eventos a un sistema de archivo asignado para que los usuarios privilegiados que realicen actividades de la CND de Boundary y Mission recopilen, almacenen y accedan a ellos de forma común. | Amazon CloudWatch Logs | Seguridad en CloudWatch los registros | Cubierto |
| 2.1.2.13 | El VDSS proporcionará un sistema de gestión de claves de cifrado compatible con la FIPS-140-2 para almacenar las credenciales de las claves de cifrado privadas del servidor generadas y asignadas por el DoD para su acceso y uso por parte del Web Application Firewall (WAF) en la ejecución de la interrupción e inspección de las sesiones de comunicación cifradas. SSL/TLS | Mejora la seguridad de Amazon CloudFront Origin con AWS WAF Secrets Manager |
No está cubierto | |
| 2.1.2.14 | El VDSS proporcionará la capacidad de detectar e identificar el secuestro de sesiones de la aplicación. | N/A | N/A | No está cubierto |
| 2.1.2.15 | El VDSS proporcionará una extensión DMZ del DoD para respaldar las aplicaciones orientadas a Internet (). IFAs | N/A | N/A | No está cubierto |
| 2.1.2.16 | El VDSS proporcionará una capacidad de captura completa de paquetes (FPC) o una capacidad de FPC equivalente a un servicio en la nube para grabar e interpretar las comunicaciones transversales. | N/A | Cubierto | |
| 2.1.2.17 | El VDSS proporcionará métricas y estadísticas del flujo de paquetes de la red para todas las comunicaciones transversales. | CloudWatch | Supervise el rendimiento de la red de los puntos finales de la interfaz de VPC mediante CloudWatch |
Cubierto |
| 2.1.2.18 | El VDSS se encargará de inspeccionar el tráfico que entra y sale de la red privada virtual del propietario de cada misión. | Network Firewall | Implemente un filtrado de tráfico centralizado |
Cubierto |
Hay componentes del CAP que usted define y que no se tratan en esta guía porque cada agencia tiene su propia conexión con el CAP AWS. Puede complementar los componentes del VDSS con el LZA para poder inspeccionar el tráfico entrante. AWS Los servicios que se utilizan en la LZA permiten analizar los límites y el tráfico interno para ayudar a proteger su entorno. Para seguir creando un VDSS, hay algunos componentes de infraestructura adicionales que no están incluidos en el LZA.
Al utilizar una nube privada virtual (VPCs), puede establecer límites en cada uno de ellos Cuenta de AWS para cumplir con los estándares de la SCCA. Esto no está configurado como parte de la LZA porque VPCs el direccionamiento IP y el enrutamiento son componentes que debe configurar según sea necesario para su infraestructura. Puede implementar componentes como las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) en Amazon Route 53. También puede agregar anuncios comerciales AWS WAF o de terceros WAFs para ayudarlo a alcanzar los estándares necesarios.
Además, para cumplir con el requisito 2.1.2.7 de la DISA SCCA, puede utilizar un Network GuardDutyFirewall para proteger y monitorear el entorno en busca de tráfico malicioso.
