Intégration de services supplémentaires Application de correctifs au système d'exploitation

Virtual Data Center Managed Services

L'objectif des Virtual Data Center Managed Services (VDMS) est de fournir des services de sécurité des hôtes et de centres de données partagés. Les fonctions du VDMS peuvent soit s'exécuter dans le hub de votre SCCA, soit le responsable de la mission peut en déployer certaines parties lui-même. Comptes AWS Ce composant peut être fourni dans votre AWS environnement. Pour plus d'informations sur le VDMS, consultez le guide des exigences de sécurité du DoD pour le cloud computing.

Le tableau suivant contient les exigences minimales pour le VDMS. Il explique si le LZA répond à chaque exigence et lequel Services AWS vous pouvez utiliser pour répondre à ces exigences.

ID	Exigence de sécurité VDMS	AWS technologies	Ressources supplémentaires	Couvert par LZA
2.1.3.1	Le VDMS doit fournir une solution d'évaluation de la conformité assurée (ACAS), ou un équivalent approuvé, pour effectuer une surveillance continue de toutes les enclaves du CSE.	AWS Config AWS Security Hub CSPM AWS Audit Manager Amazon Inspector	Analyse des vulnérabilités avec Amazon Inspector	Partiellement couvert
2.1.3.2	Le VDMS doit fournir un système de sécurité basé sur l'hôte (HBSS), ou un équivalent approuvé, pour gérer la sécurité des terminaux de toutes les enclaves du CSE.	N/A	N/A	Non couvert
2.1.3.3	Le VDMS fournira des services d'identité, notamment un répondeur du protocole d'état des certificats en ligne (OCloud Workload Security) pour l'authentification à deux facteurs par carte d'accès commun (CAC) du système distant des utilisateurs privilégiés du DoD auprès des systèmes instanciés au sein du CSE.	Authentification multifactorielle (MFA) disponible via : Gestion des identités et des accès AWS (IAM) AWS IAM Identity Center AWS Directory Service for Microsoft Active Directory AWS Autorité de certification privée	Configurer une carte CAC pour Amazon WorkSpaces	Partiellement couvert
2.1.3.4	Le VDMS doit fournir un système de gestion de configuration et de mise à jour pour servir les systèmes et les applications de toutes les enclaves du CSE.	AWS Systems Manager Gestionnaire de correctifs AWS Config	Automatiser la gestion des correctifs avec AWS Systems Manager (YouTube vidéo)	Partiellement couvert
2.1.3.5	Le VDMS doit fournir des services de domaine logiques comprenant l'accès aux annuaires, la fédération d'annuaires, le protocole DHCP (Dynamic Host Configuration Protocol) et le système de noms de domaine (DNS) pour toutes les enclaves du CSE.	AWS Managed Microsoft AD Amazon Virtual Private Cloud (Amazon VPC) Amazon Route 53	Configuration des attributs DNS pour votre VPC	Partiellement couvert
2.1.3.6	Le VDMS doit fournir un réseau de gestion des systèmes et des applications au sein du CSE qui est logiquement séparé des réseaux d'utilisateurs et de données.	Amazon VPC Sous-réseaux Amazon VPC	N/A	Couvert
2.1.3.7	Le VDMS doit fournir un système de journalisation et d'archivage des événements liés au système, à la sécurité, aux applications et aux activités des utilisateurs pour la collecte, le stockage et l'accès communs aux journaux d'événements par les utilisateurs privilégiés effectuant des activités BCP et MCP.	AWS Security Hub CSPM AWS CloudTrail Amazon CloudWatch Logs Amazon Simple Storage Service (Amazon S3)	Journalisation centralisée avec OpenSearch	Couvert
2.1.3.8	Le VDMS doit permettre l'échange d'attributs d'authentification et d'autorisation des utilisateurs privilégiés du DoD avec le système de gestion des identités et des accès du CSP afin de permettre le provisionnement, le déploiement et la configuration du système cloud.	AWS Managed Microsoft AD	Améliorez votre configuration AWS Managed Microsoft AD de sécurité	Non couvert
2.1.3.9	Le VDMS doit mettre en œuvre les capacités techniques nécessaires pour exécuter la mission et les objectifs du rôle de TCCM.	AWS Managed Microsoft AD IAM IAM Identity Center	N/A	Partiellement couvert

Comme le montre l'image suivante, le LZA pose les composants de base pour répondre aux exigences de base du VDMS. Vous devez configurer certains composants supplémentaires après le déploiement du LZA pour vous aider à respecter les normes VDMS. Dans le tableau précédent, assurez-vous de consulter les liens de la colonne Ressources supplémentaires. Ces liens vous aident soit à configurer ces éléments supplémentaires, soit à apporter des améliorations supplémentaires en matière de sécurité.

Schéma d'architecture des composants LZA qui vous aident à répondre aux exigences du SCCA VDMS.

Intégration de services supplémentaires

La colonne Ressources supplémentaires du tableau précédent répertorie les ressources qui vous aideront à développer le LZA afin de répondre aux exigences du VDMS. AWS propose également des supports d'atelier pour vous aider à configurer une architecture cloud sécurisée. Sans modification, le LZA répond aux IL5 exigences IL4/, mais vous pouvez déployer des services supplémentaires pour améliorer la sécurité de votre AWS environnement.

Par exemple, Amazon Inspector est un service de gestion des vulnérabilités qui analyse en permanence vos AWS charges de travail pour détecter les vulnérabilités logicielles et toute exposition involontaire au réseau. Vous pouvez l'utiliser pour identifier et étudier les vulnérabilités des systèmes d'exploitation hôtes, tels que Windows et Linux. Même si Amazon Inspector n'intègre pas toutes les exigences nécessaires pour un système de sécurité basé sur l'hôte (HBSS), il fournit au moins une évaluation de base des vulnérabilités des instances.

Application de correctifs au système d'exploitation

L'application de correctifs au système d'exploitation est un élément essentiel du fonctionnement d'un environnement sécurisé. AWS propose et recommande d'utiliser le gestionnaire de correctifs, une fonctionnalité permettant de AWS Systems Manager maintenir des bases de correctifs cohérentes et d'automatiser le déploiement des correctifs. Patch Manager automatise le processus d'application des correctifs aux nœuds gérés à la fois avec des mises à jour liées à la sécurité et d'autres types de mises à jour.

Vous pouvez utiliser le Gestionnaire de correctifs pour appliquer des correctifs pour les systèmes d’exploitation et les applications. (Sur Windows Server, le support des applications est limité aux mises à jour des applications publiées par Microsoft.) Pour plus d'informations, consultez la section Orchestration de processus de correctifs personnalisés en plusieurs étapes à l'aide du gestionnaire de AWS Systems Manager correctifs sur le blog sur les opérations et les migrations AWS dans le cloud.

Pour step-by-step obtenir des instructions sur l'utilisation du gestionnaire de correctifs, consultez l'atelier sur les outils de AWS gestion et de gouvernance.

Pour plus d'informations sur la sécurisation des charges de travail Microsoft Windows sur AWS, consultez l'atelier sur la sécurisation des charges de travail Windows sur AWS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Stack de sécurité pour les centres de données virtuels

Gestionnaire d'informations d'identification cloud fiable