Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Stack de sécurité pour les centres de données virtuels
L'objectif du Virtual Data Center Security Stack (VDSS) est de protéger les applications propriétaires de missions du DOD qui sont hébergées dans. AWS Le VDSS fournit une enclave pour les services de sécurité. Le VDSS effectue la majeure partie des opérations de sécurité dans le SCCA. Ce composant contient des services de sécurité et de réseau, tels que les contrôles d'accès à la connectivité entrante et les services de protection périmétrique, notamment les pare-feux d'applications Web, la protection DDOS, les équilibreurs de charge et les ressources de routage réseau. Le VDSS peut résider dans l'infrastructure cloud ou sur site, dans votre centre de données. AWS ou des fournisseurs tiers peuvent fournir des fonctionnalités VDSS via une infrastructure en tant que service (IaaS), ou AWS peuvent proposer ces fonctionnalités via des solutions logicielles en tant que service (SaaS). Pour plus d'informations sur le VDSS, consultez le guide des exigences de sécurité du DoD pour le cloud computing
Le tableau suivant contient les exigences minimales pour le VDSS. Il explique si le LZA répond à chaque exigence et lequel Services AWS vous pouvez utiliser pour répondre à ces exigences.
| ID | Exigence de sécurité VDSS | AWS technologies | Ressources supplémentaires | Couvert par LZA |
|---|---|---|---|---|
| 2.1.2.1 | Le VDSS doit maintenir une séparation virtuelle de tout le trafic de gestion, d'utilisateurs et de données. | Isoler VPCs | Couvert | |
| 2.1.2.2 | Le VDSS doit autoriser l'utilisation du chiffrement pour la segmentation du trafic de gestion. | Amazon VPC (Chiffrer le trafic entre les instances) |
Bonnes pratiques de chiffrement pour Amazon VPC | Couvert |
| 2.1.2.3 | Le VDSS doit fournir une capacité de proxy inverse pour traiter les demandes d'accès provenant des systèmes clients. | N/A | Diffusion de contenu à l'aide d'un proxy inverse entièrement géré |
Non couvert |
| 2.1.2.4 | Le VDSS doit fournir la capacité d'inspecter et de filtrer les conversations au niveau de l'application sur la base d'un ensemble de règles prédéfinies (y compris HTTP) afin d'identifier et de bloquer les contenus malveillants. | Partiellement couvert | ||
| 2.1.2.5 | Le VDSS doit fournir une capacité capable de distinguer et de bloquer le trafic non autorisé de la couche application. | AWS WAF | Comment utiliser Amazon GuardDuty et AWS WAF bloquer automatiquement les hôtes suspects |
Non couvert |
| 2.1.2.6 | Le VDSS doit fournir une capacité permettant de surveiller les activités du réseau et du système afin de détecter et de signaler les activités malveillantes concernant le trafic entrant et sortant des réseaux/enclaves privés virtuels du propriétaire de la mission. | AWS
Atelier Nitro Enclaves |
Partiellement couvert | |
| 2.1.2.7 | Le VDSS doit fournir une capacité qui surveille les activités du réseau et du système afin d'arrêter ou de bloquer les activités malveillantes détectées. | N/A | Partiellement couvert | |
| 2.1.2.8 | Le VDSS inspectera et filtrera le trafic transitant entre les réseaux/enclaves privés virtuels du propriétaire de la mission. | Network Firewall | Déployez un filtrage centralisé du trafic |
Couvert |
| 2.1.2.9 | Le VDSS doit interrompre et inspecter le trafic de SSL/TLS communication en prenant en charge l'authentification simple et double pour le trafic destiné aux systèmes hébergés au sein du CSE. | Network Firewall | Modèles de déploiement pour Network Firewall |
Couvert |
| 2.1.2.10 | Le VDSS doit fournir une interface pour mener les activités de gestion des ports, des protocoles et des services (PPSM) afin de fournir un contrôle aux opérateurs MCD. | Network Firewall | Modèles de déploiement pour Network Firewall |
Couvert |
| 2.1.2.11 | Le VDSS doit fournir une capacité de surveillance qui capture les fichiers journaux et les données d'événements à des fins d'analyse de cybersécurité. | Journalisation pour la réponse aux incidents de sécurité | Couvert | |
| 2.1.2.12 | Le VDSS doit fournir ou transmettre des informations de sécurité et des données d'événements à un système d'archivage attribué pour la collecte, le stockage et l'accès communs aux journaux d'événements par les utilisateurs privilégiés effectuant des activités Boundary et Mission CND. | Amazon CloudWatch Logs | Sécurité dans les CloudWatch journaux | Couvert |
| 2.1.2.13 | Le VDSS fournira un système de gestion des clés de chiffrement conforme à la norme FIPS-140-2 pour le stockage des informations d'identification des clés de chiffrement privées du serveur générées et attribuées par le DoD pour l'accès et l'utilisation par le Web Application Firewall (WAF) lors de l'exécution d'interruptions et d'inspections de sessions de communication cryptées. SSL/TLS | Améliorez la sécurité des CloudFront origines d'Amazon grâce AWS WAF à Secrets Manager |
Non couvert | |
| 2.1.2.14 | Le VDSS doit fournir la capacité de détecter et d'identifier le détournement de session d'application. | N/A | N/A | Non couvert |
| 2.1.2.15 | Le VDSS fournira une extension DMZ du DoD à prendre en charge les applications connectées à Internet (). IFAs | N/A | N/A | Non couvert |
| 2.1.2.16 | Le VDSS doit fournir une capture complète des paquets (FPC) ou une capacité FPC équivalente au service cloud pour l'enregistrement et l'interprétation des communications transitoires. | N/A | Couvert | |
| 2.1.2.17 | Le VDSS fournira des mesures et des statistiques du flux de paquets réseau pour toutes les communications transitoires. | CloudWatch | Surveillez le débit réseau des points de terminaison VPC d'interface à l'aide de CloudWatch |
Couvert |
| 2.1.2.18 | Le VDSS prévoit l'inspection du trafic entrant et sortant du réseau privé virtuel de chaque propriétaire de mission. | Network Firewall | Déployez un filtrage centralisé du trafic |
Couvert |
Certaines composantes du CAP que vous définissez ne sont pas abordées dans ce guide car chaque agence possède son propre lien avec le CAP AWS. Vous pouvez compléter les composants du VDSS avec le LZA afin de faciliter l'inspection du trafic entrant. AWS Les services utilisés dans le LZA fournissent une analyse des limites et du trafic interne afin de sécuriser votre environnement. Afin de continuer à construire un VDSS, certains composants d'infrastructure supplémentaires ne sont pas inclus dans le LZA.
En utilisant le cloud privé virtuel (VPCs), vous pouvez définir des limites dans chacun Compte AWS d'entre eux afin de respecter les normes SCCA. Ceci n'est pas configuré dans le cadre du LZA car VPCs l'adressage IP et le routage sont des composants que vous devez configurer en fonction des besoins de votre infrastructure. Vous pouvez implémenter des composants tels que les extensions de sécurité du système de noms de domaine (DNSSEC) dans Amazon Route 53. Vous pouvez également ajouter AWS WAF ou faire appel à un tiers, commercial, WAFs pour vous aider à atteindre les normes nécessaires.
En outre, pour répondre à l'exigence 2.1.2.7 du DISA SCCA, vous pouvez utiliser un Network GuardDutyFirewall pour sécuriser et surveiller l'environnement afin de détecter tout trafic malveillant.
