Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tumpukan Keamanan Pusat Data Virtual
Tujuan dari Virtual Data Center Security Stack (VDSS) adalah untuk melindungi aplikasi pemilik misi DOD yang di-host. AWS VDSS menyediakan kantong untuk layanan keamanan. VDSS melakukan sebagian besar operasi keamanan di SCCA. Komponen ini berisi layanan keamanan dan jaringan, seperti kontrol akses konektivitas masuk dan layanan perlindungan perimeter, termasuk firewall aplikasi web, perlindungan DDOS, penyeimbang beban, dan sumber daya perutean jaringan. VDSS dapat berada di infrastruktur cloud atau di tempat, di pusat data Anda. AWS atau vendor pihak ketiga dapat menyediakan kemampuan VDSS melalui infrastruktur sebagai layanan (IaaS), atau AWS dapat menawarkan kemampuan ini melalui solusi perangkat lunak sebagai layanan (SaaS). Untuk informasi selengkapnya tentang VDSS, lihat Panduan Persyaratan Keamanan Komputasi Cloud DoD
Tabel berikut berisi persyaratan minimum untuk VDSS. Ini menjelaskan apakah LZA memenuhi setiap persyaratan dan yang dapat Layanan AWS Anda gunakan untuk memenuhi persyaratan ini.
| ID | Persyaratan keamanan VDSS | AWS teknologi | Sumber daya tambahan | Dilindungi oleh LZA |
|---|---|---|---|---|
| 2.1.2.1 | VDSS harus menjaga pemisahan virtual dari semua manajemen, pengguna, dan lalu lintas data. | Mengisolasi VPCs | Tercakup | |
| 2.1.2.2 | VDSS akan memungkinkan penggunaan enkripsi untuk segmentasi lalu lintas manajemen. | Amazon VPC (Enkripsi lalu lintas antar instance) |
Praktik terbaik enkripsi untuk Amazon VPC | Tercakup |
| 2.1.2.3 | VDSS harus menyediakan kemampuan proxy terbalik untuk menangani permintaan akses dari sistem klien. | N/A | Menyajikan konten menggunakan proxy terbalik yang dikelola sepenuhnya |
Tidak tercakup |
| 2.1.2.4 | VDSS harus menyediakan kemampuan untuk memeriksa dan memfilter percakapan lapisan aplikasi berdasarkan seperangkat aturan yang telah ditentukan (termasuk HTTP) untuk mengidentifikasi dan memblokir konten berbahaya. | Sebagian tertutup | ||
| 2.1.2.5 | VDSS harus menyediakan kemampuan yang dapat membedakan dan memblokir lalu lintas lapisan aplikasi yang tidak sah. | AWS WAF | Cara menggunakan Amazon GuardDuty dan secara otomatis AWS WAF memblokir host yang mencurigakan |
Tidak tercakup |
| 2.1.2.6 | VDSS harus menyediakan kemampuan yang memantau aktivitas jaringan dan sistem untuk mendeteksi dan melaporkan aktivitas berbahaya bagi lalu lintas yang masuk dan keluar dari jaringan pribadi virtual Pemilik Misi. | AWS
Lokakarya Nitro Enclave |
Sebagian tertutup | |
| 2.1.2.7 | VDSS harus menyediakan kemampuan yang memantau aktivitas jaringan dan sistem untuk menghentikan atau memblokir aktivitas berbahaya yang terdeteksi. | N/A | Sebagian tertutup | |
| 2.1.2.8 | VDSS harus memeriksa dan menyaring lalu lintas yang melintasi antara jaringan pribadi virtual/kantong pemilik misi. | Network Firewall | Menyebarkan penyaringan lalu lintas terpusat |
Tercakup |
| 2.1.2.9 | VDSS harus melakukan pemutusan dan inspeksi lalu lintas SSL/TLS komunikasi yang mendukung otentikasi tunggal dan ganda untuk lalu lintas yang ditujukan untuk sistem yang di-host dalam CSE. | Network Firewall | Model penyebaran untuk Network Firewall |
Tercakup |
| 2.1.2.10 | VDSS harus menyediakan antarmuka untuk melakukan kegiatan port, protokol, dan manajemen layanan (PPSM) untuk memberikan kontrol bagi operator MCD. | Network Firewall | Model penyebaran untuk Network Firewall |
Tercakup |
| 2.1.2.11 | VDSS harus menyediakan kemampuan pemantauan yang menangkap file log dan data peristiwa untuk analisis keamanan siber. | Pencatatan untuk respons insiden keamanan | Tercakup | |
| 2.1.2.12 | VDSS harus menyediakan atau memasukkan informasi keamanan dan data peristiwa ke sistem pengarsipan yang dialokasikan untuk pengumpulan umum, penyimpanan, dan akses ke log peristiwa oleh pengguna istimewa yang melakukan aktivitas CND Boundary dan Mission. | CloudWatch Log Amazon | Keamanan di CloudWatch Log | Tercakup |
| 2.1.2.13 | VDSS harus menyediakan sistem manajemen kunci enkripsi yang sesuai dengan FIPS-140-2 untuk penyimpanan kredenal kunci enkripsi pribadi server yang dihasilkan dan ditetapkan DoD untuk akses dan penggunaan oleh Web Application Firewall (WAF) dalam pelaksanaan istirahat dan inspeksi sesi komunikasi terenkripsi. SSL/TLS | Tingkatkan keamanan CloudFront asal Amazon dengan AWS WAF dan Secrets Manager |
Tidak tercakup | |
| 2.1.2.14 | VDSS harus menyediakan kemampuan untuk mendeteksi dan mengidentifikasi pembajakan sesi aplikasi. | N/A | N/A | Tidak tercakup |
| 2.1.2.15 | VDSS harus menyediakan Ekstensi DoD DMZ untuk mendukung mendukung Aplikasi Menghadapi Internet (). IFAs | N/A | N/A | Tidak tercakup |
| 2.1.2.16 | VDSS harus menyediakan full packet capture (FPC) atau layanan cloud yang setara dengan kemampuan FPC untuk merekam dan menafsirkan komunikasi yang melintasi. | N/A | Tercakup | |
| 2.1.2.17 | VDSS harus menyediakan metrik aliran paket jaringan dan statistik untuk semua komunikasi yang melintasi. | CloudWatch | Memantau throughput jaringan dari titik akhir VPC antarmuka menggunakan CloudWatch |
Tercakup |
| 2.1.2.18 | VDSS harus menyediakan pemeriksaan lalu lintas yang masuk dan keluar dari setiap pemilik misi jaringan pribadi virtual. | Network Firewall | Menyebarkan penyaringan lalu lintas terpusat |
Tercakup |
Ada komponen CAP yang Anda tentukan dan yang tidak tercakup dalam panduan ini karena masing-masing agensi memiliki koneksi CAP mereka sendiri AWS. Anda dapat melengkapi komponen VDSS dengan LZA untuk membantu memeriksa lalu lintas yang masuk. AWS Layanan yang digunakan dalam LZA menyediakan pemindaian lalu lintas batas dan internal untuk membantu mengamankan lingkungan Anda. Untuk terus membangun VDSS, ada beberapa komponen infrastruktur tambahan yang tidak termasuk dalam LZA.
Dengan menggunakan virtual private cloud (VPCs), Anda dapat menetapkan batasan di masing-masing Akun AWS untuk membantu mematuhi standar SCCA. Ini tidak dikonfigurasi sebagai bagian dari LZA karena VPCs, pengalamatan IP, dan perutean adalah komponen yang harus Anda atur sesuai kebutuhan untuk infrastruktur Anda. Anda dapat menerapkan komponen seperti Domain Name System Security Extensions (DNSSEC) di Amazon Route 53. Anda juga dapat menambahkan AWS WAF atau pihak ketiga, komersial WAFs untuk membantu Anda mencapai standar yang diperlukan.
Selain itu, untuk mendukung persyaratan 2.1.2.7 di DISA SCCA, Anda dapat menggunakan dan Network GuardDutyFirewall untuk membantu mengamankan dan memantau lingkungan untuk lalu lintas berbahaya.
