Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Managed Services per data center virtuali
Lo scopo di Virtual Data Center Managed Services (VDMS) è fornire sicurezza dell'host e servizi di data center condivisi. Le funzioni di VDMS possono essere eseguite nell'hub di SCCA oppure il proprietario della missione può implementarne alcune parti autonomamente. Account AWS Questo componente può essere fornito all'interno dell'ambiente. AWS Per ulteriori informazioni sul VDMS, consulta la Guida ai requisiti di sicurezza del cloud computing del DoD
La tabella seguente contiene i requisiti minimi per il VDMS. Spiega se l'LZA soddisfa ogni requisito e quale Servizi AWS è possibile utilizzare per soddisfarli.
| ID | Requisiti di sicurezza VDMS | AWS tecnologie | Risorse aggiuntive | Coperto da LZA |
|---|---|---|---|---|
| 2.1.3.1 | Il VDMS deve fornire la Assured Compliance Assessment Solution (ACAS), o una soluzione equivalente approvata, per condurre il monitoraggio continuo di tutte le enclavi all'interno del CSE. | Scansione delle vulnerabilità con Amazon Inspector |
Parzialmente coperto | |
| 2.1.3.2 | Il VDMS deve fornire un sistema di sicurezza basato sull'host (HBSS), o un sistema equivalente approvato, per gestire la sicurezza degli endpoint per tutte le enclavi all'interno del CSE. | N/D | N/D | Non coperto |
| 2.1.3.3 | Il VDMS fornirà servizi di identità che includono un risponditore Online Certificate Status Protocol (OCloud Workload Security) per l'autenticazione a due fattori DoD Common Access Card (CAC) del sistema remoto degli utenti privilegiati del DoD sui sistemi istanziati all'interno del CSE. | Autenticazione a più fattori (MFA) disponibile tramite: AWS Identity and Access Management (IAM) |
Configura una scheda CAC per Amazon WorkSpaces | Parzialmente coperto |
| 2.1.3.4 | Il VDMS fornirà un sistema di gestione della configurazione e degli aggiornamenti per servire sistemi e applicazioni per tutte le enclavi all'interno del CSE. | Automatizzazione |
Parzialmente coperto | |
| 2.1.3.5 | Il VDMS fornirà servizi di dominio logico che includono l'accesso alle directory, la federazione delle directory, il Dynamic Host Configuration Protocol (DHCP) e il Domain Name System (DNS) per tutte le enclavi all'interno del CSE. | Configura gli attributi DNS per il tuo VPC | Parzialmente coperto | |
| 2.1.3.6 | Il VDMS fornirà una rete per la gestione dei sistemi e delle applicazioni all'interno del CSE logicamente separata dalle reti di utenti e dati. | N/D | Coperto | |
| 2.1.3.7 | Il VDMS deve fornire un sistema di registrazione e archiviazione degli eventi di sistema, sicurezza, applicazioni e attività degli utenti per la raccolta, l'archiviazione e l'accesso comuni ai registri degli eventi da parte di utenti privilegiati che svolgono attività BCP e MCP. | Registrazione centralizzata con OpenSearch |
Coperto | |
| 2.1.3.8 | Il VDMS deve provvedere allo scambio di attributi di autenticazione e autorizzazione degli utenti privilegiati DoD con il sistema di gestione delle identità e degli accessi del CSP per consentire il provisioning, l'implementazione e la configurazione del sistema cloud. | AWS Managed Microsoft AD | AWS Managed Microsoft AD Migliora la tua configurazione di sicurezza | Non coperto |
| 2.1.3.9 | Il VDMS deve implementare le capacità tecniche necessarie per svolgere la missione e gli obiettivi del ruolo del TCCM. | N/D | Parzialmente coperto |
Come illustrato nell'immagine seguente, l'LZA pone i componenti fondamentali per soddisfare i requisiti di base del VDMS. Dopo l'implementazione di LZA è necessario configurare alcuni componenti aggiuntivi per soddisfare gli standard VDMS. Nella tabella precedente, assicurati di esaminare i collegamenti nella colonna Risorse aggiuntive. Questi collegamenti consentono di configurare questi elementi aggiuntivi o forniscono ulteriori miglioramenti della sicurezza.
Integrazione di servizi supplementari
La colonna Risorse aggiuntive della tabella precedente elenca le risorse che consentono di espandere l'LZA per soddisfare i requisiti VDMS. AWS offre inoltre alcuni materiali da workshop per aiutarti a configurare un'architettura cloud sicura. Senza modifiche, LZA soddisfa i IL5 requisiti IL4/, ma puoi implementare servizi aggiuntivi per migliorare la sicurezza del tuo AWS ambiente.
Ad esempio, Amazon Inspector è un servizio di gestione delle vulnerabilità che analizza continuamente i AWS carichi di lavoro alla ricerca di vulnerabilità del software ed esposizione involontaria della rete. Puoi usarlo per identificare e analizzare le vulnerabilità nei sistemi operativi host, come Windows e Linux. Sebbene Amazon Inspector non includa completamente tutti i requisiti necessari per un sistema di sicurezza basato su host (HBSS), fornisce almeno una valutazione della vulnerabilità di livello base delle istanze.
Applicazione di patch del sistema operativo
L'applicazione di patch al sistema operativo è un componente fondamentale della gestione di un ambiente sicuro. AWS offre e consiglia l'utilizzo di Patch Manager, una funzionalità di AWS Systems Manager, per mantenere linee di base coerenti per le patch e automatizzare la distribuzione delle patch. Patch Manager automatizza il processo di applicazione di patch ai nodi gestiti sia con aggiornamenti relativi alla sicurezza che con altri tipi di aggiornamenti.
Gestione patch consente di applicare patch sia per i sistemi operativi sia per le applicazioni (In Windows Server, il supporto delle applicazioni è limitato agli aggiornamenti per le applicazioni rilasciate da Microsoft.) Per ulteriori informazioni, consulta Orchestrazione di processi di patch personalizzati in più fasi utilizzando Patch Manager sul AWS Systems Manager blog AWS Cloud Operations and Migrations
Per step-by-step istruzioni sull'uso di Patch Manager, consultate il workshop sugli strumenti di AWS gestione e governance
Per ulteriori informazioni sulla protezione dei carichi di lavoro Microsoft Windows su AWS, consulta il Workshop Proteggere i carichi di lavoro Windows
