Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Stack di sicurezza per data center virtuali
Lo scopo del Virtual Data Center Security Stack (VDSS) è proteggere le applicazioni proprietarie delle missioni DOD ospitate in. AWS Il VDSS fornisce un'enclave per i servizi di sicurezza. Il VDSS esegue la maggior parte delle operazioni di sicurezza nell'SCCA. Questo componente contiene servizi di sicurezza e di rete, come connettività in entrata, controlli degli accessi e servizi di protezione perimetrale, tra cui firewall per applicazioni Web, protezione DDOS, bilanciatori del carico e risorse di routing di rete. Il VDSS può risiedere nell'infrastruttura cloud o in locale, nel data center. AWS oppure i fornitori di terze parti possono fornire funzionalità VDSS tramite Infrastructure as a Service (IaaS) o AWS possono offrire tali funzionalità tramite soluzioni software as a service (SaaS). Per ulteriori informazioni sul VDSS, consulta la Guida ai requisiti di sicurezza del cloud computing del DoD
La tabella seguente contiene i requisiti minimi per il VDSS. Spiega se l'LZA soddisfa ogni requisito e quale Servizi AWS è possibile utilizzare per soddisfarli.
| ID | Requisito di sicurezza VDSS | AWS tecnologie | Risorse aggiuntive | Coperto da LZA |
|---|---|---|---|---|
| 2.1.2.1 | Il VDSS deve mantenere la separazione virtuale di tutto il traffico di gestione, utente e dati. | Isolare VPCs | Coperto | |
| 2.1.2.2 | Il VDSS deve consentire l'uso della crittografia per la segmentazione del traffico di gestione. | Amazon VPC (crittografa il traffico tra le istanze) |
Best practice di crittografia per Amazon VPC | Coperto |
| 2.1.2.3 | Il VDSS deve fornire una funzionalità di reverse proxy per gestire le richieste di accesso dai sistemi client. | N/D | Servire i contenuti utilizzando un reverse proxy completamente gestito |
Non coperto |
| 2.1.2.4 | Il VDSS deve fornire la capacità di ispezionare e filtrare le conversazioni a livello di applicazione sulla base di un insieme predefinito di regole (incluso HTTP) per identificare e bloccare i contenuti dannosi. | Parzialmente coperto | ||
| 2.1.2.5 | Il VDSS deve fornire una funzionalità in grado di distinguere e bloccare il traffico non autorizzato a livello di applicazione. | AWS WAF | Come usare Amazon GuardDuty e AWS WAF bloccare automaticamente gli host sospetti |
Non coperto |
| 2.1.2.6 | Il VDSS deve fornire una capacità di monitoraggio delle attività di rete e di sistema per rilevare e segnalare attività dannose per il traffico in entrata e in uscita dalle reti/enclavi private virtuali del proprietario della missione. | AWS
Laboratorio Nitro Enclaves |
Parzialmente coperto | |
| 2.1.2.7 | Il VDSS deve fornire una capacità di monitoraggio delle attività di rete e di sistema per arrestare o bloccare le attività dannose rilevate. | N/D | Parzialmente coperto | |
| 2.1.2.8 | Il VDSS deve ispezionare e filtrare il traffico che attraversa le reti/enclavi private virtuali del titolare della missione. | Network Firewall | Implementa un filtraggio centralizzato del traffico |
Coperto |
| 2.1.2.9 | Il VDSS deve effettuare le interruzioni e l'ispezione del traffico di SSL/TLS comunicazione, supportando l'autenticazione singola e doppia per il traffico destinato ai sistemi ospitati all'interno del CSE. | Network Firewall | Modelli di implementazione per Network Firewall |
Coperto |
| 2.1.2.10 | Il VDSS deve fornire un'interfaccia per condurre le attività di porte, protocolli e gestione dei servizi (PPSM) al fine di fornire il controllo agli operatori MCD. | Network Firewall | Modelli di implementazione per Network Firewall |
Coperto |
| 2.1.2.11 | Il VDSS deve fornire una capacità di monitoraggio che acquisisca file di registro e dati sugli eventi per l'analisi della cibersicurezza. | Registrazione per la risposta agli incidenti di sicurezza | Coperto | |
| 2.1.2.12 | Il VDSS fornirà o fornirà informazioni sulla sicurezza e dati sugli eventi a un sistema di archiviazione assegnato per la raccolta, l'archiviazione e l'accesso comuni ai registri degli eventi da parte degli utenti privilegiati che svolgono attività CND di frontiera e missione. | CloudWatch Registri Amazon | Sicurezza nei registri CloudWatch | Coperto |
| 2.1.2.13 | Il VDSS fornirà un sistema di gestione delle chiavi di crittografia conforme a FIPS-140-2 per l'archiviazione delle credenziali della chiave di crittografia privata generate dal DoD e assegnate al server per l'accesso e l'uso da parte del Web Application Firewall (WAF) nell'esecuzione di interruzioni e ispezioni di sessioni di comunicazione crittografate. SSL/TLS | Migliora la sicurezza di CloudFront origine di Amazon con AWS WAF Secrets Manager |
Non coperto | |
| 2.1.2.14 | Il VDSS deve fornire la capacità di rilevare e identificare il dirottamento della sessione applicativa. | N/D | N/D | Non coperto |
| 2.1.2.15 | Il VDSS fornirà un'estensione DMZ DoD per supportare le applicazioni con accesso a Internet (). IFAs | N/D | N/D | Non coperto |
| 2.1.2.16 | Il VDSS deve fornire una capacità FPC (Full Packet Capture) o una funzionalità FPC equivalente al servizio cloud per la registrazione e l'interpretazione delle comunicazioni trasversali. | N/D | Coperto | |
| 2.1.2.17 | Il VDSS fornirà metriche e statistiche sul flusso di pacchetti di rete per tutte le comunicazioni in transito. | CloudWatch | Monitora il throughput di rete degli endpoint VPC di interfaccia utilizzando CloudWatch |
Coperto |
| 2.1.2.18 | Il VDSS deve provvedere all'ispezione del traffico in entrata e in uscita dalla rete privata virtuale di ciascun titolare della missione. | Network Firewall | Implementa un filtraggio centralizzato del traffico |
Coperto |
Ci sono componenti del CAP che definisci e che non sono trattati in questa guida perché ogni agenzia ha il proprio collegamento CAP con AWS. È possibile integrare i componenti del VDSS con l'LZA per facilitare l'ispezione del traffico in entrata. AWS I servizi utilizzati nella LZA forniscono la scansione dei confini e del traffico interno per contribuire a proteggere l'ambiente. Per continuare a creare un VDSS, esistono alcuni componenti dell'infrastruttura aggiuntivi che non sono inclusi nella LZA.
Utilizzando il cloud privato virtuale (VPCs), è possibile stabilire dei limiti in ciascuno di essi Account AWS per contribuire al rispetto degli standard SCCA. Questo non è configurato come parte della LZA perché VPCs l'indirizzamento IP e il routing sono componenti che è necessario configurare in base alle esigenze dell'infrastruttura. Puoi implementare componenti come Domain Name System Security Extensions (DNSSEC) in Amazon Route 53. Puoi anche aggiungere contenuti commerciali AWS WAF o di terze parti WAFs per aiutarti a raggiungere gli standard necessari.
Inoltre, per supportare il requisito 2.1.2.7 del DISA SCCA, è possibile utilizzare un Network GuardDutyFirewall per proteggere e monitorare l'ambiente dal traffico dannoso.
