Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Stack di sicurezza per data center virtuali
Lo scopo del Virtual Data Center Security Stack (VDSS) è proteggere le applicazioni proprietarie delle missioni DOD ospitate in. AWS Il VDSS fornisce un'enclave per i servizi di sicurezza. Il VDSS esegue la maggior parte delle operazioni di sicurezza nell'SCCA. Questo componente contiene servizi di sicurezza e di rete, come connettività in entrata, controlli degli accessi e servizi di protezione perimetrale, tra cui firewall per applicazioni Web, protezione DDOS, bilanciatori del carico e risorse di routing di rete. Il VDSS può risiedere nell'infrastruttura cloud o in locale, nel data center. AWS oppure i fornitori di terze parti possono fornire funzionalità VDSS tramite Infrastructure as a Service (IaaS) o AWS possono offrire tali funzionalità tramite soluzioni software as a service (SaaS). Per ulteriori informazioni sul VDSS, consulta la Guida ai requisiti di sicurezza del [cloud computing del DoD](https://public.cyber.mil/dccs/dccs-documents/).
La tabella seguente contiene i requisiti minimi per il VDSS. Spiega se l'LZA soddisfa ogni requisito e quale Servizi AWS è possibile utilizzare per soddisfarli.
****
| ID | Requisito di sicurezza VDSS | AWS tecnologie | Risorse aggiuntive | Coperto da LZA |
| --- | --- | --- | --- | --- |
| 2.1.2.1 | Il VDSS deve mantenere la separazione virtuale di tutto il traffico di gestione, utente e dati. | [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)
[Elenco di controllo dell'accesso alla rete (ACL)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
[Gruppi di sicurezza per interfacce di rete elastiche](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) | [Isolare VPCs](https://docs.aws.amazon.com/vpc/latest/tgw/how-transit-gateways-work.html#TGW_Scenarios) | Coperto |
| 2.1.2.2 | Il VDSS deve consentire l'uso della crittografia per la segmentazione del traffico di gestione. | [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/data-protection.html) (crittografa il traffico tra le istanze) | [Best practice di crittografia per Amazon VPC](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/vpc.html) | Coperto |
| 2.1.2.3 | Il VDSS deve fornire una funzionalità di reverse proxy per gestire le richieste di accesso dai sistemi client. | N/D | [Servire i contenuti utilizzando un reverse proxy completamente gestito](https://aws.amazon.com/blogs/architecture/serving-content-using-fully-managed-reverse-proxy-architecture/) | Non coperto |
| 2.1.2.4 | Il VDSS deve fornire la capacità di ispezionare e filtrare le conversazioni a livello di applicazione sulla base di un insieme predefinito di regole (incluso HTTP) per identificare e bloccare i contenuti dannosi. | [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)
[Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [Ispezione del corpo delle richieste Web](https://docs.aws.amazon.com/waf/latest/developerguide/waf-oversize-request-components.html)
[Ispezione del traffico TLS con Network Firewall](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/) | Parzialmente coperto |
| 2.1.2.5 | Il VDSS deve fornire una funzionalità in grado di distinguere e bloccare il traffico non autorizzato a livello di applicazione. | [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html) | [Come usare Amazon GuardDuty e AWS WAF bloccare automaticamente gli host sospetti](https://aws.amazon.com/blogs/security/how-to-use-amazon-guardduty-and-aws-web-application-firewall-to-automatically-block-suspicious-hosts/) | Non coperto |
| 2.1.2.6 | Il VDSS deve fornire una capacità di monitoraggio delle attività di rete e di sistema per rilevare e segnalare attività dannose per il traffico in entrata e in uscita dalle reti/enclavi private virtuali del proprietario della missione. | [Log di flusso VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
[AWS Enclavi Nitro](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html) | [AWS Laboratorio Nitro Enclaves](https://catalog.workshops.aws/nitro-enclaves/) | Parzialmente coperto |
| 2.1.2.7 | Il VDSS deve fornire una capacità di monitoraggio delle attività di rete e di sistema per arrestare o bloccare le attività dannose rilevate. | [Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)
[AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html) | N/D | Parzialmente coperto |
| 2.1.2.8 | Il VDSS deve ispezionare e filtrare il traffico che attraversa le reti/enclavi private virtuali del titolare della missione. | [Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [Implementa un filtraggio centralizzato del traffico](https://aws.amazon.com/blogs/networking-and-content-delivery/deploy-centralized-traffic-filtering-using-aws-network-firewall/) | Coperto |
| 2.1.2.9 | Il VDSS deve effettuare le interruzioni e l'ispezione del traffico di SSL/TLS comunicazione, supportando l'autenticazione singola e doppia per il traffico destinato ai sistemi ospitati all'interno del CSE. | [Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [Modelli di implementazione per Network Firewall](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall-with-vpc-routing-enhancements/) | Coperto |
| 2.1.2.10 | Il VDSS deve fornire un'interfaccia per condurre le attività di porte, protocolli e gestione dei servizi (PPSM) al fine di fornire il controllo agli operatori MCD. | [Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [Modelli di implementazione per Network Firewall](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall-with-vpc-routing-enhancements/) | Coperto |
| 2.1.2.11 | Il VDSS deve fornire una capacità di monitoraggio che acquisisca file di registro e dati sugli eventi per l'analisi della cibersicurezza. | [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) | [Registrazione per la risposta agli incidenti di sicurezza](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/logging-and-events.html) | Coperto |
| 2.1.2.12 | Il VDSS fornirà o fornirà informazioni sulla sicurezza e dati sugli eventi a un sistema di archiviazione assegnato per la raccolta, l'archiviazione e l'accesso comuni ai registri degli eventi da parte degli utenti privilegiati che svolgono attività CND di frontiera e missione. | [ CloudWatch Registri Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) | [Sicurezza nei registri CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/security.html) | Coperto |
| 2.1.2.13 | Il VDSS fornirà un sistema di gestione delle chiavi di crittografia conforme a FIPS-140-2 per l'archiviazione delle credenziali della chiave di crittografia privata generate dal DoD e assegnate al server per l'accesso e l'uso da parte del Web Application Firewall (WAF) nell'esecuzione di interruzioni e ispezioni di sessioni di comunicazione crittografate. SSL/TLS | [Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
[AWS Key Management Service(AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) | [Migliora la sicurezza di CloudFront origine di Amazon con AWS WAF Secrets Manager](https://aws.amazon.com/blogs/security/how-to-enhance-amazon-cloudfront-origin-security-with-aws-waf-and-aws-secrets-manager/)
[AWS KMS gestione delle chiavi con FIPS 140-2](https://aws.amazon.com/blogs/security/aws-key-management-service-now-offers-fips-140-2-validated-cryptographic-modules-enabling-easier-adoption-of-the-service-for-regulated-workloads/) | Non coperto |
| 2.1.2.14 | Il VDSS deve fornire la capacità di rilevare e identificare il dirottamento della sessione applicativa. | N/D | N/D | Non coperto |
| 2.1.2.15 | Il VDSS fornirà un'estensione DMZ DoD per supportare le applicazioni con accesso a Internet (). IFAs | N/D | N/D | Non coperto |
| 2.1.2.16 | Il VDSS deve fornire una capacità FPC (Full Packet Capture) o una funzionalità FPC equivalente al servizio cloud per la registrazione e l'interpretazione delle comunicazioni trasversali. | [Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)
[Log di flusso VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) | N/D | Coperto |
| 2.1.2.17 | Il VDSS fornirà metriche e statistiche sul flusso di pacchetti di rete per tutte le comunicazioni in transito. | [CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) | [Monitora il throughput di rete degli endpoint VPC di interfaccia utilizzando CloudWatch](https://aws.amazon.com/blogs/mt/monitor-network-throughput-of-interface-vpc-endpoints-using-amazon-cloudwatch/) | Coperto |
| 2.1.2.18 | Il VDSS deve provvedere all'ispezione del traffico in entrata e in uscita dalla rete privata virtuale di ciascun titolare della missione. | [Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [Implementa un filtraggio centralizzato del traffico](https://aws.amazon.com/blogs/networking-and-content-delivery/deploy-centralized-traffic-filtering-using-aws-network-firewall/) | Coperto |
Ci sono componenti del CAP che definisci e che non sono trattati in questa guida perché ogni agenzia ha il proprio collegamento CAP con AWS. È possibile integrare i componenti del VDSS con l'LZA per facilitare l'ispezione del traffico in entrata. AWS I servizi utilizzati nella LZA forniscono la scansione dei confini e del traffico interno per contribuire a proteggere l'ambiente. Per continuare a creare un VDSS, esistono alcuni componenti dell'infrastruttura aggiuntivi che non sono inclusi nella LZA.
Utilizzando il cloud privato virtuale (VPCs), è possibile stabilire dei limiti in ciascuno di essi Account AWS per contribuire al rispetto degli standard SCCA. Questo non è configurato come parte della LZA perché VPCs l'indirizzamento IP e il routing sono componenti che è necessario configurare in base alle esigenze dell'infrastruttura. Puoi implementare componenti come Domain Name System Security Extensions (DNSSEC) in [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html). Puoi anche aggiungere contenuti commerciali AWS WAF o di terze parti WAFs per aiutarti a raggiungere gli standard necessari.
Inoltre, per supportare il requisito 2.1.2.7 del DISA SCCA, è possibile utilizzare un [Network [GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) per proteggere e monitorare l'ambiente dal traffico dannoso.