仮想データセンターマネージドサービス

Virtual Data Center Managed Services (VDMS) の目的は、ホストセキュリティと共有データセンターサービスを提供することです。VDMS の関数は、SCA のハブで実行することも、ミッション所有者がその一部を独自にデプロイすることもできます AWS アカウント。このコンポーネントは、 AWS 環境内で提供できます。VDMS の詳細については、DoD クラウドコンピューティングセキュリティ要件ガイドを参照してください。

次の表に、VPS の最小要件を示します。LZA が各要件を満たすかどうか、およびこれらの要件を満たすために AWS のサービス使用できるものについて説明します。

ID	VDMS セキュリティ要件	AWS テクノロジー	その他のリソース	LZA の対象
2.1.3.1	VDMS は、CSE 内のすべてのエンクレーブを継続的にモニタリングするために、Assured Compliance Assessment Solution (ACAS)、または承認された同等のものを提供するものとします。	AWS Config AWS Security Hub CSPM AWS Audit Manager Amazon Inspector	Amazon Inspector による脆弱性スキャン	部分的にカバー
2.1.3.2	VDMS は、CSE 内のすべてのエンクレーブのエンドポイントセキュリティを管理するために、ホストベースのセキュリティシステム (HBSS) または承認された同等のものを提供するものとします。	該当なし	該当なし	対象外
2.1.3.3	VDMS は、リモートシステム DoD 共通アクセスカード (CAC) の DoD 特権ユーザーの CSE 内でインスタンス化されたシステムへの 2 DoD 要素認証用のオンライン証明書ステータスプロトコル (OCloud ワークロードセキュリティ) レスポンダーを含む ID サービスを提供します。	多要素認証 (MFA) は以下を通じて利用できます。 AWS Identity and Access Management (IAM) AWS IAM Identity Center AWS Directory Service for Microsoft Active Directory AWS Private Certificate Authority	Amazon WorkSpaces の CAC カードを設定する	部分的にカバー
2.1.3.4	VDMS は、CSE 内のすべてのエンクレーブのシステムおよびアプリケーションを提供する設定および更新管理システムを提供するものとします。	AWS Systems Manager Patch Manager AWS Config	によるパッチ管理の自動化 AWS Systems Manager (YouTube 動画)	部分的にカバー
2.1.3.5	VDMS は、CSE 内のすべてのエンクレーブのディレクトリアクセス、ディレクトリフェデレーション、動的ホスト設定プロトコル (DHCP)、ドメインネームシステム (DNS) を含む論理ドメインサービスを提供します。	AWS Managed Microsoft AD Amazon Virtual Private Cloud (Amazon VPC) Amazon Route 53	VPC の DNS 属性を設定する	部分的にカバー
2.1.3.6	VDMS は、ユーザーおよびデータネットワークから論理的に分離された CSE 内のシステムおよびアプリケーションを管理するためのネットワークを提供するものとします。	Amazon VPC Amazon VPC サブネット	該当なし	対象
2.1.3.7	VDMS は、BCP および MCP アクティビティを実行する特権ユーザーによるイベントログの一般的な収集、保存、アクセスのためのシステム、セキュリティ、アプリケーション、およびユーザーアクティビティイベントのログ記録とアーカイブシステムを提供するものとします。	AWS Security Hub CSPM AWS CloudTrail Amazon CloudWatch Logs Amazon Simple Storage Service (Amazon S3)	OpenSearch を利用した統合ログ記録	対象
2.1.3.8	VDMS は、クラウドシステムのプロビジョニング、デプロイ、設定を可能にするために、DoD 特権ユーザー認証および認可属性を CSP の Identity and Access 管理システムと交換するためにを提供するものとします。	AWS Managed Microsoft AD	AWS Managed Microsoft AD セキュリティ設定の強化	対象外
2.1.3.9	VDMS は、TCCM ロールのミッションと目的を実行するために必要な技術的能力を実装します。	AWS Managed Microsoft AD IAM AWS IAM アイデンティティセンター	該当なし	部分的にカバー

次の図に示すように、LZA は VDMS の基本要件を満たすための基本コンポーネントを配置します。VDMS 標準を満たすために、LZA がデプロイされた後に設定する必要がある追加のコンポーネントがいくつかあります。前の表で、追加リソース列のリンクを確認してください。これらのリンクは、これらの追加項目の設定や、セキュリティの強化に役立ちます。

SCCA VDMS 要件を満たすのに役立つ LZA コンポーネントのアーキテクチャ図。

補足サービス統合

前の表の追加リソース列には、VPS 要件を満たすために LZA を拡張するのに役立つリソースが一覧表示されています。 AWS には、安全なクラウドアーキテクチャの設定に役立つワークショップ資料もいくつか用意されています。変更なしでは、LZA は IL4/IL5 要件を満たしますが、環境のセキュリティを強化するために追加のサービスをデプロイできます AWS 。

例えば、Amazon Inspector は、ソフトウェアの脆弱性や意図しないネットワークへの露出について AWS ワークロードを継続的にスキャンする脆弱性管理サービスです。これを使用して、Windows や Linux などのホストオペレーティングシステムの脆弱性を特定して調査できます。Amazon Inspector は、ホストベースのセキュリティシステム (HBSS) に必要なすべての要件を完全には組み込まない場合がありますが、少なくともインスタンスの基本レベルの脆弱性評価を提供します。

オペレーティングシステムのパッチ適用

オペレーティングシステムのパッチ適用は、安全な環境を運用するためのコアコンポーネントです。 AWS は、パッチベースラインの一貫性を維持し、パッチのデプロイを自動化するために AWS Systems Manager、の一機能である Patch Manager を提供し、使用を推奨します。Patch Manager は、セキュリティ関連の更新と他のタイプの更新の両方を使用してマネージドノードにパッチを適用するプロセスを自動化します。

Patch Manager を使用して、オペレーティングシステムとアプリケーションの両方にパッチを適用することができます。(Windows Server では、アプリケーションのサポートは、Microsoft がリリースしたアプリケーションの更新に制限されています)。詳細については、 AWS クラウドオペレーションと移行ブログのAWS Systems Manager 「Patch Manager を使用したマルチステップのカスタムパッチプロセスのオーケストレーション」を参照してください。

Patch Manager を使用する手順については、 step-by-stepAWS 「管理およびガバナンスツールワークショップ」を参照してください。

での Microsoft Windows ワークロードの保護の詳細については AWS、AWS 「ワークショップでの Windows ワークロードの保護」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

仮想データセンターのセキュリティスタック

Trusted Cloud 認証情報マネージャー