翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
仮想データセンターのセキュリティスタック
Virtual Data Center Security Stack (VDSS) の目的は、ホストされている DOD ミッションオーナーアプリケーションを保護することです AWS。VDSS は、セキュリティサービス用のエンクレーブを提供します。VDSS は SCCA でセキュリティオペレーションの大部分を実行します。このコンポーネントには、ウェブアプリケーションファイアウォール、DDOS 保護、ロードバランサー、ネットワークルーティングリソースなどのインバウンド接続アクセスコントロールや境界保護サービスなどのセキュリティサービスとネットワークサービスが含まれています。VDSS は、クラウドインフラストラクチャまたはオンプレミス、データセンター内に存在できます。 AWS またはサードパーティーベンダーは、Infrastructure as a Service (IaaS) を通じて VDSS 機能を提供するか、Software as a Service (SaaS) ソリューションを通じてこれらの機能を提供 AWS できます。VDSS の詳細については、DoD クラウドコンピューティングセキュリティ要件ガイド
次の表に、VDSS の最小要件を示します。LZA が各要件に対応するかどうか、およびこれらの要件を満たすために AWS のサービス 使用できるものについて説明します。
| ID | VDSS セキュリティ要件 | AWS テクノロジー | その他のリソース | LZA の対象 |
|---|---|---|---|---|
| 2.1.2.1 | VDSS は、すべての管理トラフィック、ユーザートラフィック、データトラフィックの仮想分離を維持するものとします。 | VPCs分離する | 対象 | |
| 2.1.2.2 | VDSS は、管理トラフィックのセグメント化のための暗号化の使用を許可するものとします。 | Amazon VPC (インスタンス間のトラフィックを暗号化) |
Amazon VPC の暗号化のベストプラクティス | 対象 |
| 2.1.2.3 | VDSS は、クライアントシステムからのアクセスリクエストを処理するリバースプロキシ機能を提供するものとします。 | 該当なし | フルマネージドリバースプロキシを使用したコンテンツの配信 |
対象外 |
| 2.1.2.4 | VDSS は、事前定義された一連のルール (HTTP を含む) に基づいてアプリケーションレイヤーの会話を検査およびフィルタリングして、悪意のあるコンテンツを識別およびブロックする機能を提供するものとします。 | 部分的にカバー | ||
| 2.1.2.5 | VDSS は、不正なアプリケーションレイヤートラフィックを区別してブロックできる機能を提供するものとします。 | AWS WAF | Amazon GuardDuty と を使用して疑わしいホスト AWS WAF を自動的にブロックする方法 |
対象外 |
| 2.1.2.6 | VDSS は、ネットワークおよびシステムのアクティビティをモニタリングして、ミッション所有者の仮想プライベートネットワーク/エンクレーブに出入りするトラフィックの悪意のあるアクティビティを検出および報告する機能を提供するものとします。 | AWS Nitro Enclaves ワークショップ |
部分的にカバー | |
| 2.1.2.7 | VDSS は、ネットワークおよびシステムのアクティビティをモニタリングして、検出された悪意のあるアクティビティを停止またはブロックする機能を提供するものとします。 | 該当なし | 部分的にカバー | |
| 2.1.2.8 | VDSS は、ミッション所有者の仮想プライベートネットワーク/エンクレーブ間のトラフィックを検査およびフィルタリングします。 | ネットワークファイアウォール | 集中型トラフィックフィルタリングをデプロイする |
対象 |
| 2.1.2.9 | VDSS は、CSE 内でホストされているシステム宛てのトラフィックのシングル認証とデュアル認証をサポートする SSL/TLS 通信トラフィックのブレークと検査を実行するものとします。 | Network Firewall | Network Firewall のデプロイモデル |
対象 |
| 2.1.2.10 | VDSS は、MCD オペレーターに制御を提供するために、ポート、プロトコル、サービス管理 (PPSM) アクティビティを実行するためのインターフェイスを提供するものとします。 | ネットワークファイアウォール | Network Firewall のデプロイモデル |
対象 |
| 2.1.2.11 | VDSS は、サイバーセキュリティ分析のためにログファイルとイベントデータをキャプチャするモニタリング機能を提供するものとします。 | セキュリティインシデント対応のログ記録 | 対象 | |
| 2.1.2.12 | VDSS は、Boundary および Mission CND アクティビティを実行する特権ユーザーによる一般的な収集、ストレージ、イベントログへのアクセスのために、セキュリティ情報とイベントデータを割り当てられたアーカイブシステムに提供またはフィードします。 | Amazon CloudWatch Logs | CloudWatch Logs のセキュリティ | 対象 |
| 2.1.2.13 | VDSS は、SSL/TLS ブレークの実行および暗号化された通信セッションの検査で Web Application Firewall (WAF) がアクセスおよび使用するための DoD が生成および割り当てたサーバープライベート暗号化キー認証情報を保存するための FIPS-140-2 準拠の暗号化キー管理システムを提供するものとします。 | AWS WAF と Secrets Manager を使用して Amazon CloudFront オリジンセキュリティを強化する |
対象外 | |
| 2.1.2.14 | VDSS は、アプリケーションセッションのハイジャックを検出して識別する機能を提供するものとします。 | 該当なし | 該当なし | 対象外 |
| 2.1.2.15 | VDSS は、インターネット向けアプリケーション (IFAs) をサポートするための DoD DMZ 拡張機能を提供するものとします。 | 該当なし | 該当なし | 対象外 |
| 2.1.2.16 | VDSS は、トラバース通信を記録および解釈するためのフルパケットキャプチャ (FPC) またはクラウドサービスと同等の FPC 機能を提供するものとします。 | 該当なし | 対象 | |
| 2.1.2.17 | VDSS は、すべてのトラバース通信のネットワークパケットフローメトリクスと統計を提供するものとします。 | CloudWatch | CloudWatch を使用してインターフェイス VPC エンドポイントのネットワークスループットをモニタリングする |
対象 |
| 2.1.2.18 | VDSS は、各ミッション所有者の仮想プライベートネットワークに出入りするトラフィックの検査を提供するものとします。 | ネットワークファイアウォール | 集中型トラフィックフィルタリングをデプロイする |
対象 |
定義した CAP のコンポーネントがあり、各機関が独自の CAP 接続を持っているため、このガイドでは説明していません AWS。VDSS のコンポーネントを LZA で補完して、 に入るトラフィックを検査できます AWS。LZA で使用されるサービスは、境界と内部トラフィックスキャンを提供し、環境を保護します。VDSS の構築を継続するために、LZA に含まれていないインフラストラクチャコンポーネントがいくつか追加されています。
Virtual Private Cloud (VPCs) を使用すると、それぞれに境界を確立 AWS アカウント して、SCCA 標準に準拠できます。VPCs、IP アドレス指定、ルーティングはインフラストラクチャの必要に応じて設定する必要があるコンポーネントであるため、これは LZA の一部として設定されません。Amazon Route 53 では、Domain Name System Security Extensions (DNSSEC) などのコンポーネントを実装できます。 AWS WAF またはサードパーティーWAFs を追加して、必要な基準を満たすこともできます。
さらに、DISA SCCA で要件 2.1.2.7 をサポートするために、GuardDuty と Network Firewall を使用して、悪意のあるトラフィックに対して環境を保護およびモニタリングできます。
