가상 데이터 센터 관리형 서비스

가상 데이터 센터 관리형 서비스(VDMS)의 목적은 호스트 보안 및 공유 데이터 센터 서비스를 제공하는 것입니다. VDMS의 함수는 SCCA의 허브에서 실행하거나 미션 소유자가 자체적으로 일부를 배포할 수 있습니다 AWS 계정. 이 구성 요소는 AWS 환경 내에서 제공할 수 있습니다. VDMS에 대한 자세한 내용은 DoD 클라우드 컴퓨팅 보안 요구 사항 가이드를 참조하세요.

다음 표에는 VDMS의 최소 요구 사항이 나와 있습니다. LZA가 각 요구 사항을 해결하는지 여부와 이러한 요구 사항을 충족하는 데 사용할 수 있는 항목에 AWS 서비스 대해 설명합니다.

ID	VDMS 보안 요구 사항	AWS 기술	추가 리소스	LZA 적용
2.1.3.1	VDMS는 CSE 내의 모든 엔클레이브에 대해 지속적인 모니터링을 수행할 수 있도록 보장된 규정 준수 평가 솔루션(ACAS) 또는 승인된 동등한 솔루션을 제공해야 합니다.	AWS Config AWS Security Hub CSPM AWS Audit Manager Amazon Inspector –	Amazon Inspector를 사용한 취약성 스캔	부분적으로 적용됨
2.1.3.2	VDMS는 CSE 내의 모든 엔클레이브에 대한 엔드포인트 보안을 관리하기 위해 호스트 기반 보안 시스템(HBSS) 또는 승인된 동등한 기능을 제공해야 합니다.	해당 사항 없음	해당 사항 없음	보장되지 않음
2.1.3.3	VDMS는 CSE 내에서 인스턴스화된 시스템에 대한 DoD 권한 사용자의 원격 시스템 DoD Common Access Card(CAC) 2단계 인증을 위한 온라인 인증서 상태 프로토콜(OCloud Workload Security) 응답기를 포함하는 자격 증명 서비스를 제공해야 합니다.	다음을 통해 다중 인증(MFA) 사용 가능: AWS Identity and Access Management (IAM) AWS IAM Identity Center AWS Directory Service for Microsoft Active Directory AWS Private Certificate Authority	Amazon WorkSpaces용 CAC 카드 구성	부분적으로 적용됨
2.1.3.4	VDMS는 CSE 내의 모든 엔클레이브에 대한 시스템 및 애플리케이션을 제공하도록 구성 및 업데이트 관리 시스템을 제공해야 합니다.	AWS Systems Manager 패치 관리자 AWS Config	를 사용한 패치 관리 자동화 AWS Systems Manager(YouTube 비디오)	부분적으로 적용됨
2.1.3.5	VDMS는 CSE 내의 모든 엔클레이브에 대한 디렉터리 액세스, 디렉터리 페더레이션, 동적 호스트 구성 프로토콜(DHCP) 및 도메인 이름 시스템(DNS)을 포함하는 논리적 도메인 서비스를 제공해야 합니다.	AWS Managed Microsoft AD Amazon Virtual Private Cloud(Amazon VPC) Amazon Route 53	VPC에 대한 DNS 속성 구성	부분적으로 적용됨
2.1.3.6	VDMS는 CSE 내에서 사용자 및 데이터 네트워크와 논리적으로 분리된 시스템 및 애플리케이션을 관리하기 위한 네트워크를 제공해야 합니다.	Amazon VPC Amazon VPC 서브넷	해당 사항 없음	적용됨
2.1.3.7	VDMS는 BCP 및 MCP 활동을 수행하는 권한이 있는 사용자가 이벤트 로그를 공통적으로 수집, 저장 및 액세스할 수 있도록 시스템, 보안, 애플리케이션 및 사용자 활동 이벤트 로깅 및 아카이빙 시스템을 제공해야 합니다.	AWS Security Hub CSPM AWS CloudTrail Amazon CloudWatch Logs Amazon Simple Storage Service(Amazon S3)	OpenSearch를 사용한 중앙 집중식 로깅	적용됨
2.1.3.8	VDMS는 클라우드 시스템 프로비저닝, 배포 및 구성을 활성화하기 위해 CSP의 자격 증명 및 액세스 관리 시스템과 DoD 권한이 있는 사용자 인증 및 권한 부여 속성을 교환하기 위해를 제공해야 합니다.	AWS Managed Microsoft AD	AWS Managed Microsoft AD 보안 구성 개선	보장되지 않음
2.1.3.9	VDMS는 TCCM 역할의 미션과 목표를 실행하는 데 필요한 기술적 기능을 구현해야 합니다.	AWS Managed Microsoft AD IAM IAM Identity Center	해당 사항 없음	부분적으로 적용됨

다음 이미지와 같이 LZA는 VDMS 기본 요구 사항을 충족하기 위해 기본 구성 요소를 배치합니다. VDMS 표준을 충족하기 위해 LZA를 배포한 후 구성해야 하는 몇 가지 추가 구성 요소가 있습니다. 이전 표에서 추가 리소스 열의 링크를 검토해야 합니다. 이러한 링크는 이러한 추가 항목을 구성하거나 추가 보안 강화를 제공하는 데 도움이 됩니다.

SCCA VDMS 요구 사항을 충족하는 데 도움이 되는 LZA 구성 요소의 아키텍처 다이어그램입니다.

추가 서비스 통합

이전 표의 추가 리소스 열에는 VDMS 요구 사항을 충족하기 위해 LZA를 확장하는 데 도움이 되는 리소스가 나열되어 있습니다. AWS 는 보안 클라우드 아키텍처를 구성하는 데 도움이 되는 몇 가지 워크숍 자료를 추가로 제공합니다. 수정하지 않으면 LZA가 IL4/IL5 요구 사항을 충족하지만 추가 서비스를 배포하여 환경의 보안을 강화할 수 있습니다 AWS .

예를 들어 Amazon Inspector는 소프트웨어 취약성 및 의도하지 않은 네트워크 노출이 AWS 있는지 워크로드를 지속적으로 스캔하는 취약성 관리 서비스입니다. 이를 사용하여 Windows 및 Linux와 같은 호스트 운영 체제의 취약성을 식별하고 조사할 수 있습니다. Amazon Inspector는 호스트 기반 보안 시스템(HBSS)에 필요한 모든 요구 사항을 완전히 통합하지는 못할 수 있지만 최소한 인스턴스에 대한 기본 수준의 취약성 평가를 제공합니다.

운영 체제 패치 적용

운영 체제 패치는 보안 환경 운영의 핵심 구성 요소입니다.는의 기능인 Patch Manager를 사용하여 일관된 패치 기준을 유지하고 패치 배포를 자동화 AWS Systems Manager할 것을 AWS 제안하고 권장합니다. 패치 관리자는 보안 관련 업데이트 및 기타 유형의 업데이트로 관리형 노드에 패치를 적용하는 프로세스를 자동화합니다.

패치 관리자를 사용하면 운영 체제와 애플리케이션 모두에 패치를 적용할 수 있습니다. (Windows Server에서 애플리케이션 지원은 Microsoft에서 릴리스한 애플리케이션에 대한 업데이트로 제한됩니다.) 자세한 내용은 AWS 클라우드 운영 및 마이그레이션 블로그의 AWS Systems Manager 패치 관리자를 사용하여 다단계 사용자 지정 패치 프로세스 오케스트레이션을 참조하세요.

패치 관리자 사용에 대한 step-by-step 지침은 AWS 관리 및 거버넌스 도구 워크숍을 참조하세요.

에서 Microsoft Windows 워크로드를 보호하는 방법에 대한 자세한 내용은 워크숍에서 Windows 워크로드 보호를 AWS참조하세요. AWS

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

가상 데이터 센터 보안 스택

신뢰할 수 있는 클라우드 자격 증명 관리자