기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
가상 데이터 센터 보안 스택
가상 데이터 센터 보안 스택(VDSS)의 목적은에서 호스팅되는 DOD 미션 소유자 애플리케이션을 보호하는 것입니다 AWS. VDSS는 보안 서비스에 대한 엔클레이브를 제공합니다. VDSS는 SCCA에서 대부분의 보안 작업을 수행합니다. 이 구성 요소에는 인바운드 연결 액세스 제어 및 웹 애플리케이션 방화벽, DDOS 보호, 로드 밸런서, 네트워킹 라우팅 리소스를 포함한 경계 보호 서비스와 같은 보안 및 네트워크 서비스가 포함되어 있습니다. VDSS는 클라우드 인프라 또는 데이터 센터의 온프레미스에 상주할 수 있습니다. AWS 또는 타사 공급업체는 서비스형 인프라(IaaS)를 통해 VDSS 기능을 제공하거나 서비스형 소프트웨어(SaaS) 솔루션을 통해 이러한 기능을 제공할 AWS 수 있습니다. VDSS에 대한 자세한 내용은 DoD 클라우드 컴퓨팅 보안 요구 사항 가이드를 참조하세요
다음 표에는 VDSS에 대한 최소 요구 사항이 나와 있습니다. LZA가 각 요구 사항을 해결하는지 여부와 이러한 요구 사항을 충족하는 데 사용할 수 있는 항목에 AWS 서비스 대해 설명합니다.
| ID | VDSS 보안 요구 사항 | AWS 기술 | 추가 리소스 | LZA 적용 |
|---|---|---|---|---|
| 2.1.2.1 | VDSS는 모든 관리, 사용자 및 데이터 트래픽의 가상 분리를 유지해야 합니다. | VPCs 격리 | 적용됨 | |
| 2.1.2.2 | VDSS는 관리 트래픽의 세분화를 위한 암호화 사용을 허용해야 합니다. | Amazon VPC(인스턴스 간 트래픽 암호화) |
Amazon VPC의 암호화 모범 사례 | 적용됨 |
| 2.1.2.3 | VDSS는 클라이언트 시스템의 액세스 요청을 처리할 수 있는 역방향 프록시 기능을 제공해야 합니다. | 해당 사항 없음 | 완전 관리형 역방향 프록시를 사용하여 콘텐츠 제공 |
다루지 않음 |
| 2.1.2.4 | VDSS는 사전 정의된 규칙 세트(HTTP 포함)를 기반으로 애플리케이션 계층 대화를 검사하고 필터링하여 악성 콘텐츠를 식별하고 차단하는 기능을 제공해야 합니다. | 부분적으로 포함됨 | ||
| 2.1.2.5 | VDSS는 승인되지 않은 애플리케이션 계층 트래픽을 구분하고 차단할 수 있는 기능을 제공해야 합니다. | AWS WAF | Amazon GuardDuty 및 AWS WAF 를 사용하여 의심스러운 호스트를 자동으로 차단하는 방법 |
다루지 않음 |
| 2.1.2.6 | VDSS는 네트워크 및 시스템 활동을 모니터링하여 미션 소유자 가상 프라이빗 네트워크/엔클레이브에 들어오고 나가는 트래픽에 대한 악의적인 활동을 감지하고 보고하는 기능을 제공해야 합니다. | AWS Nitro Enclaves 워크숍 |
부분적으로 포함됨 | |
| 2.1.2.7 | VDSS는 네트워크 및 시스템 활동을 모니터링하여 탐지된 악성 활동을 중지하거나 차단하는 기능을 제공해야 합니다. | 해당 사항 없음 | 부분적으로 포함됨 | |
| 2.1.2.8 | VDSS는 미션 소유자 가상 프라이빗 네트워크/엔클레이브 간에 통과하는 트래픽을 검사하고 필터링해야 합니다. | 네트워크 방화벽 | 중앙 집중식 트래픽 필터링 배포 |
적용됨 |
| 2.1.2.9 | VDSS는 CSE 내에서 호스팅되는 시스템으로 향하는 트래픽에 대한 단일 및 이중 인증을 지원하는 SSL/TLS 통신 트래픽의 중단 및 검사를 수행해야 합니다. | 네트워크 방화벽 | Network Firewall용 배포 모델 |
적용됨 |
| 2.1.2.10 | VDSS는 MCD 운영자에 대한 제어를 제공하기 위해 포트, 프로토콜 및 서비스 관리(PPSM) 활동을 수행하는 인터페이스를 제공해야 합니다. | 네트워크 방화벽 | Network Firewall용 배포 모델 |
적용됨 |
| 2.1.2.11 | VDSS는 사이버 보안 분석을 위해 로그 파일 및 이벤트 데이터를 캡처하는 모니터링 기능을 제공해야 합니다. | 보안 인시던트 대응을 위한 로깅 | 적용됨 | |
| 2.1.2.12 | VDSS는 경계 및 미션 CND 활동을 수행하는 권한이 있는 사용자가 이벤트 로그를 공통적으로 수집, 저장 및 액세스할 수 있도록 보안 정보 및 이벤트 데이터를 할당된 아카이빙 시스템에 제공하거나 공급해야 합니다. | Amazon CloudWatch Logs | CloudWatch Logs의 보안 | 적용됨 |
| 2.1.2.13 | VDSS는 SSL/TLS 중단 실행 및 암호화된 통신 세션 검사 시 웹 애플리케이션 방화벽(WAF)이 액세스하고 사용할 수 있도록 DoD 생성 및 할당된 서버 프라이빗 암호화 키 자격 증명을 저장하기 위한 FIPS-140-2 준수 암호화 키 관리 시스템을 제공해야 합니다. | 다루지 않음 | ||
| 2.1.2.14 | VDSS는 애플리케이션 세션 하이재킹을 감지하고 식별하는 기능을 제공해야 합니다. | 해당 사항 없음 | 해당 사항 없음 | 보장되지 않음 |
| 2.1.2.15 | VDSS는 인터넷 연결 애플리케이션(IFAs)을 지원하는 DoD DMZ 확장을 제공해야 합니다. | 해당 사항 없음 | 해당 사항 없음 | 보장되지 않음 |
| 2.1.2.16 | VDSS는 순회 통신을 기록하고 해석하기 위한 전체 패킷 캡처(FPC) 또는 클라우드 서비스에 상응하는 FPC 기능을 제공해야 합니다. | 해당 사항 없음 | 적용됨 | |
| 2.1.2.17 | VDSS는 모든 순회 통신에 대한 네트워크 패킷 흐름 지표 및 통계를 제공해야 합니다. | CloudWatch | CloudWatch를 사용하여 인터페이스 VPC 엔드포인트의 네트워크 처리량 모니터링 |
적용됨 |
| 2.1.2.18 | VDSS는 각 미션 소유자 가상 프라이빗 네트워크로 들어오고 나가는 트래픽 검사를 제공해야 합니다. | 네트워크 방화벽 | 중앙 집중식 트래픽 필터링 배포 |
적용됨 |
각 기관은 자체 CAP 연결을 가지고 있으므로 사용자가 정의한 CAP의 구성 요소가 있으며이 가이드에서는 다루지 않습니다 AWS. 로 들어오는 트래픽을 검사하는 데 도움이 되도록 VDSS의 구성 요소를 LZA로 보완할 수 있습니다 AWS. LZA에 사용되는 서비스는 환경을 보호하는 데 도움이 되는 경계 및 내부 트래픽 스캔을 제공합니다. VDSS를 계속 구축하기 위해 LZA에 포함되지 않은 몇 가지 추가 인프라 구성 요소가 있습니다.
Virtual Private Cloud(VPCs 사용하면 SCCA 표준을 준수하는 AWS 계정 데 도움이 되도록 각에 경계를 설정할 수 있습니다. VPCs, IP 주소 지정 및 라우팅은 인프라에 필요한 대로 설정해야 하는 구성 요소이므로 LZA의 일부로 구성되지 않습니다. Amazon Route 53에서 도메인 이름 시스템 보안 확장(DNSSEC)과 같은 구성 요소를 구현할 수 있습니다. AWS WAF 또는 타사 상용 WAFs 추가하여 필요한 표준을 달성할 수도 있습니다.
또한 DISA SCCA의 요구 사항 2.1.2.7을 지원하기 위해 GuardDuty 및 Network Firewall을 사용하여 환경을 보호하고 악성 트래픽이 있는지 모니터링할 수 있습니다.
