기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 가상 데이터 센터 보안 스택
가상 데이터 센터 보안 스택(VDSS)의 목적은에서 호스팅되는 DOD 미션 소유자 애플리케이션을 보호하는 것입니다 AWS. VDSS는 보안 서비스에 대한 엔클레이브를 제공합니다. VDSS는 SCCA에서 대부분의 보안 작업을 수행합니다. 이 구성 요소에는 인바운드 연결 액세스 제어 및 웹 애플리케이션 방화벽, DDOS 보호, 로드 밸런서, 네트워킹 라우팅 리소스를 포함한 경계 보호 서비스와 같은 보안 및 네트워크 서비스가 포함되어 있습니다. VDSS는 클라우드 인프라 또는 데이터 센터의 온프레미스에 상주할 수 있습니다. AWS 또는 타사 공급업체는 서비스형 인프라(IaaS)를 통해 VDSS 기능을 제공하거나 서비스형 소프트웨어(SaaS) 솔루션을 통해 이러한 기능을 제공할 AWS 수 있습니다. VDSS에 대한 자세한 내용은 [DoD 클라우드 컴퓨팅 보안 요구 사항 가이드를 참조하세요](https://public.cyber.mil/dccs/dccs-documents/).
다음 표에는 VDSS에 대한 최소 요구 사항이 나와 있습니다. LZA가 각 요구 사항을 해결하는지 여부와 이러한 요구 사항을 충족하는 데 사용할 수 있는 항목에 AWS 서비스 대해 설명합니다.
****
| ID | VDSS 보안 요구 사항 | AWS 기술 | 추가 리소스 | LZA 적용 |
| --- | --- | --- | --- | --- |
| 2.1.2.1 | VDSS는 모든 관리, 사용자 및 데이터 트래픽의 가상 분리를 유지해야 합니다. | [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)
[네트워크 액세스 제어 목록(ACL)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
[탄력적 네트워크 인터페이스의 보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) | [VPCs 격리](https://docs.aws.amazon.com/vpc/latest/tgw/how-transit-gateways-work.html#TGW_Scenarios) | 적용됨 |
| 2.1.2.2 | VDSS는 관리 트래픽의 세분화를 위한 암호화 사용을 허용해야 합니다. | [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/data-protection.html)(인스턴스 간 트래픽 암호화) | [Amazon VPC의 암호화 모범 사례](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/vpc.html) | 적용됨 |
| 2.1.2.3 | VDSS는 클라이언트 시스템의 액세스 요청을 처리할 수 있는 역방향 프록시 기능을 제공해야 합니다. | 해당 사항 없음 | [완전 관리형 역방향 프록시를 사용하여 콘텐츠 제공](https://aws.amazon.com/blogs/architecture/serving-content-using-fully-managed-reverse-proxy-architecture/) | 다루지 않음 |
| 2.1.2.4 | VDSS는 사전 정의된 규칙 세트(HTTP 포함)를 기반으로 애플리케이션 계층 대화를 검사하고 필터링하여 악성 콘텐츠를 식별하고 차단하는 기능을 제공해야 합니다. | [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)
[네트워크 방화벽](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [웹 요청 본문 검사](https://docs.aws.amazon.com/waf/latest/developerguide/waf-oversize-request-components.html)
[Network Firewall을 사용한 TLS 트래픽 검사](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/) | 부분적으로 포함됨 |
| 2.1.2.5 | VDSS는 승인되지 않은 애플리케이션 계층 트래픽을 구분하고 차단할 수 있는 기능을 제공해야 합니다. | [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html) | [Amazon GuardDuty 및 AWS WAF 를 사용하여 의심스러운 호스트를 자동으로 차단하는 방법](https://aws.amazon.com/blogs/security/how-to-use-amazon-guardduty-and-aws-web-application-firewall-to-automatically-block-suspicious-hosts/) | 다루지 않음 |
| 2.1.2.6 | VDSS는 네트워크 및 시스템 활동을 모니터링하여 미션 소유자 가상 프라이빗 네트워크/엔클레이브에 들어오고 나가는 트래픽에 대한 악의적인 활동을 감지하고 보고하는 기능을 제공해야 합니다. | [VPC 흐름 로그](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
[AWS Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html) | [AWS Nitro Enclaves 워크숍](https://catalog.workshops.aws/nitro-enclaves/) | 부분적으로 포함됨 |
| 2.1.2.7 | VDSS는 네트워크 및 시스템 활동을 모니터링하여 탐지된 악성 활동을 중지하거나 차단하는 기능을 제공해야 합니다. | [네트워크 방화벽](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)
[AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html) | 해당 사항 없음 | 부분적으로 포함됨 |
| 2.1.2.8 | VDSS는 미션 소유자 가상 프라이빗 네트워크/엔클레이브 간에 통과하는 트래픽을 검사하고 필터링해야 합니다. | [네트워크 방화벽](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [중앙 집중식 트래픽 필터링 배포](https://aws.amazon.com/blogs/networking-and-content-delivery/deploy-centralized-traffic-filtering-using-aws-network-firewall/) | 적용됨 |
| 2.1.2.9 | VDSS는 CSE 내에서 호스팅되는 시스템으로 향하는 트래픽에 대한 단일 및 이중 인증을 지원하는 SSL/TLS 통신 트래픽의 중단 및 검사를 수행해야 합니다. | [네트워크 방화벽](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [Network Firewall용 배포 모델](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall-with-vpc-routing-enhancements/) | 적용됨 |
| 2.1.2.10 | VDSS는 MCD 운영자에 대한 제어를 제공하기 위해 포트, 프로토콜 및 서비스 관리(PPSM) 활동을 수행하는 인터페이스를 제공해야 합니다. | [네트워크 방화벽](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [Network Firewall용 배포 모델](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall-with-vpc-routing-enhancements/) | 적용됨 |
| 2.1.2.11 | VDSS는 사이버 보안 분석을 위해 로그 파일 및 이벤트 데이터를 캡처하는 모니터링 기능을 제공해야 합니다. | [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) | [보안 인시던트 대응을 위한 로깅](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/logging-and-events.html) | 적용됨 |
| 2.1.2.12 | VDSS는 경계 및 미션 CND 활동을 수행하는 권한이 있는 사용자가 이벤트 로그를 공통적으로 수집, 저장 및 액세스할 수 있도록 보안 정보 및 이벤트 데이터를 할당된 아카이빙 시스템에 제공하거나 공급해야 합니다. | [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) | [CloudWatch Logs의 보안](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/security.html) | 적용됨 |
| 2.1.2.13 | VDSS는 SSL/TLS 중단 실행 및 암호화된 통신 세션 검사 시 웹 애플리케이션 방화벽(WAF)이 액세스하고 사용할 수 있도록 DoD 생성 및 할당된 서버 프라이빗 암호화 키 자격 증명을 저장하기 위한 FIPS-140-2 준수 암호화 키 관리 시스템을 제공해야 합니다. | [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
[AWS Key Management Service(AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) | [AWS WAF 및 Secrets Manager를 사용하여 Amazon CloudFront 오리진 보안 강화](https://aws.amazon.com/blogs/security/how-to-enhance-amazon-cloudfront-origin-security-with-aws-waf-and-aws-secrets-manager/)
[AWS KMS FIPS 140-2를 사용한 키 관리](https://aws.amazon.com/blogs/security/aws-key-management-service-now-offers-fips-140-2-validated-cryptographic-modules-enabling-easier-adoption-of-the-service-for-regulated-workloads/) | 다루지 않음 |
| 2.1.2.14 | VDSS는 애플리케이션 세션 하이재킹을 감지하고 식별하는 기능을 제공해야 합니다. | 해당 사항 없음 | 해당 사항 없음 | 보장되지 않음 |
| 2.1.2.15 | VDSS는 인터넷 연결 애플리케이션(IFAs)을 지원하는 DoD DMZ 확장을 제공해야 합니다. | 해당 사항 없음 | 해당 사항 없음 | 보장되지 않음 |
| 2.1.2.16 | VDSS는 순회 통신을 기록하고 해석하기 위한 전체 패킷 캡처(FPC) 또는 클라우드 서비스에 상응하는 FPC 기능을 제공해야 합니다. | [네트워크 방화벽](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)
[VPC 흐름 로그](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) | 해당 사항 없음 | 적용됨 |
| 2.1.2.17 | VDSS는 모든 순회 통신에 대한 네트워크 패킷 흐름 지표 및 통계를 제공해야 합니다. | [CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) | [CloudWatch를 사용하여 인터페이스 VPC 엔드포인트의 네트워크 처리량 모니터링](https://aws.amazon.com/blogs/mt/monitor-network-throughput-of-interface-vpc-endpoints-using-amazon-cloudwatch/) | 적용됨 |
| 2.1.2.18 | VDSS는 각 미션 소유자 가상 프라이빗 네트워크로 들어오고 나가는 트래픽 검사를 제공해야 합니다. | [네트워크 방화벽](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [중앙 집중식 트래픽 필터링 배포](https://aws.amazon.com/blogs/networking-and-content-delivery/deploy-centralized-traffic-filtering-using-aws-network-firewall/) | 적용됨 |
각 기관은 자체 CAP 연결을 가지고 있으므로 사용자가 정의한 CAP의 구성 요소가 있으며이 가이드에서는 다루지 않습니다 AWS. 로 들어오는 트래픽을 검사하는 데 도움이 되도록 VDSS의 구성 요소를 LZA로 보완할 수 있습니다 AWS. LZA에 사용되는 서비스는 환경을 보호하는 데 도움이 되는 경계 및 내부 트래픽 스캔을 제공합니다. VDSS를 계속 구축하기 위해 LZA에 포함되지 않은 몇 가지 추가 인프라 구성 요소가 있습니다.
Virtual Private Cloud(VPCs 사용하면 SCCA 표준을 준수하는 AWS 계정 데 도움이 되도록 각에 경계를 설정할 수 있습니다. VPCs, IP 주소 지정 및 라우팅은 인프라에 필요한 대로 설정해야 하는 구성 요소이므로 LZA의 일부로 구성되지 않습니다. [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)에서 도메인 이름 시스템 보안 확장(DNSSEC)과 같은 구성 요소를 구현할 수 있습니다. AWS WAF 또는 타사 상용 WAFs 추가하여 필요한 표준을 달성할 수도 있습니다.
또한 DISA SCCA의 요구 사항 2.1.2.7을 지원하기 위해 [GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 및 [Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)을 사용하여 환경을 보호하고 악성 트래픽이 있는지 모니터링할 수 있습니다.