As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Managed Services de data center virtual
O objetivo do Virtual Data Center Managed Services (VDMS) é fornecer segurança ao host e serviços compartilhados de data center. As funções do VDMS podem ser executadas no hub do seu SCCA ou o proprietário da missão pode implantar partes dele por conta própria. Contas da AWS Esse componente pode ser fornecido em seu AWS ambiente. Para obter mais informações sobre o VDMS, consulte o Guia de requisitos de segurança de computação em nuvem do DoD
A tabela a seguir contém os requisitos mínimos para o VDMS. Ele explica se o LZA atende a cada requisito e qual Serviços da AWS você pode usar para atender a esses requisitos.
| ID | Requisito de segurança do VDMS | AWS tecnologias | Recursos adicionais do | Coberto pela LZA |
|---|---|---|---|---|
| 2.1.3.1 | O VDMS deve fornecer uma Solução de Avaliação de Conformidade Assegurada (ACAS), ou equivalente aprovado, para conduzir o monitoramento contínuo de todos os enclaves dentro do CSE. | Análise de vulnerabilidades com o Amazon Inspector |
Parcialmente coberto | |
| 2.1.3.2 | O VDMS deve fornecer um Sistema de Segurança Baseado em Host (HBSS), ou equivalente aprovado, para gerenciar a segurança de terminais para todos os enclaves dentro do CSE. | N/D | N/D | Não coberto |
| 2.1.3.3 | O VDMS deve fornecer serviços de identidade para incluir um respondente do Protocolo de Status de Certificado Online (Segurança da OCloud Carga de Trabalho) para autenticação de dois fatores do Cartão de Acesso Comum (CAC) do DoD do sistema remoto de usuários privilegiados do DoD em sistemas instanciados no CSE. | Autenticação multifatorial (MFA) disponível por meio de: AWS Identity and Access Management (IAM) |
Configurar um cartão CAC para a Amazon WorkSpaces | Parcialmente coberto |
| 2.1.3.4 | O VDMS deve fornecer um sistema de gerenciamento de configuração e atualização para atender sistemas e aplicativos para todos os enclaves dentro do CSE. | Automatizando o gerenciamento de patches com AWS Systems Manager(vídeo |
Parcialmente coberto | |
| 2.1.3.5 | O VDMS deve fornecer serviços de domínio lógico para incluir acesso a diretórios, federação de diretórios, Protocolo de Configuração Dinâmica de Host (DHCP) e Sistema de Nomes de Domínio (DNS) para todos os enclaves dentro do CSE. | Configurar atributos de DNS para sua VPC | Parcialmente coberto | |
| 2.1.3.6 | O VDMS deve fornecer uma rede para gerenciar sistemas e aplicativos dentro do CSE que seja logicamente separada das redes de usuários e dados. | N/D | Coberto | |
| 2.1.3.7 | O VDMS deve fornecer um sistema, segurança, aplicativo e sistema de arquivamento de eventos de atividades do usuário para coleta, armazenamento e acesso comuns aos registros de eventos por usuários privilegiados que realizam atividades de BCP e MCP. | Registro centralizado com OpenSearch |
Coberto | |
| 2.1.3.8 | O VDMS deve fornecer a troca de atributos de autenticação e autorização de usuários privilegiados do DoD com o sistema de gerenciamento de identidade e acesso do CSP para permitir o provisionamento, a implantação e a configuração do sistema em nuvem. | AWS Managed Microsoft AD | Melhore sua configuração AWS Managed Microsoft AD de segurança | Não coberto |
| 2.1.3.9 | O VDMS deve implementar as capacidades técnicas necessárias para executar a missão e os objetivos da função do TCCM. | N/D | Parcialmente coberto |
Conforme mostrado na imagem a seguir, o LZA estabelece os componentes fundamentais para atender aos requisitos básicos do VDMS. Há alguns componentes adicionais que você precisa configurar após a implantação do LZA para ajudá-lo a atender aos padrões do VDMS. Na tabela anterior, verifique os links na coluna Recursos adicionais. Esses links ajudam você a configurar esses itens adicionais ou fornecem mais aprimoramentos de segurança.
Integração de serviços complementares
A coluna Recursos adicionais da tabela anterior lista recursos para ajudá-lo a expandir o LZA para atender aos requisitos do VDMS. AWS Além disso, oferece alguns materiais de workshop para ajudá-lo a configurar uma arquitetura de nuvem segura. Sem modificações, o LZA atende aos IL5 requisitos IL4/, mas você pode implantar serviços adicionais para aprimorar a segurança do seu AWS ambiente.
Por exemplo, o Amazon Inspector é um serviço de gerenciamento de vulnerabilidades que verifica continuamente suas AWS cargas de trabalho em busca de vulnerabilidades de software e exposição não intencional na rede. Você pode usá-lo para identificar e investigar vulnerabilidades em sistemas operacionais hospedeiros, como Windows e Linux. Embora o Amazon Inspector possa não incorporar totalmente todos os requisitos necessários para um Sistema de Segurança Baseado em Host (HBSS), ele fornece pelo menos uma avaliação básica da vulnerabilidade das instâncias.
Patches do sistema operacional.
A correção do sistema operacional é um componente essencial da operação de um ambiente seguro. AWS oferece e recomenda o uso do Patch Manager, um recurso do AWS Systems Manager, para manter linhas de base de patches consistentes e automatizar a implantação de patches. O Patch Manager automatiza o processo de correção de nós gerenciados com atualizações relacionadas à segurança e outros tipos de atualizações.
Você pode usar o Patch Manager para aplicar patches de sistemas operacionais e aplicações. (No Windows Server, o suporte a aplicativos é limitado às atualizações de aplicativos lançados pela Microsoft.) Para obter mais informações, consulte Orquestração de processos de patch personalizados em várias etapas usando o AWS Systems Manager Patch Manager no blog
Para step-by-step obter instruções sobre como usar o Patch Manager, consulte o Workshop de Ferramentas AWS de Gerenciamento e Governança
Para obter mais informações sobre como proteger cargas de trabalho do Microsoft Windows em AWS, consulte Protegendo cargas de trabalho do Windows no Workshop
