As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Pilha de segurança de data center virtual
O objetivo do Virtual Data Center Security Stack (VDSS) é proteger os aplicativos do proprietário da missão do DOD que estão hospedados em. AWS O VDSS fornece um enclave para serviços de segurança. O VDSS executa a maior parte das operações de segurança no SCCA. Esse componente contém serviços de segurança e rede, como controles de acesso à conectividade de entrada e serviços de proteção de perímetro, incluindo firewalls de aplicativos web, proteção contra DDOS, balanceadores de carga e recursos de roteamento de rede. O VDSS pode residir na infraestrutura de nuvem ou no local, em seu data center. AWS ou fornecedores terceirizados podem fornecer recursos de VDSS por meio de infraestrutura como serviço (IaaS) ou AWS podem oferecer esses recursos por meio de soluções de software como serviço (SaaS). Para obter mais informações sobre o VDSS, consulte o Guia de requisitos de segurança de computação em nuvem do DoD
A tabela a seguir contém os requisitos mínimos para o VDSS. Ele explica se o LZA atende a cada requisito e qual Serviços da AWS você pode usar para atender a esses requisitos.
| ID | Requisito de segurança do VDSS | AWS tecnologias | Recursos adicionais do | Coberto pela LZA |
|---|---|---|---|---|
| 2.1.2.1 | O VDSS deve manter a separação virtual de todo o tráfego de gerenciamento, usuário e dados. | Isolar VPCs | Coberto | |
| 2.1.2.2 | O VDSS deve permitir o uso de criptografia para segmentação do tráfego de gerenciamento. | Amazon VPC (criptografe o tráfego entre instâncias) |
Melhores práticas de criptografia para Amazon VPC | Coberto |
| 2.1.2.3 | O VDSS deve fornecer um recurso de proxy reverso para lidar com solicitações de acesso de sistemas clientes. | N/D | Servir conteúdo usando um proxy reverso totalmente gerenciado |
Não coberto |
| 2.1.2.4 | O VDSS deve fornecer a capacidade de inspecionar e filtrar conversas na camada de aplicação com base em um conjunto predefinido de regras (incluindo HTTP) para identificar e bloquear conteúdo malicioso. | Parcialmente coberto | ||
| 2.1.2.5 | O VDSS deve fornecer um recurso que possa distinguir e bloquear o tráfego não autorizado da camada de aplicação. | AWS WAF | Como usar a Amazon GuardDuty e AWS WAF bloquear automaticamente hosts suspeitos |
Não coberto |
| 2.1.2.6 | O VDSS deve fornecer um recurso que monitore as atividades da rede e do sistema para detectar e denunciar atividades maliciosas do tráfego que entra e sai das redes/enclaves virtuais privados do Proprietário da Missão. | AWS
Workshop Nitro Enclaves |
Parcialmente coberto | |
| 2.1.2.7 | O VDSS deve fornecer um recurso que monitore as atividades da rede e do sistema para interromper ou bloquear atividades maliciosas detectadas. | N/D | Parcialmente coberto | |
| 2.1.2.8 | O VDSS deve inspecionar e filtrar o tráfego que passa entre as redes/enclaves virtuais privados do proprietário da missão. | Firewall de rede | Implemente a filtragem de tráfego centralizada |
Coberto |
| 2.1.2.9 | O VDSS deve realizar a interrupção e inspeção do tráfego de SSL/TLS comunicação com suporte à autenticação única e dupla para tráfego destinado a sistemas hospedados no CSE. | Firewall de rede | Modelos de implantação para Network Firewall |
Coberto |
| 2.1.2.10 | O VDSS deve fornecer uma interface para conduzir portas, protocolos e atividades de gerenciamento de serviços (PPSM) a fim de fornecer controle aos operadores de MCD. | Firewall de rede | Modelos de implantação para Network Firewall |
Coberto |
| 2.1.2.11 | O VDSS deve fornecer um recurso de monitoramento que capture arquivos de log e dados de eventos para análise de segurança cibernética. | Registro para resposta a incidentes de segurança | Coberto | |
| 2.1.2.12 | O VDSS deve fornecer ou alimentar informações de segurança e dados de eventos a um sistema de arquivamento alocado para coleta, armazenamento e acesso comuns aos registros de eventos por usuários privilegiados que realizam atividades do Boundary and Mission CND. | CloudWatch Registros da Amazon | Segurança em CloudWatch registros | Coberto |
| 2.1.2.13 | O VDSS deve fornecer um sistema de gerenciamento de chaves de criptografia compatível com FIPS-140-2 para armazenamento de credenciais de chave de criptografia privada de servidor geradas e atribuídas pelo DoD para acesso e uso pelo Web Application Firewall (WAF) na execução de interrupções e inspeções de sessões de comunicação criptografadas. SSL/TLS | Melhore a segurança de CloudFront origem da Amazon com AWS WAF o Secrets Manager |
Não coberto | |
| 2.1.2.14 | O VDSS deve fornecer a capacidade de detectar e identificar o sequestro de sessões de aplicativos. | N/D | N/D | Não coberto |
| 2.1.2.15 | O VDSS fornecerá uma extensão DMZ do DoD para suportar aplicativos voltados para a Internet (). IFAs | N/D | N/D | Não coberto |
| 2.1.2.16 | O VDSS deve fornecer captura completa de pacotes (FPC) ou capacidade de FPC equivalente ao serviço em nuvem para gravar e interpretar comunicações transversais. | N/D | Coberto | |
| 2.1.2.17 | O VDSS deve fornecer métricas e estatísticas de fluxo de pacotes de rede para todas as comunicações de travessia. | CloudWatch | Monitore a taxa de transferência de rede dos endpoints VPC da interface usando CloudWatch |
Coberto |
| 2.1.2.18 | O VDSS deve prever a inspeção do tráfego que entra e sai da rede privada virtual de cada proprietário da missão. | Firewall de rede | Implemente a filtragem de tráfego centralizada |
Coberto |
Há componentes do CAP que você define e que não são abordados neste guia porque cada agência tem sua própria conexão com o CAP AWS. Você pode complementar os componentes do VDSS com o LZA para ajudar a inspecionar o tráfego que entra. AWS Os serviços usados no LZA fornecem verificação de limites e tráfego interno para ajudar a proteger seu ambiente. Para continuar criando um VDSS, há alguns componentes adicionais de infraestrutura que não estão incluídos no LZA.
Ao usar a nuvem privada virtual (VPCs), você pode estabelecer limites em cada uma Conta da AWS para ajudar a aderir aos padrões SCCA. Isso não é configurado como parte do LZA porque VPCs o endereçamento IP e o roteamento são componentes que você deve configurar conforme necessário para sua infraestrutura. Você pode implementar componentes como Domain Name System Security Extensions (DNSSEC) no Amazon Route 53. Você também pode adicionar anúncios comerciais AWS WAF ou de terceiros WAFs para ajudá-lo a atingir os padrões necessários.
Além disso, para suportar o requisito 2.1.2.7 no DISA SCCA, você pode usar o Network GuardDutyFirewall para ajudar a proteger e monitorar o ambiente em busca de tráfego mal-intencionado.
