虚拟数据中心 Managed Services - AWS 规范性指导
补充服务集成操作系统修补

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

虚拟数据中心 Managed Services

虚拟数据中心管理服务 (VDMS) 的目的是提供主机安全和共享数据中心服务。VDMS 的功能可以在你的 SCCA 中心运行,也可以由任务所有者自己部署其中的一部分。 AWS 账户可以在您的 AWS 环境中提供此组件。有关 VDMS 的更多信息,请参阅美国国防部云计算安全要求指南。

下表包含 VDMS 的最低要求。它解释了 LZA 是否满足了每项要求,以及 AWS 服务 您可以使用哪些要求来满足这些要求。

ID VDMS 安全要求 AWS 技术 其他资源 由 LZA 承保
2.1.3.1 VDMS应提供有保障的合规评估解决方案(ACAS)或经批准的同等解决方案,以对CSE内的所有飞地进行持续监测。

AWS Config

AWS Security Hub CSPM

AWS Audit Manager

Amazon Inspector

 使用亚马逊 Inspector 进行漏洞扫描 已部分覆盖
2.1.3.2 VDMS 应提供基于主机的安全系统 (HBSS) 或经批准的等效系统,以管理 CSE 内所有飞地的端点安全。 不适用 不适用 未覆盖
2.1.3.3 VDMS 应提供身份服务,包括在线证书状态协议(OCloud 工作负载安全)响应器,用于远程系统 DoD 通用访问卡 (CAC) 对在 CSE 中实例化的系统的国防部特权用户进行双因素身份验证。

多因素身份验证 (MFA) 可通过以下方式获得:

AWS Identity and Access Management (IAM)

AWS IAM Identity Center

AWS Directory Service for Microsoft Active Directory

AWS 私有证书颁发机构

 为亚马逊配置 CAC 卡 WorkSpaces 已部分覆盖
2.1.3.4 VDMS 应提供配置和更新管理系统,为 CSE 内所有飞地的系统和应用程序提供服务。

AWS Systems Manager Patch Manager

AWS Config

 使用 AWS Systems Manager(YouTube 视频)实现补丁管理自动化 已部分覆盖
2.1.3.5 VDMS 应为 CSE 内的所有安全区提供逻辑域服务,包括目录访问、目录联合、动态主机配置协议 (DHCP) 和域名系统 (DNS)。

AWS Managed Microsoft AD

Amazon Virtual Private Cloud (Amazon VPC)

Amazon Route 53

 为您的 VPC 配置 DNS 属性 已部分覆盖
2.1.3.6 VDMS 应提供一个网络,用于管理 CSE 内的系统和应用程序,该网络在逻辑上与用户和数据网络分开。

Amazon VPC

Amazon VPC 子网

 不适用 已覆盖
2.1.3.7 VDMS 应提供一个系统、安全、应用程序和用户活动事件记录和存档系统,供执行 BCP 和 MCP 活动的特权用户共同收集、存储和访问事件日志。

AWS Security Hub CSPM

AWS CloudTrail

Amazon CloudWatch 日志

Amazon Simple Storage Service(Amazon S3)

 使用集中式日志记录 OpenSearch 已覆盖
2.1.3.8 VDMS 应规定将国防部特权用户身份验证和授权属性与 CSP 的身份和访问管理系统交换,以实现云系统的配置、部署和配置。 AWS Managed Microsoft AD 增强您的 AWS Managed Microsoft AD 安全配置 未覆盖
2.1.3.9 VDMS 应具备必要的技术能力,以执行 TCCM 角色的使命和目标。

AWS Managed Microsoft AD

IAM

IAM Identity Center

 不适用 已部分覆盖

 

如下图所示,LZA 奠定了满足 VDMS 基本要求的基础组件。部署 LZA 后,还需要配置一些其他组件,以帮助您满足 VDMS 标准。在上表中,请务必查看其他资源列中的链接。这些链接可以帮助您配置这些附加项目,也可以提供进一步的安全增强。

可帮助您满足 SCCA VDMS 要求的 LZA 组件的架构图。

补充服务集成

上表的其他资源列列出了可帮助您扩展 LZA 以满足 VDMS 要求的资源。 AWS 此外,还提供了一些研讨会材料来帮助您配置安全的云架构。无需修改,LZA 即可满足 IL4/IL5 要求,但您可以部署其他服务来增强 AWS 环境的安全性。

例如,Amazon Inspector 是一项漏洞管理服务,它可以持续扫描您的 AWS 工作负载中是否存在软件漏洞和意外网络泄露。您可以使用它来识别和调查主机操作系统(例如 Windows 和 Linux)中的漏洞。尽管 Amazon Inspector 可能没有完全纳入基于主机的安全系统 (HBSS) 的所有必要要求,但它至少提供了对实例的基本漏洞评估。

操作系统修补

操作系统补丁是运营安全环境的核心组件。 AWS 提供并推荐使用 Patch Manager(一项功能)来维护一致的 AWS Systems Manager补丁基准并自动部署补丁。Patch Manager 通过与安全相关的更新和其他类型的更新自动修补托管节点。

您可以使用 Patch Manager 来应用操作系统和应用程序的补丁。(在 Windows Server 上,应用程序支持仅限于微软发布的应用程序的更新。) 有关更多信息,请参阅 AWS 云运营和迁移博客上的使用补丁管理器编排多步自定义 AWS Systems Manager 补丁流程

有关使用 Patch Manager 的 step-by-step说明,请参阅AWS 管理和治理工具研讨会

有关保护微软 Windows 工作负载的更多信息 AWS,请参阅AWS 研讨会上的保护 Windows 工作负载。