本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 虚拟数据中心 Managed Services
虚拟数据中心管理服务 (VDMS) 的目的是提供主机安全和共享数据中心服务。VDMS 的功能可以在你的 SCCA 中心运行,也可以由任务所有者自己部署其中的一部分。 AWS 账户可以在您的 AWS 环境中提供此组件。有关 VDMS 的更多信息,请参阅美国国防部[云计算安全](https://public.cyber.mil/dccs/dccs-documents/)要求指南。
下表包含 VDMS 的最低要求。它解释了 LZA 是否满足了每项要求,以及 AWS 服务 您可以使用哪些要求来满足这些要求。
****
| ID | VDMS 安全要求 | AWS 技术 | 其他资源 | 由 LZA 承保 |
| --- | --- | --- | --- | --- |
| 2.1.3.1 | VDMS应提供有保障的合规评估解决方案(ACAS)或经批准的同等解决方案,以对CSE内的所有飞地进行持续监测。 | [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
[AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)
[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) | [使用亚马逊 Inspector 进行漏洞扫描](https://catalog.us-east-1.prod.workshops.aws/secure-windows/en-US/vulnerability-management/inspector) | 已部分覆盖 |
| 2.1.3.2 | VDMS 应提供基于主机的安全系统 (HBSS) 或经批准的等效系统,以管理 CSE 内所有飞地的端点安全。 | 不适用 | 不适用 | 未覆盖 |
| 2.1.3.3 | VDMS 应提供身份服务,包括在线证书状态协议(OCloud 工作负载安全)响应器,用于远程系统 DoD 通用访问卡 (CAC) 对在 CSE 中实例化的系统的国防部特权用户进行双因素身份验证。 | 多因素身份验证 (MFA) 可通过以下方式获得:
[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)
[AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
[AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)
[AWS 私有证书颁发机构](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) | [为亚马逊配置 CAC 卡 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html) | 已部分覆盖 |
| 2.1.3.4 | VDMS 应提供配置和更新管理系统,为 CSE 内所有飞地的系统和应用程序提供服务。 | [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html)
[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) | [使用 AWS Systems Manager(YouTube 视频)实现补丁管理自动化](https://www.youtube.com/watch?v=1bLJdJ4zryU) | 已部分覆盖 |
| 2.1.3.5 | VDMS 应为 CSE 内的所有安全区提供逻辑域服务,包括目录访问、目录联合、动态主机配置协议 (DHCP) 和域名系统 (DNS)。 | [AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)
[Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
[Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) | [为您的 VPC 配置 DNS 属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) | 已部分覆盖 |
| 2.1.3.6 | VDMS 应提供一个网络,用于管理 CSE 内的系统和应用程序,该网络在逻辑上与用户和数据网络分开。 | [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
[Amazon VPC 子网](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) | 不适用 | 已覆盖 |
| 2.1.3.7 | VDMS 应提供一个系统、安全、应用程序和用户活动事件记录和存档系统,供执行 BCP 和 MCP 活动的特权用户共同收集、存储和访问事件日志。 | [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)
[Amazon CloudWatch 日志](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)
[Amazon Simple Storage Service(Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) | [使用集中式日志记录 OpenSearch](https://aws.amazon.com/solutions/implementations/centralized-logging-with-opensearch/) | 已覆盖 |
| 2.1.3.8 | VDMS 应规定将国防部特权用户身份验证和授权属性与 CSP 的身份和访问管理系统交换,以实现云系统的配置、部署和配置。 | [AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) | [增强您的 AWS Managed Microsoft AD 安全配置](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_network_security.html) | 未覆盖 |
| 2.1.3.9 | VDMS 应具备必要的技术能力,以执行 TCCM 角色的使命和目标。 | [AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)
[IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)
[IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) | 不适用 | 已部分覆盖 |
如下图所示,LZA 奠定了满足 VDMS 基本要求的基础组件。部署 LZA 后,还需要配置一些其他组件,以帮助您满足 VDMS 标准。在上表中,请务必查看**其他资源**列中的链接。这些链接可以帮助您配置这些附加项目,也可以提供进一步的安全增强。
## 补充服务集成
上表**的其他资源**列列出了可帮助您扩展 LZA 以满足 VDMS 要求的资源。 AWS 此外,还提供了一些研讨会材料来帮助您配置安全的云架构。无需修改,LZA 即可满足 IL4/IL5 要求,但您可以部署其他服务来增强 AWS 环境的安全性。
例如,Amazon Inspector 是一项漏洞管理服务,它可以持续扫描您的 AWS 工作负载中是否存在软件漏洞和意外网络泄露。您可以使用它来识别和调查主机操作系统(例如 Windows 和 Linux)中的漏洞。尽管 Amazon Inspector 可能没有完全纳入基于主机的安全系统 (HBSS) 的所有必要要求,但它至少提供了对实例的基本漏洞评估。
## 操作系统修补
操作系统补丁是运营安全环境的核心组件。 AWS 提供并推荐使用 [Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html)(一项功能)来维护一致的 AWS Systems Manager补丁基准并自动部署补丁。Patch Manager 通过与安全相关的更新和其他类型的更新自动修补托管节点。
您可以使用 Patch Manager 来应用操作系统和应用程序的补丁。(在 Windows Server 上,应用程序支持仅限于微软发布的应用程序的更新。) 有关更多信息,请参阅 AWS 云运营和迁[移博客上的使用补丁管理器编排多步自定义 AWS Systems Manager 补丁流程](https://aws.amazon.com/blogs/mt/orchestrating-custom-patch-processes-aws-systems-manager-patch-manager/)。
有关使用 Patch Manager 的 step-by-step说明,请参阅[AWS 管理和治理工具研讨会](https://mng.workshop.aws/ssm/use-case-labs/inventory_patch_management/patch.html)。
有关保护微软 Windows 工作负载的更多信息 AWS,请参阅[AWS 研讨会上的保护 Windows 工作负载。](https://catalog.us-east-1.prod.workshops.aws/secure-windows)