本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
虚拟数据中心安全堆栈
虚拟数据中心安全堆栈 (VDSS) 的目的是保护托管在中的国防部任务所有者应用程序。 AWS VDSS 为安全服务提供了一个飞地。VDSS 在 SCCA 中执行大部分安全操作。此组件包含安全和网络服务,例如入站连接访问控制和外围保护服务,包括 Web 应用程序防火墙、DDOS 保护、负载均衡器和网络路由资源。VDSS 可以驻留在云基础架构中,也可以驻留在您的数据中心内部。 AWS 或者第三方供应商可以通过基础架构即服务 (IaaS) 提供 VDSS 功能, AWS 也可以通过软件即服务 (SaaS) 解决方案提供这些功能。有关 VDSS 的更多信息,请参阅美国国防部云计算
下表包含 VDSS 的最低要求。它解释了 LZA 是否满足了每项要求,以及 AWS 服务 您可以使用哪些要求来满足这些要求。
| ID | VDSS 安全要求 | AWS 技术 | 其他资源 | 由 LZA 承保 |
|---|---|---|---|---|
| 2.1.2.1 | VDSS 应将所有管理、用户和数据流量保持虚拟隔离。 | 隔离 VPCs | 已覆盖 | |
| 2.1.2.2 | VDSS 应允许使用加密对管理流量进行分段。 | Amazon VPC(加密实例之间的流量) |
亚马逊 VPC 的加密最佳实践 | 已覆盖 |
| 2.1.2.3 | VDSS 应提供反向代理功能,以处理来自客户端系统的访问请求。 | 不适用 | 使用完全托管的反向代理提供内容 |
未覆盖 |
| 2.1.2.4 | VDSS 应提供基于一组预定义的规则(包括 HTTP)检查和过滤应用层对话的功能,以识别和阻止恶意内容。 | 已部分覆盖 | ||
| 2.1.2.5 | VDSS 应提供一种能够区分和阻止未经授权的应用层流量的功能。 | AWS WAF | 如何使用 Amazon GuardDuty 和 AWS WAF 自动屏蔽可疑主机 |
未覆盖 |
| 2.1.2.6 | VDSS 应提供监控网络和系统活动的功能,以检测和报告进出任务所有者虚拟专用网络/飞地的流量的恶意活动。 | AWS
Nitro Enclaves 车间 |
已部分覆盖 | |
| 2.1.2.7 | VDSS 应提供监控网络和系统活动的功能,以阻止或阻止检测到的恶意活动。 | 不适用 | 已部分覆盖 | |
| 2.1.2.8 | VDSS 应检查和过滤任务所有者虚拟专用网络/飞地之间穿越的流量。 | Network | 部署集中式流量过滤 |
已覆盖 |
| 2.1.2.9 | VDSS 应对 SSL/TLS 通信流量进行中断和检查,支持对发往 CSE 内托管系统的流量进行单一和双重身份验证。 | Network | Network Firewall 的部署模型 |
已覆盖 |
| 2.1.2.10 | VDSS 应提供用于执行端口、协议和服务管理 (PPSM) 活动的接口,以便为 MCD 运营商提供控制。 | Network | Network Firewall 的部署模型 |
已覆盖 |
| 2.1.2.11 | VDSS 应提供监控功能,用于捕获日志文件和事件数据以进行网络安全分析。 | 记录安全事件响应 | 已覆盖 | |
| 2.1.2.12 | VDSS 应向分配的存档系统提供或馈送安全信息和事件数据,以便执行边界和任务 CND 活动的特权用户共同收集、存储和访问事件日志。 | Amazon CloudWatch 日志 | CloudWatch 日志中的安全性 | 已覆盖 |
| 2.1.2.13 | VDSS 应提供符合 FIPS-140-2 标准的加密密钥管理系统,用于存储国防部生成和分配的服务器私有加密密钥凭据,供 Web 应用程序防火墙 (WAF) 在中 SSL/TLS 断和检查加密通信会话时访问和使用。 | 未覆盖 | ||
| 2.1.2.14 | VDSS 应提供检测和识别应用程序会话劫持的能力。 | 不适用 | 不适用 | 未覆盖 |
| 2.1.2.15 | VDSS 应提供国防部 DMZ 扩展,以支持面向互联网的应用程序 ()。IFAs | 不适用 | 不适用 | 未覆盖 |
| 2.1.2.16 | VDSS 应提供完整的数据包捕获 (FPC) 或等同于云服务的 FPC 功能,用于记录和解释穿越通信。 | 不适用 | 已覆盖 | |
| 2.1.2.17 | VDSS 应为所有穿越通信提供网络数据包流指标和统计数据。 | CloudWatch | 使用监控接口 VPC 终端节点的网络吞吐量 CloudWatch |
已覆盖 |
| 2.1.2.18 | VDSS 应规定对进出每个任务所有者虚拟专用网络的流量进行检查。 | Network | 部署集中式流量过滤 |
已覆盖 |
CAP 的某些组成部分由您定义,但本指南未涵盖这些组件,因为每个机构都有自己的 CAP 连接 AWS。您可以用 LZA 补充 VDSS 的组件,以帮助检查进入的流量。 AWS LZA 中使用的服务提供边界和内部流量扫描,以帮助保护您的环境。为了继续构建 VDSS,LZA 中未包含一些其他基础架构组件。
通过使用虚拟私有云 (VPCs),您可以在每个云中建立界限 AWS 账户 ,以帮助遵守 SCCA 标准。这不是作为 LZA 的一部分进行配置的 VPCs,因为 IP 寻址和路由是必须根据基础架构的需要进行设置的组件。您可以在 A mazon Rou te 53 中实现诸如域名系统安全扩展 (DNSSEC) 之类的组件。您也可以添加第三方 AWS WAF 或商业版, WAFs 以帮助您达到必要的标准。
此外,为了支持 DISA SCCA 中的 2.1.2.7 要求,您可以使用和 Network Fi GuardDutyrew all 来帮助保护和监控环境中是否存在恶意流量。
