本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 虚拟数据中心安全堆栈
虚拟数据中心安全堆栈 (VDSS) 的目的是保护托管在中的国防部任务所有者应用程序。 AWS VDSS 为安全服务提供了一个飞地。VDSS 在 SCCA 中执行大部分安全操作。此组件包含安全和网络服务,例如入站连接访问控制和外围保护服务,包括 Web 应用程序防火墙、DDOS 保护、负载均衡器和网络路由资源。VDSS 可以驻留在云基础架构中,也可以驻留在您的数据中心内部。 AWS 或者第三方供应商可以通过基础架构即服务 (IaaS) 提供 VDSS 功能, AWS 也可以通过软件即服务 (SaaS) 解决方案提供这些功能。有关 VDSS 的更多信息,请参阅美国国防部[云计算](https://public.cyber.mil/dccs/dccs-documents/)安全要求指南。
下表包含 VDSS 的最低要求。它解释了 LZA 是否满足了每项要求,以及 AWS 服务 您可以使用哪些要求来满足这些要求。
****
| ID | VDSS 安全要求 | AWS 技术 | 其他资源 | 由 LZA 承保 |
| --- | --- | --- | --- | --- |
| 2.1.2.1 | VDSS 应将所有管理、用户和数据流量保持虚拟隔离。 | [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)
[网络访问控制列表 (ACL)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
[弹性网络接口的安全组](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) | [隔离 VPCs](https://docs.aws.amazon.com/vpc/latest/tgw/how-transit-gateways-work.html#TGW_Scenarios) | 已覆盖 |
| 2.1.2.2 | VDSS 应允许使用加密对管理流量进行分段。 | [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/data-protection.html)(加密实例之间的流量) | [亚马逊 VPC 的加密最佳实践](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/vpc.html) | 已覆盖 |
| 2.1.2.3 | VDSS 应提供反向代理功能,以处理来自客户端系统的访问请求。 | 不适用 | [使用完全托管的反向代理提供内容](https://aws.amazon.com/blogs/architecture/serving-content-using-fully-managed-reverse-proxy-architecture/) | 未覆盖 |
| 2.1.2.4 | VDSS 应提供基于一组预定义的规则(包括 HTTP)检查和过滤应用层对话的功能,以识别和阻止恶意内容。 | [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)
[Network](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [Web 请求正文检查](https://docs.aws.amazon.com/waf/latest/developerguide/waf-oversize-request-components.html)
[使用网络防火墙进行 TLS 流量检查](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/) | 已部分覆盖 |
| 2.1.2.5 | VDSS 应提供一种能够区分和阻止未经授权的应用层流量的功能。 | [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html) | [如何使用 Amazon GuardDuty 和 AWS WAF 自动屏蔽可疑主机](https://aws.amazon.com/blogs/security/how-to-use-amazon-guardduty-and-aws-web-application-firewall-to-automatically-block-suspicious-hosts/) | 未覆盖 |
| 2.1.2.6 | VDSS 应提供监控网络和系统活动的功能,以检测和报告进出任务所有者虚拟专用网络/飞地的流量的恶意活动。 | [VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
[AWS Nitro 飞地](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html) | [AWS Nitro Enclaves 车间](https://catalog.workshops.aws/nitro-enclaves/) | 已部分覆盖 |
| 2.1.2.7 | VDSS 应提供监控网络和系统活动的功能,以阻止或阻止检测到的恶意活动。 | [Network](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)
[AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html) | 不适用 | 已部分覆盖 |
| 2.1.2.8 | VDSS 应检查和过滤任务所有者虚拟专用网络/飞地之间穿越的流量。 | [Network](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [部署集中式流量过滤](https://aws.amazon.com/blogs/networking-and-content-delivery/deploy-centralized-traffic-filtering-using-aws-network-firewall/) | 已覆盖 |
| 2.1.2.9 | VDSS 应对 SSL/TLS 通信流量进行中断和检查,支持对发往 CSE 内托管系统的流量进行单一和双重身份验证。 | [Network](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [Network Firewall 的部署模型](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall-with-vpc-routing-enhancements/) | 已覆盖 |
| 2.1.2.10 | VDSS 应提供用于执行端口、协议和服务管理 (PPSM) 活动的接口,以便为 MCD 运营商提供控制。 | [Network](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [Network Firewall 的部署模型](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall-with-vpc-routing-enhancements/) | 已覆盖 |
| 2.1.2.11 | VDSS 应提供监控功能,用于捕获日志文件和事件数据以进行网络安全分析。 | [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) | [记录安全事件响应](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/logging-and-events.html) | 已覆盖 |
| 2.1.2.12 | VDSS 应向分配的存档系统提供或馈送安全信息和事件数据,以便执行边界和任务 CND 活动的特权用户共同收集、存储和访问事件日志。 | [Amazon CloudWatch 日志](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) | [ CloudWatch 日志中的安全性](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/security.html) | 已覆盖 |
| 2.1.2.13 | VDSS 应提供符合 FIPS-140-2 标准的加密密钥管理系统,用于存储国防部生成和分配的服务器私有加密密钥凭据,供 Web 应用程序防火墙 (WAF) 在中 SSL/TLS 断和检查加密通信会话时访问和使用。 | [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
[AWS Key Management Service(AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) | [使用和 Secrets Manager 增强亚马逊 CloudFront 原产 AWS WAF 地的安全](https://aws.amazon.com/blogs/security/how-to-enhance-amazon-cloudfront-origin-security-with-aws-waf-and-aws-secrets-manager/)
[AWS KMS 使用 FIPS 140-2 进行密钥管理](https://aws.amazon.com/blogs/security/aws-key-management-service-now-offers-fips-140-2-validated-cryptographic-modules-enabling-easier-adoption-of-the-service-for-regulated-workloads/) | 未覆盖 |
| 2.1.2.14 | VDSS 应提供检测和识别应用程序会话劫持的能力。 | 不适用 | 不适用 | 未覆盖 |
| 2.1.2.15 | VDSS 应提供国防部 DMZ 扩展,以支持面向互联网的应用程序 ()。IFAs | 不适用 | 不适用 | 未覆盖 |
| 2.1.2.16 | VDSS 应提供完整的数据包捕获 (FPC) 或等同于云服务的 FPC 功能,用于记录和解释穿越通信。 | [Network](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)
[VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) | 不适用 | 已覆盖 |
| 2.1.2.17 | VDSS 应为所有穿越通信提供网络数据包流指标和统计数据。 | [CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) | [使用监控接口 VPC 终端节点的网络吞吐量 CloudWatch](https://aws.amazon.com/blogs/mt/monitor-network-throughput-of-interface-vpc-endpoints-using-amazon-cloudwatch/) | 已覆盖 |
| 2.1.2.18 | VDSS 应规定对进出每个任务所有者虚拟专用网络的流量进行检查。 | [Network](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [部署集中式流量过滤](https://aws.amazon.com/blogs/networking-and-content-delivery/deploy-centralized-traffic-filtering-using-aws-network-firewall/) | 已覆盖 |
CAP 的某些组成部分由您定义,但本指南未涵盖这些组件,因为每个机构都有自己的 CAP 连接 AWS。您可以用 LZA 补充 VDSS 的组件,以帮助检查进入的流量。 AWS LZA 中使用的服务提供边界和内部流量扫描,以帮助保护您的环境。为了继续构建 VDSS,LZA 中未包含一些其他基础架构组件。
通过使用虚拟私有云 (VPCs),您可以在每个云中建立界限 AWS 账户 ,以帮助遵守 SCCA 标准。这不是作为 LZA 的一部分进行配置的 VPCs,因为 IP 寻址和路由是必须根据基础架构的需要进行设置的组件。您可以在 A [mazon Rou](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) te 53 中实现诸如域名系统安全扩展 (DNSSEC) 之类的组件。您也可以添加第三方 AWS WAF 或商业版, WAFs 以帮助您达到必要的标准。
此外,为了支持 DISA SCCA 中的 2.1.2.7 要求,您可以使用和 Network Fi [GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)[rew](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) all 来帮助保护和监控环境中是否存在恶意流量。