本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 虛擬資料中心受管服務
虛擬資料中心受管服務 (VDMS) 的目的是提供主機安全和共用資料中心服務。VDMS 的函數可以在 SCCA 的中樞中執行,也可以由任務擁有者自行部署部分 AWS 帳戶。您可以在 AWS 環境中提供此元件。如需 VDMS 的詳細資訊,請參閱 [DoD 雲端運算安全需求指南](https://public.cyber.mil/dccs/dccs-documents/)。
下表包含 VDMS 的最低需求。它說明 LZA 是否滿足每個要求,以及 AWS 服務 您可以用來滿足這些要求。
****
| ID | VDMS 安全需求 | AWS 技術 | 其他資源 | LZA 涵蓋 |
| --- | --- | --- | --- | --- |
| 2.1.3.1 | VDMS 應提供保證合規評估解決方案 (ACAS) 或核准的同等項目,以持續監控 CSE 中的所有環境。 | [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
[AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)
[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) | [使用 Amazon Inspector 進行漏洞掃描](https://catalog.us-east-1.prod.workshops.aws/secure-windows/en-US/vulnerability-management/inspector) | 部分涵蓋 |
| 2.1.3.2 | VDMS 應提供主機型安全系統 (HBSS) 或已核准的同等系統,以管理 CSE 內所有 enclaves 的端點安全。 | N/A | N/A | 未涵蓋 |
| 2.1.3.3 | VDMS 應提供身分服務,以包含遠端系統 DoD 通用存取卡 (CAC) 的線上憑證狀態通訊協定 (OCloud 工作負載安全) 回應程式,對在 CSE 中執行個體化的系統進行 DoD 特殊權限使用者的雙重身分驗證。 | 多重要素驗證 (MFA) 可透過下列方式取得:
[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)
[AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
[AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)
[AWS 私有憑證授權單位](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) | [設定 Amazon WorkSpaces 的 CAC 卡](https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html) | 部分涵蓋 |
| 2.1.3.4 | VDMS 應提供組態和更新管理系統,為 CSE 內所有環境提供系統和應用程式。 | [AWS Systems Manager 修補程式管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html)
[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) | [使用 自動化修補程式管理 AWS Systems Manager](https://www.youtube.com/watch?v=1bLJdJ4zryU)(YouTube 影片) | 部分涵蓋 |
| 2.1.3.5 | VDMS 應提供邏輯網域服務,以包含 CSE 內所有 enclaves 的目錄存取、目錄聯合、動態主機組態協定 (DHCP) 和網域名稱系統 (DNS)。 | [AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)
[Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
[Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) | [設定 VPC 的 DNS 屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) | 部分涵蓋 |
| 2.1.3.6 | VDMS 應提供網路來管理 CSE 中的系統和應用程式,其邏輯上與使用者和資料網路分開。 | [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
[Amazon VPC 子網路](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) | N/A | 涵蓋 |
| 2.1.3.7 | VDMS 應提供系統、安全性、應用程式和使用者活動事件記錄和封存系統,以供執行 BCP 和 MCP 活動的特權使用者收集、儲存和存取事件日誌。 | [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)
[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)
[Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) | [使用 OpenSearch 集中記錄](https://aws.amazon.com/solutions/implementations/centralized-logging-with-opensearch/) | 涵蓋 |
| 2.1.3.8 | VDMS 應提供 DoD 特殊權限使用者身分驗證和授權屬性與 CSP 的身分和存取管理系統的交換,以啟用雲端系統佈建、部署和組態。 | [AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) | [增強您的 AWS Managed Microsoft AD 安全組態](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_network_security.html) | 未涵蓋 |
| 2.1.3.9 | VDMS 應實作必要的技術功能,以執行 TCCM 角色的任務和目標。 | [AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)
[IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)
[IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) | N/A | 部分涵蓋 |
如下圖所示,LZA 會鋪設基本元件以符合 VDMS 基本需求。在部署 LZA 之後,您需要設定一些額外的元件,以協助您符合 VDMS 標準。在上表中,請務必檢閱**其他資源**欄中的連結。這些連結可協助您設定這些額外項目,或提供進一步的安全性增強功能。
## 補充服務整合
上表**的其他資源**欄列出可協助您擴充 LZA 以符合 VDMS 要求的資源。 AWS 另提供一些研討會資料,協助您設定安全的雲端架構。如果不進行修改,LZA 符合 IL4/IL5 要求,但您可以部署其他服務來增強環境 AWS 的安全性。
例如,Amazon Inspector 是一種漏洞管理服務,可持續掃描 AWS 工作負載是否有軟體漏洞和意外的網路暴露。您可以使用它來識別和調查主機作業系統中的漏洞,例如 Windows 和 Linux。雖然 Amazon Inspector 可能不會完全納入主機型安全系統 (HBSS) 的所有必要要求,但至少會提供執行個體的基本層級漏洞評估。
## 作業系統修補
作業系統修補是操作安全環境的核心元件。 AWS 提供並建議使用 的[修補程式管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html) AWS Systems Manager,以維持一致的修補程式基準並自動化修補程式部署。Patch Manager 會使用安全相關更新和其他類型的更新,自動修補受管節點的程序。
您可以使用修補程式管理員以套用適用於作業系統和應用程式的修補程式。(在 Windows Server 上,應用程式支援僅限於 Microsoft 發佈的應用程式更新。) 如需詳細資訊,請參閱 AWS 雲端操作和遷移部落格上的[使用 AWS Systems Manager 修補程式管理員協調多步驟自訂修補程式程序](https://aws.amazon.com/blogs/mt/orchestrating-custom-patch-processes-aws-systems-manager-patch-manager/)。
如需使用修補程式管理員的step-by-step說明,請參閱 [AWS 管理與控管工具研討會](https://mng.workshop.aws/ssm/use-case-labs/inventory_patch_management/patch.html)。
如需在 上保護 Microsoft Windows 工作負載的詳細資訊 AWS,請參閱在 [AWS 研討會上保護 Windows 工作負載。](https://catalog.us-east-1.prod.workshops.aws/secure-windows)