本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
虛擬資料中心安全堆疊
虛擬資料中心安全堆疊 (VDSS) 的目的是保護託管在其中的 DOD 任務擁有者應用程式 AWS。VDSS 提供安全服務的 enclave。VDSS 會在 SCCA 中執行大量安全操作。此元件包含安全和網路服務,例如傳入連線存取控制和周邊保護服務,包括 Web 應用程式防火牆、DDOS 保護、負載平衡器和聯網路由資源。VDSS 可以位於雲端基礎設施或內部部署、資料中心。 AWS 或第三方供應商可以透過基礎設施即服務 (IaaS) 提供 VDSS 功能, AWS 也可以透過軟體即服務 (SaaS) 解決方案提供這些功能。如需 VDSS 的詳細資訊,請參閱 DoD 雲端運算安全需求指南
下表包含 VDSS 的最低需求。它說明 LZA 是否滿足每個要求,以及 AWS 服務 您可以用來滿足這些要求。
| ID | VDSS 安全需求 | AWS 技術 | 其他資源 | LZA 涵蓋 |
|---|---|---|---|---|
| 2.1.2.1 | VDSS 應維護所有管理、使用者和資料流量的虛擬分離。 | 隔離 VPCs | 涵蓋 | |
| 2.1.2.2 | VDSS 應允許使用加密來分割管理流量。 | Amazon VPC (加密執行個體之間的流量) |
Amazon VPC 的加密最佳實務 | 涵蓋 |
| 2.1.2.3 | VDSS 應提供反向代理功能來處理來自用戶端系統的存取請求。 | N/A | 使用全受管反向代理來提供內容 |
未涵蓋 |
| 2.1.2.4 | VDSS 應能夠根據預先定義的規則集 (包括 HTTP) 來檢查和篩選應用程式層對話,以識別和封鎖惡意內容。 | 部分涵蓋 | ||
| 2.1.2.5 | VDSS 應提供可區分和封鎖未經授權應用程式層流量的功能。 | AWS WAF | 如何使用 Amazon GuardDuty 和 AWS WAF 自動封鎖可疑主機 |
未涵蓋 |
| 2.1.2.6 | VDSS 應提供監控網路和系統活動的功能,以偵測和報告進出任務擁有者虛擬私有網路/叢集的流量惡意活動。 | AWS Nitro Enclaves 研討會 |
部分涵蓋 | |
| 2.1.2.7 | VDSS 應提供監控網路和系統活動的功能,以停止或封鎖偵測到的惡意活動。 | N/A | 部分涵蓋 | |
| 2.1.2.8 | VDSS 應檢查和篩選任務擁有者虛擬私有網路/enclaves 之間周遊的流量。 | 網路防火牆 | 部署集中式流量篩選 |
涵蓋 |
| 2.1.2.9 | VDSS 應執行 SSL/TLS 通訊流量的中斷和檢查,以支援目的地為 CSE 內託管系統之流量的單一和雙重身分驗證。 | 網路防火牆 | Network Firewall 的部署模型 |
涵蓋 |
| 2.1.2.10 | VDSS 應提供介面來執行連接埠、通訊協定和服務管理 (PPSM) 活動,以便為 MCD 運算子提供控制。 | 網路防火牆 | Network Firewall 的部署模型 |
涵蓋 |
| 2.1.2.11 | VDSS 應提供監控功能,可擷取日誌檔案和事件資料以進行網路安全分析。 | 記錄安全事件回應 | 涵蓋 | |
| 2.1.2.12 | VDSS 應提供安全資訊和事件資料,或將資料提供給配置的封存系統,以供執行邊界和任務 CND 活動的特權使用者收集、儲存和存取事件日誌。 | Amazon CloudWatch Logs | CloudWatch Logs 的安全性 | 涵蓋 |
| 2.1.2.13 | VDSS 應提供符合 FIPS-140-2 標準的加密金鑰管理系統,用於儲存產生的 DoD 和指派的伺服器私有加密金鑰憑證,以供 Web Application Firewall (WAF) 在執行 SSL/TLS 中斷和檢查加密的通訊工作階段時使用。 | 未涵蓋 | ||
| 2.1.2.14 | VDSS 應提供偵測和識別應用程式工作階段劫持的功能。 | N/A | N/A | 未涵蓋 |
| 2.1.2.15 | VDSS 應提供 DoD DMZ 延伸以支援面向網際網路的應用程式 (IFAs)。 | N/A | N/A | 未涵蓋 |
| 2.1.2.16 | VDSS 應提供完整的封包擷取 (FPC) 或雲端服務對等 FPC 功能,以記錄和解釋周遊通訊。 | N/A | 涵蓋 | |
| 2.1.2.17 | VDSS 應提供所有周遊通訊的網路封包流量指標和統計資料。 | CloudWatch | 使用 CloudWatch 監控介面 VPC 端點的網路輸送量 |
涵蓋 |
| 2.1.2.18 | VDSS 應提供流量的檢查,以進出每個任務擁有者虛擬私有網路。 | 網路防火牆 | 部署集中式流量篩選 |
涵蓋 |
您定義的 CAP 有元件,且本指南未涵蓋這些元件,因為每個機構都有自己的 CAP 連線 AWS。您可以使用 LZA 補充 VDSS 的元件,以協助檢查傳入 的流量 AWS。LZA 中使用的服務提供邊界和內部流量掃描,以協助保護您的環境。為了繼續建置 VDSS,LZA 中不包含一些額外的基礎設施元件。
透過使用虛擬私有雲端 VPCs),您可以在每個 中建立邊界 AWS 帳戶 ,以協助遵守 SCCA 標準。這不會設定為 LZA 的一部分,因為 VPCs、IP 定址和路由是您必須視需要為基礎設施設定的元件。您可以在 Amazon Route 53 中實作網域名稱系統安全延伸模組 (DNSSEC) 等元件。您也可以新增 AWS WAF 或第三方的商業 WAFs,以協助您達成必要的標準。
此外,若要支援 DISA SCCA 中的要求 2.1.2.7,您可以使用 GuardDuty 和 Network Firewall 協助保護和監控環境是否有惡意流量。
