本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 虛擬資料中心安全堆疊
虛擬資料中心安全堆疊 (VDSS) 的目的是保護託管在其中的 DOD 任務擁有者應用程式 AWS。VDSS 提供安全服務的 enclave。VDSS 會在 SCCA 中執行大量安全操作。此元件包含安全和網路服務,例如傳入連線存取控制和周邊保護服務,包括 Web 應用程式防火牆、DDOS 保護、負載平衡器和聯網路由資源。VDSS 可以位於雲端基礎設施或內部部署、資料中心。 AWS 或第三方供應商可以透過基礎設施即服務 (IaaS) 提供 VDSS 功能, AWS 也可以透過軟體即服務 (SaaS) 解決方案提供這些功能。如需 VDSS 的詳細資訊,請參閱 [DoD 雲端運算安全需求指南](https://public.cyber.mil/dccs/dccs-documents/)。
下表包含 VDSS 的最低需求。它說明 LZA 是否滿足每個要求,以及 AWS 服務 您可以用來滿足這些要求。
****
| ID | VDSS 安全需求 | AWS 技術 | 其他資源 | LZA 涵蓋 |
| --- | --- | --- | --- | --- |
| 2.1.2.1 | VDSS 應維護所有管理、使用者和資料流量的虛擬分離。 | [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)
[網路存取控制清單 (ACL)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
[彈性網路介面的安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) | [隔離 VPCs](https://docs.aws.amazon.com/vpc/latest/tgw/how-transit-gateways-work.html#TGW_Scenarios) | 涵蓋 |
| 2.1.2.2 | VDSS 應允許使用加密來分割管理流量。 | [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/data-protection.html) (加密執行個體之間的流量) | [Amazon VPC 的加密最佳實務](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/vpc.html) | 涵蓋 |
| 2.1.2.3 | VDSS 應提供反向代理功能來處理來自用戶端系統的存取請求。 | N/A | [使用全受管反向代理來提供內容](https://aws.amazon.com/blogs/architecture/serving-content-using-fully-managed-reverse-proxy-architecture/) | 未涵蓋 |
| 2.1.2.4 | VDSS 應能夠根據預先定義的規則集 (包括 HTTP) 來檢查和篩選應用程式層對話,以識別和封鎖惡意內容。 | [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)
[網路防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [Web 請求內文檢查](https://docs.aws.amazon.com/waf/latest/developerguide/waf-oversize-request-components.html)
[使用 Network Firewall 進行 TLS 流量檢查](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/) | 部分涵蓋 |
| 2.1.2.5 | VDSS 應提供可區分和封鎖未經授權應用程式層流量的功能。 | [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html) | [如何使用 Amazon GuardDuty 和 AWS WAF 自動封鎖可疑主機](https://aws.amazon.com/blogs/security/how-to-use-amazon-guardduty-and-aws-web-application-firewall-to-automatically-block-suspicious-hosts/) | 未涵蓋 |
| 2.1.2.6 | VDSS 應提供監控網路和系統活動的功能,以偵測和報告進出任務擁有者虛擬私有網路/叢集的流量惡意活動。 | [VPC 流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
[AWS Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html) | [AWS Nitro Enclaves 研討會](https://catalog.workshops.aws/nitro-enclaves/) | 部分涵蓋 |
| 2.1.2.7 | VDSS 應提供監控網路和系統活動的功能,以停止或封鎖偵測到的惡意活動。 | [網路防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)
[AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html) | N/A | 部分涵蓋 |
| 2.1.2.8 | VDSS 應檢查和篩選任務擁有者虛擬私有網路/enclaves 之間周遊的流量。 | [網路防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [部署集中式流量篩選](https://aws.amazon.com/blogs/networking-and-content-delivery/deploy-centralized-traffic-filtering-using-aws-network-firewall/) | 涵蓋 |
| 2.1.2.9 | VDSS 應執行 SSL/TLS 通訊流量的中斷和檢查,以支援目的地為 CSE 內託管系統之流量的單一和雙重身分驗證。 | [網路防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [Network Firewall 的部署模型](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall-with-vpc-routing-enhancements/) | 涵蓋 |
| 2.1.2.10 | VDSS 應提供介面來執行連接埠、通訊協定和服務管理 (PPSM) 活動,以便為 MCD 運算子提供控制。 | [網路防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [Network Firewall 的部署模型](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall-with-vpc-routing-enhancements/) | 涵蓋 |
| 2.1.2.11 | VDSS 應提供監控功能,可擷取日誌檔案和事件資料以進行網路安全分析。 | [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)
[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) | [記錄安全事件回應](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/logging-and-events.html) | 涵蓋 |
| 2.1.2.12 | VDSS 應提供安全資訊和事件資料,或將資料提供給配置的封存系統,以供執行邊界和任務 CND 活動的特權使用者收集、儲存和存取事件日誌。 | [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) | [CloudWatch Logs 的安全性](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/security.html) | 涵蓋 |
| 2.1.2.13 | VDSS 應提供符合 FIPS-140-2 標準的加密金鑰管理系統,用於儲存產生的 DoD 和指派的伺服器私有加密金鑰憑證,以供 Web Application Firewall (WAF) 在執行 SSL/TLS 中斷和檢查加密的通訊工作階段時使用。 | [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
[AWS Key Management Service(AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) | [使用 AWS WAF 和 Secrets Manager 增強 Amazon CloudFront 原始伺服器安全性](https://aws.amazon.com/blogs/security/how-to-enhance-amazon-cloudfront-origin-security-with-aws-waf-and-aws-secrets-manager/)
[AWS KMS 使用 FIPS 140-2 進行金鑰管理](https://aws.amazon.com/blogs/security/aws-key-management-service-now-offers-fips-140-2-validated-cryptographic-modules-enabling-easier-adoption-of-the-service-for-regulated-workloads/) | 未涵蓋 |
| 2.1.2.14 | VDSS 應提供偵測和識別應用程式工作階段劫持的功能。 | N/A | N/A | 未涵蓋 |
| 2.1.2.15 | VDSS 應提供 DoD DMZ 延伸以支援面向網際網路的應用程式 (IFAs)。 | N/A | N/A | 未涵蓋 |
| 2.1.2.16 | VDSS 應提供完整的封包擷取 (FPC) 或雲端服務對等 FPC 功能,以記錄和解釋周遊通訊。 | [網路防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)
[VPC 流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) | N/A | 涵蓋 |
| 2.1.2.17 | VDSS 應提供所有周遊通訊的網路封包流量指標和統計資料。 | [CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) | [使用 CloudWatch 監控介面 VPC 端點的網路輸送量](https://aws.amazon.com/blogs/mt/monitor-network-throughput-of-interface-vpc-endpoints-using-amazon-cloudwatch/) | 涵蓋 |
| 2.1.2.18 | VDSS 應提供流量的檢查,以進出每個任務擁有者虛擬私有網路。 | [網路防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) | [部署集中式流量篩選](https://aws.amazon.com/blogs/networking-and-content-delivery/deploy-centralized-traffic-filtering-using-aws-network-firewall/) | 涵蓋 |
您定義的 CAP 有元件,且本指南未涵蓋這些元件,因為每個機構都有自己的 CAP 連線 AWS。您可以使用 LZA 補充 VDSS 的元件,以協助檢查傳入 的流量 AWS。LZA 中使用的服務提供邊界和內部流量掃描,以協助保護您的環境。為了繼續建置 VDSS,LZA 中不包含一些額外的基礎設施元件。
透過使用虛擬私有雲端 VPCs),您可以在每個 中建立邊界 AWS 帳戶 ,以協助遵守 SCCA 標準。這不會設定為 LZA 的一部分,因為 VPCs、IP 定址和路由是您必須視需要為基礎設施設定的元件。您可以在 [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) 中實作網域名稱系統安全延伸模組 (DNSSEC) 等元件。您也可以新增 AWS WAF 或第三方的商業 WAFs,以協助您達成必要的標準。
此外,若要支援 DISA SCCA 中的要求 2.1.2.7,您可以使用 [GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 和 [Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) 協助保護和監控環境是否有惡意流量。