Referenzbereitstellung

CMMC-Ready Microsoft Active Directory on AWS

Vorbereitung Ihrer Active-Directory-Umgebung für CMMC-Compliance

Bereitstellungsanleitung anzeigen

Dieser Quick Start ist für Benutzer, die eine Microsoft-Active-Directory-Umgebung bereitstellen wollen, die für die Compliance mit der Cybersecurity Maturity Model Certification (CMMC) geeignet ist. CMMC-Zertifizierung wird üblicherweise von Auftragnehmern des US Department of Defence verlangt.

Die Quick Start -Architektur ist für Unternehmen entwickelt, deren Workloads eine sicherere Verbindung mit geringer Latenz zu Active Directory Domain Services, Domain Name System und Zertifizierungsstellen-Services benötigen, die gleichzeitig die CMMC-Compliance gewährleisten. 

Die Schnellstart-Vorlage nutzt mehrere Services und Ressourcen, darunter AWS Key Management Service (AMS KMS), Amazon API Gateway, kundengesteuerte Quellen zum Herunterladen von Dateien, sowie die Implementierung von Defense Information Systems Agency Security Technical Implementation Guides.

Die Bereitstellung dieses Quick Starts garantiert nicht, dass eine Organisation Gesetze, Zertifizierungen, Richtlinien oder andere Vorschriften einhalten wird.

AWS-Logo

Dieser Schnellstart wurde von AWS entwickelt.

  •  Ihre Möglichkeiten

  • Der Quick Start richtet folgende Elemente ein:

    • Eine hochverfügbare Architektur, die sich über zwei Availability Zones erstreckt.*
    • Eine VPC, die mit öffentlichen und privaten Subnetzen gemäß den bewährten Methoden von AWS konfiguriert ist, um Ihnen Ihr eigenes virtuelles Netzwerk auf AWS zu bieten.*
    • In den öffentlichen Subnetzen:
      • Verwaltete Network-Address-Translation(NAT)-Gateways ermöglichen den ausgehenden Internetzugriff für Ressourcen in den privaten Subnetzen.*
      • In den öffentlichen Subnetzen ermöglicht ein Remote Desktop Gateway in einer Auto-Scaling-Gruppe den eingehenden Remote-Desktop-Zugriff auf Amazon-Elastic-Compute-Cloud-Instances (Amazon EC2) in öffentlichen und privaten Subnetzen. Eine RD-Gateway wird in Availability Zone 2 nur dann bereitgestellt, wenn Availability Zone 1 nicht mehr verfügbar ist.*
    • In den privaten Subnetzen:
      • Eine Offline-Root-Zertifizierungsstelle.
      • Zwei Active-Directory-Domänencontroller.
      • Eine untergeordnete Online-Zertifizierungsstelle.
    • Amazon Simple Storage Service- (Amazon S3) Federal-Information-Processing-Standards- (FIPS) Endpunkte für den Zugriff auf Group Policy Objects (GPOs), Protokolle, Zertifikats-Widerufungs-Listen und Einrichtungsdateien.
    • Lambda-Funktionen, um nach neuen GPOs zu suchen und diese zu importieren.
    • AWS-Systems-Manager-Autimatisierung, zum Importieren von GPOs und Einrichten der Active-Directory-Domänen-Controllers und der Zertifizierungsstelle.
    • AWS Secrets Manager zum Speichern von Anmeldeinformationen.
    • Ein AWS-KMS-Kunden-Master-Schlüssel zur Verwendung mit Amazon Elastic Block Store (Amazon EBS) und AWS-Secrets-Manager-Verschlüsselung.
    • Verschlüsselte Amazon-EBS-Volumes für die Amazon-EC2-Instances.

    * Die Vorlage, die den Quick Start in einer bestehenden VPC bereitstellt, überspringt die mit Sternchen gekennzeichneten Komponenten und fragt Sie nach Ihrer bestehenden VPC-Konfiguration. 

  •  Bereitstellungsanleitung

  • Zur Bereitstellung von CMMC-Ready Microsoft Active Directory befolgen Sie die Anweisungen im Bereitstellungsleitfaden. Eine Standard-Bereitstellung dauert etwa 1 Stunde und umfasst die folgenden Schritte:

    1. Falls Sie noch kein AWS-Konto haben, registrieren Sie sich bitte unter https://aws.amazon.com und melden sich dann in Ihrem Konto an.
    2. Bereitstellung des Quick Starts in einer neuen oder bestehenden VPC. Wählen Sie in der oberen Symbolleiste die Region aus, bevor Sie den Stack erstellen. 
    3. Durchführung von Aufgaben nach der Bereitstellung. 

    Amazon kann Informationen zur Benutzerbereitstellung an den AWS-Partner weitergeben, der mit AWS an dieser Lösung zusammengearbeitet hat.  

    Für weitere Informationen Bereitstellungsanleitung anzeigen
  •  Kosten und Lizenzen

  • Dieser Quick Start startet das Amazon Machine Image (AMI) für Microsoft Windows Server 2019 und umfasst die Lizenz für das Windows Server-Betriebssystem. Das AMI wird regelmäßig mit dem neuesten Service Pack für das Betriebssystem aktualisiert, sodass Sie keine Updates installieren müssen. Das Windows-Server-AMI enthält zwei Lizenzen für Microsoft Remote Desktop Services. Das Windows-Server-AMI erfordert keine Client-Access-Lizenzen. Weitere Einzelheiten finden Sie unter Microsoft-Lizenzen auf AWS.

    Sie sind für die Kosten der AWS-Services und sämtlicher Drittanbieter-Lizenzen verantwortlich, die bei der Ausführung dieser Quick Start-Referenz verwendet werden. Für die Nutzung des Quick Starts fallen keine zusätzlichen Kosten an.

    Die AWS CloudFormation-Vorlagen für diesen Quick Start enthalten Konfigurationsparameter, die Sie individuell an Ihre Bedürfnisse anpassen können. Einige dieser Einstellungen, beispielsweise der Instance-Typ, wirken sich auf die Bereitstellungskosten aus. In der Preisübersicht finden Sie Kostenvoranschläge für jeden AWS-Service, den Sie nutzen. Preisänderungen sind vorbehalten.

    Tipp: Erstellen Sie nach Bereitstellung des Quick Starts AWS Cost und Usage Reports, um die mit dem Quick Start verbundenen Kosten zu verfolgen. Diese Berichte liefern Abrechnungsmetriken an einen Amazon Simple Storage Service-Bucket (Amazon S3) in Ihrem Konto. Sie liefern Kostenschätzungen auf der Grundlage der Nutzung während jedes Monats und aggregieren die Daten am Ende des Monats. Weitere Informationen finden Sie unter  Was sind AWS-Kosten- und Nutzungsberichte?