implementación de referencia

Microsoft Active Directory preparado para CMMC en AWS

Prepare su entorno de Active Directory para la conformidad con la CMMC

Ver la guía de implementación

Este Quick Start es para los usuarios que tengan que implementar un entorno de Microsoft Active Directory preparado para la conformidad con la Certificación del modelo de madurez de ciberseguridad (CMMC). La certificación CMMC suele exigirse a los contratistas del Departamento de Defensa de Estados Unidos.

La arquitectura de Quick Start está diseñada para organizaciones que ejecutan cargas de trabajo que requieren una conectividad más segura y de baja latencia con los servicios de dominio de Active Directory, el sistema de nombres de dominio y los servicios de autoridad de certificados, a la vez que mantienen la conformidad con la CMMC. 

La plantilla de Quick Start utiliza varios servicios y recursos, como AWS Key Management Service (AWS KMS), Amazon API Gateway, fuentes de descarga de archivos controladas por el cliente y la implementación de las Guías de implementación técnica de seguridad de la Agencia de Sistemas de Información de Defensa.

Implementar este Quick Start no garantiza que la organización cumpla las leyes, certificaciones, políticas y regulaciones pertinentes.

Logotipo de AWS

AWS desarrolló este Quick Start.

  •  Lo que creará

  • El Quick Start configura lo siguiente:

    • Una arquitectura con alta disponibilidad en la que se abarquen dos zonas de disponibilidad.*
    • Una VPC configurada con subredes públicas y privadas, en función de las prácticas recomendadas de AWS, que le proporcionará su propia red virtual en AWS*.
    • En las subredes públicas:
      • Gateways administradas de traducción de direcciones de red (NAT) para permitir el acceso saliente a Internet a recursos en las subredes privadas.*
      • Un gateway de escritorio remoto (RD Gateway) en un grupo de Auto Scaling para permitir el acceso de entrada del protocolo de escritorio remoto (RDP, Remote Control Protocol) a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) en las subredes públicas y privadas. Una RD Gateway se implementa en la zona de disponibilidad 2 solo si la zona de disponibilidad 1 no está disponible.*
    • En las subredes privadas:
      • Una autoridad certificadora raíz sin conexión.
      • Dos controladores de dominio de Active Directory.
      • Una autoridad certificadora subordinada en línea.
    • Puntos de enlace de Federal Information Processing Standards (FIPS, Estándares federales de procesamiento de información) de Amazon Simple Storage Service (Amazon S3) para acceder a Group Policy Objects (GPO, Objetos de directiva de grupo), los registros, las listas de revocación de certificados y los archivos de configuración.
    • Funciones de Lambda para buscar nuevos GPO e importarlos.
    • Automatización de AWS Systems Manager para importar los GPO y configurar los controladores de dominio de Active Directory y la autoridad de certificación.
    • AWS Secrets Manager para almacenar credenciales.
    • Una clave maestra de cliente de AWS KMS para utilizar con el cifrado de Amazon Elastic Block Store (Amazon EBS) y AWS Secrets Manager.
    • Volúmenes de Amazon EBS cifrados para las instancias de Amazon EC2.

    * En la plantilla con la que se implementa el Quick Start en una VPC existente, se omiten las tareas marcadas con asteriscos y se le pide la configuración de su VPC existente. 

  •  Cómo implementar

  • Para implementar Microsoft Active Directory preparado para CMMC, siga las instrucciones en la guía de implementación. La implementación estándar se tarda alrededor de 1 hora e incluye los siguientes pasos:

    1. Si aún no tiene una cuenta de AWS, regístrese en https://aws.amazon.com e inicie sesión en su cuenta.
    2. Implemente el Quick Start en una VPC nueva o existente. Elija la región en la barra de herramientas superior antes de crear la pila. 
    3. Realice las tareas posteriores a la implementación. 

    Amazon puede compartir la información de implementación de los usuarios con el socio de AWS que colaboró con AWS en esta solución.  

    Consulte la guía de implementación para obtener detalles
  •  Costos y licencias

  • El Quick Start lanza Amazon Machine Image (AMI) para Microsoft Windows Server 2019 e incluye la licencia del sistema operativo Windows Server. AMI se actualiza periódicamente con el último Service Pack del sistema operativo, de modo que no tiene que instalar ninguna actualización. AMI de Windows Server incluye dos licencias de servicios de escritorio remoto de Microsoft. AMI de Windows Server no requiere licencias de acceso de cliente. Para obtener más detalles, consulte Licencias de Microsoft en AWS.

    Deberá pagar el costo de los servicios de AWS y las licencias de terceros que se utilicen para ejecutar esta implementación de referencia del Quick Start. No hay costos adicionales por el uso del Quick Start.

    En las plantillas de AWS CloudFormation para este Quick Start, se incluyen parámetros de configuración que puede personalizar. Algunas de estas configuraciones, como el tipo de instancia, afectan el costo de la implementación. Para hacer estimaciones de costos, consulte las páginas de precios de cada servicio de AWS que utilice. Los precios están sujetos a modificaciones.

    Sugerencia: Después de implementar el Quick Start, cree AWS Cost and Usage Reports para hacer el seguimiento de los costos asociados al Quick Start. Estos informes envían métricas de facturación a un bucket de Amazon Simple Storage Service (Amazon S3) en su cuenta. Proporcionan estimaciones de costos en función del uso de cada mes y agregan los datos a finales del mes. Para obtener más información, consulte What are AWS Cost and Usage Reports?