implementazione di riferimento

CMMC-Ready Microsoft Active Directory in AWS

Prepara l'ambiente Active Directory per la conformità con CMMC

Consulta la guida all'implementazione

Questo Quick Start si rivolge agli utenti che desiderano implementare un ambiente Microsoft Active Directory pronto per la conformità con la certificazione CMMC (Cybersecurity Maturity Model Certification). La certificazione CMMC è richiesta a chiunque lavori come appaltatore per il Dipartimento della Difesa statunitense.

L'architettura Quick Start è stata messa a punto per le organizzazioni con carichi di lavoro che richiedono una connessione più sicura e a bassa latenza ad Active Directory Domain Services, al DNS (Domain Name System) e ai servizi delle autorità di certificazione, nel rispetto della conformità con CMMC. 

Il modello Quick Start utilizza numerosi servizi e risorse, quali AWS Key Management Service (AWS KMS), Amazon API Gateway, fonti di download dei file controllati dal cliente e l'implementazione delle guide all'implementazione tecnica per la sicurezza messe a punto dalla Defense Information Systems Agency statunitense.

La distribuzione di questo Quick Start non garantisce la conformità di un'organizzazione con eventuali leggi, certificazioni, politiche o altri regolamenti.

Logo AWS

Questo Quick Start è stato sviluppato da AWS.

  •  Attività che realizzerai

  • Il Quick Start configura quanto segue:

    • Un'architettura ad alta disponibilità che si estende su due zone di disponibilità.*
    • Un VPC configurato con sottoreti pubbliche e private secondo le best practice AWS, per creare la tua rete virtuale personale in AWS.*
    • Nelle sottoreti pubbliche:
      • Gateway NAT (Network Address Translation) gestiti che consentono l'accesso Internet in uscita alle risorse all'interno delle sottoreti private.*
      • Un Gateway Desktop remoto (RD Gateway) in un gruppo Auto Scaling che consente al protocollo RDP (Remote Desktop Protocol) in ingresso l'accesso alle istanze Amazon Elastic Compute Cloud (Amazon EC2) nelle sottoreti pubbliche e private. Un RD Gateway viene implementato nella zona di disponibilità 2 solo ed esclusivamente se la zona di disponibilità 1 non è più disponibile.*
    • Nelle sottoreti private:
      • Un'autorità di certificazione root non in linea.
      • Due controller per domini Active Directory.
      • Un'autorità di certificazione subordinata online.
    • Endpoint FIPS (Federal Information Processing Standards) di Amazon Simple Storage Service (Amazon S3) per l'accesso agli oggetti GPO (Group Policy Object), ai log, agli elenchi di revoca dei certificati e ai file di configurazione.
    • Funzioni Lambda per verificare se sono presenti nuovi GPO e importarli.
    • AWS Systems Manager Automation per importare gli oggetti GPO e configurare i controller di dominio Active Directory e l'autorità di certificazione.
    • AWS Secrets Manager per archiviare le credenziali.
    • Una chiave principale AWS KMS per il cliente da utilizzare con la crittografia di AWS Secrets Manager e Amazon Elastic Block Store (Amazon EBS).
    • Volumi Amazon EBS crittografati per le istanze Amazon EC2.

    * Il modello che implementa il Quick Start in un VPC esistente non include i componenti contrassegnati con un asterisco e richiede la configurazione del VPC esistente. 

  •  Come effettuare l'implementazione

  • Per implementare CMMC-Ready Microsoft Active Directory, segui le istruzioni contenute nella guida all'implementazione. L'implementazione standard richiede circa 1 minuto e include le seguenti fasi:

    1. Se non disponi già di un account AWS, registrati su https://aws.amazon.com e accedi al tuo account.
    2. Implementa il Quick Start su un nuovo VPC. Prima di creare la pila, scegli la regione dalla barra degli strumenti in alto. 
    3. Esegui le attività di post-implementazione. 

    Amazon può condividere informazioni relative all'implementazione con il Partner AWS che ha collaborato con AWS a questa soluzione.  

    Consulta la guida all'implementazione per ulteriori dettagli
  •  Costi e licenze

  • Questo Quick Start avvia l'Amazon Machine Image (AMI) per Microsoft Windows Server 2019 e include la licenza per il sistema operativo Windows Server. L'immagine AMI viene aggiornata regolarmente con il service pack più recente disponibile per il sistema operativo, quindi non è necessario installare alcun aggiornamento. L'AMI per Windows Server include due licenze Microsoft Remote Desktop Services. L'AMI per Windows Server non necessita di licenze CAL (Client Access License). Per informazioni, consulta la sezione Opzioni di licenza Microsoft su AWS.

    Ti saranno addebitati i costi dei servizi AWS e di eventuali licenze di terze parti usati per eseguire questa implementazione di riferimento Quick Start. Non sono previsti costi aggiuntivi per l'utilizzo del Quick Start.

    I modelli di AWS CloudFormation per questo Quick Start comprendono alcuni parametri di configurazione personalizzabili. Alcune di queste impostazioni, ad esempio il tipo di istanza, incideranno sul costo dell’implementazione. Per una stima dei costi di ogni servizio AWS utilizzato, consulta la pagina dei prezzi. I prezzi sono soggetti a modifiche.

    Suggerimento: dopo l'implementazione del Quick Start, crea un AWS Cost and Usage Report per monitorare i costi associati al Quick Start. Questi report forniscono i parametri di fatturazione a un bucket Amazon Simple Storage Service (Amazon S3) nel tuo account. Forniscono i costi stimati in base al consumo con cadenza mensile e aggregano i dati alla fine del mese. Per ulteriori informazioni, consulta la pagina  Cosa sono gli AWS Cost and Usage Report?