implantação de referência

Microsoft Active Directory pronto para CMMC na AWS

Prepare um ambiente do Active Directory para compatibilidade com CMMC

Visualize o guia de implantação

Este Início rápido é voltado para usuários que necessitam implantar um ambiente do Microsoft Active Directory que esteja pronto para a compatibilidade com a Certificação do Modelo de Maturidade de Cibersegurança (CMMC). A certificação CMMC geralmente é necessária para prestadores de serviço do Ministério da Defesa dos Estados Unidos.

A arquitetura de Início rápido é projetada para organizações que executam workloads que necessitam de conectividade mais segura e de baixa latência para o Active Directory Domain Services, Sistema de Nomes de Domínio e serviços de autoridade de certificação, mantendo a compatibilidade com a CMMC. 

O modelo de Início rápido usa vários serviços e recursos, como o AWS Key Management Service (AWS KMS), o Amazon API Gateway, fontes de download de arquivos controladas pelo cliente e a implementação de Guias de Implementação de segurança técnica da Defense Information Systems Agency.

A implantação deste Quick Start não garante a conformidade da organização com quaisquer leis, certificações, políticas ou outras normas.

Logotipo da AWS

Esse Quick Start foi desenvolvido pela AWS.

  •  O que você criará

  • O Quick Start configura o seguinte:

    • Uma arquitetura de alta disponibilidade que abrange duas zonas de disponibilidade.*
    • Uma VPC configurada com sub-redes públicas e privadas de acordo com as melhores práticas da AWS para provisionar sua própria rede virtual na AWS.*
    • Nas sub-redes públicas:
      • Gateways gerenciados de Network Address Translation (NAT - Conversão de endereço de rede) para permitir o acesso de saída à Internet para recursos nas sub-redes privadas.*
      • Um gateway de desktop remoto (RD Gateway) em um grupo de Auto Scaling para permitir um protocolo RDP de acesso de entrada a instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em sub-redes públicas e privadas. Um RD Gateway só será implantado na zona de disponibilidade 2 quando a zona de disponibilidade 1 não estiver disponível.*
    • Nas sub-redes privadas:
      • Uma autoridade de certificação raiz offline.
      • Dois controladores de domínio do Microsoft Active Directory.
      • Um autoridade de certificação subordinada online.
    • Endpoints da Federal Information Processing Standards (FIPS) do Amazon Simple Storage Service (Amazon S3) para acessar objetos de políticas de grupos (GPOs), logs, listas de revogação de certificados e arquivos de configuração.
    • Funções Lambda para verificar novos GPOs e importá-los.
    • AWS Systems Manager Automation para importar GPOs e configurar tanto os controladores de domínio do Active Directory como a autoridade de certificação.
    • AWS Secrets Manager para armazenar credenciais.
    • Uma chave primária do cliente do AWS KMS para ser usada com criptografia do Amazon Elastic Block Store (Amazon EBS) e do AWS Secrets Manager.
    • Volumes do Encrypted Amazon EBS para instâncias do Amazon EC2.

    * O modelo que implanta o Quick Start em uma VPC existente ignora os componentes marcados com asteriscos e solicita que você informe a configuração dessa VPC existente. 

  •  Como implantar

  • Para implantar o Microsoft Active Directory pronto para CMMC, siga as instruções do guia de implantação. A implantação padrão leva aproximadamente uma hora e inclui as seguintes etapas:

    1. Caso ainda não tenha uma conta da AWS, cadastre-se em https://aws.amazon.com e faça login na sua conta.
    2. Implante o Início rápido em uma VPC nova ou existente. Escolha a região na barra de ferramentas superior antes de criar a pilha. 
    3. Realize tarefas pós-implantação. 

    A Amazon pode compartilhar informações sobre implantações de usuários com o parceiro da AWS que colaborou com a AWS nesta solução.  

    Consulte o guia de implantação para obter detalhes
  •  Custo e licenças

  • Este Início rápido inicia a imagem de máquina da Amazon (AMI) para o Microsoft Windows Server 2019 e inclui a licença para o sistema operacional Windows Server. A AMI é atualizada regularmente com o pacote de serviços mais recente para o sistema operacional. Assim, não é necessário instalar atualizações. A AMI do Windows Server inclui duas licenças dos Serviços de Área de Trabalho Remota da Microsoft. A AMI do Windows Server não necessita de licenças de acesso para cliente (CALs). Para obter detalhes, consulte Licenciamento da Microsoft na AWS.

    Você é responsável pelo custo dos produtos da AWS e de quaisquer licenças de terceiros usadas durante essa implantação de referência do Início rápido. Não há custo adicional para usar o Início rápido.

    Os modelos do AWS CloudFormation para este Quick Start incluem parâmetros de configuração personalizáveis. Algumas dessas configurações, como o tipo de instância, afetam o custo da implantação. Para as estimativas de custo, consulte as páginas de definição de preço de cada serviço da AWS que você utiliza. Os preços estão sujeitos a alterações.

    Dica: depois de implantar o Início rápido, crie os AWS Cost and Usage Reports para rastrear os custos associados ao Início rápido. Esses relatórios fornecem métricas de faturamento para um bucket do Amazon Simple Storage Service (Amazon S3) na sua conta. Eles fornecem estimativas de custos com base no uso ao longo de cada mês e agregam os dados no fim do mês. Para obter mais informações, consulte O que são AWS Cost and Usage Reports?