Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
FAQ Keamanan
AMS menyediakan dukungan 24/7/365 follow-the-sun melalui pusat operasi global. Insinyur operasi AMS yang berdedikasi secara aktif memantau dasbor dan antrian insiden. Biasanya, AMS mengelola akun Anda melalui otomatisasi. Dalam keadaan langka yang memerlukan keahlian pemecahan masalah atau penerapan khusus, insinyur operasi AMS dapat mengakses akun Anda. AWS
Berikut ini adalah pertanyaan umum tentang praktik terbaik keamanan, kontrol, model akses, dan mekanisme audit yang digunakan AMS Accelerate saat insinyur operasi AMS atau otomatisasi mengakses akun Anda.
Kapan insinyur operasi AMS mengakses lingkungan saya?
Insinyur operasi AMS tidak memiliki akses terus-menerus ke akun atau instans Anda. Akses ke akun pelanggan diberikan kepada operator AMS hanya untuk kasus penggunaan bisnis yang dapat dibenarkan, seperti peringatan, insiden, permintaan perubahan, dan sebagainya. Akses didokumentasikan dalam AWS CloudTrail log.
Untuk pembenaran akses, pemicu, dan inisiator pemicu, lihat. Pemicu akses akun pelanggan AMS
Peran apa yang diasumsikan oleh insinyur operasi AMS saat mereka mengakses akun saya?
Dalam kasus yang jarang terjadi (~ 5%) yang memerlukan intervensi manusia di lingkungan Anda, insinyur operasi AMS masuk ke akun Anda dengan peran akses default, baca saja. Peran default tidak memiliki akses ke konten apa pun yang biasanya disimpan di penyimpanan data, seperti Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift, dan Amazon. ElastiCache
Untuk daftar peran yang diperlukan oleh insinyur operasi dan sistem AMS untuk menyediakan layanan di akun Anda, lihatAkun pelanggan AMS mengakses peran IAM.
Bagaimana cara insinyur operasi AMS mengakses akun saya?
Untuk mengakses akun pelanggan, insinyur operasi AMS menggunakan layanan akses AMS AWS internal. Layanan internal ini hanya tersedia melalui saluran pribadi yang aman sehingga akses ke akun Anda aman dan diaudit.
Insinyur operasi AMS menggunakan otentikasi layanan akses AMS internal bersama dengan otentikasi dua faktor. Dan, insinyur operasi harus memberikan justifikasi bisnis (tiket insiden atau ID permintaan layanan) yang menguraikan kebutuhan untuk mengakses akun Anda AWS .
Berdasarkan otorisasi insinyur operasi, layanan akses AMS memberi insinyur peran yang sesuai (Baca-only/Operator/Admin) dan URL login ke AWS konsol Anda. Akses ke akun Anda berumur pendek dan terikat waktu.
Untuk mengakses EC2 instans Amazon, insinyur operasi AMS menggunakan layanan akses AMS internal yang sama dengan broker. Setelah akses diberikan, teknisi operasi AMS menggunakannya AWS Systems Manager Session Manager untuk mengakses instans Anda dengan kredensyal sesi yang berumur pendek.
Untuk menyediakan akses RDP untuk instans Windows, insinyur operasi menggunakan Amazon EC2 Systems Manager untuk membuat pengguna lokal pada instance dan membuat penerusan port ke instance. Insinyur operasi menggunakan kredensyal pengguna lokal untuk akses RDP ke instance. Kredensi pengguna lokal akan dihapus pada akhir sesi.
Diagram berikut menguraikan proses yang digunakan oleh insinyur operasi AMS untuk mengakses akun Anda:
Bagaimana cara melacak perubahan yang dibuat oleh AMS di AWS akun terkelola AMS saya?
Akses akun
Untuk membantu Anda melacak perubahan yang dibuat oleh otomatisasi atau oleh tim operasi AMS Accelerate, AMS menyediakan antarmuka Ubah catatan SQL di konsol Amazon Athena dan log AMS Accelerate. Sumber daya ini memberikan informasi berikut:
Siapa yang mengakses akun Anda.
Ketika akun diakses.
Hak istimewa apa yang digunakan untuk mengakses akun Anda.
Perubahan apa yang dilakukan oleh AMS Accelerate di akun Anda.
Mengapa perubahan dilakukan di akun Anda.
Konfigurasi sumber daya
Lihat CloudTrail log untuk melacak konfigurasi dalam AWS sumber daya Anda selama 90 hari terakhir. Jika konfigurasi Anda lebih tua dari 90 hari, maka akses log di Amazon S3.
Log contoh
CloudWatch Agen Amazon mengumpulkan log sistem operasi. Lihat CloudWatch log untuk melihat login dan log tindakan lain yang didukung sistem operasi Anda.
Untuk informasi selengkapnya, lihat Melacak perubahan di akun AMS Accelerate.
Apa saja kontrol proses untuk akses insinyur operasi AMS ke akun saya?
Sebelum bergabung dengan AMS, insinyur operasi menjalani pemeriksaan latar belakang kriminal. Karena insinyur AMS mengelola infrastruktur pelanggan, mereka juga memiliki pemeriksaan latar belakang tahunan wajib. Jika seorang insinyur gagal dalam pemeriksaan latar belakang, maka akses dicabut.
Semua insinyur operasi AMS harus menyelesaikan pelatihan keamanan wajib, seperti keamanan infrastruktur, keamanan data, dan respons insiden sebelum mereka diberikan akses ke sumber daya.
Bagaimana akses istimewa dikelola?
Sebagian pengguna harus menyelesaikan pelatihan tambahan dan mempertahankan hak akses istimewa untuk akses yang lebih tinggi. Akses dan penggunaan diperiksa dan diaudit. AMS membatasi akses istimewa ke keadaan luar biasa atau ketika akses hak istimewa paling sedikit tidak dapat memenuhi permintaan Anda. Akses istimewa juga terikat waktu.
Apakah insinyur operasi AMS menggunakan MFA?
Ya. Semua pengguna harus menggunakan MFA dan Bukti Kehadiran untuk memberikan layanan kepada Anda.
Apa yang terjadi pada akses mereka ketika karyawan AMS meninggalkan organisasi atau mengubah peran pekerjaan?
Akses ke akun pelanggan dan sumber daya disediakan melalui keanggotaan grup internal. Keanggotaan didasarkan pada kriteria ketat termasuk peran pekerjaan tertentu, manajer pelaporan, dan status pekerjaan di AMS. Jika keluarga pekerjaan insinyur operasi berubah atau ID pengguna mereka dinonaktifkan, maka akses dicabut.
Kontrol akses apa yang mengatur akses insinyur operasi AMS ke akun saya?
Ada beberapa lapisan kontrol teknis untuk menegakkan prinsip “kebutuhan untuk mengetahui” dan “hak istimewa paling kecil” untuk akses ke lingkungan Anda. Berikut ini adalah daftar kontrol akses:
Semua insinyur operasi harus menjadi bagian dari AWS grup internal tertentu untuk mengakses akun dan sumber daya pelanggan. Keanggotaan grup secara ketat didasarkan pada kebutuhan untuk mengetahui dasar dan otomatis dengan kriteria yang telah ditentukan.
AMS mempraktikkan akses “non-persistensi” ke lingkungan Anda. Ini berarti bahwa akses ke AWS akun Anda dengan operasi AMS adalah "just-in-time" dengan kredensyal berumur pendek. Akses ke akun Anda diberikan hanya setelah pembenaran kasus bisnis internal (permintaan layanan, insiden, permintaan manajemen perubahan, dan sebagainya) diajukan dan ditinjau.
AMS mengikuti prinsip hak istimewa paling sedikit. Jadi, insinyur operasi resmi mengasumsikan akses Read-Only secara default. Akses tulis hanya digunakan oleh teknisi ketika perubahan pada lingkungan Anda diperlukan karena insiden atau permintaan perubahan.
AMS menggunakan AWS Identity and Access Management peran standar dan mudah diidentifikasi yang menggunakan awalan “ams” untuk memantau dan mengelola akun Anda. Semua akses masuk AWS CloudTrail untuk Anda audit.
AMS menggunakan alat backend otomatis untuk mendeteksi perubahan yang tidak sah pada akun Anda selama fase validasi informasi pelanggan dari eksekusi perubahan.
Bagaimana AMS memantau akses pengguna root?
Akses root selalu memicu proses respons insiden. AMS menggunakan GuardDuty deteksi Amazon untuk memantau aktivitas pengguna root. Jika GuardDuty menghasilkan peringatan, AMS membuat acara untuk penyelidikan lebih lanjut. AMS memberi tahu Anda jika aktivitas akun root yang tidak terduga terdeteksi, dan tim AMS Security memulai penyelidikan.
Bagaimana AMS menanggapi insiden keamanan?
AMS menyelidiki peristiwa keamanan yang dihasilkan dari layanan deteksi seperti Amazon GuardDuty, Amazon Macie, dan dari masalah keamanan yang dilaporkan pelanggan. AMS bekerja sama dengan tim respons keamanan Anda untuk menjalankan proses Security Incident Response (SIR). Proses AMS SIR didasarkan pada kerangka kerja NIST SP 800-61 Rev. 2, Computer Security Incident Handling Guide dan memberikan respons keamanan
Sertifikasi dan kerangka kerja standar industri apa yang dipatuhi AMS?
Seperti AWS layanan lainnya, AWS Managed Services disertifikasi untuk OSPAR, HIPAA, HITRUST, GDPR, SOC*, ISO*, FedRAMP (Medium/High), IRAP, dan PCI. Untuk informasi selengkapnya tentang sertifikasi, peraturan, dan kerangka kerja kepatuhan pelanggan yang AWS selaras dengannya, lihat Kepatuhan AWS.
Pagar keamanan
AWS Managed Services menggunakan beberapa kontrol untuk melindungi aset informasi Anda dan membantu menjaga AWS infrastruktur tetap aman. AMS Accelerate mengelola pustaka AWS Config aturan dan tindakan remediasi untuk membantu Anda memastikan bahwa akun Anda mematuhi standar industri untuk keamanan dan integritas operasional. AWS Config aturan terus melacak perubahan konfigurasi pada sumber daya yang Anda rekam. Jika perubahan melanggar ketentuan aturan, maka AMS melaporkan temuannya kepada Anda. Anda dapat memulihkan pelanggaran secara otomatis atau berdasarkan permintaan, sesuai dengan tingkat keparahan pelanggaran.
AMS menggunakan AWS Config aturan untuk membantu memenuhi persyaratan standar berikut:
Pusat Keamanan Internet (CIS)
Institut Nasional Standar dan Teknologi (NIST) Kerangka Keamanan Cloud (CSF)
Undang-Undang Akuntabilitas dan Portabilitas Asuransi Kesehatan (HIPAA)
Standar Keamanan Data Industri Kartu Pembayaran (PCI) (DSS)
Untuk informasi selengkapnya, lihat Manajemen keamanan di AMS Accelerate
Bagaimana saya bisa mendapatkan akses ke laporan terbaru tentang sertifikasi keamanan, kerangka kerja, dan kepatuhan? AWS
Anda dapat menemukan laporan keamanan dan kepatuhan saat ini untuk AWS layanan menggunakan metode berikut:
Anda dapat menggunakan AWS Artifact
untuk mengunduh laporan terbaru tentang keamanan, ketersediaan, dan kerahasiaan AWS layanan. Untuk daftar sebagian besar AWS layanan, termasuk AWS Managed Services, yang sesuai dengan kerangka kerja kepatuhan global, lihat. https://aws.amazon.com/compliance/services-in-scope/
Misalnya, pilih PCI dan cari AWS Managed Services. Anda dapat mencari “AMS” untuk menemukan artefak keamanan khusus AMS dari AWS akun terkelola AMS. AWS Managed Services berada dalam lingkup SOC 3
. Laporan AWS SOC 2 (System and Organizations Controls) diterbitkan ke AWS Artifact repositori. Laporan ini mengevaluasi AWS kontrol yang memenuhi kriteria keamanan, ketersediaan, dan kerahasiaan di American Institute of Certified Public Accountants (AICPA) TSP bagian 100, Trust Services Criteria.
Apakah AMS berbagi diagram arsitektur referensi dari berbagai aspek fitur AMS?
Untuk melihat arsitektur referensi AMS, unduh AWS Managed Services for Proactive Monitoring PDF.
Bagaimana AMS melacak siapa yang mengakses akun saya dan apa kebutuhan bisnis untuk akses?
Untuk mendukung kelangsungan layanan dan keamanan akun Anda, AMS mengakses akun atau instans Anda hanya sebagai tanggapan terhadap kesehatan atau pemeliharaan proaktif, acara kesehatan atau keamanan, aktivitas yang direncanakan, atau permintaan pelanggan. Akses ke akun Anda diotorisasi melalui proses AMS sebagaimana diuraikan dalam model akses untuk AMS Accelerate. Aliran otorisasi ini berisi pagar pembatas untuk mencegah akses yang tidak disengaja atau tidak pantas. Sebagai bagian dari aliran akses, AMS memasok sistem otorisasi dengan kebutuhan bisnis. Kebutuhan bisnis ini mungkin merupakan item pekerjaan yang terkait dengan akun Anda, seperti kasus yang Anda buka dengan AMS. Atau, kebutuhan bisnis mungkin berupa alur kerja resmi, seperti solusi Patching. Semua akses memerlukan pembenaran yang divalidasi, diverifikasi, dan diotorisasi secara real time oleh sistem AMS internal berdasarkan aturan bisnis untuk menyelaraskan permintaan akses dengan kebutuhan bisnis.
Insinyur operasi AMS tidak diberi jalur untuk mengakses akun Anda tanpa kebutuhan bisnis yang valid. Semua akses akun dan kebutuhan bisnis terkait dipancarkan ke AWS CloudTrail entri di dalam akun Anda. AWS Ini memberikan transparansi penuh dan kesempatan bagi Anda untuk melakukan audit dan inspeksi Anda sendiri. Selain inspeksi Anda, AMS memiliki inspeksi otomatis, dan melakukan inspeksi manual sesuai kebutuhan, permintaan akses dan melakukan audit perkakas dan akses manusia untuk meninjau akses anomali.
Apakah teknisi AMS memiliki akses ke data saya yang disimpan dalam layanan penyimpanan AWS data, seperti Amazon S3, Amazon RDS, DynamoDB, dan Amazon Redshift?
Insinyur AMS tidak memiliki akses ke konten pelanggan yang disimpan dalam AWS layanan yang biasa digunakan untuk penyimpanan data. Akses yang AWS APIs digunakan untuk membaca, menulis, memodifikasi, atau menghapus data dalam layanan ini dibatasi oleh kebijakan penolakan IAM eksplisit yang terkait dengan peran IAM yang digunakan untuk akses insinyur AMS. Selain itu, pagar pembatas dan otomatisasi AMS internal mencegah insinyur operasi AMS menghapus atau memodifikasi kondisi penolakan.
Apakah insinyur AMS memiliki akses ke data pelanggan yang disimpan di Amazon EBS, Amazon EFS, dan Amazon? FSx
Insinyur AMS dapat masuk ke EC2 instans Amazon sebagai administrator. Akses administrator diperlukan untuk remediasi dalam skenario tertentu yang mencakup, tetapi tidak terbatas pada, masalah sistem operasi (OS) dan kegagalan tambalan. Insinyur AMS biasanya mengakses volume sistem untuk memulihkan masalah yang terdeteksi. Namun, akses untuk insinyur AMS tidak terbatas atau terbatas pada volume sistem.
Bagaimana akses dibatasi atau dikontrol untuk peran otomatisasi yang memiliki hak istimewa tinggi untuk lingkungan saya?
ams-access-adminPeran ini digunakan secara eksklusif oleh otomatisasi AMS. Otomatisasi ini menyebarkan, mengelola, dan memelihara sumber daya yang diperlukan yang digunakan oleh AMS untuk menyebarkan ke lingkungan Anda untuk pengumpulan data telemetri, kesehatan, dan keamanan guna menjalankan fungsi operasional. Insinyur AMS tidak dapat mengambil peran otomatisasi dan dibatasi oleh pemetaan peran dalam sistem internal. Saat runtime, AMS secara dinamis menerapkan kebijakan sesi hak istimewa terkecil yang tercakup ke setiap otomatisasi. Kebijakan sesi ini membatasi kemampuan dan izin otomatisasi.
Bagaimana AMS menerapkan prinsip hak istimewa paling sedikit seperti yang dianjurkan dalam Kerangka Kerja AWS Well-Architected untuk peran otomatisasi?
Saat runtime, AMS menerapkan kebijakan sesi tanpa hak istimewa yang tercakup ke setiap otomatisasi. Kebijakan sesi tertutup ini membatasi kemampuan dan izin otomatisasi. Kebijakan sesi yang memiliki izin untuk membuat sumber daya IAM juga memiliki persyaratan untuk melampirkan batas izin. Batas izin ini mengurangi risiko eskalasi hak istimewa. Setiap tim menerapkan kebijakan sesi yang hanya digunakan oleh tim itu.
Sistem pencatatan dan pemantauan apa yang digunakan untuk mendeteksi upaya akses yang tidak sah atau aktivitas mencurigakan yang melibatkan peran otomatisasi?
AWS memelihara repositori terpusat yang menyediakan fungsionalitas arsip log inti untuk penggunaan internal oleh tim layanan. AWS Log ini disimpan di Amazon S3 untuk skalabilitas, daya tahan, dan ketersediaan yang tinggi. AWS Tim layanan kemudian dapat mengumpulkan, mengarsipkan, dan melihat log layanan di layanan log pusat.
Host produksi di AWS digunakan menggunakan gambar dasar master. Gambar dasar dilengkapi dengan seperangkat konfigurasi dan fungsi standar yang mencakup pencatatan dan pemantauan untuk tujuan keamanan. Log ini disimpan dan dapat diakses oleh tim AWS keamanan untuk analisis akar penyebab jika terjadi insiden keamanan yang dicurigai.
Log untuk host tertentu tersedia untuk tim yang memiliki host tersebut. Tim dapat mencari log mereka untuk analisis operasional dan keamanan.
Bagaimana insiden keamanan atau pelanggaran terkait infrastruktur otomatisasi ditangani, dan protokol apa yang membantu respons dan mitigasi yang cepat?
AWS Rencana darurat dan pedoman respons insiden telah menentukan dan menguji alat dan proses untuk mendeteksi, mengurangi, menyelidiki, dan menilai insiden keamanan. Rencana dan buku pedoman ini mencakup pedoman untuk menanggapi potensi pelanggaran data sesuai dengan persyaratan kontrak dan peraturan.
Apakah penilaian keamanan reguler, pemindaian kerentanan, dan tes penetrasi dilakukan pada infrastruktur otomatisasi?
AWS Keamanan melakukan pemindaian kerentanan reguler pada sistem operasi host, aplikasi web, dan database di AWS lingkungan menggunakan berbagai alat. AWS Tim keamanan juga berlangganan feed berita untuk kelemahan vendor yang berlaku dan secara proaktif memantau situs web vendor dan outlet relevan lainnya untuk tambalan baru.
Bagaimana akses ke infrastruktur otomasi dibatasi hanya untuk personel yang berwenang?
Akses ke AWS sistem dialokasikan berdasarkan hak istimewa yang paling sedikit dan disetujui oleh individu yang berwenang. Tugas dan bidang tanggung jawab (misalnya, permintaan akses dan persetujuan, permintaan dan persetujuan manajemen perubahan, pengembangan perubahan, pengujian dan penyebaran, dan sebagainya) dipisahkan di berbagai individu untuk mengurangi modifikasi atau penyalahgunaan sistem yang tidak sah atau tidak disengaja. AWS Akun grup atau bersama tidak diizinkan dalam batas sistem.
Langkah-langkah apa yang diterapkan untuk menegakkan standar keamanan dan mencegah akses yang tidak sah atau pelanggaran data dalam pipa otomatisasi?
Akses ke sumber daya, termasuk layanan, host, perangkat jaringan, dan grup Windows dan UNIX, disetujui dalam sistem manajemen izin AWS kepemilikan oleh pemilik atau manajer yang sesuai. Log alat manajemen izin menangkap permintaan untuk perubahan akses. Perubahan fungsi Job secara otomatis mencabut akses karyawan ke sumber daya. Akses berkelanjutan untuk karyawan tersebut harus diminta dan disetujui.
AWS memerlukan otentikasi dua faktor melalui saluran kriptografi yang disetujui untuk otentikasi ke AWS jaringan internal dari lokasi terpencil. Perangkat firewall membatasi akses ke lingkungan komputasi, menegakkan batas-batas cluster komputasi, dan membatasi akses ke jaringan produksi.
Proses diimplementasikan untuk melindungi informasi audit dan alat audit dari akses, modifikasi, dan penghapusan yang tidak sah. Catatan audit berisi seperangkat elemen data untuk mendukung persyaratan analisis yang diperlukan. Selain itu, catatan audit tersedia bagi pengguna yang berwenang untuk inspeksi atau analisis sesuai permintaan, dan sebagai tanggapan terhadap peristiwa terkait keamanan atau yang berdampak pada bisnis.
Hak akses pengguna ke AWS sistem (misalnya, jaringan, aplikasi, alat, dll.) Dicabut dalam waktu 24 jam setelah penghentian atau penonaktifan. Akun pengguna yang tidak aktif dinonaktifkan and/or dihapus setidaknya setiap 90 hari.
Apakah deteksi atau pemantauan anomali diaktifkan untuk akses atau pencatatan audit guna mendeteksi eskalasi hak istimewa atau penyalahgunaan akses untuk secara proaktif memperingatkan tim AMS?
Host produksi di AWS dilengkapi dengan logging untuk tujuan keamanan. Layanan ini mencatat tindakan manusia pada host, termasuk log on, upaya log on yang gagal, dan log off. Log ini disimpan dan dapat diakses oleh tim AWS keamanan untuk analisis akar penyebab jika terjadi insiden keamanan yang dicurigai. Log untuk host tertentu juga tersedia untuk tim yang memiliki host tersebut. Alat analisis log ujung depan tersedia untuk tim layanan untuk mencari log mereka untuk analisis operasional dan keamanan. Proses diimplementasikan untuk membantu melindungi log dan alat audit dari akses, modifikasi, dan penghapusan yang tidak sah. Tim AWS Keamanan melakukan analisis log untuk mengidentifikasi peristiwa berdasarkan parameter manajemen risiko yang ditentukan.
Jenis data pelanggan apa yang diambil dari akun terkelola AMS, dan bagaimana ini digunakan dan disimpan?
AMS tidak mengakses atau menggunakan konten Anda untuk tujuan apa pun. AMS mendefinisikan konten pelanggan sebagai perangkat lunak (termasuk gambar mesin), data, teks, audio, video, atau gambar yang ditransfer oleh pelanggan atau pengguna akhir AWS untuk diproses, disimpan, atau dihosting Layanan AWS sehubungan dengan akun pelanggan, dan hasil komputasi apa pun yang diperoleh pelanggan atau pengguna akhir mereka dari hal tersebut di atas melalui penggunaannya. Layanan AWS
