Perlindungan data di AMS - Panduan Pengguna Tingkat Lanjut AMS
Amazon MacieGuardDutyAmazon Route 53 Resolver DNS FirewallAWS Certificate Manager Sertifikat (ACM)Enkripsi data di AMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di AMS

AMS terus memantau akun terkelola Anda dengan memanfaatkan AWS layanan asli seperti Amazon GuardDuty, Amazon Macie (opsional), serta alat dan proses kepemilikan internal lainnya. Setelah alarm dipicu, AMS bertanggung jawab atas triase awal dan respons terhadap alarm. Proses respons kami didasarkan pada standar NIST. AMS secara teratur menguji proses responsnya menggunakan Simulasi Respons Insiden Keamanan dengan Anda untuk menyelaraskan alur kerja Anda dengan program respons keamanan pelanggan yang ada.

Ketika AMS mendeteksi pelanggaran apa pun, atau ancaman pelanggaran yang akan segera terjadi, AWS atau kebijakan keamanan Anda, kami mengumpulkan informasi, termasuk sumber daya yang terkena dampak dan perubahan terkait konfigurasi apa pun. AMS menyediakan follow-the-sun dukungan 24/7/365 dengan operator khusus yang secara aktif meninjau dan menyelidiki dasbor pemantauan, antrian insiden, dan permintaan layanan di semua akun terkelola Anda. AMS menyelidiki temuan ini dengan pakar keamanan kami untuk menganalisis aktivitas dan memberi tahu Anda melalui kontak eskalasi keamanan yang tercantum di akun Anda.

Berdasarkan temuan kami, AMS terlibat dengan Anda secara proaktif. Jika Anda yakin aktivitas tersebut tidak sah atau mencurigakan, AMS bekerja sama dengan Anda untuk menyelidiki dan memulihkan atau mengatasi masalah tersebut. Ada jenis temuan tertentu yang dihasilkan oleh GuardDuty yang mengharuskan Anda untuk mengkonfirmasi dampak sebelum AMS dapat mengambil tindakan apa pun. Misalnya, jenis GuardDuty temuan UnauthorizedAccess:IAMUser/ConsoleLogin, menunjukkan bahwa salah satu pengguna Anda telah masuk dari lokasi yang tidak biasa; AMS memberi tahu Anda dan meminta Anda meninjau temuan tersebut untuk mengonfirmasi apakah perilaku ini sah.

Amazon Macie

AWS Managed Services merekomendasikan agar Anda menggunakan Macie untuk mendeteksi daftar data sensitif yang besar dan komprehensif, seperti informasi kesehatan pribadi (PHI), informasi identitas pribadi (PII), dan data keuangan.

Macie dapat dikonfigurasi untuk berjalan secara berkala di bucket Amazon S3 apa pun, mengotomatiskan evaluasi objek baru atau yang dimodifikasi dalam ember dari waktu ke waktu. Saat temuan keamanan dihasilkan, AMS akan memberi tahu Anda dan bekerja sama dengan Anda untuk memulihkan sesuai kebutuhan.

Untuk informasi lebih lanjut, lihat Menganalisis temuan Amazon Macie.

Keamanan Amazon Macie

Macie adalah layanan keamanan intelligence/AI bertenaga buatan yang membantu Anda mencegah kehilangan data dengan secara otomatis menemukan, mengklasifikasikan, dan melindungi data sensitif yang disimpan di AWS. Macie menggunakan pembelajaran mesin untuk mengenali data sensitif seperti informasi identitas pribadi (PII) atau kekayaan intelektual, memberikan nilai bisnis, dan memberikan visibilitas ke tempat data ini disimpan dan bagaimana data tersebut digunakan dalam organisasi Anda. Macie terus memantau aktivitas akses data untuk anomali, dan memberikan peringatan ketika mendeteksi risiko akses tidak sah atau kebocoran data yang tidak disengaja. Layanan Macie mendukung Amazon S3 AWS CloudTrail dan sumber data.

AMS terus memantau peringatan dari Macie dan, jika diperingatkan, mengambil tindakan cepat untuk melindungi sumber daya dan akun Anda. Dengan penambahan Macie ke daftar layanan yang didukung AMS, kami juga sekarang bertanggung jawab untuk mengaktifkan dan mengonfigurasi Macie di semua akun Anda, sesuai instruksi Anda. Anda dapat melihat peringatan Macie dan tindakan kami saat terungkap di konsol AWS atau integrasi yang didukung. Selama onboarding akun, Anda dapat menunjukkan akun yang Anda gunakan untuk menyimpan PII. Untuk semua akun baru dengan PII, kami sarankan menggunakan Macie. Untuk akun yang ada dengan PII, hubungi kami dan kami akan menyalakannya di akun Anda. Akibatnya, Anda dapat memiliki lapisan perlindungan tambahan yang tersedia dan menikmati semua manfaat Macie di lingkungan AWS Anda yang dikelola oleh AMS.

AMS Macie FAQs

  • Mengapa saya memerlukan Macie ketika semua akun AMS memiliki Trend Micro dan GuardDuty diaktifkan?

    Macie membantu Anda melindungi data Anda di Amazon S3 dengan membantu Anda mengklasifikasikan data apa yang Anda miliki, nilai yang dimiliki data untuk bisnis, dan perilaku yang terkait dengan akses ke data tersebut. Amazon GuardDuty memberikan perlindungan luas atas akun AWS, beban kerja, dan data Anda dengan membantu mengidentifikasi ancaman seperti pengintaian aktor ancaman, masalah instans, dan aktivitas akun bermasalah. Kedua layanan tersebut menggabungkan analisis perilaku pengguna, pembelajaran mesin, dan deteksi anomali untuk mendeteksi ancaman dalam kategori masing-masing. Trend Micro tidak fokus pada identifikasi PII dan ancaman dari mereka.

  • Bagaimana cara mengaktifkan Macie di akun AMS saya?

    Jika Anda telah PII/PHI menyimpan di akun Anda atau berencana untuk menyimpannya, hubungi CSDM Anda atau ajukan permintaan layanan untuk mengaktifkan Macie untuk akun baru atau yang sudah ada yang dikelola oleh AMS.

  • Apa implikasi biaya dari mengaktifkan Macie di akun AMS saya?

    Harga Macie berfungsi untuk AMS mirip dengan layanan lain seperti Amazon Elastic Compute Cloud (Amazon EC2). Anda membayar Amazon Macie berdasarkan penggunaan dan peningkatan AMS berdasarkan Anda. SLAs Biaya macie didasarkan pada penggunaan, lihat Harga Amazon Macie, diukur AWS CloudTrail berdasarkan peristiwa dan penyimpanan Amazon S3. Harap dicatat bahwa biaya Macie cenderung mendatar dari bulan kedua setelah diaktifkan karena dikenakan biaya berdasarkan data tambahan yang ditambahkan ke ember Amazon S3.

Untuk mempelajari lebih lanjut tentang Macie, lihat Amazon Macie.

GuardDuty

GuardDuty adalah layanan pemantauan keamanan berkelanjutan yang menggunakan umpan intelijen ancaman, seperti daftar alamat IP dan domain berbahaya, dan pembelajaran mesin untuk mengidentifikasi aktivitas yang tidak terduga dan berpotensi tidak sah dan berbahaya dalam lingkungan AWS Anda. Ini dapat mencakup masalah seperti eskalasi hak istimewa, penggunaan kredensil yang terbuka, atau komunikasi dengan alamat IP berbahaya, atau domain. GuardDuty juga memantau perilaku akses akun Amazon Web Services untuk tanda-tanda kompromi, seperti penerapan infrastruktur yang tidak sah, seperti instance yang digunakan di Wilayah yang belum pernah digunakan, atau panggilan API yang tidak biasa, seperti perubahan kebijakan kata sandi untuk mengurangi kekuatan kata sandi. Untuk informasi lebih lanjut, lihat Panduan GuardDuty Pengguna.

Untuk melihat dan menganalisis GuardDuty temuan Anda, gunakan prosedur berikut.

  1. Buka konsol GuardDuty .

  2. Pilih Temuan, lalu pilih temuan tertentu untuk melihat detail. Detail untuk setiap temuan berbeda tergantung pada jenis temuan, sumber daya yang terlibat, dan sifat aktivitas.

Untuk informasi selengkapnya tentang bidang pencarian yang tersedia, lihat detail GuardDuty pencarian.

GuardDuty keamanan

Amazon GuardDuty menawarkan deteksi ancaman yang memungkinkan Anda untuk terus memantau dan melindungi akun dan beban kerja AWS Anda. Amazon GuardDuty menganalisis aliran meta-data berkelanjutan yang dihasilkan dari akun Anda dan aktivitas jaringan yang ditemukan di Peristiwa, log aliran VPC AWS CloudTrail Amazon, dan log Sistem Nama Domain (DNS). Ini juga menggunakan intelijen ancaman terintegrasi seperti alamat IP berbahaya yang diketahui, deteksi anomali, dan pembelajaran mesin untuk mengidentifikasi ancaman secara lebih akurat. GuardDuty adalah layanan AMS yang dipantau. Untuk mempelajari lebih lanjut tentang GuardDuty pemantauan Amazon, lihatGuardDuty pemantauan. Untuk mempelajari selengkapnya GuardDuty, lihat Amazon GuardDuty.

Semua akun AMS baru telah GuardDuty diaktifkan secara default. AMS mengonfigurasi GuardDuty selama onboarding akun. Anda dapat mengirimkan permintaan perubahan untuk mengubah pengaturan kapan saja. GuardDuty harga bekerja untuk AMS mirip dengan layanan lain seperti Amazon Elastic Compute Cloud (Amazon EC2). Anda membayar GuardDuty berdasarkan penggunaan dan peningkatan AMS berdasarkan Anda SLAs. GuardDuty biaya didasarkan pada penggunaan ( GuardDuty Harga Amazon), diukur berdasarkan AWS CloudTrail peristiwa dan volume log Aliran VPC Amazon Anda.

Untuk GuardDuty di AMS, kategori deteksi utama berikut diaktifkan:

  • Pengintaian - Aktivitas yang menyarankan pengintaian oleh aktor ancaman, seperti aktivitas API yang tidak biasa, pemindaian port intra-VPC, pola permintaan login gagal yang tidak biasa, atau pemeriksaan port yang tidak diblokir dari IP buruk yang diketahui.

  • Masalah instans - Aktivitas instance yang bermasalah, seperti penambangan cryptocurrency, malware menggunakan algoritma pembuatan domain (DGA), aktivitas penolakan layanan keluar, volume lalu lintas jaringan yang luar biasa tinggi, protokol jaringan yang tidak biasa, komunikasi instance keluar dengan IP berbahaya yang diketahui, EC2 kredensi Amazon sementara yang digunakan oleh alamat IP eksternal, dan eksfiltrasi data menggunakan DNS.

  • Aktivitas akun - Pola umum yang menunjukkan aktivitas akun termasuk panggilan API dari geolokasi yang tidak biasa atau proxy anonim, upaya untuk menonaktifkan AWS CloudTrail pencatatan, peluncuran instance atau infrastruktur yang tidak biasa, penerapan infrastruktur di Wilayah AWS yang tidak biasa, dan panggilan API dari alamat IP berbahaya yang diketahui.

AMS menggunakan GuardDuty akun terkelola Anda untuk terus memantau temuan dan peringatan dari GuardDuty dan, jika diperingatkan, operasi AMS mengambil tindakan proaktif untuk melindungi sumber daya dan akun Anda. Anda dapat melihat GuardDuty temuan dan tindakan kami saat terungkap di konsol AWS atau integrasi yang didukung.

GuardDuty bekerja dengan Trend Micro Deep Security Manager di akun Anda. Trend Micro Deep Security Manager menyediakan layanan Deteksi Intrusi/Pencegahan Intrusi berbasis host. Layanan Trend Micro Web Reputation memiliki beberapa tumpang tindih dengan GuardDuty kemampuan untuk mendeteksi ketika host mencoba berkomunikasi dengan host atau layanan web yang dikenal sebagai ancaman. Namun, GuardDuty menyediakan kategori deteksi ancaman tambahan dan menyelesaikannya dengan memantau lalu lintas jaringan, metode yang melengkapi deteksi berbasis host Trend Micro. Deteksi ancaman berbasis jaringan memungkinkan peningkatan keamanan dengan tidak membiarkan kontrol gagal jika host telah menunjukkan perilaku bermasalah. AMS merekomendasikan penggunaan GuardDuty di semua akun AMS Anda.

Untuk mempelajari lebih lanjut tentang Trend Micro, lihat Pusat Bantuan Trend Micro Deep Security; perhatikan bahwa tautan non-Amazon dapat berubah tanpa pemberitahuan kepada kami.

GuardDuty pemantauan

GuardDuty memberi tahu Anda tentang status lingkungan AWS Anda dengan menghasilkan temuan keamanan yang ditangkap dan dapat diwaspadai oleh AMS.

Amazon GuardDuty memantau keamanan lingkungan AWS Anda dengan menganalisis dan memproses log aliran VPC, log AWS CloudTrail peristiwa, dan log Sistem Nama Domain. Anda dapat memperluas cakupan pemantauan ini dengan mengonfigurasi GuardDuty untuk juga menggunakan daftar IP kustom, tepercaya, dan daftar ancaman Anda sendiri.

  • Daftar IP tepercaya terdiri dari alamat IP yang Anda izinkan untuk komunikasi aman dengan infrastruktur dan aplikasi AWS Anda. GuardDuty tidak menghasilkan temuan untuk alamat IP pada daftar IP tepercaya. Pada waktu tertentu, Anda hanya dapat memiliki satu daftar IP tepercaya yang diunggah per akun AWS per wilayah.

  • Daftar ancaman terdiri dari alamat IP berbahaya yang diketahui. GuardDuty menghasilkan temuan berdasarkan daftar ancaman. Pada waktu tertentu, Anda dapat memiliki hingga enam daftar ancaman yang diunggah per akun AWS per wilayah.

Untuk mengimplementasikan GuardDuty, gunakan AMS CT Deployment | Monitoring dan notifikasi | GuardDuty IP set | Create (ct-08avsj2e9mc7g) untuk membuat satu set alamat IP yang disetujui. Anda juga dapat menggunakan Penerapan AMS CT | Pemantauan dan pemberitahuan | GuardDuty ancaman intel set | Buat (ct-25v6r7t8gvkq5) untuk membuat satu set alamat IP yang ditolak.

Untuk daftar layanan yang dipantau AMS, lihatApa yang dipantau oleh sistem pemantauan AMS?.

Amazon Route 53 Resolver DNS Firewall

Amazon Route 53 Resolver merespons secara rekursif kueri DNS dari sumber daya AWS untuk catatan publik, nama DNS khusus Amazon VPC, dan zona host pribadi Amazon Route 53, dan tersedia secara default di semua. VPCs Dengan Route 53 Resolver DNS Firewall, Anda dapat memfilter dan mengatur lalu lintas DNS keluar untuk virtual private cloud (VPC) Anda. Untuk melakukannya, Anda membuat kumpulan aturan pemfilteran yang dapat digunakan kembali di grup aturan DNS Firewall, mengasosiasikan grup aturan ke VPC Anda, lalu memantau aktivitas di log dan metrik DNS Firewall. Berdasarkan aktivitas, Anda dapat menyesuaikan perilaku DNS Firewall. Untuk informasi selengkapnya, lihat Menggunakan DNS Firewall untuk memfilter lalu lintas DNS keluar.

Untuk melihat dan mengelola konfigurasi Route 53 Resolver DNS Firewall Anda, gunakan prosedur berikut:

  1. Masuk ke Konsol Manajemen AWS dan buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Di bawah DNS Firewall, pilih Grup aturan.

  3. Tinjau, edit, atau hapus konfigurasi yang ada, atau buat grup aturan baru. Untuk informasi selengkapnya, lihat Cara kerja Route 53 Resolver DNS Firewall.

Amazon Route 53 Resolver DNS Firewall pemantauan dan keamanan

Amazon Route 53 DNS Firewall menggunakan konsep asosiasi aturan, tindakan aturan, dan prioritas evaluasi aturan. Daftar domain adalah seperangkat spesifikasi domain yang dapat digunakan kembali yang Anda gunakan dalam aturan DNS Firewall, di dalam grup aturan. Ketika Anda mengasosiasikan grup aturan dengan VPC, DNS Firewall membandingkan kueri DNS Anda terhadap daftar domain yang digunakan dalam aturan. Jika DNS Firewall menemukan kecocokan, maka ia menangani kueri DNS sesuai dengan tindakan aturan yang cocok. Untuk informasi selengkapnya tentang grup aturan dan aturan, lihat Grup dan aturan DNS Firewall.

Daftar domain dibagi dalam dua kategori utama:

  • Daftar domain terkelola, yang AWS membuat dan memelihara untuk Anda.

  • Daftar domain Anda sendiri, yang Anda buat dan pelihara.

Kelompok aturan dievaluasi berdasarkan indeks prioritas asosiasi mereka.

Secara default, AMS menerapkan konfigurasi dasar yang terdiri dari aturan dan grup aturan berikut:

  • Satu kelompok aturan bernamaDefaultSecurityMonitoringRule. Grup aturan memiliki prioritas asosiasi tertinggi yang tersedia pada saat pembuatan untuk setiap VPC yang ada di setiap diaktifkan. Wilayah AWS

  • Satu aturan bernama DefaultSecurityMonitoringRule dengan prioritas 1 dalam grup DefaultSecurityMonitoringRule aturan, menggunakan daftar Domain AWSManagedDomainsAggregateThreatList Terkelola dengan tindakan ALERT.

Jika Anda memiliki konfigurasi yang ada, konfigurasi dasar diterapkan dengan prioritas lebih rendah daripada konfigurasi yang ada. Konfigurasi Anda yang ada adalah default. Anda menggunakan konfigurasi dasar AMS sebagai tangkapan semua jika konfigurasi yang ada tidak memberikan instruksi prioritas yang lebih tinggi tentang cara menangani resolusi kueri. Untuk mengubah atau menghapus konfigurasi dasar, lakukan salah satu hal berikut:

Jika akun Anda dioperasikan dalam mode Pengembang atau mode Perubahan Langsung, Anda dapat melakukan perubahan sendiri.

AWS Certificate Manager Sertifikat (ACM)

AMS memiliki CT, Deployment | Komponen tumpukan lanjutan | Sertifikat ACM dengan tambahan SANs | Buat (ct-3l14e139i5p50), yang dapat Anda gunakan untuk mengirimkan permintaan sertifikat AWS Certificate Manager, dengan hingga lima nama alternatif Subjek tambahan (SAN) (seperti example.com, example.net, dan example.org). Untuk detailnya, lihat Apa Itu AWS Certificate Manager? dan Karakteristik Sertifikat ACM.

catatan

Pengaturan batas waktu ini bukan hanya tentang proses, tetapi juga validasi sertifikat ACM Anda melalui validasi email. Tanpa validasi Anda, RFC gagal.

Enkripsi data di AMS

AMS menggunakan beberapa AWS layanan untuk enkripsi data, terutama Amazon Simple Storage Service, AWS Key Management Service (AWS KMS), Amazon Elastic Block Store, Amazon Relational Database Service Amazon Redshift,,, Amazon ElastiCache AWS Lambda, dan Amazon OpenSearch Service.

Amazon S3

Amazon S3 menawarkan beberapa opsi enkripsi objek yang melindungi data bergerak dan data diam. Enkripsi di sisi server mengenkripsi objek Anda sebelum menyimpannya ke dalam disk di pusat datanya lalu mendekripsinya saat Anda mengunduh objek. Selama Anda mengautentikasi permintaan dan telah memiliki izin akses, tidak ada perbedaan dalam cara mengakses objek terenkripsi atau tidak terenkripsi. Untuk informasi selengkapnya, lihat Perlindungan data di Amazon S3.

Amazon EBS

Dengan enkripsi Amazon EBS, Anda tidak perlu membangun, memelihara, dan mengamankan infrastruktur manajemen kunci Anda sendiri. Enkripsi Amazon EBS menggunakan AWS KMS kunci saat membuat volume dan snapshot terenkripsi. Operasi enkripsi terjadi pada server yang meng-host EC2 instans Amazon. Ini dilakukan untuk memastikan bahwa keduanya data-at-rest dan data-in-transit antara instance dan penyimpanan Amazon EBS terlampir aman. Anda dapat melampirkan volume terenkripsi maupun tak terenkripsi ke suatu instans secara bersamaan. Untuk informasi lebih lanjut, lihat Enkripsi Amazon EBS.

Amazon RDS

Amazon RDS dapat mengenkripsi instans Amazon RDS DB Anda. Data yang dienkripsi saat istirahat mencakup penyimpanan yang mendasari untuk instans DB, pencadangan otomatisnya, replika baca, dan snapshot. Instans DB terenkripsi Amazon RDS menggunakan algoritme enkripsi AES-256 standar industri untuk mengenkripsi data Anda di server yang menghosting instans Amazon RDS DB Anda. Setelah data Anda dienkripsi, Amazon RDS menangani otentikasi akses dan dekripsi data Anda secara transparan dengan dampak minimal pada kinerja. Anda tidak perlu memodifikasi aplikasi klien basis data untuk menggunakan enkripsi. Untuk informasi selengkapnya, lihat Mengenkripsi sumber daya Amazon RDS.

Amazon Simple Queue Service

Selain opsi enkripsi sisi server (SSE) terkelola Amazon SQS default, Amazon SQS-managed SSE (SSE-SQS) memungkinkan Anda membuat enkripsi sisi server terkelola khusus yang menggunakan kunci enkripsi yang dikelola Amazon SQS untuk melindungi data sensitif yang dikirim melalui antrian pesan. Enkripsi sisi server (SSE) memungkinkan Anda mengirimkan data sensitif dalam antrian terenkripsi. SSE melindungi konten pesan dalam antrian menggunakan kunci enkripsi terkelola Amazon SQS (SSE-SQS) atau kunci yang dikelola di (SSE-KMS). AWS KMS Untuk informasi tentang mengelola SSE menggunakan Konsol Manajemen AWS, lihat Enkripsi saat istirahat.

Enkripsi data saat istirahat

OpenSearch Domain layanan menawarkan enkripsi data saat istirahat, fitur keamanan yang membantu mencegah akses tidak sah ke data Anda. Fitur ini menggunakan AWS Key Management Service (AWS KMS) untuk menyimpan dan mengelola kunci enkripsi Anda dan algoritma Advanced Encryption Standard dengan kunci 256-bit (AES-256) untuk melakukan enkripsi. Untuk informasi selengkapnya, lihat Enkripsi Data saat Istirahat untuk OpenSearch Layanan Amazon.

Manajemen kunci

AWS KMS adalah layanan terkelola yang memudahkan Anda membuat dan mengontrol kunci master pelanggan (CMKs), kunci enkripsi yang digunakan untuk mengenkripsi data Anda. AWS KMS CMKs dilindungi oleh modul keamanan perangkat keras (HSMs) yang divalidasi oleh Program Validasi Modul Kriptografi FIPS 140-2 kecuali di Wilayah China (Beijing) dan China (Ningxia). Untuk informasi selengkapnya, lihat Apa itu AWS Key Management Service?