Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Studi kasus indikatif untuk mencapai kematangan Esential Eight pada AWS
Bab ini menyajikan studi kasus indikatif untuk lembaga pemerintah yang menargetkan kematangan Esential Eight pada. AWS
**Topics**
+ [Ikhtisar skenario dan arsitektur](scenario.md)
+ [Contoh beban kerja: Data lake tanpa server](serverless-data-lake.md)
+ [Contoh beban kerja: Layanan web kontainer](containerised-web-service.md)
+ [Contoh beban kerja: Perangkat lunak COTS di Amazon EC2](cots-software.md)
# Ikhtisar skenario dan arsitektur
Lembaga pemerintah memiliki tiga beban kerja di AWS Cloud:
+ [Data lake tanpa server](serverless-data-lake.md) yang menggunakan Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) untuk penyimpanan AWS Lambda dan untuk operasi ekstrak, transformasi, dan pemuatan (ETL)
+ [Layanan web kontainer](containerised-web-service.md) yang berjalan di Amazon Elastic Container Service (Amazon ECS) dan menggunakan database di Amazon Relational Database Service (Amazon RDS)
+ [Perangkat lunak komersial off-the-shelf (COTS)](cots-software.md) yang berjalan di Amazon EC2
*Tim cloud* menyediakan platform terpusat untuk organisasi, menjalankan layanan inti untuk AWS lingkungan. Tim cloud menyediakan layanan inti untuk AWS lingkungan. Setiap beban kerja dimiliki oleh *tim aplikasi* yang berbeda, juga dikenal sebagai *tim pengembang atau tim* *pengiriman*.
## Arsitektur inti
Tim cloud telah menetapkan kemampuan berikut di AWS Cloud:
+ Federasi identitas AWS IAM Identity Center menautkan ke instance Microsoft Entra ID (sebelumnya *Azure Active* Directory) mereka. Federasi memberlakukan MFA, kedaluwarsa otomatis akun pengguna, dan penggunaan AWS Identity and Access Management kredensil berumur pendek melalui peran (IAM).
+ Pipeline AMI terpusat digunakan untuk menambal OS dan aplikasi inti dengan EC2 Image Builder.
+ Amazon Inspector diaktifkan untuk mengidentifikasi kerentanan, dan semua temuan keamanan dikirim ke Amazon GuardDuty untuk pengelolaan terpusat.
+ Mekanisme yang ditetapkan digunakan untuk memperbarui aturan kontrol aplikasi, menanggapi peristiwa keamanan cyber, dan meninjau kesenjangan kepatuhan.
+ AWS CloudTrail digunakan untuk logging dan monitoring.
+ Peristiwa keamanan, seperti login pengguna root, memulai peringatan.
+ SCPs dan kebijakan titik akhir VPC menetapkan batas data untuk lingkungan Anda. AWS
+ SCPs mencegah tim aplikasi menonaktifkan layanan keamanan dan pencatatan, seperti CloudTrail dan. AWS Config
+ AWS Config Temuan dikumpulkan dari seluruh AWS organisasi menjadi satu Akun AWS untuk keamanan.
+ [Paket kesesuaian AWS Config ACSC Essential 8](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-acsc_essential_8.html) diaktifkan di semua Akun AWS organisasi Anda.
# Contoh beban kerja: Data lake tanpa server
Beban kerja ini adalah contoh dari. [Tema 1: Gunakan layanan terkelola](theme-1.md)
Danau data menggunakan Amazon S3 untuk penyimpanan dan AWS Lambda untuk ETL. Sumber daya ini didefinisikan dalam AWS Cloud Development Kit (AWS CDK) aplikasi. Perubahan pada sistem diterapkan melalui AWS CodePipeline. Pipeline ini dibatasi untuk tim aplikasi. Ketika tim aplikasi membuat permintaan tarik untuk repositori kode, [aturan dua orang digunakan](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/best-practice-5.2---implement-least-privilege-policies-for-source-and-downstream-systems..html).
Untuk beban kerja ini, tim aplikasi mengambil tindakan berikut untuk mengatasi strategi Esential Eight.
*Kontrol aplikasi*
+ Tim aplikasi memungkinkan [Lambda Protection](https://docs.aws.amazon.com/guardduty/latest/ug/lambda-protection.html) in dan GuardDuty [Lambda scanning di Amazon](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html) Inspector.
+ Tim aplikasi menerapkan mekanisme untuk memeriksa dan [mengelola temuan Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-automating-responses.html#findings-managing-eventbridge-tutorial).
*Aplikasi tambalan*
+ Tim aplikasi mengaktifkan pemindaian Lambda di Amazon Inspector dan mengonfigurasi peringatan untuk pustaka yang tidak digunakan lagi atau rentan.
+ Tim aplikasi memungkinkan AWS Config untuk melacak AWS sumber daya untuk penemuan aset.
*Batasi hak administratif*
+ Seperti yang dijelaskan di [Arsitektur inti](scenario.md#core-architecture) bagian ini, tim aplikasi sudah membatasi akses ke penerapan produksi melalui aturan persetujuan pada pipeline penerapan mereka.
+ Tim aplikasi bergantung pada federasi identitas terpusat dan solusi logging terpusat yang dijelaskan di bagian ini. [Arsitektur inti](scenario.md#core-architecture)
+ Tim aplikasi membuat AWS CloudTrail jejak dan CloudWatch filter Amazon.
+ Tim aplikasi menyiapkan peringatan Amazon Simple Notification Service (Amazon SNS) CodePipeline untuk penerapan dan penghapusan tumpukan. AWS CloudFormation
*Sistem operasi patch*
+ Tim aplikasi mengaktifkan pemindaian Lambda di Amazon Inspector dan mengonfigurasi peringatan untuk pustaka yang tidak digunakan lagi atau rentan.
*Otentikasi multi-faktor*
+ Tim aplikasi bergantung pada solusi federasi identitas terpusat yang dijelaskan di bagian ini. [Arsitektur inti](scenario.md#core-architecture) Solusi ini memberlakukan MFA, otentikasi log, dan peringatan pada atau secara otomatis merespons peristiwa MFA yang mencurigakan.
*Pencadangan reguler*
+ [Tim aplikasi menyimpan kode, seperti AWS CDK aplikasi dan fungsi dan konfigurasi Lambda, dalam repositori kode.](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/)
+ Tim aplikasi memungkinkan pembuatan versi dan Amazon S3 Object Lock untuk membantu mencegah objek dihapus atau dimodifikasi.
+ Tim aplikasi mengandalkan daya tahan Amazon S3 bawaan daripada mereplikasi seluruh dataset mereka ke yang lain. Wilayah AWS
+ Tim aplikasi menjalankan salinan beban kerja di tempat lain Wilayah AWS yang memenuhi persyaratan kedaulatan data mereka. Mereka menggunakan tabel global Amazon DynamoDB dan Replikasi Lintas Wilayah Amazon [S3 untuk mereplikasi data secara otomatis dari Wilayah](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html#crr-scenario) primer ke Wilayah sekunder.
# Contoh beban kerja: Layanan web kontainer
Beban kerja ini adalah contoh dari. [Tema 2: Mengelola infrastruktur yang tidak dapat diubah melalui jaringan pipa yang aman](theme-2.md)
Layanan web berjalan di Amazon ECS dan menggunakan database di Amazon RDS. Tim aplikasi mendefinisikan sumber daya ini dalam CloudFormation template. Wadah dibuat dengan EC2 Image Builder dan disimpan di Amazon ECR. Tim aplikasi menyebarkan perubahan ke sistem melalui AWS CodePipeline. Pipeline ini dibatasi untuk tim aplikasi. Ketika tim aplikasi membuat permintaan tarik untuk repositori kode, [aturan dua orang digunakan](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/best-practice-5.2---implement-least-privilege-policies-for-source-and-downstream-systems..html).
Untuk beban kerja ini, tim aplikasi mengambil tindakan berikut untuk mengatasi strategi Esential Eight.
*Kontrol aplikasi*
+ Tim aplikasi memungkinkan [pemindaian gambar kontainer Amazon ECR di Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning-ecr.html).
+ Tim aplikasi membangun alat keamanan [File Access Policy Daemon (fapolicyd)](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md) ke dalam pipeline EC2 Image Builder. Untuk informasi selengkapnya, lihat [Menerapkan Kontrol Aplikasi](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/implementing-application-control) di situs web ACSC.
+ Tim aplikasi mengonfigurasi definisi tugas Amazon ECS untuk mencatat output ke Amazon CloudWatch Logs.
+ Tim aplikasi menerapkan mekanisme untuk memeriksa dan mengelola temuan Amazon Inspector.
*Aplikasi tambalan*
+ Tim aplikasi memungkinkan pemindaian gambar kontainer Amazon ECR di Amazon Inspector dan mengonfigurasi peringatan untuk pustaka yang tidak digunakan lagi atau rentan.
+ Tim aplikasi mengotomatiskan tanggapan mereka terhadap temuan Amazon Inspector. Temuan baru memulai pipeline penyebaran mereka melalui EventBridge pemicu Amazon, dan CodePipeline merupakan targetnya.
+ Tim aplikasi memungkinkan AWS Config untuk melacak AWS sumber daya untuk penemuan aset.
*Batasi hak administratif*
+ Tim aplikasi sudah membatasi akses ke penerapan produksi melalui aturan persetujuan pada pipeline penerapan mereka.
+ Tim aplikasi mengandalkan federasi identitas tim cloud terpusat untuk rotasi kredensil dan pencatatan terpusat.
+ Tim aplikasi membuat CloudTrail jejak dan CloudWatch filter.
+ Tim aplikasi menyiapkan peringatan Amazon SNS untuk CodePipeline penerapan dan penghapusan tumpukan. CloudFormation
*Sistem operasi patch*
+ Tim aplikasi memungkinkan pemindaian gambar kontainer Amazon ECR di Amazon Inspector dan mengonfigurasi peringatan untuk pembaruan patch OS.
+ Tim aplikasi mengotomatiskan tanggapan mereka terhadap temuan Amazon Inspector. Temuan baru memulai pipa penyebaran mereka melalui EventBridge pemicu, dan CodePipeline merupakan targetnya.
+ Tim aplikasi berlangganan pemberitahuan acara Amazon RDS sehingga mereka diberi tahu tentang pembaruan. Mereka membuat keputusan berbasis risiko dengan pemilik bisnis mereka tentang apakah akan menerapkan pembaruan ini secara manual atau membiarkan Amazon RDS menerapkannya secara otomatis.
+ Tim aplikasi mengonfigurasi instans Amazon RDS menjadi klaster Zona Ketersediaan Multi untuk mengurangi dampak peristiwa pemeliharaan.
*Otentikasi multi-faktor*
+ Tim aplikasi bergantung pada solusi federasi identitas terpusat yang dijelaskan di bagian ini. [Arsitektur inti](scenario.md#core-architecture) Solusi ini memberlakukan MFA, otentikasi log, dan peringatan pada atau secara otomatis merespons peristiwa MFA yang mencurigakan.
*Pencadangan reguler*
+ Tim aplikasi mengonfigurasi AWS Backup untuk mengotomatiskan cadangan data cluster Amazon RDS mereka.
+ Tim aplikasi menyimpan CloudFormation template dalam repositori kode.
+ Tim aplikasi mengembangkan pipeline otomatis untuk [membuat salinan beban kerja mereka di Wilayah lain dan menjalankan pengujian otomatis](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/) (posting AWS blog). Setelah pengujian otomatis berjalan, pipa menghancurkan tumpukan. Pipeline ini secara otomatis berjalan sebulan sekali dan memvalidasi efektivitas prosedur pemulihan.
# Contoh beban kerja: Perangkat lunak COTS di Amazon EC2
Beban kerja ini adalah contoh dari. [Tema 3: Kelola infrastruktur yang bisa berubah dengan otomatisasi](theme-3.md)
Beban kerja yang berjalan di Amazon EC2 dibuat secara manual dengan menggunakan file. Konsol Manajemen AWS Pengembang memperbarui sistem secara manual dengan masuk ke instans EC2 dan memperbarui perangkat lunak.
Untuk beban kerja ini, tim cloud dan aplikasi mengambil tindakan berikut untuk mengatasi strategi Esential Eight.
*Kontrol aplikasi*
+ Tim cloud mengonfigurasi pipeline AMI terpusat mereka untuk menginstal dan mengonfigurasi AWS Systems Manager Agen (Agen SSM), CloudWatch agen, dan. SELinux Mereka membagikan AMI yang dihasilkan di semua akun di organisasi.
+ Tim cloud menggunakan AWS Config aturan untuk mengonfirmasi bahwa semua [instans EC2 yang berjalan dikelola oleh Systems Manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) dan memiliki Agen [SSM, CloudWatch agen,](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-applications-required.html) dan diinstal. SELinux
+ Tim cloud mengirimkan output Amazon CloudWatch Logs ke solusi manajemen informasi dan peristiwa keamanan terpusat (SIEM) yang berjalan di Amazon OpenSearch Service.
+ Tim aplikasi menerapkan mekanisme untuk memeriksa dan mengelola temuan dari AWS Config, GuardDuty, dan Amazon Inspector. Tim cloud mengimplementasikan mekanisme mereka sendiri untuk menangkap temuan apa pun yang terlewatkan oleh tim aplikasi. Untuk panduan selengkapnya tentang membuat program manajemen kerentanan untuk mengatasi temuan, lihat [Membangun program manajemen kerentanan yang dapat diskalakan](https://docs.aws.amazon.com/prescriptive-guidance/latest/vulnerability-management/introduction.html). AWS
*Aplikasi tambalan*
+ Tim aplikasi menambal instance berdasarkan temuan Amazon Inspector.
+ Tim cloud menambal AMI dasar, dan tim aplikasi menerima peringatan ketika AMI itu berubah.
+ Tim aplikasi membatasi akses langsung ke instans EC2 mereka dengan mengonfigurasi [aturan grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) untuk mengizinkan lalu lintas hanya pada port yang dibutuhkan beban kerja.
+ Tim aplikasi menggunakan [Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html) untuk menambal instance alih-alih masuk ke instance individual.
+ [Untuk menjalankan perintah arbitrer pada grup instans EC2, tim aplikasi menggunakan Run Command.](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)
+ Pada kesempatan langka ketika tim aplikasi membutuhkan akses langsung ke sebuah instance, mereka menggunakan [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html). Pendekatan akses ini menggunakan identitas federasi dan mencatat aktivitas sesi apa pun untuk tujuan audit.
*Batasi hak administratif*
+ Tim aplikasi mengonfigurasi [aturan grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) untuk mengizinkan lalu lintas hanya pada port yang dibutuhkan beban kerja. Ini membatasi akses langsung ke instans Amazon EC2 dan mengharuskan pengguna mengakses instans EC2 melalui Session Manager.
+ Tim aplikasi mengandalkan federasi identitas tim cloud terpusat untuk rotasi kredensil dan pencatatan terpusat.
+ Tim aplikasi membuat CloudTrail jejak dan CloudWatch filter.
+ Tim aplikasi menyiapkan peringatan Amazon SNS untuk CodePipeline penerapan dan penghapusan tumpukan. CloudFormation
*Sistem operasi patch*
+ Tim cloud menambal AMI dasar, dan tim aplikasi menerima peringatan ketika AMI itu berubah. Tim aplikasi menyebarkan instance baru dengan menggunakan AMI ini, dan kemudian mereka menggunakan [State Manager, kemampuan Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html), untuk menginstal perangkat lunak yang diperlukan.
+ Tim aplikasi menggunakan Patch Manager untuk menambal instance, instance login ke instance individual.
+ Untuk menjalankan perintah arbitrer pada grup instans EC2, tim aplikasi menggunakan Run Command.
+ Pada kesempatan langka ketika tim aplikasi membutuhkan akses langsung, mereka menggunakan Session Manager.
*Otentikasi multi-faktor*
+ Tim aplikasi bergantung pada solusi federasi identitas terpusat yang dijelaskan di bagian ini. [Arsitektur inti](scenario.md#core-architecture) Solusi ini memberlakukan MFA, otentikasi log, dan peringatan pada atau secara otomatis merespons peristiwa MFA yang mencurigakan.
*Pencadangan reguler*
+ Tim aplikasi membuat AWS Backup rencana untuk instans EC2 dan volume Amazon Elastic Block Store (Amazon EBS).
+ Tim aplikasi menerapkan mekanisme untuk melakukan restorasi cadangan secara manual setiap bulan.