Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Tema 2: Mengelola infrastruktur yang tidak dapat diubah melalui jaringan pipa yang aman
**Esensi Delapan strategi tercakup**
Kontrol aplikasi, aplikasi patch, sistem operasi patch
Untuk infrastruktur yang tidak dapat diubah, Anda harus mengamankan pipeline penyebaran untuk perubahan sistem. AWS Distinguished Engineer, Colm MacCárthaigh, menjelaskan prinsip ini dalam presentasi [Operasi Tanpa Hak Istimewa: Menjalankan Layanan Tanpa Akses ke](https://www.youtube.com/watch?v=kNbNWxVQP4w) Data (video) pada konferensi re:Invent 2022. YouTube AWS
Dengan membatasi akses langsung untuk mengonfigurasi AWS sumber daya, Anda dapat meminta agar semua sumber daya disebarkan atau diubah melalui jalur pipa yang disetujui, aman, dan otomatis. Biasanya, Anda membuat kebijakan [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) yang memungkinkan pengguna mengakses hanya akun yang menghosting pipeline penerapan. Anda juga mengonfigurasi kebijakan IAM yang memungkinkan [akses break-glass](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) untuk sejumlah pengguna terbatas. Untuk mencegah perubahan manual, Anda dapat menggunakan grup keamanan untuk memblokir akses SSH dan protokol desktop Windows jarak jauh (RDP) ke server. [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html), kemampuan AWS Systems Manager, dapat menyediakan akses ke instance tanpa perlu membuka port masuk atau memelihara host bastion.
Amazon Machine Images (AMI) dan gambar kontainer harus dibuat dengan aman dan berulang. Untuk instans Amazon EC2, Anda dapat menggunakan [EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html) untuk AMIs build yang memiliki fitur keamanan bawaan, seperti penemuan instans, kontrol aplikasi, dan pencatatan. Untuk informasi selengkapnya tentang kontrol aplikasi, lihat [Menerapkan Kontrol Aplikasi](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/implementing-application-control) di situs web ACSC. Anda juga dapat menggunakan Image Builder untuk membuat gambar kontainer, dan Anda dapat menggunakan [Amazon Elastic Container Registry (Amazon ECR) Registry (Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/what-is-ecr.html)) untuk berbagi gambar tersebut di seluruh akun. Tim keamanan pusat dapat menyetujui proses otomatis untuk membuat gambar ini AMIs dan kontainer sehingga AMI atau gambar kontainer yang dihasilkan disetujui untuk digunakan oleh tim aplikasi.
Aplikasi harus didefinisikan dalam infrastruktur sebagai kode (IAc), dengan menggunakan layanan seperti [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)atau [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/v2/guide/home.html). Alat analisis kode, seperti, cfn-nag AWS CloudFormation Guard, atau cdk-nag, dapat secara otomatis menguji kode terhadap praktik terbaik keamanan di pipeline Anda yang disetujui.
Seperti halnya[Tema 1: Gunakan layanan terkelola](theme-1.md), Amazon Inspector dapat melaporkan kerentanan di seluruh Anda. Akun AWS Tim cloud dan keamanan terpusat dapat menggunakan informasi ini untuk memverifikasi bahwa tim aplikasi memenuhi persyaratan keamanan dan kepatuhan.
Untuk memantau dan melaporkan kepatuhan, lakukan tinjauan berkelanjutan terhadap sumber daya dan log IAM. Gunakan AWS Config aturan untuk memastikan bahwa hanya disetujui yang AMIs digunakan, dan pastikan Amazon Inspector dikonfigurasi untuk memindai sumber daya Amazon ECR dari kerentanan.
## Praktik terbaik terkait dalam Kerangka AWS Well-Architected
+ [OPS05- BP04 Gunakan sistem manajemen build dan deployment](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_dev_integ_build_mgmt_sys.html)
+ [REL08- BP04 Menyebarkan menggunakan infrastruktur yang tidak dapat diubah](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_tracking_change_management_immutable_infrastructure.html)
+ [SEC06- BP03 Mengurangi manajemen manual dan akses interaktif](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_manual_management.html)
## Menerapkan tema ini
### Menerapkan AMI dan pipeline pembuatan kontainer
+ [Gunakan EC2 Image](https://docs.aws.amazon.com/imagebuilder/latest/userguide/start-build-image-pipeline.html) Builder dan buat yang berikut ini ke dalam AMIs:
+ [AWS Systems Manager Agen (SSM Agent)](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-linux.html), yang digunakan misalnya penemuan dan manajemen
+ [Alat keamanan untuk kontrol aplikasi, seperti [Security Enhanced Linux (SELinux) (GitHub)](https://github.com/SELinuxProject), [Daemon Kebijakan Akses File (fapolicyd) (](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md)), atau OpenSCAP GitHub](https://www.open-scap.org/)
+ [Amazon CloudWatch Agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html), yang digunakan untuk logging
+ Untuk semua instans EC2, sertakan `AmazonSSMManagedInstanceCore` kebijakan `CloudWatchAgentServerPolicy` dan dalam [profil instans atau peran IAM](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) yang digunakan Systems Manager untuk mengakses instans Anda
+ [Berbagi AMIs dengan seluruh organisasi](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/share-amis-with-organizations-and-OUs.html)
+ [Bagikan sumber daya EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/manage-shared-resources.html)
+ [Pastikan tim aplikasi mereferensikan yang terbaru AMIs](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/walkthrough-custom-resources-lambda-lookup-amiids.html)
+ [Gunakan pipeline AMI Anda untuk manajemen tambalan](https://docs.aws.amazon.com/imagebuilder/latest/userguide/security-patch-management.html)
+ Menerapkan pipa pembuatan kontainer:
+ [Buat pipeline gambar kontainer menggunakan wizard konsol EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/start-build-container-pipeline.html)
+ [Buat pipeline pengiriman berkelanjutan untuk gambar kontainer Anda dengan menggunakan Amazon ECR sebagai sumber](https://aws.amazon.com/blogs/devops/build-a-continuous-delivery-pipeline-for-your-container-images-with-amazon-ecr-as-source/) (posting AWS blog)
+ [Bagikan gambar kontainer ECR di seluruh organisasi Anda melalui arsitektur multi-akun dan Multi-wilayah](https://aws.amazon.com/blogs/containers/amazon-ecr-in-multi-account-and-multi-region-architectures/)
### Menerapkan pipeline build aplikasi yang aman
+ Menerapkan pipeline build untuk IAc, seperti dengan menggunakan [EC2 Image Builder dan AWS CodePipeline](https://aws.amazon.com/blogs/mt/create-immutable-servers-using-ec2-image-builder-aws-codepipeline/) (posting blog)AWS
+ Gunakan alat analisis kode, seperti [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html), [cfn-nag](https://github.com/stelligent/cfn_nag) (GitHub), atau [cdk-nag](https://github.com/cdklabs/cdk-nag) (GitHub), dalam CI/CD pipeline untuk membantu mendeteksi pelanggaran praktik terbaik, seperti:
+ Kebijakan IAM yang terlalu permisif, seperti yang menggunakan wildcard
+ Aturan grup keamanan yang terlalu permisif, seperti yang menggunakan wildcard atau mengizinkan akses SSH
+ Akses log yang tidak diaktifkan
+ Enkripsi yang tidak diaktifkan
+ Literal kata sandi
+ [Menerapkan alat pemindaian di saluran pipa](https://aws.amazon.com/blogs/devops/building-end-to-end-aws-devsecops-ci-cd-pipeline-with-open-source-sca-sast-and-dast-tools/) (posting AWS blog)
+ [Gunakan AWS Identity and Access Management Access Analyzer dalam pipeline](https://aws.amazon.com/blogs/security/validate-iam-policies-in-cloudformation-templates-using-iam-access-analyzer/) (posting AWS blog) untuk memvalidasi kebijakan IAM yang didefinisikan dalam template CloudFormation
+ Konfigurasikan [kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#:~:text=IAM%20policies%20define%20permissions%20for,CLI%2C%20or%20the%20AWS%20API.) dan [kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) untuk akses dengan hak istimewa paling sedikit untuk menggunakan pipeline atau melakukan modifikasi apa pun padanya
### Menerapkan pemindaian kerentanan
+ [Aktifkan Amazon Inspector di semua akun di organisasi Anda](https://docs.aws.amazon.com/inspector/latest/user/designating-admin.html)
+ Gunakan Amazon Inspector untuk memindai AMIs di pipeline build AMI Anda:
+ [Mengelola siklus hidup AMI di EC2](https://github.com/aws-samples/ec2-imagebuilder-ami-lifecycle) Image Builder () GitHub
+ [Konfigurasikan pemindaian yang disempurnakan untuk repositori Amazon ECR dengan menggunakan Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning-ecr.html#configure-ecr)
+ [Membangun program manajemen kerentanan untuk melakukan triase dan memulihkan temuan keamanan](https://docs.aws.amazon.com/prescriptive-guidance/latest/vulnerability-management/)
## Memantau tema ini
### Memantau IAM dan log secara berkelanjutan
+ Tinjau kebijakan IAM Anda secara berkala untuk memastikan bahwa:
+ Hanya pipeline penyebaran yang memiliki akses langsung ke sumber daya
+ Hanya layanan yang disetujui yang memiliki akses langsung ke data
+ Pengguna tidak memiliki akses langsung ke sumber daya atau data
+ Pantau AWS CloudTrail log untuk mengonfirmasi bahwa pengguna memodifikasi sumber daya melalui saluran pipa dan tidak secara langsung memodifikasi sumber daya atau mengakses data
+ Tinjau secara berkala temuan IAM Access Analyzer
+ Siapkan peringatan untuk memberi tahu Anda jika kredensi pengguna root untuk sebuah digunakan Akun AWS
### Menerapkan AWS Config aturan berikut
+ `APPROVED_AMIS_BY_ID`
+ `APPROVED_AMIS_BY_TAG`
+ `ECR_PRIVATE_IMAGE_SCANNING_ENABLED`