Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Domain dari alur kerja keamanan dan kepatuhan
Bagian ini menjelaskan, secara rinci, domain yang menjadi tanggung jawab alur kerja keamanan dan kepatuhan. Selama fase mobilisasi proyek migrasi Anda, domain ini membantu mempercepat perencanaan dan implementasi keamanan dan kepatuhan pada: AWS
+ [Penemuan dan penyelarasan keamanan](discovery-and-alignment.md)
+ [Pemetaan kerangka kerja keamanan](mapping.md)
+ [Implementasi keamanan, integrasi, dan validasi](implementation-integration-and-validation.md)
+ [Dokumentasi keamanan](documentation.md)
+ [Keamanan dan kepatuhan operasi cloud](cloud-operations.md)
Penting untuk mengatasi domain ini selama fase mobilisasi untuk mengamankan aktivitas migrasi selama fase migrasi berikutnya dan memodernisasi.
# Penemuan dan penyelarasan keamanan
Saat memobilisasi proyek migrasi, domain pertama untuk alur kerja keamanan dan kepatuhan adalah *penemuan dan penyelarasan keamanan*. Domain ini dimaksudkan untuk membantu organisasi Anda mencapai tujuan berikut:
+ Melatih alur kerja keamanan dan kepatuhan tentang layanan AWS keamanan, kemampuan, dan kepatuhan kepatuhan
+ Temukan persyaratan keamanan dan kepatuhan Anda serta praktik terkini. Pertimbangkan persyaratan ini dari sudut pandang infrastruktur dan operasi, termasuk:
+ Tantangan keamanan dan driver untuk status akhir target
+ Keterampilan tim keamanan cloud
+ Kebijakan, konfigurasi, kontrol, dan pagar pembatas risiko keamanan dan kepatuhan
+ Nafsu dan baseline risiko keamanan
+ Perkakas keamanan yang ada dan prospektif
## Lokakarya hari perendaman
Untuk menyelaraskan tujuan ini, gunakan hari pencelupan keamanan dan kepatuhan. *Immersion days* adalah lokakarya yang mencakup berbagai topik terkait keamanan, seperti:
+ [AWS model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [AWS layanan keamanan](https://aws.amazon.com/products/security/)
+ [AWS Arsitektur Referensi Keamanan (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/)
+ [AWS kepatuhan](https://aws.amazon.com/compliance/)
+ [Pilar Keamanan Kerangka](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) AWS Well-Architected
Lokakarya hari imersi membantu menetapkan dasar pengetahuan untuk tim keamanan Anda. Ini melatih mereka tentang layanan AWS keamanan dan praktik terbaik keamanan dan kepatuhan. AWS Arsitek Solusi, Layanan AWS Profesional, dan AWS Mitra dapat membantu Anda melakukan lokakarya interaktif ini. Mereka menggunakan dek presentasi standar, laboratorium AWS, dan aktivitas papan tulis untuk membantu mempersiapkan tim Anda.
## Lokakarya penemuan
Setelah lokakarya hari imersi, Anda melakukan beberapa lokakarya penemuan keamanan dan kepatuhan mendalam. Ini membantu tim Anda menemukan persyaratan keamanan, risiko, dan kepatuhan (SRC) saat ini dari infrastruktur, aplikasi, dan operasi. Anda menganalisis persyaratan ini melalui perspektif berikut: orang, proses, dan teknologi. Berikut ini adalah bidang penemuan untuk setiap perspektif.
### Perspektif orang
+ **Struktur organisasi** - Memahami struktur dan tanggung jawab arus kerja keamanan dan kepatuhan saat ini.
+ **Kemampuan dan keahlian** — Memiliki pengetahuan dan keahlian praktis untuk dan untuk keamanan cloud Layanan AWS dan kemampuan kepatuhan. Ini termasuk penemuan, perencanaan, implementasi, dan operasi.
+ **Matriks yang bertanggung jawab, akuntabel, konsultasi, informasi (RACI)** - Tentukan peran dan tanggung jawab untuk kegiatan keamanan dan kepatuhan saat ini dalam organisasi.
+ **Budaya** — Memahami budaya keamanan dan kepatuhan saat ini. Prioritaskan keamanan dan kepatuhan sebagai bagian dari fase pembangunan, desain, implementasi, dan operasi. Memperkenalkan Operasi Keamanan Pengembangan (DevSecOps) ke dalam budaya keamanan dan kepatuhan cloud.
### Perspektif proses
+ **Praktik** — Menentukan dan mendokumentasikan proses keamanan dan kepatuhan saat ini untuk membangun, merancang, mengimplementasikan, dan mengoperasikan. Prosesnya meliputi:
+ Akses dan manajemen identitas
+ Kontrol dan respons deteksi insiden
+ Infrastruktur dan keamanan jaringan
+ Perlindungan data
+ Kepatuhan
+ Kelangsungan dan pemulihan bisnis
+ **Dokumentasi implementasi** — Kebijakan keamanan dan kepatuhan dokumen, konfigurasi kontrol, dokumentasi perkakas, dan dokumentasi arsitektur. Dokumen-dokumen ini diperlukan untuk mencakup keamanan dan kepatuhan dari infrastruktur, jaringan, aplikasi, database, dan area penyebaran.
+ **Dokumentasi risiko** — Buat dokumentasi risiko keamanan informasi yang menguraikan selera risiko dan ambang batas.
+ **Validasi — Membuat validasi** keamanan internal dan eksternal dan persyaratan audit.
+ **Runbook** — Mengembangkan runbook operasional yang mencakup implementasi standar dan proses tata kelola saat ini untuk keamanan dan kepatuhan.
### Perspektif teknologi
+ **Layanan dan alat** — Gunakan alat untuk memvalidasi postur keamanan dan kepatuhan Anda serta untuk menegakkan dan mengatur lanskap TI saat ini. Tetapkan perkakas untuk kategori berikut:
+ Akses dan manajemen identitas
+ Kontrol dan respons deteksi insiden
+ Infrastruktur dan keamanan jaringan
+ Perlindungan data
+ Kepatuhan
+ Kelangsungan dan pemulihan bisnis
Selama lokakarya penemuan AWS keamanan, Anda menggunakan templat pengumpulan data standar dan kuesioner untuk mengumpulkan data. Dalam skenario di mana Anda tidak dapat memberikan informasi karena kurangnya kejelasan data atau data usang, Anda dapat menggunakan alat penemuan migrasi untuk mengumpulkan informasi keamanan tingkat aplikasi dan infrastruktur. Untuk daftar alat penemuan yang dapat Anda gunakan, lihat [Alat migrasi penemuan, perencanaan, dan rekomendasi](https://aws.amazon.com/prescriptive-guidance/migration-tools/migration-discovery-tools/) di Panduan AWS Preskriptif. Daftar ini memberikan rincian tentang kemampuan dan penggunaan penemuan setiap alat. Ini juga membandingkan alat untuk membantu Anda memilih alat terbaik untuk memenuhi persyaratan dan kendala lanskap TI Anda.
Selama penilaian keamanan awal, kami sangat menyarankan Anda memulai dengan pemodelan ancaman. Ini membantu Anda mengidentifikasi kemungkinan ancaman dan tindakan yang ada yang ada. Mungkin juga ada persyaratan yang telah ditentukan dan didokumentasikan untuk keamanan, kepatuhan, dan risiko. Untuk informasi lebih lanjut, lihat [lokakarya Pemodelan ancaman untuk pembangun](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) (AWS pelatihan) dan lihat [Cara mendekati pemodelan ancaman](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (posting AWS blog). Pendekatan ini membantu Anda mempertimbangkan kembali strategi keamanan dan kepatuhan Anda untuk penerapan, implementasi, dan tata kelola di. AWS Cloud
# Pemetaan kerangka kerja keamanan
Setelah menyelesaikan domain penemuan dan penyelarasan keamanan, langkah selanjutnya adalah menyelesaikan domain *pemetaan kerangka keamanan*. Domain ini adalah proses lokakarya yang memetakan persyaratan keamanan dan kepatuhan yang ditemukan ke layanan AWS Cloud keamanan. Ini juga menyelaraskan arsitektur dan operasi Anda dengan praktik terbaik AWS keamanan dan kepatuhan. Lokakarya memetakan semua persyaratan dari perspektif orang, proses dan teknologi untuk mencakup hal-hal berikut:
+ AWS Infrastruktur
+ Akun AWS, infrastruktur, dan perlindungan jaringan
+ Perlindungan data
+ Kepatuhan
+ Deteksi dan respons insiden
+ Manajemen identitas dan akses
+ Kelangsungan dan pemulihan bisnis
+ Aplikasi pada AWS
+ Mengikuti praktik terbaik Layanan AWS untuk membantu melindungi aplikasi Anda
+ Kontrol akses untuk aplikasi, database, sistem operasi, dan data
+ Perlindungan sistem operasi
+ Aplikasi, basis data, dan perlindungan data
+ Deteksi dan respons insiden
+ Kepatuhan
+ Kelangsungan dan pemulihan bisnis aplikasi
Saat Anda menyelesaikan domain pemetaan kerangka kerja keamanan, pertimbangkan selera risiko yang ditentukan, struktur tim, keahlian dan kemampuan tim, proses keamanan, kebijakan keamanan, kontrol keamanan, perkakas, operasi keamanan, serta persyaratan dan kendala keamanan lainnya. Secara keseluruhan, pemetaan kerangka kerja keamanan memberi organisasi pendekatan sistematis untuk mengelola risiko keamanan, menjaga kepatuhan, dan terus meningkatkan postur keamanan mereka, sesuai dengan standar industri dan praktik terbaik.
[Proses pemetaan kerangka keamanan menggunakan [Arsitektur Referensi AWS Keamanan (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/), [Pilar Keamanan](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) Kerangka Well-Architected, [Lensa](https://docs.aws.amazon.com/wellarchitected/latest/migration-lens/security.html) Migrasi Kerangka AWSAWS Well-Architected, dan whitepaper Pengantar Keamanan. AWS](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/welcome.html) Dokumen-dokumen ini bertindak sebagai referensi panduan untuk membantu Anda mengikuti praktik AWS terbaik untuk keamanan dan kepatuhan cloud.
Dengan menggunakan templat pemetaan standar di bengkel, Anda memetakan persyaratan ke status akhir target. Anda menyoroti alat Layanan AWS, proses, kebijakan, kontrol, dan perubahan yang diperlukan untuk mencapai status akhir target.
Saat menjalankan lokakarya pemetaan kerangka kerja keamanan, Anda dapat menggunakan Layanan AWS Profesional, Arsitek Solusi AWS Keamanan, atau AWS Mitra. Sumber daya ini dapat membantu Anda mempercepat dan memfasilitasi lokakarya. Lokakarya pemetaan kerangka kerja keamanan dapat dimasukkan sebagai bagian dari pihak [Experience-Based Acceleration (EBA), yang dipimpin oleh AWS Solution Architects, Customer Solution Manager, AWS atau Partners](https://aws.amazon.com/blogs/mt/level-up-your-cloud-transformation-with-experience-based-acceleration-eba/). AWS Partai EBA bertindak sebagai akselerator untuk membantu Anda membangun AWS Cloud fondasi yang kuat yang mengikuti praktik terbaik AWS migrasi dan modernisasi.
# Implementasi keamanan, integrasi, dan validasi
Setelah memetakan persyaratan keamanan, risiko, dan kepatuhan Anda, domain berikutnya adalah *implementasi keamanan, integrasi, dan validasi*. Berdasarkan persyaratan yang teridentifikasi, pilih kontrol dan tindakan keamanan yang tepat untuk mengurangi risiko secara efektif. Ini mungkin termasuk enkripsi, kontrol akses, sistem deteksi intrusi, atau firewall. Integrasikan solusi keamanan, seperti sistem deteksi dan pencegahan intrusi, perlindungan titik akhir, dan manajemen identitas, ke dalam infrastruktur TI yang ada untuk memberikan cakupan keamanan yang komprehensif. Melakukan penilaian keamanan rutin, termasuk pemindaian kerentanan, pengujian penetrasi, dan tinjauan kode, untuk memvalidasi efektivitas kontrol keamanan dan mengidentifikasi kelemahan atau kesenjangan. Dengan berfokus pada implementasi keamanan, integrasi, dan validasi, organisasi dapat memperkuat postur keamanan mereka, mengurangi kemungkinan pelanggaran keamanan, dan menunjukkan kepatuhan terhadap persyaratan peraturan dan standar industri.
## Implementasi
Pertama, perbarui dokumentasi untuk ambang batas keamanan, risiko, dan kepatuhan Anda saat ini. Ini memungkinkan Anda untuk menerapkan persyaratan keamanan dan kepatuhan yang direncanakan, kontrol, kebijakan, dan perkakas di cloud. Langkah ini diperlukan hanya jika Anda memiliki daftar risiko dan selera yang sudah ditentukan, yang akan diidentifikasi selama lokakarya penemuan.
Selanjutnya, Anda menerapkan persyaratan keamanan dan kepatuhan yang direncanakan, kontrol, kebijakan, dan perkakas di cloud. Kami menyarankan Anda menerapkan ini dalam urutan berikut: infrastruktur, Layanan AWS, sistem operasi, dan kemudian aplikasi atau database. Gunakan informasi dalam tabel berikut untuk memastikan bahwa Anda telah menangani semua bidang keamanan dan kepatuhan yang diperlukan.
| | |
| --- |--- |
| **Luas** | **Persyaratan keamanan dan kepatuhan** |
| Infrastruktur | Akun AWS Zona pendaratan Kontrol pencegahan Kontrol detektif Segmentasi jaringan Kontrol akses Enkripsi Pencatatan, pemantauan, dan peringatan |
| Layanan AWS | Layanan AWS konfigurasi Contoh Penyimpanan Jaringan Kontrol akses Enkripsi Pembaruan dan tambalan Pencatatan, pemantauan, dan peringatan |
| Sistem operasi | Antivirus Perlindungan malware dan worm Konfigurasi Perlindungan jaringan Kontrol akses Enkripsi Pembaruan dan tambalan Pencatatan, pemantauan, dan peringatan |
| Aplikasi atau database | Konfigurasi Kode dan skema Kontrol akses Enkripsi Pembaruan dan tambalan Pencatatan, pemantauan, dan peringatan |
## Integrasi
Implementasi keamanan seringkali membutuhkan integrasi dengan yang berikut:
+ **Jaringan** — Jaringan di dalam dan di luar AWS Cloud
+ **Lanskap TI hibrida** — Lingkungan TI selain AWS Cloud, seperti di tempat, awan publik, awan pribadi, dan kolokasi
+ **Perangkat lunak atau layanan eksternal** — Perangkat lunak dan layanan yang dikelola oleh vendor perangkat lunak independen (ISVs) dan tidak dihosting di lingkungan Anda.
+ **Layanan model operasi AWS cloud — layanan** model operasi cloud yang menyediakan DevSecOps kemampuan.
Selama fase penilaian proyek migrasi Anda, gunakan alat penemuan, dokumentasi yang ada, atau lokakarya wawancara aplikasi untuk mengidentifikasi dan mengonfirmasi titik integrasi keamanan ini. Saat merancang dan menerapkan beban kerja di AWS Cloud, buat integrasi ini sesuai dengan kebijakan dan proses keamanan dan kepatuhan yang Anda tentukan selama lokakarya pemetaan.
## Validasi
Setelah implementasi dan integrasi, kegiatan selanjutnya adalah memvalidasi implementasi. Anda memastikan bahwa pengaturan disejajarkan dengan praktik AWS terbaik untuk keamanan dan kepatuhan. Kami menyarankan Anda memvalidasi keamanan dari dua area cakupan:
+ **Penilaian kerentanan khusus beban kerja dan pengujian penetrasi** - Validasi sistem operasi, aplikasi, database, atau keamanan jaringan beban kerja yang berjalan. Layanan AWS Untuk melakukan validasi ini, gunakan alat dan skrip pengujian yang ada. Penting untuk mematuhi [kebijakan dukungan pelanggan pengujian AWS penetrasi](https://aws.amazon.com/security/penetration-testing/) saat melakukan penilaian ini.
+ **AWS****validasi praktik terbaik keamanan - Validasi** apakah AWS implementasi Anda sesuai AWS dengan Well Architected Framework dan tolok ukur terpilih lainnya, seperti Center for Internet Security (CIS). Untuk validasi ini, Anda dapat menggunakan alat dan layanan seperti, [Prowler](https://github.com/prowler-cloud/prowler/#requirements-and-installation) (GitHub) [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html), [AWS Service Screener (), atau [AWS Self-Service](https://github.com/awslabs/aws-security-assessment-solution) Security](https://github.com/aws-samples/service-screener-v2) GitHub Assessment (). GitHub
Penting untuk mendokumentasikan dan mengkomunikasikan semua temuan keamanan dan kepatuhan kepada tim keamanan dan pemimpin. Standarisasi templat pelaporan dan gunakan untuk memfasilitasi komunikasi kepada pemangku kepentingan keamanan masing-masing. Dokumentasikan semua pengecualian yang dibuat selama menemukan remediasi dan pastikan bahwa masing-masing pemangku kepentingan keamanan menandatangani.
# Dokumentasi keamanan
Saat memobilisasi keamanan dan kepatuhan selama migrasi, penting untuk menentukan dan mendokumentasikan bagaimana Anda menerapkan keamanan dan kepatuhan di cloud. Dokumentasi harus mencakup yang berikut:
+ **Dokumentasi implementasi keamanan dan kepatuhan** — Buat satu atau beberapa dokumen yang merinci definisi, proses, kebijakan, kontrol, konfigurasi, dan alat keamanan dan kepatuhan Anda. Pastikan dokumen-dokumen ini membahas aspek-aspek ini dari AWS Cloud perspektif. Sertakan yang berikut ini dalam dokumentasi ini:
+ Akses dan manajemen identitas
+ Kontrol dan respons deteksi insiden
+ Infrastruktur dan keamanan jaringan
+ Perlindungan data
+ Kepatuhan
+ Kelangsungan dan pemulihan bisnis
+ **Runbook keamanan dan kepatuhan** — Buat runbook operasional keamanan dan kepatuhan yang memandu tim operasi cloud. Mereka harus merinci cara menyelesaikan tugas, aktivitas, dan perubahan keamanan dan kepatuhan di cloud sebagai bagian dari persyaratan operasional. Ini termasuk pemantauan keamanan dan kepatuhan, manajemen insiden, validasi, dan peningkatan berkelanjutan. Pastikan bahwa runbook Anda memenuhi persyaratan yang Anda identifikasi selama penemuan keamanan dan domain penyelarasan.
+ Matriks **RACI keamanan cloud - Buat matriks** yang bertanggung jawab, akuntabel, konsultasi, informasi (RACI) yang mendefinisikan tanggung jawab keamanan dan kepatuhan serta pemangku kepentingan untuk bidang-bidang berikut:
+ Desain dan pengembangan
+ Penerapan dan implementasi
+ Operasi
# Keamanan dan kepatuhan operasi cloud
Domain terakhir adalah *keamanan dan kepatuhan operasi cloud*. Ini adalah aktivitas berkelanjutan di mana Anda menggunakan runbook operasional keamanan dan kepatuhan yang ditentukan untuk mengatur operasi cloud. Anda juga membangun model operasi cloud keamanan untuk menentukan tanggung jawab atas keamanan dan kepatuhan di organisasi Anda.
## Model operasi cloud keamanan dan kepatuhan
Di domain ini, Anda menentukan [model operasi cloud](apg-gloss.md#glossary-com) untuk keamanan. Model operasi cloud Anda harus memenuhi persyaratan yang Anda identifikasi selama lokakarya penemuan dan kemudian didefinisikan sebagai runbook. Anda dapat merancang model operasi cloud keamanan dan kepatuhan dengan salah satu dari tiga cara:
+ **Terpusat** — Model yang lebih tradisional, di mana SecOps bertanggung jawab untuk mengidentifikasi dan memulihkan peristiwa keamanan di seluruh bisnis. Ini dapat mencakup meninjau temuan postur keamanan umum untuk bisnis, seperti masalah tambalan dan konfigurasi keamanan.
+ **Desentralisasi** — Tanggung jawab untuk menanggapi dan memulihkan peristiwa keamanan di seluruh bisnis telah didelegasikan kepada pemilik aplikasi dan unit bisnis individu, dan tidak ada fungsi operasi pusat. Biasanya, masih ada fungsi tata kelola keamanan menyeluruh yang mendefinisikan kebijakan dan prinsip.
+ **Hybrid** — Campuran dari kedua pendekatan, di mana SecOps masih memiliki tingkat tanggung jawab dan kepemilikan untuk mengidentifikasi dan mengatur respons terhadap peristiwa keamanan dan tanggung jawab untuk remediasi dimiliki oleh pemilik aplikasi dan unit bisnis individu.
Penting untuk memilih model operasi yang tepat berdasarkan persyaratan keamanan dan kepatuhan Anda, kematangan organisasi, dan kendala. Persyaratan dan kendala keamanan dan kepatuhan diidentifikasi selama lokakarya penemuan. Kematangan organisasi, di sisi lain, mendefinisikan tingkat praktik keamanan operasional. Berikut ini adalah contoh rentang jatuh tempo:
+ **Rendah** — Logging bersifat lokal, dan beberapa atau tindakan sporadis diambil.
+ **Intermediate** — Log dari berbagai sumber berkorelasi, dan peringatan otomatis dibuat.
+ **Tinggi** - Buku pedoman terperinci ada dan berisi detail tentang respons proses standar. Secara operasional dan teknis, sebagian besar respons peringatan otomatis.
Untuk lebih memahami model operasi cloud keamanan dan kepatuhan dan membantu dalam pemilihan desain yang sesuai, lihat [Pertimbangan untuk operasi keamanan di cloud](https://aws.amazon.com/blogs/security/considerations-for-security-operations-in-the-cloud/) (posting AWS blog). Dalam skenario di mana tidak ada persyaratan yang telah ditentukan sebelumnya, sebaiknya Anda menyiapkan Security Operations Center (SOC) sebagai bagian dari model operasi cloud. Ini biasanya merupakan praktik model operasi terpusat. Dengan pendekatan ini, Anda dapat mengarahkan peristiwa dari berbagai sumber ke tim terpusat, yang kemudian dapat memicu tindakan dan tanggapan. Ini menstandarisasi tata kelola keamanan melalui operasi cloud. AWS dan AWS Mitra memiliki kemampuan yang dapat membantu Anda membangun SOC dan menentukan serta menerapkan Security Orchestration, Automation, and Response (SOAR). AWS dan AWS Mitra menggunakan konsultasi layanan profesional, templat yang ditentukan Layanan AWS, dan alat pihak ketiga dari AWS Mitra.
## Operasi keamanan yang sedang berlangsung
Di domain ini, lakukan tugas-tugas berikut secara berkelanjutan dengan menggunakan runbook operasi keamanan dan kepatuhan yang Anda tentukan:
+ **Pemantauan keamanan dan kepatuhan** — Lakukan pemantauan terpusat terhadap peristiwa dan ancaman keamanan dengan menggunakan alat Layanan AWS, alat, metrik, kriteria, dan frekuensi yang Anda tentukan. Tim operasi atau SOC mengelola pemantauan berkelanjutan ini, tergantung pada struktur organisasi Anda. Pemantauan keamanan melibatkan analisis dan korelasi sejumlah besar log dan data. Data log berasal dari titik akhir, jaringan, infrastruktur Layanan AWS, dan aplikasi dan disimpan dalam repositori terpusat, seperti [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) atau sistem manajemen informasi dan peristiwa keamanan (SIEM). Penting untuk mengonfigurasi peringatan sehingga Anda dapat merespons peristiwa secara manual atau otomatis secara tepat waktu.
+ **Manajemen insiden** — Tentukan postur keamanan dasar Anda. Ketika penyimpangan dari garis dasar yang telah ditetapkan terjadi, baik melalui kesalahan konfigurasi atau faktor eksternal, catat suatu insiden. Pastikan bahwa tim yang ditugaskan menanggapi insiden ini. Fondasi dari program respons insiden yang sukses di cloud adalah agar orang, proses, dan perkakas terintegrasi ke dalam setiap tahap program respons insiden (persiapan, operasi, dan aktivitas pasca-insiden). Pendidikan, pelatihan, dan pengalaman sangat penting untuk program respons insiden cloud yang sukses. Idealnya, ini diterapkan dengan baik sebelum harus menangani kemungkinan insiden keamanan. Untuk informasi selengkapnya tentang menyiapkan program respons insiden keamanan yang efektif, lihat [Panduan Respons Insiden AWS Keamanan](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/introduction.html).
+ **Validasi keamanan** — Validasi keamanan melibatkan menjalankan penilaian kerentanan, pengujian penetrasi, dan pengujian peristiwa simulasi keamanan kekacauan. Validasi keamanan harus terus dijalankan secara berkala, terutama untuk skenario berikut:
+ Pembaruan dan rilis perangkat lunak
+ Ancaman yang baru diidentifikasi, seperti malware, virus, atau worm
+ Persyaratan audit internal dan eksternal
+ Pelanggaran keamanan
Penting untuk mendokumentasikan proses validasi keamanan dan menyoroti orang, proses, jadwal, perkakas, dan templat untuk pengumpulan dan pelaporan data. Ini menstandarisasi validasi keamanan. Terus patuhi [kebijakan dukungan AWS pelanggan untuk pengujian penetrasi](https://aws.amazon.com/security/penetration-testing/) saat menjalankan validasi keamanan di cloud.
+ **Audit internal dan eksternal — Melakukan audit** internal dan eksternal untuk memvalidasi bahwa konfigurasi keamanan dan kepatuhan memenuhi persyaratan peraturan atau kebijakan internal. Lakukan audit secara berkala berdasarkan jadwal yang telah ditentukan. Audit internal biasanya dilakukan oleh tim keamanan dan risiko internal. Audit eksternal dilakukan oleh lembaga terkait atau pejabat standar. Anda dapat menggunakan Layanan AWS, seperti [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)dan [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html), untuk memfasilitasi proses audit. Layanan ini dapat memberikan bukti yang relevan runtuk laporan audit TI keamanan. Mereka juga dapat menyederhanakan manajemen risiko dan kepatuhan dengan standar peraturan dan industri dengan mengotomatiskan pengumpulan bukti. Ini membantu Anda menilai apakah kebijakan, prosedur, dan aktivitas yang dikenal sebagai *kontrol* beroperasi secara efektif. Penting juga untuk menyelaraskan persyaratan audit dengan mitra layanan terkelola Anda untuk memastikan kepatuhan.
**Tinjauan arsitektur keamanan** — Selesaikan tinjauan berkala dan pembaruan AWS arsitektur Anda dari sudut pandang keamanan dan kepatuhan. Tinjau arsitektur setiap triwulanan atau ketika ada perubahan arsitektur. AWS terus merilis pembaruan dan peningkatan fitur dan layanan keamanan dan kepatuhan. Gunakan [Arsitektur Referensi AWS Keamanan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) dan Alat Arsitek AWS Baik untuk memfasilitasi tinjauan arsitektur ini. Penting untuk mendokumentasikan implementasi keamanan dan kepatuhan Anda dan perubahan yang disarankan setelah proses peninjauan.
## AWS layanan keamanan untuk operasi
Anda berbagi tanggung AWS jawab dengan keamanan dan kepatuhan dalam AWS Cloud. Hubungan ini dijelaskan secara rinci dalam [model tanggung jawab AWS bersama](https://aws.amazon.com/compliance/shared-responsibility-model/). *Saat AWS mengelola keamanan cloud, Anda bertanggung jawab atas keamanan *di* cloud.* Anda bertanggung jawab untuk melindungi konten, infrastruktur, aplikasi, sistem, dan jaringan Anda sendiri, tidak berbeda dengan yang Anda lakukan untuk pusat data lokal. Tanggung jawab Anda untuk keamanan dan kepatuhan AWS Cloud bervariasi tergantung pada layanan yang Anda gunakan, bagaimana Anda mengintegrasikan layanan tersebut ke dalam lingkungan TI Anda, dan hukum dan peraturan yang berlaku.
Keuntungan dari AWS Cloud ini adalah memungkinkan Anda untuk skala dan berinovasi dengan menggunakan praktik AWS terbaik dan layanan keamanan dan kepatuhan. Ini membantu Anda menjaga lingkungan yang aman sambil membayar hanya untuk layanan yang Anda gunakan. Anda juga memiliki akses ke layanan AWS keamanan dan kepatuhan yang sama yang digunakan organisasi perusahaan yang sangat aman untuk mengamankan lingkungan cloud mereka.
Membangun arsitektur cloud di atas fondasi yang sehat dan aman adalah langkah pertama dan terbaik untuk memastikan keamanan dan kepatuhan cloud. Namun, AWS sumber daya Anda hanya seaman Anda mengonfigurasinya. Postur keamanan dan kepatuhan yang efektif dicapai hanya melalui kepatuhan yang terus-menerus dan ketat pada tingkat operasional. Operasi keamanan dan kepatuhan dapat dikelompokkan secara luas menjadi lima kategori:
+ Perlindungan data
+ Akses dan manajemen identitas
+ Perlindungan jaringan dan aplikasi
+ Deteksi ancaman dan pemantauan berkelanjutan
+ Kepatuhan dan privasi data
AWS Layanan keamanan dan kepatuhan dipetakan ke kategori ini untuk membantu Anda memenuhi serangkaian persyaratan yang komprehensif. Dikelompokkan ke dalam kategori ini, berikut ini adalah layanan inti AWS keamanan dan kepatuhan serta kemampuannya. Layanan ini dapat membantu Anda membangun dan menegakkan tata kelola keamanan cloud.
### Perlindungan data
AWS menyediakan layanan berikut yang dapat membantu Anda melindungi data, akun, dan beban kerja Anda dari akses yang tidak sah:
+ [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)— Menyediakan, mengelola, dan menyebarkan SSL/TLS sertifikat untuk digunakan dengan Layanan AWS.
+ [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html)— Kelola modul keamanan perangkat keras Anda (HSMs) di AWS Cloud.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) — Buat dan kendalikan kunci yang digunakan untuk mengenkripsi data Anda.
+ [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) — Temukan, klasifikasikan, dan bantu lindungi data sensitif dengan fitur keamanan yang didukung pembelajaran mesin.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)— Putar, kelola, dan ambil kredenal database, kunci API, dan rahasia lainnya melalui siklus hidupnya.
### Manajemen identitas dan akses
Layanan AWS identitas berikut membantu Anda mengelola identitas, sumber daya, dan izin secara aman dalam skala besar:
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) — Tambahkan pendaftaran pengguna, masuk, dan kontrol akses ke web dan aplikasi seluler Anda.
+ [AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)— Gunakan Microsoft Active Directory yang dikelola di AWS Cloud.
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)— Kelola akses masuk tunggal (SSO) secara terpusat ke beberapa Akun AWS aplikasi bisnis.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) - Kontrol akses Layanan AWS dan sumber daya dengan aman.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)— Menerapkan manajemen berbasis kebijakan untuk beberapa. Akun AWS
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) — Bagikan AWS sumber daya di seluruh akun Anda.
### Perlindungan jaringan dan aplikasi
Kategori layanan ini membantu Anda menegakkan kebijakan keamanan berbutir halus di titik kontrol jaringan di seluruh organisasi Anda. Berikut ini Layanan AWS membantu Anda memeriksa dan memfilter lalu lintas untuk membantu mencegah akses sumber daya yang tidak sah di batas tingkat host, tingkat jaringan, dan tingkat aplikasi:
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)— Konfigurasikan dan kelola AWS WAF aturan di seluruh Akun AWS dan aplikasi dari lokasi pusat.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)— Menyebarkan perlindungan jaringan penting untuk awan pribadi virtual Anda ()VPCs.
+ [Amazon Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) — Membantu melindungi permintaan DNS keluar Anda dari Anda. VPCs
+ [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)— Lindungi aplikasi web Anda dengan perlindungan S terkelola DDo.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)— Konfigurasikan dan kelola Amazon Elastic Compute Cloud (Amazon EC2) dan sistem lokal untuk menerapkan patch OS, membuat image sistem yang aman, dan mengonfigurasi sistem operasi.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) - Menyediakan bagian yang terisolasi secara logis AWS tempat Anda dapat meluncurkan AWS sumber daya di jaringan virtual yang Anda tentukan.
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)— Membantu melindungi aplikasi web Anda dari eksploitasi web umum.
### Deteksi ancaman dan pemantauan berkelanjutan
Layanan AWS pemantauan dan deteksi berikut membantu Anda mengidentifikasi potensi insiden keamanan di AWS lingkungan Anda:
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)— Lacak aktivitas pengguna dan penggunaan API untuk memungkinkan tata kelola dan audit operasional dan risiko Anda. Akun AWS
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)— Rekam dan evaluasi konfigurasi AWS sumber daya Anda untuk membantu Anda mengaudit kepatuhan, melacak perubahan sumber daya, dan menganalisis keamanan sumber daya.
+ [AWS Config aturan](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) — Buat aturan yang secara otomatis bertindak sebagai respons terhadap perubahan di lingkungan Anda, seperti mengisolasi sumber daya, memperkaya peristiwa dengan data tambahan, atau memulihkan konfigurasi ke status yang diketahui baik.
+ [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html) — Menganalisis dan memvisualisasikan data keamanan untuk dengan cepat sampai ke akar penyebab masalah keamanan potensial.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) — Bantu lindungi beban kerja Anda Akun AWS dengan deteksi ancaman cerdas dan pemantauan berkelanjutan.
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) — Mengotomatiskan penilaian keamanan untuk membantu meningkatkan keamanan dan kepatuhan aplikasi yang digunakan. AWS
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)Jalankan kode tanpa menyediakan atau mengelola server sehingga Anda dapat menskalakan respons terprogram dan otomatis terhadap insiden.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Lihat dan kelola peringatan keamanan dan otomatiskan pemeriksaan kepatuhan dari lokasi pusat.
### Kepatuhan dan privasi data
Berikut ini Layanan AWS memberikan pandangan komprehensif tentang status kepatuhan Anda. Mereka terus memantau lingkungan Anda dengan menggunakan pemeriksaan kepatuhan otomatis yang didasarkan pada praktik AWS terbaik dan standar industri:
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)— Dapatkan akses sesuai permintaan ke laporan AWS keamanan dan kepatuhan dan pilih perjanjian online.
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)— Terus audit AWS penggunaan Anda untuk menyederhanakan cara Anda mengelola risiko dan menjaga kepatuhan terhadap peraturan dan standar industri.