Fondasi keamanan - AWS Bimbingan Preskriptif
Kemampuan keamananPrinsip desain keamananCara menggunakan AWS SRA dengan AWS CAF dan AWS Well-Architected Framework

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Fondasi keamanan

Mempengaruhi masa depan AWS Security Reference Architecture (AWS SRA) dengan mengambil survei singkat.

AWS SRA sejalan dengan tiga fondasi AWS keamanan: AWS Cloud Adoption Framework (AWS CAF), AWS Well-Architected, dan Shared Responsibility Model. AWS

AWS Layanan Profesional menciptakan AWS CAF untuk membantu perusahaan merancang dan mengikuti jalur yang dipercepat menuju adopsi cloud yang sukses. Panduan dan praktik terbaik yang disediakan oleh kerangka kerja membantu Anda membangun pendekatan komprehensif untuk komputasi awan di seluruh perusahaan Anda dan di seluruh siklus hidup TI Anda. AWS CAF mengatur panduan ke dalam enam bidang fokus, yang disebut perspektif. Setiap perspektif mencakup tanggung jawab berbeda yang dimiliki atau dikelola oleh pemangku kepentingan yang terkait secara fungsional. Secara umum, perspektif bisnis, orang, dan tata kelola fokus pada kemampuan bisnis; sedangkan perspektif platform, keamanan, dan operasi fokus pada kemampuan teknis.

Perspektif keamanan AWS CAF membantu Anda menyusun pemilihan dan implementasi kontrol di seluruh bisnis Anda. Mengikuti AWS rekomendasi saat ini di pilar keamanan dapat membantu Anda memenuhi persyaratan bisnis dan peraturan Anda.

AWS Well-Architected membantu arsitek cloud membangun infrastruktur yang aman, berkinerja tinggi, tangguh, dan efisien untuk aplikasi dan beban kerja mereka. Kerangka kerja ini didasarkan pada enam pilar—keunggulan operasional, keamanan, keandalan, efisiensi kinerja, optimalisasi biaya, dan keberlanjutan—dan memberikan pendekatan yang konsisten bagi AWS pelanggan dan Mitra untuk mengevaluasi arsitektur dan menerapkan desain yang dapat disesuaikan dari waktu ke waktu. Kami meyakini bahwa memiliki beban kerja yang didesain dengan baik akan meningkatkan peluang keberhasilan bisnis.

Pilar keamanan Well-Architected Framework menjelaskan cara memanfaatkan teknologi cloud untuk membantu melindungi data, sistem, dan aset dengan cara yang dapat meningkatkan postur keamanan Anda. Ini akan membantu Anda memenuhi persyaratan bisnis dan peraturan Anda dengan mengikuti AWS rekomendasi saat ini. Ada area fokus Well-Architected Framework tambahan yang menyediakan lebih banyak konteks untuk domain tertentu seperti tata kelola, tanpa server, AI/ML, dan game. Lensa ini dikenal sebagai lensa AWS Well-Architected.

Keamanan dan kepatuhan adalah tanggung jawab bersama antara AWS dan pelanggan. Model bersama ini dapat membantu meringankan beban operasional Anda saat AWS mengoperasikan, mengelola, dan mengontrol komponen dari sistem operasi host dan lapisan virtualisasi hingga keamanan fisik fasilitas tempat layanan beroperasi. Misalnya, Anda memikul tanggung jawab dan pengelolaan sistem operasi tamu (termasuk pembaruan dan patch keamanan), perangkat lunak aplikasi, enkripsi data sisi server, tabel rute lalu lintas jaringan, dan konfigurasi firewall grup keamanan AWS yang disediakan. Untuk layanan abstrak seperti Amazon S3 dan Amazon DynamoDB AWS , mengoperasikan lapisan infrastruktur, sistem operasi, dan platform, dan Anda mengakses titik akhir untuk menyimpan dan mengambil data. Anda bertanggung jawab untuk mengelola data Anda (termasuk opsi enkripsi), mengklasifikasikan aset Anda, dan menggunakan alat IAM untuk menerapkan izin yang sesuai. Model bersama ini sering dijelaskan dengan mengatakan bahwa AWS bertanggung jawab atas keamanan cloud (yaitu, untuk melindungi infrastruktur yang menjalankan semua layanan yang ditawarkan di AWS Cloud), dan Anda bertanggung jawab atas keamanan di cloud (sebagaimana ditentukan oleh AWS Cloud layanan yang Anda pilih).

Dalam panduan yang diberikan oleh dokumen-dokumen dasar ini, dua set konsep sangat relevan dengan desain dan pemahaman AWS SRA: kemampuan keamanan dan prinsip-prinsip desain keamanan.

Kemampuan keamanan

Perspektif keamanan AWS CAF menguraikan sembilan kemampuan yang membantu Anda mencapai kerahasiaan, integritas, dan ketersediaan data dan beban kerja cloud Anda.

  • Tata kelola keamanan untuk mengembangkan dan mengkomunikasikan peran, tanggung jawab, kebijakan, proses, dan prosedur keamanan di seluruh AWS lingkungan organisasi Anda.

  • Jaminan keamanan untuk memantau, mengevaluasi, mengelola, dan meningkatkan efektivitas program keamanan dan privasi Anda.

  • Manajemen identitas dan akses untuk mengelola identitas dan izin dalam skala besar.

  • Deteksi ancaman untuk memahami dan mengidentifikasi potensi kesalahan konfigurasi keamanan, ancaman, atau perilaku tak terduga.

  • Manajemen kerentanan untuk terus mengidentifikasi, mengklasifikasikan, memulihkan, dan mengurangi kerentanan keamanan.

  • Perlindungan infrastruktur untuk membantu memvalidasi bahwa sistem dan layanan dalam beban kerja Anda dilindungi.

  • Perlindungan data untuk menjaga visibilitas dan kontrol atas data, dan bagaimana data diakses dan digunakan di organisasi Anda.

  • Keamanan aplikasi untuk membantu mendeteksi dan mengatasi kerentanan keamanan selama proses pengembangan perangkat lunak.

  • Respon insiden untuk mengurangi potensi bahaya dengan secara efektif menanggapi insiden keamanan.

Prinsip desain keamanan

Pilar keamanan dari Well-Architected Framework menangkap seperangkat tujuh prinsip desain yang mengubah area keamanan tertentu menjadi panduan praktis yang dapat membantu Anda memperkuat keamanan beban kerja Anda. Di mana kemampuan keamanan membingkai strategi keamanan secara keseluruhan, prinsip-prinsip Well-Architected Framework ini menjelaskan apa yang dapat Anda mulai lakukan. Mereka tercermin dengan sangat sengaja dalam AWS SRA ini dan terdiri dari yang berikut:

  • Menerapkan fondasi identitas yang kuat - Menerapkan prinsip hak istimewa terkecil, dan menegakkan pemisahan tugas dengan otorisasi yang sesuai untuk setiap interaksi dengan sumber daya Anda. AWS Pusatkan manajemen identitas, dan targetkan untuk tidak bergantung pada kredensial statis jangka panjang.

  • Aktifkan ketertelusuran - Memantau, menghasilkan peringatan, dan mengaudit tindakan dan perubahan lingkungan Anda secara real time. Integrasikan pengumpulan log dan metrik dengan sistem agar dapat bertindak berdasarkan investigasi yang berjalan otomatis.

  • Terapkan keamanan di semua lapisan - Terapkan defense-in-depth pendekatan dengan beberapa kontrol keamanan. Terapkan beberapa jenis kontrol (misalnya, kontrol preventif dan detektif) ke semua lapisan, termasuk edge of network, virtual private cloud (VPC), load balancing, layanan instance dan komputasi, sistem operasi, konfigurasi aplikasi, dan kode.

  • Mengotomatiskan praktik terbaik keamanan - Mekanisme keamanan berbasis perangkat lunak otomatis meningkatkan kemampuan Anda untuk menskalakan secara aman lebih cepat dan hemat biaya. Buat arsitektur yang aman, dan terapkan kontrol yang didefinisikan dan dikelola sebagai kode dalam templat yang dikendalikan versi.

  • Lindungi data dalam perjalanan dan saat istirahat - Klasifikasi data Anda ke dalam tingkat sensitivitas dan gunakan mekanisme seperti enkripsi, tokenisasi, dan kontrol akses jika sesuai.

  • Jauhkan orang dari data — Gunakan mekanisme dan alat untuk mengurangi atau menghilangkan kebutuhan untuk langsung mengakses atau memproses data secara manual. Ini akan mengurangi risiko kekeliruan atau perubahan dan kesalahan manusia dalam penanganan data sensitif.

  • Bersiaplah untuk acara keamanan - Mempersiapkan insiden dengan memiliki manajemen insiden dan kebijakan investigasi dan proses yang sesuai dengan kebutuhan organisasi Anda. Jalankan simulasi tanggap-insiden dan gunakan alat dengan otomatisasi untuk mempercepat deteksi, investigasi, dan pemulihan.

Cara menggunakan AWS SRA dengan AWS CAF dan AWS Well-Architected Framework

AWS CAF, AWS Well-Architected Framework, AWS dan SRA adalah kerangka kerja pelengkap yang bekerja sama untuk mendukung upaya migrasi dan modernisasi cloud Anda.

  • AWS CAF memanfaatkan AWS pengalaman dan praktik terbaik untuk membantu Anda menyelaraskan nilai-nilai adopsi cloud dengan hasil bisnis yang Anda inginkan. Gunakan AWS CAF untuk mengidentifikasi dan memprioritaskan peluang transformasi, mengevaluasi dan meningkatkan kesiapan cloud, dan secara berulang mengembangkan peta jalan transformasi Anda.

  • AWS Well-Architected Framework AWS memberikan rekomendasi untuk membangun infrastruktur yang aman, berkinerja tinggi, tangguh, dan efisien untuk berbagai aplikasi dan beban kerja yang memenuhi hasil bisnis Anda. 

  • AWS SRA membantu Anda memahami cara menerapkan dan mengatur layanan keamanan dengan cara yang selaras dengan rekomendasi AWS CAF dan Well-Architected Framework. AWS  

Misalnya, perspektif keamanan AWS CAF menyarankan agar Anda mengevaluasi cara mengelola identitas tenaga kerja Anda secara terpusat dan otentikasi mereka. AWS Berdasarkan informasi ini, Anda dapat memutuskan untuk menggunakan solusi penyedia identitas perusahaan (iDP) baru atau yang sudah ada seperti Okta, Active Directory, atau Ping Identity untuk tujuan ini. Anda mengikuti panduan dalam AWS Well-Architected Framework dan memutuskan untuk mengintegrasikan IDP Anda dengan untuk memberi karyawan Anda pengalaman masuk tunggal AWS IAM Identity Center yang dapat menyinkronkan keanggotaan dan izin grup mereka. Anda meninjau rekomendasi AWS SRA untuk mengaktifkan Pusat Identitas IAM di akun manajemen AWS organisasi Anda dan mengelolanya melalui akun alat keamanan yang digunakan oleh tim operasi keamanan Anda. Contoh ini menggambarkan bagaimana AWS CAF membantu Anda membuat keputusan awal tentang postur keamanan yang Anda inginkan, Kerangka Kerja AWS Well-Architected memberikan panduan tentang cara mengevaluasi Layanan AWS yang tersedia untuk memenuhi tujuan itu, dan AWS SRA kemudian memberikan rekomendasi tentang cara menerapkan dan mengatur layanan keamanan yang Anda pilih.