Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terapkan layanan keamanan di seluruh AWS organisasi Anda

Seperti yang dijelaskan di bagian sebelumnya, pelanggan mencari cara tambahan untuk memikirkan dan secara strategis mengatur set lengkap layanan AWS keamanan. Pendekatan organisasi yang paling umum saat ini adalah mengelompokkan layanan keamanan berdasarkan fungsi utama — sesuai dengan apa yang dilakukan masing-masing layanan. Perspektif keamanan AWS CAF mencantumkan sembilan kemampuan fungsional, termasuk manajemen identitas dan akses, perlindungan infrastruktur, perlindungan data, dan deteksi ancaman. Mencocokkan Layanan AWS dengan kemampuan fungsional ini adalah cara praktis untuk membuat keputusan implementasi di setiap bidang. Misalnya, ketika melihat identitas dan manajemen akses, IAM dan IAM Identity Center adalah layanan yang perlu dipertimbangkan. Saat merancang pendekatan deteksi ancaman Anda, GuardDuty mungkin menjadi pertimbangan pertama Anda.

Sebagai pelengkap tampilan fungsional ini, Anda juga dapat melihat keamanan Anda dengan tampilan struktural lintas sektoral. Artinya, selain bertanya, “Mana yang Layanan AWS harus saya gunakan untuk mengontrol dan melindungi identitas saya, akses logis, atau mekanisme deteksi ancaman?” , Anda juga dapat bertanya, “Mana yang Layanan AWS harus saya terapkan di seluruh AWS organisasi saya? Apa lapisan pertahanan yang harus saya lakukan untuk melindungi EC2 instans Amazon di inti aplikasi saya?” Dalam tampilan ini, Anda memetakan Layanan AWS dan fitur ke lapisan di AWS lingkungan Anda. Beberapa layanan dan fitur sangat cocok untuk menerapkan kontrol di seluruh AWS organisasi Anda. Misalnya, memblokir akses publik ke bucket Amazon S3 adalah kontrol khusus pada lapisan ini. Ini sebaiknya dilakukan di organisasi root daripada menjadi bagian dari pengaturan akun individu. Layanan dan fitur lain paling baik digunakan untuk membantu melindungi sumber daya individu dalam file Akun AWS. Menerapkan otoritas sertifikat bawahan (CA) dalam akun yang memerlukan sertifikat TLS pribadi adalah contoh dari kategori ini. Pengelompokan lain yang sama pentingnya terdiri dari layanan yang memiliki efek pada lapisan jaringan virtual AWS infrastruktur Anda. Diagram berikut menunjukkan enam lapisan dalam AWS lingkungan yang khas: AWS organisasi, unit organisasi (OU), akun, infrastruktur jaringan, prinsip, dan sumber daya.

Memahami layanan dalam konteks struktural ini, termasuk kontrol dan perlindungan di setiap lapisan, membantu Anda merencanakan dan menerapkan defense-in-depth strategi di seluruh AWS lingkungan Anda. Dengan perspektif ini, Anda dapat menjawab pertanyaan baik dari atas ke bawah (misalnya, “Layanan mana yang saya gunakan untuk menerapkan kontrol keamanan di seluruh AWS organisasi saya?”) dan dari bawah ke atas (misalnya, “Layanan mana yang mengelola kontrol pada EC2 instance ini?”). Di bagian ini, kami menelusuri elemen AWS lingkungan dan mengidentifikasi layanan dan fitur keamanan terkait. Tentu saja, beberapa Layanan AWS memiliki set fitur yang luas dan mendukung beberapa tujuan keamanan. Layanan ini mungkin mendukung beberapa elemen AWS lingkungan Anda.

Untuk kejelasan, kami memberikan deskripsi singkat tentang bagaimana beberapa layanan sesuai dengan tujuan yang dinyatakan. Bagian selanjutnya memberikan diskusi lebih lanjut tentang layanan individu dalam masing-masing Akun AWS.

Akun di seluruh organisasi atau beberapa

Di tingkat atas, ada Layanan AWS dan fitur yang dirancang untuk menerapkan kemampuan tata kelola dan kontrol atau pagar pembatas di beberapa akun dalam suatu AWS organisasi (termasuk seluruh organisasi atau spesifik). OUs Kebijakan kontrol layanan (SCPs) dan kebijakan kontrol sumber daya (RCPs) adalah contoh yang baik dari fitur IAM yang menyediakan pagar pembatas preventif di seluruh organisasi. AWS AWS Organizations juga menyediakan kebijakan deklaratif yang secara terpusat mendefinisikan dan menegakkan konfigurasi dasar untuk skala besar. Layanan AWS Contoh lain adalah CloudTrail, yang menyediakan pemantauan melalui jejak organisasi yang mencatat semua peristiwa untuk semua Akun AWS di AWS organisasi itu. Jejak komprehensif ini berbeda dari jalur individu yang dapat dibuat di setiap akun. Contoh ketiga adalah AWS Firewall Manager, yang dapat Anda gunakan untuk mengonfigurasi, menerapkan, dan mengelola beberapa sumber daya di semua akun di AWS organisasi Anda: AWS WAF aturan, aturan AWS WAF Klasik, AWS Shield Advanced perlindungan, grup keamanan Amazon Virtual Private Cloud (Amazon VPC) AWS Network Firewall , kebijakan, Amazon Route 53 Resolver dan kebijakan Firewall DNS.

Layanan yang ditandai dengan tanda bintang (*) dalam diagram berikut beroperasi dengan lingkup ganda: seluruh organisasi dan berfokus pada akun. Layanan ini secara fundamental memantau atau membantu mengontrol keamanan dalam akun individu. Namun, mereka juga mendukung kemampuan untuk mengumpulkan hasil mereka dari beberapa akun ke dalam akun di seluruh organisasi untuk visibilitas dan manajemen terpusat. Untuk kejelasan, pertimbangkan SCPs yang berlaku di seluruh OU, Akun AWS, atau AWS organisasi. Sebaliknya, Anda dapat mengonfigurasi dan mengelola GuardDuty keduanya di tingkat akun (di mana temuan individu dihasilkan) dan di tingkat AWS organisasi (dengan menggunakan fitur administrator yang didelegasikan) di mana temuan dapat dilihat dan dikelola secara agregat.

AWS akun

Di dalamnya OUs, ada layanan yang membantu melindungi berbagai jenis elemen dalam file Akun AWS. Misalnya, AWS Secrets Manager biasanya dikelola dari akun tertentu dan melindungi sumber daya (seperti kredensi database atau informasi otentikasi), aplikasi, dan Layanan AWS di akun itu. IAM Access Analyzer dapat dikonfigurasi untuk menghasilkan temuan ketika sumber daya tertentu dapat diakses oleh prinsipal di luar. Akun AWS Seperti disebutkan di bagian sebelumnya, banyak dari layanan ini juga dapat dikonfigurasi dan dikelola di dalamnya AWS Organizations, sehingga dapat dikelola di beberapa akun. Layanan ini ditandai dengan tanda bintang (*) dalam diagram. Mereka juga mempermudah untuk mengumpulkan hasil dari beberapa akun dan mengirimkannya ke satu akun. Ini memberi tim aplikasi individu fleksibilitas dan visibilitas untuk mengelola kebutuhan keamanan yang spesifik untuk beban kerja mereka sementara juga memungkinkan tata kelola dan visibilitas ke tim keamanan terpusat. GuardDuty adalah contoh dari layanan semacam itu. GuardDuty memantau sumber daya dan aktivitas yang terkait dengan satu akun, dan GuardDuty temuan dari beberapa akun anggota (seperti semua akun dalam AWS organisasi) dapat dikumpulkan, dilihat, dan dikelola dari akun administrator yang didelegasikan.

Jaringan virtual, komputasi, dan pengiriman konten

Karena akses jaringan sangat penting dalam keamanan, dan infrastruktur komputasi adalah komponen mendasar dari banyak AWS beban kerja, ada banyak layanan AWS keamanan dan fitur yang didedikasikan untuk sumber daya ini. Misalnya, Amazon Inspector adalah layanan manajemen kerentanan yang terus memindai beban kerja Anda AWS untuk mencari kerentanan. Pemindaian ini mencakup pemeriksaan jangkauan jaringan yang menunjukkan bahwa ada jalur jaringan yang diizinkan ke EC2 instans Amazon di lingkungan Anda. Amazon VPC memungkinkan Anda menentukan jaringan virtual tempat Anda dapat meluncurkan AWS sumber daya. Jaringan virtual ini sangat mirip dengan jaringan tradisional dan mencakup berbagai fitur dan manfaat. Endpoint VPC memungkinkan Anda untuk menghubungkan VPC Anda secara pribadi ke layanan yang didukung Layanan AWS dan ke layanan endpoint yang didukung oleh AWS PrivateLink tanpa memerlukan jalur ke internet. Diagram berikut menggambarkan layanan keamanan yang berfokus pada jaringan, komputasi, dan infrastruktur pengiriman konten.

Prinsipal dan sumber daya

AWS prinsip dan AWS sumber daya (bersama dengan kebijakan IAM) adalah elemen mendasar dalam identitas dan manajemen akses pada. AWS Prinsipal yang diautentikasi AWS dapat melakukan tindakan dan mengakses AWS sumber daya. Prinsipal dapat diautentikasi sebagai pengguna Akun AWS root dan pengguna IAM, atau dengan mengambil peran. 

AWS Sumber daya adalah objek yang ada di dalam Layanan AWS yang dapat Anda kerjakan. Contohnya termasuk EC2 instance, CloudFormation tumpukan, topik Amazon Simple Notification Service (Amazon SNS), dan bucket S3. Kebijakan IAM adalah objek yang menentukan izin saat dikaitkan dengan prinsipal IAM (pengguna, grup, atau peran) atau sumber daya. AWS Kebijakan berbasis identitas adalah dokumen kebijakan yang Anda lampirkan ke prinsipal (peran, pengguna, dan grup pengguna) untuk mengontrol tindakan mana yang dapat dilakukan oleh prinsipal, sumber daya mana, dan dalam kondisi apa. Kebijakan berbasis sumber daya adalah dokumen kebijakan yang Anda lampirkan ke sumber daya seperti bucket S3. Kebijakan ini memberikan izin utama yang ditentukan untuk melakukan tindakan spesifik pada sumber daya tersebut dan menentukan kondisi untuk izin tersebut. Kebijakan berbasis sumber daya adalah kebijakan in-line. Bagian sumber daya IAM menyelami lebih dalam jenis kebijakan IAM dan bagaimana mereka digunakan.

Untuk menjaga hal-hal sederhana dalam diskusi ini, kami mencantumkan layanan AWS keamanan dan fitur untuk kepala sekolah IAM yang memiliki tujuan utama untuk mengoperasikan, atau mendaftar ke, kepala sekolah akun. Kami menjaga kesederhanaan itu sambil mengakui fleksibilitas dan luasnya efek kebijakan izin IAM. Sebuah pernyataan tunggal dalam kebijakan dapat memiliki efek pada beberapa jenis AWS entitas. Misalnya, meskipun kebijakan berbasis identitas IAM dikaitkan dengan prinsipal IAM dan mendefinisikan izin (izinkan, tolak) untuk prinsipal tersebut, kebijakan tersebut juga secara implisit mendefinisikan izin untuk tindakan, sumber daya, dan kondisi yang ditentukan. Dengan cara ini, kebijakan berbasis identitas dapat menjadi elemen penting dalam menentukan izin untuk sumber daya.

Diagram berikut menggambarkan layanan AWS keamanan dan fitur untuk AWS kepala sekolah. Kebijakan berbasis identitas terlampir pada pengguna, grup, atau peran IAM. Kebijakan ini memungkinkan Anda menentukan apa yang dapat dilakukan oleh identitas (izinnya). Kebijakan sesi IAM adalah kebijakan izin sebaris yang diteruskan pengguna dalam sesi saat mereka mengambil peran. Anda dapat meneruskan kebijakan sendiri, atau Anda dapat mengonfigurasi pialang identitas Anda untuk memasukkan kebijakan saat identitas Anda bergabung. AWS Ini memungkinkan administrator Anda mengurangi jumlah peran yang harus mereka buat, karena beberapa pengguna dapat mengambil peran yang sama namun memiliki izin sesi yang unik. Layanan IAM Identity Center terintegrasi dengan AWS Organizations dan operasi AWS API, dan membantu Anda mengelola akses SSO dan izin pengguna di seluruh akun Anda. Akun AWS AWS Organizations

Diagram berikut menggambarkan layanan dan fitur untuk sumber daya akun. Kebijakan berbasis sumber daya dilampirkan pada sumber daya. Misalnya, Anda dapat melampirkan kebijakan berbasis sumber daya ke bucket S3, antrian Amazon Simple Queue Service (Amazon SQS), titik akhir VPC, dan kunci enkripsi. AWS KMS Anda dapat menggunakan kebijakan berbasis sumber daya untuk menentukan siapa yang memiliki akses ke sumber daya dan tindakan apa yang dapat mereka lakukan terhadapnya. Kebijakan bucket S3, kebijakan AWS KMS utama, dan kebijakan titik akhir VPC adalah jenis kebijakan berbasis sumber daya. IAM Access Analyzer membantu Anda mengidentifikasi sumber daya di organisasi dan akun Anda, seperti bucket S3 atau peran IAM, yang dibagikan dengan entitas eksternal. Ini memungkinkan Anda mengidentifikasi akses yang tidak diinginkan ke sumber daya dan data Anda, yang merupakan risiko keamanan. AWS Config memungkinkan Anda untuk menilai, mengaudit, dan mengevaluasi konfigurasi AWS sumber daya yang didukung di Anda Akun AWS. AWS Config terus memantau dan merekam konfigurasi AWS sumber daya, dan secara otomatis mengevaluasi konfigurasi yang direkam terhadap konfigurasi yang diinginkan.