Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Contoh tim cloud: Mengubah konfigurasi VPC Tim cloud bertanggung jawab untuk memuji dan memulihkan temuan keamanan yang memiliki tren umum, seperti perubahan pada pengaturan AWS default yang mungkin tidak sesuai dengan kasus penggunaan Anda. Temuan ini cenderung mempengaruhi banyak Akun AWS atau sumber daya, seperti konfigurasi VPC, atau mereka termasuk pembatasan yang harus ditempatkan di seluruh lingkungan. Sebagian besar, tim cloud membuat perubahan manual satu kali, seperti menambahkan atau memperbarui kebijakan. Setelah organisasi Anda menggunakan AWS lingkungan untuk beberapa waktu, Anda mungkin menemukan serangkaian anti-pola yang berkembang. *Anti-pola* adalah solusi yang sering digunakan untuk masalah berulang di mana solusinya kontra-produktif, tidak efektif, atau kurang efektif daripada alternatif. Sebagai alternatif dari anti-pola ini, organisasi Anda dapat menggunakan pembatasan lingkungan yang lebih efektif, seperti kebijakan kontrol AWS Organizations layanan (SCPs) atau kumpulan izin Pusat Identitas IAM. SCPs dan set izin dapat memberikan batasan tambahan untuk jenis sumber daya, seperti mencegah pengguna mengonfigurasi bucket Amazon Simple Storage Service (Amazon S3) publik. Meskipun mungkin tergoda untuk membatasi setiap konfigurasi keamanan yang mungkin, ada batasan ukuran kebijakan untuk SCPs dan set izin. Kami merekomendasikan pendekatan yang seimbang untuk kontrol preventif dan detektif. Berikut ini adalah beberapa kontrol dari standar AWS Security Hub CSPM [Foundational Security Best Practices (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) yang mungkin menjadi tanggung jawab tim cloud: + [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk dan keluar](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) + [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-6) + [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) + [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-1) + [[Config.1] AWS Config harus diaktifkan](https://docs.aws.amazon.com/securityhub/latest/userguide/config-controls.html#config-1) Untuk contoh ini, tim cloud menangani temuan untuk kontrol FSBP EC2.2. [Dokumentasi](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) untuk kontrol ini merekomendasikan untuk tidak menggunakan grup keamanan default karena memungkinkan akses luas melalui aturan masuk dan keluar default. Karena grup keamanan default tidak dapat dihapus, rekomendasinya adalah mengubah pengaturan aturan untuk membatasi lalu lintas masuk dan keluar. Untuk mengatasi masalah ini secara efisien, tim cloud harus menggunakan mekanisme yang telah ditetapkan untuk memodifikasi aturan grup keamanan untuk semua VPCs karena setiap VPC memiliki grup keamanan default ini. Dalam kebanyakan kasus, tim cloud mengelola konfigurasi VPC dengan menggunakan [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)kustomisasi atau alat infrastruktur sebagai kode (IAc), seperti atau. [https://www.terraform.io/](https://www.terraform.io/)