Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Lampiran A: Definisi kemampuan cloud
AWS menawarkan lebih dari 200 layanan cloud dan ribuan fitur. Banyak di antaranya menyediakan kemampuan detektif, pencegahan, dan responsif native, dan lainnya dapat digunakan untuk merancang solusi keamanan khusus. Bagian ini mencakup sebagian dari layanan yang paling relevan dengan respons insiden di cloud.
**Topics**
+ [Pencatatan log dan peristiwa](logging-and-events.md)
+ [Visibilitas dan peringatan](visibility-and-alerting.md)
+ [Otomatisasi](automation-1.md)
+ [Penyimpanan aman](secure-storage.md)
+ [Kemampuan Keamanan Masa Depan dan Kustom](custom.md)
# Pencatatan log dan peristiwa
[https://aws.amazon.com/cloudtrail/](https://aws.amazon.com/cloudtrail/)— AWS CloudTrail layanan yang memungkinkan tata kelola, kepatuhan, audit operasional, dan audit risiko akun. AWS Dengan CloudTrail, Anda dapat log, terus memantau, dan mempertahankan aktivitas akun yang terkait dengan tindakan di seluruh AWS layanan. CloudTrail menyediakan riwayat peristiwa aktivitas AWS akun Anda, termasuk tindakan yang diambil melalui Konsol Manajemen AWS, AWS SDKs, alat baris perintah, dan AWS layanan lainnya. Riwayat peristiwa ini menyederhanakan analisis keamanan, pelacakan perubahan sumber daya, dan pemecahan masalah. CloudTrail mencatat dua jenis tindakan AWS API yang berbeda:
+ **CloudTrail Peristiwa manajemen** (juga dikenal sebagai operasi pesawat kontrol) menunjukkan operasi manajemen yang dilakukan pada sumber daya di AWS akun Anda. Hal ini termasuk tindakan seperti membuat bucket Amazon S3 dan menyiapkan pencatatan log.
+ ** CloudTrail Peristiwa data** (juga dikenal sebagai operasi bidang data) menunjukkan operasi sumber daya yang dilakukan pada atau di dalam sumber daya di AWS akun Anda. Operasi ini sering kali merupakan aktivitas bervolume tinggi. Hal ini mencakup tindakan seperti aktivitas API tingkat objek Amazon S3 (misalnya, operasi API `GetObject`, `DeleteObject`, dan `PutObject`) dan aktivitas invokasi fungsi Lambda.
[https://aws.amazon.com/config/](https://aws.amazon.com/config/)— AWS Config adalah layanan yang memungkinkan pelanggan menilai, mengaudit, dan mengevaluasi konfigurasi sumber daya Anda AWS . AWS Config terus memantau dan merekam konfigurasi AWS sumber daya Anda dan memungkinkan Anda untuk mengotomatiskan evaluasi konfigurasi yang direkam terhadap konfigurasi yang diinginkan. Dengan AWS Config, pelanggan dapat meninjau perubahan konfigurasi dan hubungan antar AWS sumber daya, secara manual atau otomatis, riwayat konfigurasi sumber daya terperinci, dan menentukan kepatuhan keseluruhan terhadap konfigurasi yang ditentukan dalam pedoman pelanggan. Hal ini memungkinkan penyederhanaan audit kepatuhan, analisis keamanan, manajemen perubahan, dan pemecahan masalah operasional.
[https://aws.amazon.com/eventbridge/](https://aws.amazon.com/eventbridge/) — Amazon EventBridge memberikan aliran peristiwa sistem yang mendekati real-time yang menjelaskan perubahan AWS sumber daya, atau saat panggilan API dipublikasikan oleh AWS CloudTrail. Dengan menggunakan aturan sederhana yang dapat Anda atur dengan cepat, Anda dapat mencocokkan acara dan mengarahkannya ke satu atau lebih fungsi atau aliran target. EventBridge menjadi sadar akan perubahan operasional saat terjadi. EventBridge dapat menanggapi perubahan operasional ini dan mengambil tindakan korektif seperlunya, dengan mengirim pesan untuk merespons lingkungan, mengaktifkan fungsi, membuat perubahan, dan menangkap informasi negara. Beberapa layanan keamanan, seperti Amazon GuardDuty, menghasilkan output mereka dalam bentuk EventBridge acara. Banyak layanan keamanan juga menyediakan opsi untuk mengirim output-nya ke Amazon S3.
**Log akses Amazon S3** – Jika informasi sensitif disimpan dalam bucket Amazon S3, pelanggan dapat mengaktifkan log akses Amazon S3 untuk merekam setiap unggahan, unduhan, dan modifikasi data tersebut. Log ini terpisah dari, dan sebagai tambahan, CloudTrail log yang mencatat perubahan pada bucket itu sendiri (seperti mengubah kebijakan akses dan kebijakan siklus hidup). Perlu diketahui bahwa catatan log akses server disampaikan atas dasar upaya terbaik. Sebagian besar permintaan bucket yang dikonfigurasi dengan benar untuk mencatat hasil dalam catatan log yang dikirim. Kelengkapan dan ketepatan waktu pencatatan server tidak dijamin.
[https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) — Pelanggan dapat menggunakan CloudWatch Log Amazon untuk memantau, menyimpan, dan mengakses file log yang berasal dari sistem operasi, aplikasi, dan sumber lain yang berjalan di instans Amazon EC2 dengan CloudWatch agen Log. CloudWatch Log dapat menjadi tujuan untuk AWS CloudTrail, Kueri DNS Route 53, Log Aliran VPC, fungsi Lambda, dan lainnya. Pelanggan kemudian dapat mengambil data log terkait dari CloudWatch Log.
[https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) – Log Alur VPC memungkinkan pelanggan untuk menangkap informasi tentang lalu lintas IP ke dan dari antarmuka jaringan di VPC. Setelah mengaktifkan flow log, mereka dapat dialirkan ke Amazon CloudWatch Logs dan Amazon S3. Log Alur VPC membantu pelanggan dengan sejumlah tugas seperti pemecahan masalah lalu lintas tertentu yang tidak mencapai instans, mendiagnosis aturan grup keamanan yang terlalu ketat, dan menggunakannya sebagai alat keamanan untuk memantau lalu lintas ke instans EC2. Gunakan pencatatan alur VPC versi terbaru untuk mendapatkan bidang yang paling kuat.
[https://aws.amazon.com/waf/](https://aws.amazon.com/waf/) — AWS WAF mendukung pencatatan penuh dari semua permintaan web yang diperiksa oleh layanan. Pelanggan dapat menyimpannya di Amazon S3 untuk memenuhi persyaratan kepatuhan dan audit, serta debugging dan forensik. Log ini membantu pelanggan menentukan akar penyebab aturan yang dimulai dan permintaan web yang diblokir. Log dapat diintegrasikan dengan SIEM pihak ketiga dan alat analisis log.
[https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html) – Log kueri Route 53 Resolver akan memungkinkan Anda mencatat semua kueri DNS yang dibuat oleh sumber daya dalam Amazon Virtual Private Cloud (Amazon VPC). Baik itu instans Amazon EC2, AWS Lambda fungsi, atau wadah, jika itu hidup di VPC Amazon Anda dan membuat kueri DNS, maka fitur ini akan mencatatnya; Anda kemudian dapat menjelajahi dan lebih memahami bagaimana aplikasi Anda beroperasi.
** AWS Log lain** — AWS terus merilis fitur dan kemampuan layanan untuk pelanggan dengan kemampuan logging dan pemantauan baru. Untuk informasi tentang fitur yang tersedia untuk setiap AWS layanan, lihat dokumentasi publik kami.
# Visibilitas dan peringatan
[https://aws.amazon.com/security-incident-response/](https://aws.amazon.com/security-incident-response/)- Respons Insiden Keamanan AWS adalah layanan komprehensif yang membantu organisasi menangani peristiwa keamanan sepanjang siklus hidup mereka dengan menggabungkan kemampuan otomatis dengan dukungan manusia ahli. Layanan ini memanfaatkan fitur pemantauan dan investigasi otomatis untuk membebaskan sumber daya organisasi sambil mempertahankan pengawasan keamanan yang waspada, dan ketika peristiwa keamanan terjadi, ini memfasilitasi komunikasi dan koordinasi yang dipercepat di antara para pemangku kepentingan untuk waktu respons yang cepat. Layanan ini mendukung beberapa kasus penggunaan, termasuk persiapan dan simulasi peristiwa keamanan, respons terhadap insiden aktif, dan pelaporan dan analisis pasca-insiden yang efisien, memastikan organisasi dilengkapi dengan baik untuk menangani tantangan keamanan di setiap tahap.
[https://aws.amazon.com/security-hub/](https://aws.amazon.com/security-hub/)— AWS Security Hub CSPM memberi pelanggan pandangan komprehensif tentang peringatan keamanan prioritas tinggi dan status kepatuhan di seluruh akun. AWS Security Hub CSPM mengumpulkan, mengatur, dan memprioritaskan temuan ancaman dari layanan AWS seperti Amazon, Amazon Inspector, GuardDuty Amazon Macie, dan solusi. AWS Partner Temuan dirangkum secara visual pada dasbor terintegrasi dengan grafik dan tabel yang dapat ditindaklanjuti. Anda juga dapat terus memantau lingkungan Anda menggunakan pemeriksaan kepatuhan otomatis berdasarkan praktik AWS terbaik dan standar industri yang diikuti organisasi Anda.
[https://aws.amazon.com/guardduty/](https://aws.amazon.com/guardduty/) GuardDuty adalah layanan deteksi ancaman terkelola yang terus memantau perilaku berbahaya atau tidak sah untuk membantu pelanggan melindungi AWS akun dan beban kerja. Layanan ini memantau aktivitas seperti panggilan API yang tidak biasa atau deployment yang berpotensi tidak sah yang menunjukkan kemungkinan pembobolan akun atau sumber daya instans Amazon EC2, bucket Amazon S3, atau pengintaian oleh pihak yang tidak bertanggung jawab.
GuardDuty mengidentifikasi tersangka pelaku jahat melalui umpan intelijen ancaman terintegrasi menggunakan pembelajaran mesin untuk mendeteksi anomali dalam aktivitas akun dan beban kerja. Ketika ancaman potensial terdeteksi, layanan memberikan peringatan keamanan terperinci ke GuardDuty konsol dan CloudWatch Acara. Hal ini membuat peringatan dapat ditindaklanjuti dan mudah diintegrasikan ke dalam manajemen peristiwa dan sistem alur kerja yang ada.
GuardDuty juga menawarkan dua add-on untuk memantau ancaman dengan layanan tertentu: Amazon GuardDuty untuk perlindungan Amazon S3 dan Amazon GuardDuty untuk perlindungan Amazon EKS. Perlindungan Amazon S3 memungkinkan GuardDuty untuk memantau operasi API tingkat objek untuk mengidentifikasi potensi risiko keamanan untuk data dalam bucket Amazon S3. Perlindungan Kubernetes memungkinkan GuardDuty untuk mendeteksi aktivitas mencurigakan dan potensi kompromi klaster Kubernetes di Amazon EKS.
[https://aws.amazon.com/macie/](https://aws.amazon.com/macie/) - Amazon Macie adalah layanan keamanan bertenaga AI yang membantu mencegah kehilangan data dengan secara otomatis menemukan, mengklasifikasikan, dan melindungi data sensitif yang disimpan. AWS Macie menggunakan machine learning (ML) untuk mengenali data sensitif seperti informasi pengenal pribadi (PII) atau kekayaan intelektual, menetapkan nilai bisnis, dan memberikan visibilitas ke tempat data ini disimpan dan bagaimana data tersebut digunakan dalam organisasi Anda. Amazon Macie terus memantau adanya anomali dalam aktivitas akses data, dan memberikan peringatan ketika mendeteksi risiko akses tidak sah atau kebocoran data yang tidak disengaja.
[https://aws.amazon.com/config/](https://aws.amazon.com/config/) AWS Config Aturan mewakili konfigurasi yang disukai untuk sumber daya dan dievaluasi terhadap perubahan konfigurasi pada sumber daya yang relevan, seperti yang dicatat oleh. AWS Config Anda dapat melihat hasil evaluasi aturan terhadap konfigurasi sumber daya di dasbor. Dengan menggunakan AWS Config aturan, Anda dapat menilai kepatuhan dan status risiko secara keseluruhan dari perspektif konfigurasi, melihat tren kepatuhan dari waktu ke waktu, dan menemukan perubahan konfigurasi mana yang menyebabkan sumber daya tidak sesuai dengan aturan.
[https://aws.amazon.com/premiumsupport/technology/trusted-advisor/](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)— AWS Trusted Advisor adalah sumber daya online untuk membantu Anda mengurangi biaya, meningkatkan kinerja, dan meningkatkan keamanan dengan mengoptimalkan AWS lingkungan Anda. Trusted Advisor memberikan panduan waktu nyata untuk membantu Anda menyediakan sumber daya Anda dengan mengikuti praktik AWS terbaik. Set lengkap Trusted Advisor pemeriksaan, termasuk integrasi CloudWatch Acara, tersedia untuk pelanggan paket Business and Enterprise Support.
[https://aws.amazon.com/cloudwatch/](https://aws.amazon.com/cloudwatch/) — Amazon CloudWatch adalah layanan pemantauan untuk AWS Cloud sumber daya dan aplikasi yang Anda jalankan AWS. Anda dapat menggunakannya CloudWatch untuk mengumpulkan dan melacak metrik, mengumpulkan dan memantau file log, mengatur alarm, dan secara otomatis bereaksi terhadap perubahan sumber daya Anda AWS . CloudWatch dapat memantau AWS sumber daya, seperti instans Amazon EC2, tabel Amazon DynamoDB, dan instans Amazon RDS DB, serta metrik khusus yang dihasilkan oleh aplikasi dan layanan Anda, dan file log apa pun yang dihasilkan aplikasi Anda. Anda dapat menggunakan Amazon CloudWatch untuk mendapatkan visibilitas seluruh sistem ke dalam pemanfaatan sumber daya, kinerja aplikasi, dan kesehatan operasional. Anda dapat menggunakan wawasan ini untuk bereaksi dengan tepat dan menjaga aplikasi Anda tetap berjalan dengan lancar.
[https://aws.amazon.com/inspector/](https://aws.amazon.com/inspector/) - Amazon Inspector adalah layanan penilaian keamanan otomatis yang membantu meningkatkan keamanan dan kepatuhan aplikasi yang digunakan. AWS Amazon Inspector secara otomatis menilai kerentanan atau penyimpangan dari praktik terbaik pada aplikasi. Setelah melakukan penilaian, Amazon Inspector menghasilkan daftar detail temuan keamanan yang diprioritaskan berdasarkan tingkat keparahan. Temuan ini dapat ditinjau secara langsung atau sebagai bagian dari laporan penilaian terperinci yang tersedia melalui konsol Amazon Inspector atau API.
[https://aws.amazon.com/detective/](https://aws.amazon.com/detective/) — Amazon Detective adalah layanan keamanan yang secara otomatis mengumpulkan data log dari AWS sumber daya Anda dan menggunakan pembelajaran mesin, analisis statistik, dan teori grafik untuk membangun kumpulan data terkait yang memungkinkan Anda melakukan investigasi keamanan yang lebih cepat dan lebih efisien. Detective dapat menganalisis triliunan peristiwa dari berbagai sumber data seperti VPC Flow Logs, dan, dan CloudTrail GuardDuty, dan secara otomatis membuat tampilan interaktif terpadu dari sumber daya, pengguna, dan interaksi Anda di antara mereka dari waktu ke waktu. Dengan pandangan terpadu ini, Anda dapat memvisualisasikan semua detail dan konteks di satu tempat untuk mengidentifikasi alasan yang mendasari temuan, menggali aktivitas historis yang relevan, dan menentukan akar penyebabnya dengan cepat.
# Otomatisasi
[https://aws.amazon.com/lambda](https://aws.amazon.com/lambda)— AWS Lambda adalah layanan komputasi tanpa server yang menjalankan kode Anda sebagai respons terhadap peristiwa, dan secara otomatis mengelola sumber daya komputasi yang mendasarinya untuk Anda. Anda dapat menggunakan Lambda untuk memperluas AWS layanan lain dengan logika khusus, atau membuat layanan backend Anda sendiri yang beroperasi pada AWS skala, kinerja, dan keamanan. Lambda menjalankan kode Anda pada infrastruktur komputasi dengan ketersediaan tinggi dan melakukan administrasi sumber daya komputasi untuk Anda. Hal ini termasuk pemeliharaan server dan sistem operasi, penyediaan kapasitas dan penskalaan otomatis, deployment kode dan patch keamanan, serta pemantauan dan pencatatan kode. Anda hanya tinggal menyediakan kode.
[https://aws.amazon.com/step-functions/](https://aws.amazon.com/step-functions/)— AWS Step Functions membuatnya mudah untuk mengoordinasikan komponen aplikasi terdistribusi dan layanan mikro menggunakan alur kerja visual. Step Functions menyediakan konsol grafis bagi Anda untuk mengatur dan memvisualisasikan komponen aplikasi Anda sebagai serangkaian langkah. Hal ini memudahkan Anda untuk membangun dan menjalankan aplikasi multilangkah. Step Functions secara otomatis memulai dan melacak setiap langkah, dan mencoba kembali ketika ada kesalahan, sehingga aplikasi Anda berjalan sesuai urutan dan seperti yang diharapkan.
Step Functions mencatat status setiap langkah, jadi ketika terjadi kesalahan, Anda dapat mendiagnosis dan melakukan debug masalah dengan cepat. Anda dapat mengubah dan menambahkan langkah-langkah tanpa menulis kode, sehingga Anda dapat mengembangkan aplikasi Anda dan berinovasi lebih cepat. AWS Step Functions adalah bagian dari AWS Tanpa Server, dan membuatnya mudah untuk mengatur fungsi untuk aplikasi tanpa server. AWS Lambda Anda juga dapat menggunakan Step Functions untuk orkestrasi layanan mikro menggunakan sumber daya komputasi seperti Amazon EC2 dan Amazon ECS.
[https://aws.amazon.com/systems-manager/](https://aws.amazon.com/systems-manager/) — AWS Systems Manager memberi Anda visibilitas dan kontrol atas AWS infrastruktur Anda. Systems Manager menyediakan antarmuka pengguna terpadu sehingga Anda dapat melihat data operasional dari beberapa AWS layanan, dan memungkinkan Anda untuk mengotomatiskan tugas operasional di seluruh sumber daya Anda AWS . Dengan Systems Manager, Anda dapat mengelompokkan sumber daya berdasarkan aplikasi, melihat data operasional untuk pemantauan dan pemecahan masalah, dan bertindak pada kelompok sumber daya Anda. Systems Manager dapat menyimpan instans Anda dalam status yang ditentukan, melakukan perubahan sesuai permintaan, seperti memperbarui aplikasi atau menjalankan skrip shell, serta melakukan tugas otomatisasi dan patching lainnya.
# Penyimpanan aman
[https://aws.amazon.com/s3/](https://aws.amazon.com/s3/) – Amazon S3 adalah penyimpanan objek yang dibuat untuk menyimpan dan mengambil sejumlah data dari mana saja. Penyimpanan ini dirancang untuk memberikan daya tahan 99,999999999%, dan menyimpan data untuk jutaan aplikasi yang digunakan oleh para pemimpin pasar di setiap industri. Amazon S3 memberikan keamanan komprehensif dan dirancang untuk membantu Anda memenuhi persyaratan peraturan Anda. Ini memberi pelanggan fleksibilitas dalam metode yang mereka gunakan untuk mengelola data untuk pengoptimalan biaya, kontrol akses, dan kepatuhan. Amazon S3 menyediakan query-in-place fungsionalitas, yang memungkinkan Anda menjalankan analitik yang kuat langsung pada data Anda saat istirahat di Amazon S3. Amazon S3 adalah layanan penyimpanan cloud yang sangat didukung, dengan integrasi dari salah satu komunitas terbesar solusi pihak ketiga, mitra integrator sistem, dan layanan lainnya. AWS
[https://aws.amazon.com/s3/storage-classes/glacier/](https://aws.amazon.com/s3/storage-classes/glacier/) Glacier adalah layanan penyimpanan cloud yang aman, tahan lama, dan sangat murah untuk pengarsipan data dan pencadangan jangka panjang. Layanan ini dirancang untuk memberikan ketahanan 99,999999999%, keamanan komprehensif dan dirancang untuk membantu Anda memenuhi persyaratan peraturan Anda. Amazon Glacier query-in-place menyediakan fungsionalitas, yang memungkinkan Anda menjalankan analitik yang kuat secara langsung pada data arsip Anda saat istirahat. Untuk menjaga biaya tetap rendah namun cocok untuk berbagai kebutuhan pengambilan, Amazon Glacier menyediakan tiga opsi untuk akses ke arsip, dari beberapa menit hingga beberapa jam.
# Kemampuan Keamanan Masa Depan dan Kustom
Layanan dan fitur yang disebutkan di atas bukanlah daftar lengkap. AWS terus menambahkan kemampuan baru. Untuk informasi lebih lanjut, kami mendorong Anda untuk meninjau halaman [Apa yang Baru di AWS](https://aws.amazon.com/new/) dan [Keamanan AWS Cloud](https://aws.amazon.com/security/). Selain layanan keamanan yang AWS menawarkan layanan cloud asli, Anda mungkin tertarik untuk membangun kemampuan Anda sendiri di atas AWS layanan.
Meskipun kami menyarankan untuk mengaktifkan serangkaian layanan keamanan dasar dalam akun Anda, seperti Amazon AWS CloudTrail GuardDuty, dan Amazon Macie, Anda mungkin ingin memperluas kemampuan ini untuk mendapatkan nilai tambahan dari aset log Anda. Ada sejumlah alat partner yang tersedia, seperti yang tercantum dalam program Kompetensi Keamanan APN kami. Anda mungkin juga ingin menulis kueri Anda sendiri untuk mencari log Anda. Dengan banyaknya layanan terkelola yang AWS menawarkan, ini tidak pernah semudah ini. Ada banyak AWS layanan tambahan yang dapat membantu Anda dengan penyelidikan yang berada di luar cakupan paper ini, seperti Amazon Athena, Amazon OpenSearch Service, Amazon Quick, Amazon Machine Learning, dan Amazon EMR.