SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi - AWS Well-Architected Framework
Panduan implementasiSumber daya

SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi

Konfigurasikan pencatatan log di sepanjang beban kerja, termasuk log aplikasi, log sumber daya, dan log layanan AWS. Misalnya, pastikan bahwa AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty dan AWS Security Hub diaktifkan untuk semua akun dalam organisasi Anda.

Praktik dasar bertujuan untuk menetapkan serangkaian mekanisme deteksi pada tingkat akun. Rangkaian mekanisme dasar ini ditujukan untuk merekam dan mendeteksi berbagai tindakan di semua sumber daya pada akun Anda. Mekanisme memungkinkan Anda untuk membangun kemampuan deteksi yang komprehensif dengan opsi yang mencakup perbaikan otomatis, serta integrasi partner untuk menambah fungsionalitas.

Layanan di AWS yang dapat menerapkan rangkaian dasar ini meliputi:

  • AWS CloudTrail menyediakan riwayat peristiwa aktivitas akun AWS Anda, termasuk tindakan yang diambil melalui AWS Management Console, SDK AWS, alat baris perintah, serta layanan AWS lainnya.

  • AWS Config memantau dan merekam konfigurasi sumber daya AWS Anda serta memungkinkan Anda untuk mengotomatisasi evaluasi dan perbaikan berdasarkan konfigurasi yang diinginkan.

  • Amazon GuardDuty adalah layanan deteksi ancaman yang terus memantau aktivitas berbahaya dan perilaku tidak terotorisasi untuk melindungi akun dan beban kerja AWS Anda.

  • AWS Security Hub menyediakan satu tempat yang mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan Anda, atau temuan, dari beberapa layanan AWS serta produk pihak ketiga opsional untuk memberikan Anda tampilan peringatan keamanan dan status kepatuhan secara komprehensif.

Membangun landasan pada tingkat akun, banyak layanan AWS inti, misalnya Amazon Virtual Private Cloud Console (Amazon VPC), menyediakan fitur pencatatan log tingkat layanan. Amazon VPC Flow Logs memungkinkan Anda untuk merekam informasi tentang lalu lintas IP yang bergerak ke dan dari antarmuka jaringan yang dapat menyediakan wawasan berharga tentang riwayat konektivitas, serta memicu tindakan otomatis berdasarkan perilaku tidak lazim.

Untuk instans Amazon Elastic Compute Cloud (Amazon EC2) dan pencatatan log berbasis aplikasi yang tidak berasal dari layanan AWS, log dapat disimpan dan dianalisis menggunakan Amazon CloudWatch Logs. Sebuah agen mengumpulkan log dari sistem operasi dan aplikasi yang berjalan serta menyimpannya secara otomatis. Setelah log tersedia di CloudWatch Logs, Anda dapat memprosesnya secara waktu nyata, atau mendalami analisis menggunakan CloudWatch Logs Insights.

Kemampuan mengekstrak wawasan bermakna dari data log dan peristiwa bervolume besar yang dihasilkan oleh arsitektur kompleks sama pentingnya dengan mengumpulkan dan mengagregasi log. Lihat bagian Pemantauan di laporan resmi Pilar Keandalan untuk detail lebih lanjut. Log dapat menampung sendiri data yang dianggap sensitif–baik ketika data aplikasi secara tidak sengaja masuk ke file log yang sedang direkam agen CloudWatch Logs, atau ketika pencatatan log lintas wilayah dikonfigurasi untuk agregrasi log serta ada pertimbangan perundang-undangan tentang pengiriman lintas batas untuk informasi tertentu.

Salah satu pendekatan adalah menggunakan fungsi AWS Lambda, yang dipicu pada peristiwa ketika log dikirim, untuk menyaring dan menyunting data log sebelum meneruskannya ke lokasi pencatatan log pusat, seperti bucket Amazon Simple Storage Service (Amazon S3). Log yang tidak disunting dapat dipertahankan di bucket lokal sampai waktu yang wajar telah berlalu (sesuai yang ditetapkan oleh undang-undang dan tim hukum Anda), dan saat itu, aturan siklus hidup Amazon S3 dapat menghapusnya secara otomatis. Log dapat dilindungi lebih lanjut di Amazon S3 menggunakan Amazon S3 Object Lock, di mana Anda dapat menyimpan objek menggunakan model tulis sekali baca banyak (WORM).

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

  • Aktifkan pencatatan log layanan AWS: Aktifkan pencatatan log layanan AWS untuk memenuhi persyaratan Anda. Kemampuan pencatatan log mencakup: Amazon VPC Flow Logs, log Elastic Load Balancing (ELB), log bucket Amazon S3, log akses CloudFront, log kueri Amazon Route 53, dan log Amazon Relational Database Service (Amazon RDS).

  • Evaluasi dan aktifkan pencatatan log sistem operasi dan log khusus aplikasi untuk mendeteksi perilaku mencurigakan.

  • Terapkan kontrol yang sesuai pada log: Log dapat mengandung informasi sensitif dan hanya dapat diakses oleh pengguna resmi. Pertimbangkan untuk membatasi izin ke bucket Amazon S3 dan grup log CloudWatch Logs.

  • Konfigurasikan Amazon GuardDuty: GuardDuty adalah layanan deteksi ancaman yang terus mencari aktivitas berbahaya dan perilaku tidak terotorisasi untuk melindungi Akun AWS dan beban kerja Anda. Aktifkan GuardDuty dan konfigurasikan peringatan otomatis pada email menggunakan lab.

  • Konfigurasikan jejak yang disesuaikan di CloudTrail: Konfigurasi jejak memungkinkan Anda untuk menyimpan log lebih lama dari periode default, dan menganalisisnya di lain waktu.

  • Aktifkan AWS Config: AWS Config memberikan tampilan mendetail tentang konfigurasi sumber daya AWS di Akun AWS Anda. Tampilan ini mencakup hubungan antar sumber daya dan konfigurasi sumber daya tersebut sebelumnya sehingga Anda dapat melihat perubahan konfigurasi dan hubungan tersebut dari waktu ke waktu.

  • Aktifkan AWS Security Hub: Security Hub memberikan tampilan komprehensif tentang status keamanan Anda di AWS dan membantu memeriksa kepatuhan Anda terhadap standar industri keamanan dan praktik terbaik. Security Hub mengumpulkan data keamanan di seluruh Akun AWS, layanan dan produk partner pihak ketiga yang didukung serta membantu menganalisis tren keamanan Anda dan mengidentifikasi masalah keamanan prioritas tertinggi.

Sumber daya

Dokumen terkait:

Video terkait:

Contoh terkait: