# Keamanan
Pilar Keamanan berkenaan dengan kemampuan untuk melindungi data, sistem, dan aset untuk memanfaatkan teknologi cloud guna meningkatkan keamanan Anda. Anda dapat menemukan panduan preskriptif tentang implementasi di [Laporan resmi Pilar Keamanan](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html?ref=wellarchitected-wp).
**Topics**
+ [Fondasi keamanan](a-sec-security.md)
+ [Manajemen identitas dan akses](a-identity-and-access-management.md)
+ [Deteksi](a-detective-controls.md)
+ [Perlindungan infrastruktur](a-infrastructure-protection.md)
+ [Perlindungan data](a-data-protection.md)
+ [Respons insiden](a-incident-response.md)
+ [Keamanan aplikasi](a-appsec.md)
# Fondasi keamanan
**Topics**
+ [SEC 1. Bagaimana cara Anda mengoperasikan beban kerja Anda dengan aman?](sec-01.md)
# SEC 1. Bagaimana cara Anda mengoperasikan beban kerja Anda dengan aman?
Untuk mengoperasikan beban kerja Anda dengan aman, Anda harus menerapkan praktik terbaik yang menyeluruh ke setiap area keamanan. Pilih persyaratan dan proses yang telah Anda tetapkan dalam keunggulan operasional di tingkat organisasi dan beban kerja, lalu terapkan ke semua area. Terus mengikuti rekomendasi terbaru dari AWS dan industri serta informasi ancaman akan membantu Anda mengevolusikan model ancaman dan tujuan kontrol. Otomatisasi proses, pengujian, dan validasi keamanan memungkinkan Anda menskalakan operasi keamanan Anda.
**Topics**
+ [SEC01-BP01 Memisahkan beban kerja menggunakan akun](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Mengamankan properti dan pengguna root akun](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 Identifikasikan dan validasikan tujuan kontrol](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Ikuti info terbaru tentang ancaman keamanan](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Mengikuti informasi terbaru tentang rekomendasi keamanan](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 Mengotomatiskan pengujian dan validasi kontrol keamanan di pipeline](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 Mengidentifikasi ancaman dan memprioritaskan mitigasi menggunakan model ancaman](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Mengevaluasi dan mengimplementasikan fitur serta layanan keamanan baru secara rutin](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 Memisahkan beban kerja menggunakan akun
Terapkan pagar pembatas umum dan isolasi antarlingkungan (seperti produksi, pengembangan, dan pengujian) dan beban kerja melalui strategi multiakun. Pemisahan di tingkat akun sangat disarankan karena hal ini dapat memberikan batasan isolasi yang kuat untuk keamanan, tagihan, dan akses.
**Hasil yang diinginkan:** Struktur akun yang mengisolasi operasi cloud, beban kerja yang tidak saling berkaitan, dan lingkungan dalam akun terpisah, sehingga meningkatkan keamanan di seluruh infrastruktur cloud.
**Antipola umum:**
+ Menempatkan beberapa beban kerja yang tidak saling berkaitan dengan berbagai tingkat sensitivitas data ke dalam akun yang sama.
+ Struktur unit organisasi (OU) yang tidak ditentukan dengan baik.
**Manfaat menjalankan praktik terbaik ini:**
+ Mengurangi cakupan dampak jika beban kerja tidak sengaja diakses.
+ Tata kelola akses secara terpusat ke layanan, sumber daya, dan Wilayah AWS.
+ Keamanan infrastruktur cloud terjaga dengan kebijakan dan administrasi terpusat pada layanan keamanan.
+ Pembuatan akun dan proses pemeliharaan otomatis.
+ Audit infrastruktur terpusat untuk persyaratan kepatuhan dan peraturan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Akun AWS memberikan batas isolasi keamanan di antara beban kerja atau sumber daya yang beroperasi pada tingkat sensitivitas yang berbeda. AWS menyediakan alat untuk mengelola beban kerja cloud Anda dalam skala besar melalui strategi multiakun untuk memanfaatkan batasan isolasi ini. Untuk panduan tentang konsep, pola, dan implementasi strategi multiakun di AWS, lihat [Mengelola Lingkungan AWS Anda Menggunakan Beberapa Akun](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html).
Ketika Anda memiliki beberapa Akun AWS di bawah manajemen pusat, akun Anda harus dikelola dalam hierarki yang ditentukan oleh lapisan unit organisasi (OU). Kontrol keamanan kemudian dapat diatur dan diterapkan ke OU dan akun anggota, yang menciptakan kontrol pencegahan yang konsisten pada akun anggota di organisasi. Kontrol keamanan diwariskan, memungkinkan Anda memfilter izin yang tersedia untuk akun anggota yang berada di tingkat yang lebih rendah dalam hierarki OU. Untuk membuat desain yang baik, memanfaatkan pewarisan ini untuk mengurangi jumlah dan kerumitan kebijakan keamanan yang diperlukan untuk mencapai kontrol keamanan yang diinginkan untuk setiap akun anggota.
[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) dan [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) adalah dua layanan yang dapat Anda gunakan untuk mengimplementasikan dan mengelola struktur multiakun ini di lingkungan AWS Anda. Dengan AWS Organizations, Anda bisa mengatur akun ke dalam hierarki yang ditentukan oleh satu atau beberapa lapisan OU, dan setiap OU berisi sejumlah akun anggota. [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) memungkinkan administrator organisasi untuk menetapkan kontrol pencegahan terperinci pada akun anggota, dan [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) dapat digunakan untuk membuat kontrol proaktif dan detektif pada akun anggota. Banyak layanan AWS [berintegrasi dengan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) untuk memberikan kontrol administratif terdelegasi dan melakukan tugas khusus layanan di semua akun anggota dalam organisasi.
Selain AWS Organizations, [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) menyediakan penyiapan praktik terbaik sekali klik untuk lingkungan AWS multiakun dengan [zona landasan](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html). Zona landasan adalah titik masuk ke lingkungan multiakun yang dibuat oleh Control Tower. Control Tower memiliki beberapa [manfaat](https://aws.amazon.com/blogs/architecture/fast-and-secure-account-governance-with-customizations-for-aws-control-tower/) dibanding AWS Organizations. Tiga manfaat yang memberikan tata kelola akun yang lebih baik adalah:
+ Pagar pembatas wajib terintegrasi yang diterapkan secara otomatis ke akun yang diterima di organisasi.
+ Pagar pembatas opsional yang dapat diaktifkan atau dinonaktifkan untuk serangkaian OU tertentu.
+ [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) menyediakan deployment otomatis untuk akun yang berisi dasar dan opsi konfigurasi yang telah disetujui sebelumnya di dalam organisasi Anda.
## Langkah implementasi
1. **Rancang struktur unit organisasi:** Rancangan struktur organisasi yang tepat dapat mengurangi beban manajemen yang diperlukan untuk membuat dan mengelola kebijakan kontrol layanan dan kontrol keamanan lainnya. Struktur unit organisasi Anda harus [selaras dengan struktur beban kerja, sensitivitas data, dan kebutuhan bisnis Anda](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/).
1. **Buat zona landasan untuk lingkungan multiakun:** Zona landasan membentuk konsistensi keamanan dan landasan infrastruktur, sehingga organisasi Anda dapat dengan cepat mengembangkan, meluncurkan, dan melakukan deployment beban kerja. Anda dapat menggunakan [zona landasan kustom atau AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) untuk mengatur lingkungan Anda.
1. **Terapkan pagar pembatas:** Implementasikan pagar pembatas yang stabil untuk lingkungan Anda melalui zona landasan. AWS Control Tower menyediakan sederet kontrol [wajib](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html) dan [opsional](https://docs.aws.amazon.com/controltower/latest/userguide/optional-controls.html) yang dapat di-deploy. Deployment kontrol wajib dilakukan secara otomatis saat mengimplementasikan Control Tower. Lihat daftar kontrol yang sangat direkomendasikan dan opsional, kemudian implementasikan kontrol yang sesuai dengan kebutuhan Anda.
1. **Batasi akses ke Wilayah yang baru ditambahkan**: Untuk Wilayah AWS baru, sumber daya IAM seperti pengguna dan peran hanya disebarkan ke Wilayah yang Anda tentukan. Tindakan ini dapat dilakukan melalui [konsol saat menggunakan Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html), atau dengan menyesuaikan [kebijakan izin IAM di AWS Organizations](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/).
1. **Pertimbangkan AWS [CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)**: StackSets membantu Anda saat melakukan deployment kebijakan, peran, dan grup IAM ke Wilayah dan Akun AWS yang berbeda dari templat yang disetujui.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC02-BP04 Mengandalkan penyedia identitas terpusat](sec_identities_identity_provider.md)
**Dokumen terkait:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [Panduan Audit Keamanan AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [Praktik Terbaik IAM](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [Menggunakan CloudFormation StackSets untuk menyediakan sumber daya di beberapa wilayah dan Akun AWS](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)
+ [Pertanyaan Umum Organizations](https://aws.amazon.com/organizations/faqs/)
+ [Terminologi dan konsep AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)
+ [Praktik Terbaik untuk Kebijakan Kontrol Layanan dalam Lingkungan Multiakun AWS Organizations](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [Panduan Referensi Manajemen Akun AWS](https://docs.aws.amazon.com/accounts/latest/reference/accounts-welcome.html)
+ [Mengatur Lingkungan AWS Anda Menggunakan Beberapa Akun](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)
**Video terkait:**
+ [Aktifkan adopsi AWS dalam skala besar dengan otomatisasi dan tata kelola](https://youtu.be/GUMSgdB-l6s)
+ [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM)
+ [Membangun dan Mengatur Banyak Akun menggunakan AWS Control Tower](https://www.youtube.com/watch?v=agpyuvRv5oo)
+ [Mengaktifkan Control Tower untuk Organisasi yang Ada](https://www.youtube.com/watch?v=CwRy0t8nfgM)
**Lokakarya terkait:**
+ [Control Tower Immersion Day](https://controltower.aws-management.tools/immersionday/) (Hari Imersi Control Tower)
# SEC01-BP02 Mengamankan properti dan pengguna root akun
Pengguna root adalah pengguna yang memiliki hak istimewa paling banyak dalam Akun AWS, dengan akses administratif penuh ke semua sumber daya di dalam akun, dan dalam beberapa kasus tidak dapat dibatasi oleh kebijakan keamanan. Menonaktifkan akses terprogram ke pengguna root, menerapkan kontrol yang sesuai untuk pengguna root, serta tidak menggunakan pengguna root secara rutin membantu mengurangi risiko tersebarnya kredensial root secara tidak sengaja dan penyusupan di lingkungan cloud.
**Hasil yang diharapkan: **Mengamankan pengguna root membantu mengurangi kemungkinan terjadinya kerusakan yang disengaja maupun tidak disengaja akibat penyalahgunaan kredensial pengguna root. Menerapkan kontrol detektif juga dapat memberikan peringatan kepada personel yang tepat saat ada tindakan dilakukan menggunakan pengguna root.
**Antipola umum:**
+ Menggunakan pengguna root untuk tugas selain yang memerlukan kredensial pengguna root.
+ Tidak menguji rencana darurat secara rutin untuk memverifikasi fungsi infrastruktur, proses, dan personel penting dalam keadaan darurat.
+ Hanya mempertimbangkan alur masuk akun biasa dan tidak mempertimbangkan atau menguji metode pemulihan akun lainnya.
+ Tidak menangani hal-hal yang digunakan dalam alur pemulihan akun seperti DNS, server email, dan penyedia telepon sebagai bagian dari perimeter keamanan penting.
**Manfaat menjalankan praktik terbaik ini:** Pengamanan akses ke pengguna root membangun kepercayaan bahwa tindakan di akun Anda terkontrol dan diaudit.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
AWS menawarkan alat untuk membantu mengamankan akun Anda. Namun, karena beberapa tindakan ini tidak diaktifkan secara default, Anda harus mengambil tindakan langsung untuk mengimplementasikannya. Pertimbangkan rekomendasi berikut sebagai langkah-langkah dasar untuk mengamankan Akun AWS Anda. Saat mengimplementasikan langkah-langkah ini, penting halnya untuk membangun sebuah proses penilaian dan pemantauan kontrol keamanan secara berkelanjutan.
Saat pertama kali membuat Akun AWS, Anda memulai dengan satu identitas yang memiliki akses lengkap ke semua layanan dan sumber daya AWS di akun tersebut. Identitas ini disebut pengguna root Akun AWS. Anda dapat masuk sebagai pengguna root menggunakan alamat email dan kata sandi yang digunakan untuk membuat akun. Karena tingginya tingkat akses yang diberikan untuk pengguna root AWS, Anda harus membatasi penggunaan pengguna root AWS hanya untuk tugas [yang secara khusus membutuhkannya](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Kredensial masuk pengguna root harus diamankan secara ketat. Selalu aktifkan autentikasi multi-faktor (MFA) untuk pengguna root Akun AWS.
Selain alur autentikasi normal untuk masuk ke pengguna root Anda menggunakan nama pengguna, kata sandi, perangkat autentikasi multi-faktor (MFA), ada alur pemulihan akun untuk masuk ke pengguna root Akun AWS Anda dengan mengakses ke alamat email dan nomor telepon yang terkait dengan akun Anda. Oleh karena itu, pastikan Anda mengamankan akun email pengguna root yang digunakan untuk mengirimkan email pemulihan dan nomor telepon yang terkait dengan akun tersebut. Selain itu, pertimbangkan potensi rantai dependensi apabila alamat email yang terkait dengan pengguna root di-host di server email atau sumber daya layanan nama domain (DNS) dari Akun AWS yang sama.
Saat menggunakan AWS Organizations, ada beberapa Akun AWS yang masing-masing memiliki pengguna root. Satu akun ditetapkan sebagai akun manajemen dan beberapa lapisan akun anggota kemudian dapat ditambahkan di bawah akun manajemen. Prioritaskan pengamanan pengguna root di akun manajemen Anda, lalu hubungi pengguna root akun anggota Anda. Strategi pengamanan pengguna root akun manajemen Anda dapat berbeda dari pengguna root akun anggota, dan Anda dapat menerapkan kontrol keamanan preventif pada pengguna root akun anggota Anda.
### Langkah implementasi
Langkah-langkah implementasi berikut direkomendasikan untuk membuat kontrol bagi pengguna root. Jika berlaku, referensi silang untuk rekomendasi dilakukan ke [AWS Foundations Benchmark untuk CIS versi 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html). Selain langkah-langkah ini, baca [Panduan praktik terbaik AWS](https://aws.amazon.com/premiumsupport/knowledge-center/security-best-practices/) untuk mengamankan sumber daya dan Akun AWS Anda.
**Kontrol preventif**
1. Siapkan [informasi kontak](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) yang akurat untuk akun.
1. Informasi ini digunakan untuk alur pemulihan kehilangan kata sandi, alur pemulihan kehilangan akun perangkat MFA, dan untuk komunikasi penting terkait keamanan dengan tim Anda.
1. Gunakan alamat email yang di-host oleh domain perusahaan Anda, sebaiknya dari daftar distribusi, sebagai alamat email pengguna root Anda. Menggunakan daftar distribusi memberikan redundansi tambahan dan keberlanjutan akses ke akun root dalam waktu lama dibanding menggunakan akun email individu.
1. Nomor telepon yang tercantum pada informasi kontak harus berupa telepon khusus dan aman untuk tujuan ini. Nomor telepon ini tidak boleh dicantumkan atau dibagikan kepada siapa pun.
1. Jangan membuat kunci akses untuk pengguna root. Jika ada kunci akses, langsung hapus (CIS 1.4).
1. Hilangkan kredensial terprogram yang sudah lama (kunci rahasia dan akses) untuk pengguna root.
1. Jika kunci akses pengguna root sudah ada, Anda harus mengubah proses yang menggunakan kunci tersebut untuk menggunakan kunci akses sementara dari peran AWS Identity and Access Management (IAM), kemudian [hapus kunci akses pengguna root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-access-key.html#root-user-delete-access-key).
1. Tentukan apakah Anda perlu menyimpan kredensial untuk pengguna root.
1. Jika Anda menggunakan AWS Organizations untuk membuat akun anggota baru, kata sandi awal untuk pengguna root pada akun anggota baru akan ditetapkan ke nilai acak yang tidak akan ditampilkan kepada Anda. Pertimbangkan untuk menggunakan alur pengaturan ulang kata sandi dari akun manajemen AWS Organization Anda untuk [mendapatkan akses ke akun anggota](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root) jika diperlukan.
1. Untuk Akun AWS atau akun AWS Organization manajemen terpisah, coba buat dan simpan kredensial dengan aman untuk pengguna root. Mengaktifkan MFA untuk pengguna root.
1. Aktifkan kontrol pencegahan untuk pengguna root akun anggota di lingkungan multiakun AWS.
1. Pertimbangkan untuk mengaktifkan pagar pembatas preventif [Jangan Izinkan Pembuatan Kunci Akses Root untuk Pengguna Root](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys) untuk akun anggota.
1. Pertimbangkan untuk mengaktifkan pagar pembatas preventif [Jangan Izinkan Tindakan sebagai Pengguna Root](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions) untuk akun anggota.
1. Jika Anda memerlukan kredensial untuk pengguna root:
1. Gunakan kata sandi yang kompleks.
1. Aktifkan autentikasi multi-faktor (MFA) untuk pengguna root, khususnya untuk akun manajemen (pembayar) AWS Organizations (CIS 1.5).
1. Pertimbangkan perangkat MFA pada perangkat keras untuk ketahanan dan keamanan, karena perangkat sekali pakai dapat mengurangi kemungkinan perangkat yang berisi kode MFA Anda dapat digunakan kembali untuk tujuan lain. Pastikan baterai pada perangkat MFA perangkat keras diganti secara rutin. (CIS 1.6)
+ Untuk mengonfigurasi MFA bagi pengguna root, ikuti petunjuk untuk mengaktifkan [MFA virtual](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) atau [perangkat MFA perangkat keras](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_mfa_enable_physical.html#enable-hw-mfa-for-root).
1. Pertimbangkan untuk mendaftarkan beberapa perangkat MFA sebagai cadangan. [Satu akun bisa memiliki maksimal 8 perangkat MFA](https://aws.amazon.com/blogs/security/you-can-now-assign-multiple-mfa-devices-in-iam/).
+ Perlu diperhatikan bahwa mendaftarkan lebih dari satu perangkat MFA untuk pengguna root akan otomatis menonaktifkan [alur untuk memulihkan akun Anda jika perangkat MFA hilang](https://aws.amazon.com/premiumsupport/knowledge-center/reset-root-user-mfa/).
1. Simpan kata sandi dengan aman, dan pertimbangkan dependensi melingkar jika menyimpan kata sandi secara elektronik. Jangan gunakan cara penyimpanan kata sandi yang memerlukan akses ke Akun AWS yang sama untuk mendapatkannya.
1. Opsional: Coba terapkan jadwal rotasi kata sandi untuk pengguna root secara berkala.
+ Praktik terbaik manajemen kredensial bergantung pada persyaratan peraturan dan kebijakan Anda. Pengguna root yang dilindungi oleh MFA tidak mengandalkan kata sandi sebagai satu faktor autentikasi.
+ [Mengubah kata sandi pengguna root](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_passwords_change-root.html) secara berkala mengurangi risiko pengungkapan kata sandi secara tidak sengaja yang dapat memicu penyalahgunaan.
### Kontrol deteksi
+ Buat alarm untuk mendeteksi penggunaan kredensial root (CIS 1.7). [Mengaktifkan Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) akan memantau dan memberikan peringatan terkait penggunaan kredensial API pengguna root melalui temuan [RootCredentialUsage](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage).
+ Evaluasi dan implementasikan kontrol deteksi yang termasuk dalam [Paket konformasi Pilar Keamanan AWS Well-Architected untuk AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html), atau jika menggunakan AWS Control Tower, [kontrol yang sangat direkomendasikan](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html) dalam Control Tower.
### Panduan operasional
+ Tentukan siapa di organisasi Anda yang harus memiliki akses ke kredensial pengguna root.
+ Gunakan aturan dua orang sehingga tidak ada satu orang pun yang memiliki akses ke semua kredensial dan MFA yang diperlukan untuk mendapatkan akses pengguna root.
+ Pastikan bahwa organisasi, dan bukan perorangan, yang memegang kendali atas nomor telepon dan alias email yang terkait dengan akun (yang digunakan untuk alur pengaturan ulang kata sandi dan MFA).
+ Gunakan pengguna root hanya untuk keperluan khusus (CIS 1.7).
+ Pengguna root AWS tidak boleh digunakan untuk tugas sehari-hari, bahkan tugas administratif. Hanya masuk sebagai pengguna root saat melakukan [tugas AWS yang memerlukan pengguna root](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Semua tindakan lainnya harus dilakukan oleh pengguna lain dengan peran yang sesuai.
+ Periksa secara berkala apakah akses ke pengguna root berfungsi dengan baik sehingga prosedurnya telah teruji sebelum terjadi situasi darurat yang memerlukan penggunaan kredensial pengguna root.
+ Periksa secara berkala apakah alamat email yang terkait dengan akun dan yang tercantum dalam [Kontak Alternatif](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) berfungsi dengan baik. Pantau kotak masuk email untuk melihat apakah ada notifikasi keamanan yang Anda terima abuse@amazon.com. Selain itu, pastikan semua nomor telepon yang terkait dengan akun saat ini berfungsi dengan baik.
+ Siapkan prosedur respons insiden untuk merespons penyalahgunaan akun root. Lihat [Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) dan praktik terbaik di [bagian Respons Insiden dalam laporan resmi Pilar Keamanan](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) untuk informasi lebih lanjut tentang membangun strategi respons insiden untuk Akun AWS Anda.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC01-BP01 Memisahkan beban kerja menggunakan akun](sec_securely_operate_multi_accounts.md)
+ [SEC02-BP01 Menggunakan mekanisme masuk yang kuat](sec_identities_enforce_mechanisms.md)
+ [SEC03-BP02 Memberikan hak akses paling rendah](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Menerapkan proses akses darurat](sec_permissions_emergency_process.md)
+ [SEC10-BP05 Menyediakan akses di awal](sec_incident_response_pre_provision_access.md)
**Dokumen terkait:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [Panduan Audit Keamanan AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [Praktik Terbaik IAM](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [Amazon GuardDuty – peringatan penggunaan kredensial root](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage)
+ [Panduan langkah demi langkah tentang pemantauan untuk penggunaan kredensial root melalui CloudTrail](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html#securityhub-cis1.4-controls-1.7)
+ [Token MFA yang disetujui untuk digunakan dengan AWS](https://aws.amazon.com/iam/features/mfa/)
+ Menerapkan [akses pemicu peringatan](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) di AWS
+ [10 elemen keamanan teratas yang perlu ditingkatkan di Akun AWS Anda](https://aws.amazon.com/blogs/security/top-10-security-items-to-improve-in-your-aws-account/)
+ [Apa yang harus saya lakukan ketika mendapati aktivitas tidak sah di akun Akun AWS saya?](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/)
**Video terkait:**
+ [Aktifkan adopsi AWS dalam skala besar dengan otomatisasi dan tata kelola](https://youtu.be/GUMSgdB-l6s)
+ [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM)
+ [Membatasi penggunaan kredensial root AWS](https://youtu.be/SMjvtxXOXdU?t=979) dari AWS re:inforce 2022 – Praktik terbaik keamanan dengan AWS IAM
**Lab dan contoh terkait:**
+ [Lab: Akun AWS dan pengguna root](https://www.wellarchitectedlabs.com/security/100_labs/100_aws_account_and_root_user/)
# SEC01-BP03 Identifikasikan dan validasikan tujuan kontrol
Berdasarkan persyaratan kepatuhan dan risiko yang diidentifikasi dari model ancaman Anda, dapatkan dan validasikan tujuan kontrol dan kontrol yang perlu Anda terapkan pada beban kerja Anda. Validasi berkelanjutan terhadap tujuan kontrol dan kontrol dapat membantu Anda mengukur efektivitas mitigasi risiko.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
+ Identifikasikan persyaratan kepatuhan: Temukan persyaratan organisasi, legal, dan kepatuhan yang harus dipatuhi oleh beban kerja Anda.
+ Identifikasikan sumber daya kepatuhan AWS: Identifikasikan sumber daya yang disediakan oleh AWS untuk membantu Anda dengan kepatuhan.
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## Sumber daya
**Dokumen terkait:**
+ [AWSPanduan Audit Keamanan ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Buletin Keamanan](https://aws.amazon.com/security/security-bulletins/)
**Video terkait:**
+ [AWS Security Hub CSPM: Kelola Peringatan Keamanan dan Otomatiskan Kepatuhan](https://youtu.be/HsWtPG_rTak)
+ [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 Ikuti info terbaru tentang ancaman keamanan
Kenali vektor serangan dengan terus mengikuti perkembangan ancaman keamanan terbaru untuk membantu Anda menentukan dan menerapkan kontrol yang sesuai. Gunakan AWS Managed Services untuk memudahkan Anda menerima pemberitahuan tentang perilaku yang tidak diharapkan atau tidak biasa di akun AWS Anda. Lakukan investigasi menggunakan alat Partner AWS atau feed informasi ancaman pihak ketiga sebagai bagian dari alur informasi keamanan Anda. Dengan [Daftar Kerentanan dan Paparan Umum (CVE) ](https://cve.mitre.org/) mencantumkan kerentanan keamanan siber yang diuraikan secara publik dan dapat Anda gunakan untuk terus mengikuti perkembangan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
+ Berlangganan ke sumber inteligensi ancaman: Tinjau informasi inteligensi ancaman secara rutin dari berbagai sumber yang relevan dengan teknologi yang digunakan di beban kerja Anda.
+ [Daftar Kerentanan dan Paparan Umum ](https://cve.mitre.org/)
+ Pertimbangkan layanan [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) : Layanan ini menyediakan visibilitas waktu nyata ke sumber inteligensi, jika beban kerja Anda dapat diakses internet.
## Sumber daya
**Dokumen terkait:**
+ [ Panduan Audit Keamanan AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ Buletin Keamanan](https://aws.amazon.com/security/security-bulletins/)
**Video terkait:**
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 Mengikuti informasi terbaru tentang rekomendasi keamanan
Ikuti terus rekomendasi keamanan AWS dan industri untuk mengembangkan postur keamanan beban kerja Anda. [Buletin Keamanan AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) berisi informasi penting tentang notifikasi keamanan dan privasi.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
+ Ikuti informasi terbaru AWS: Lakukan langganan atau kunjungi secara rutin untuk mendapatkan saran, tips, dan trik baru.
+ [Lab AWS Well-Architected](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [Blog keamanan AWS](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [Dokumentasi layanan AWS](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ Lakukan langganan ke berita-berita industri: Rutin tinjau umpan berita dari berbagai sumber terkait teknologi yang digunakan di beban kerja Anda.
+ [Contoh: Daftar Kerentanan dan Paparan Umum](https://cve.mitre.org/cve/?ref=wellarchitected)
## Sumber daya
**Dokumen terkait:**
+ [Buletin Keamanan](https://aws.amazon.com/security/security-bulletins/)
**Video terkait:**
+ [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 Mengotomatiskan pengujian dan validasi kontrol keamanan di pipeline
Tetapkan acuan dasar (baseline) dan templat yang aman untuk mekanisme keamanan yang telah diuji dan divalidasi sebagai bagian dari build, pipeline, dan proses Anda. Gunakan alat dan otomatisasi untuk menguji dan memvalidasi semua kontrol keamanan secara terus-menerus. Misalnya, pindai item seperti image mesin dan templat infrastruktur sebagai kode (IaC) untuk menemukan kerentanan keamanan, kejanggalan, dan penyimpangan dari acuan dasar yang telah ditetapkan pada setiap tahap. AWS CloudFormation Guard dapat membantu Anda memverifikasi bahwa templat CloudFormation aman, menghemat waktu, dan mengurangi risiko kesalahan konfigurasi.
Mengurangi jumlah kesalahan konfigurasi keamanan yang dimasukkan ke dalam lingkungan produksi adalah hal penting—makin banyak kontrol kualitas dan pengurangan kecacatan yang dapat Anda lakukan dalam proses build, makin baik hasilnya. Rancang pipeline integrasi berkelanjutan dan deployment berkelanjutan (CI/CD) untuk menguji masalah keamanan setiap kali memungkinkan. Pipeline CI/CD menawarkan kesempatan untuk menyempurnakan keamanan pada tiap-tiap tahap build dan pengiriman. Peralatan keamanan CI/CD juga harus terus diperbarui untuk memitigasi ancaman yang berkembang.
Lacak perubahan pada konfigurasi beban kerja Anda untuk membantu audit kepatuhan, manajemen perubahan, dan penyelidikan yang mungkin berlaku untuk Anda. Anda dapat menggunakan AWS Config untuk merekam dan mengevaluasi sumber daya AWS dan pihak ketiga Anda. Ini memungkinkan Anda untuk mengaudit dan menilai secara berkelanjutan keseluruhan kepatuhan terhadap aturan dan paket kesesuaian, yakni kumpulan aturan dengan tindakan perbaikan.
Pelacakan perubahan harus menyertakan perubahan terencana, yang merupakan bagian dari proses kontrol perubahan organisasi Anda (terkadang disebut MACD—Memindah, Menambah, Mengubah, Menghapus), perubahan tidak terencana, dan perubahan yang tidak diinginkan, seperti insiden. Perubahan dapat terjadi pada infrastruktur, tetapi mungkin juga berkaitan dengan kategori lain, seperti perubahan pada repositori kode, perubahan image mesin dan inventaris aplikasi, perubahan proses dan kebijakan, atau perubahan dokumentasi.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
+ Otomatiskan manajemen konfigurasi: Tegakkan dan validasi konfigurasi keamanan secara otomatis menggunakan layanan atau alat manajemen konfigurasi.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Menyiapkan Pipeline CI/CD di AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## Sumber daya
**Dokumen terkait:**
+ [Cara menggunakan kebijakan kontrol layanan untuk menetapkan pagar pembatas izin di seluruh akun dalam Organisasi AWS Anda](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**Video terkait:**
+ [Mengelola Lingkungan AWS Multiakun Menggunakan AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 Mengidentifikasi ancaman dan memprioritaskan mitigasi menggunakan model ancaman
Lakukan pemodelan ancaman untuk mengidentifikasi dan menyediakan daftar potensi ancaman terbaru serta mitigasi terkait untuk beban kerja Anda. Tentukan prioritas ancaman dan sesuaikan mitigasi kontrol keamanan Anda untuk mencegah, mendeteksi, dan merespons ancaman. Periksa kembali dan kelola sesuai dengan konteks beban kerja Anda, serta lanskap keamanan yang terus berubah.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
**Apa itu pemodelan ancaman?**
“Pemodelan ancaman digunakan untuk mengidentifikasi, mengomunikasikan, serta memahami ancaman dan mitigasi untuk melindungi suatu nilai.” – [The Open Web Application Security Project (OWASP) Application Threat Modeling](https://owasp.org/www-community/Threat_Modeling)
**Mengapa pemodelan ancaman sebaiknya dilakukan?**
Sistem begitu kompleks. Kompleksitas dan kemampuannya akan makin meningkat seiring waktu, sehingga memberikan nilai bisnis yang lebih banyak dan meningkatkan keterlibatan serta kepuasan pelanggan. Artinya, keputusan desain IT perlu mempertimbangkan peningkatan jumlah kasus penggunaan. Perubahan kompleksitas dan jumlah kasus penggunaan ini biasanya menjadikan pendekatan tidak terstruktur tidak efektif untuk menemukan dan memitigasi ancaman. Maka, Anda memerlukan pendekatan sistematis untuk menghitung potensi ancaman terhadap sistem, serta untuk melakukan dan memprioritaskan mitigasi untuk memastikan organisasi Anda dapat meningkatkan postur keamanan sistem secara keseluruhan dengan maksimal meski dengan sumber daya terbatas.
Pemodelan ancaman dirancang untuk memberikan pendekatan sistematis ini, bertujuan untuk menemukan dan mengatasi masalah dalam proses desain lebih awal, saat biaya dan upaya mitigasi relatif rendah dibandingkan setelahnya dalam siklus hidup. Pendekatan ini selaras dengan prinsip industri [keamanan *shift-left*](https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview). Pada intinya, pemodelan ancaman akan terintegrasi dengan proses manajemen risiko organisasi serta membantu menentukan kontrol mana yang akan diimplementasikan menggunakan pendekatan menurut ancaman.
**Kapan seharusnya pemodelan ancaman dilakukan?**
Mulai pemodelan ancaman dalam siklus hidup beban kerja Anda sedini mungkin. Hal ini membuat Anda lebih fleksibel dalam menentukan tindakan untuk mengatasi ancaman yang teridentifikasi. Seperti halnya bug perangkat lunak, makin dini Anda mengidentifikasi ancaman, makin hemat biaya penanganannya. Model ancaman adalah dokumen hidup (living document) dan akan terus berkembang seiring perubahan beban kerja Anda. Periksa kembali model ancaman Anda dari waktu ke waktu, termasuk saat terjadi perubahan besar, perubahan dalam lanskap ancaman, atau saat mengadopsi fitur atau layanan baru.
### Langkah implementasi
**Bagaimana cara menjalankan pemodelan ancaman?**
Pemodelan ancaman bisa dijalankan dengan banyak cara. Seperti halnya bahasa pemrograman, setiap model memiliki kelebihan dan kekurangannya masing-masing. Pilih cara yang paling tepat untuk Anda. Salah satu pendekatannya adalah memulai dengan [Shostack’s 4 Question Frame for Threat Modeling](https://github.com/adamshostack/4QuestionFrame) yang berisi pertanyaan terbuka agar pengujian pemodelan ancaman Anda terstruktur:
1. **Apa yang sedang Anda kerjakan?**
Pertanyaan ini bertujuan untuk membantu memahami dan menentukan sistem yang sedang Anda bangun serta detail sistem tersebut yang relevan dengan keamanan. Membuat model atau diagram adalah salah satu cara paling populer untuk menjawab pertanyaan ini karena dapat membantu Anda memvisualisasikan apa yang sedang Anda bangun, misalnya, menggunakan [diagram alur data](https://en.wikipedia.org/wiki/Data-flow_diagram). Menuliskan asumsi dan detail penting tentang sistem Anda juga dapat membantu Anda menentukan cakupan. Hal ini membantu menyatukan fokus semua orang yang berkontribusi dalam model ancaman, serta menghindari topik di luar cakupan (termasuk versi lama sistem Anda) yang memakan banyak waktu. Misalnya, jika Anda sedang membangun aplikasi web, sepertinya tidak perlu membuang waktu melakukan pemodelan ancaman untuk urutan boot tepercaya sistem operasi untuk klien browser karena desain Anda tidak akan memengaruhi hal ini.
1. **Apa saja potensi permasalahannya?**
Di sini Anda dapat mengidentifikasi ancaman terhadap sistem Anda. Ancaman adalah tindakan atau peristiwa yang disengaja atau tidak disengaja, yang dampaknya tidak diharapkan dan dapat memengaruhi keamanan sistem Anda. Tanpa mengetahui dengan jelas apa saja potensi permasalahannya, Anda tidak akan tahu cara penanganannya.
Tidak ada daftar khusus tentang apa saja masalah yang dapat terjadi. Pembuatan daftar ini memerlukan diskusi dan kolaborasi antara setiap individu di dalam tim Anda serta [pihak terkait yang terlibat](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/#tips) dalam pengujian pemodelan ancaman. Anda dapat melengkapi diskusi dengan model untuk mengidentifikasi ancaman, seperti [STRIDE](https://en.wikipedia.org/wiki/STRIDE_(security)), yang menunjukkan berbagai kategori evaluasi: Penipuan (Spoofing), Gangguan (Tampering), Penolakan (Repudiation), Kebocoran Informasi (Information Disclosure), Penolakan Layanan (Denial of Service), dan Peningkatan Hak Istimewa (Elevation of Privilege). Selain itu, Anda mungkin ingin melengkapi diskusi dengan meninjau daftar yang sudah ada dan penelitian untuk inspirasi, termasuk [OWASP Top 10](https://owasp.org/www-project-top-ten/), [HiTrust Threat Catalog](https://hitrustalliance.net/hitrust-threat-catalogue/), dan katalog ancaman milik organisasi Anda.
1. **Apa tindakan yang akan Anda lakukan?**
Sama seperti pertanyaan sebelumnya, tidak ada daftar khusus untuk semua kemungkinan mitigasi. Input dalam langkah ini adalah ancaman yang teridentifikasi, pelaku, dan area peningkatan dari langkah sebelumnya.
Keamanan dan kepatuhan adalah [tanggung jawab bersama antara Anda dan AWS](https://aws.amazon.com/compliance/shared-responsibility-model/). Perlu dipahami bahwa pertanyaan “Tindakan apa yang akan kita lakukan?” harus disertai dengan pertanyaan “Siapa yang bertanggung untuk melakukan hal ini?”. Memahami keseimbangan tanggung jawab antara Anda dan AWS membantu Anda menentukan cakupan pengujian pemodelan ancaman ke mitigasi dalam kontrol Anda, yang biasanya merupakan gabungan dari opsi konfigurasi layanan AWS dan mitigasi dari sistem Anda sendiri.
Untuk porsi tanggung jawab bersama AWS, Anda akan melihat bahwa [layanan AWS masuk dalam cakupan banyak program kepatuhan](https://aws.amazon.com/compliance/services-in-scope/). Program-program tersebut akan membantu Anda memahami penerapan kontrol yang andal di AWS untuk menjaga keamanan dan kepatuhan cloud. Laporan audit dari program-program ini dapat diunduh oleh pelanggan AWS melalui [AWS Artifact](https://aws.amazon.com/artifact/).
Apa pun layanan AWS yang Anda gunakan, selalu ada elemen yang menjadi tanggung jawab pelanggan, dan mitigasi yang diselaraskan dengan tanggung jawab ini harus disertakan dalam model ancaman Anda. Untuk mitigasi kontrol keamanan bagi layanan AWS sendiri, Anda perlu mempertimbangkan implementasi kontrol keamanan di seluruh domain, termasuk domain seperti manajemen akses dan identitas (autentikasi dan otorisasi), perlindungan data (diam dan bergerak), keamanan infrastruktur, pencatatan log, dan pemantauan. Dokumentasi untuk setiap layanan AWS memiliki [bab keamanan khusus](https://docs.aws.amazon.com/security/) yang menyediakan panduan tentang kontrol keamanan yang perlu dipertimbangkan sebagai mitigasi. Pertimbangkan kode yang Anda tulis dan dependensi kodenya karena hal ini sangat penting, serta tentukan kontrol yang dapat Anda terapkan untuk mengatasi ancaman. Kontrol ini dapat berupa [validasi input](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html), [penanganan sesi](https://owasp.org/www-project-mobile-top-10/2014-risks/m9-improper-session-handling), dan [penanganan ikatan](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow). Fokus pada kode kustom karena sebagian besar kerentanan seringnya terjadi di area ini.
1. **Apakah kita melakukannya dengan baik?**
Tujuannya adalah agar tim dan organisasi Anda dapat meningkatkan kualitas model ancaman dan kecepatan dalam melakukan pemodelan ancaman dari waktu ke waktu. Peningkatan ini adalah hasil dari gabungan praktik, pembelajaran, pengajaran, dan peninjauan. Agar Anda dan tim Anda dapat mempelajari lebih lanjut dan melakukan praktik langsung, sebaiknya ikuti [lokakarya](https://catalog.workshops.aws/threatmodel/en-US) atau [kursus pelatihan Pemodelan ancaman yang benar bagi pembangun](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop). Selain itu, jika Anda mencari panduan tentang cara mengintegrasikan pemodelan ancaman ke dalam siklus hidup pengembangan organisasi Anda, lihat posting [Cara memanfaatkan pemodelan ancaman](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) di halaman AWS Security Blog.
**Komposer Ancaman**
Untuk membantu dan memandu Anda dalam membuat model ancaman, pertimbangkan untuk menggunakan alat [Komposer Ancaman](https://github.com/awslabs/threat-composer#threat-composer), yang bertujuan untuk mempercepat waktu untuk mencapai nilai saat membuat model ancaman. Alat ini membantu Anda melakukan hal berikut:
+ Menulis pernyataan ancaman berguna yang selaras dengan [tata bahasa ancaman](https://catalog.workshops.aws/threatmodel/en-US/what-can-go-wrong/threat-grammar) yang bekerja dalam alur kerja non-linear alami
+ Menghasilkan model ancaman yang dapat dibaca manusia
+ Membuat model ancaman yang dapat dibaca mesin untuk memungkinkan Anda memperlakukan model ancaman sebagai kode
+ Membantu Anda mengidentifikasi area peningkatan kualitas dan cakupan dengan cepat menggunakan Dasbor Wawasan
Untuk referensi lebih lanjut, kunjungi Komposer Ancaman dan beralih ke **Ruang Kerja Contoh** yang ditentukan sistem.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC01-BP03 Identifikasikan dan validasikan tujuan kontrol](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Ikuti info terbaru tentang ancaman keamanan](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Mengikuti informasi terbaru tentang rekomendasi keamanan](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP08 Mengevaluasi dan mengimplementasikan fitur serta layanan keamanan baru secara rutin](sec_securely_operate_implement_services_features.md)
**Dokumen terkait:**
+ [Cara memanfaatkan pemodelan ancaman](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (AWS Security Blog)
+ [ NIST: Panduan untuk Pemodelan Ancaman Sistem yang Terpusat pada Data ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)
**Video terkait:**
+ [AWS Summit ANZ 2021 - Cara memanfaatkan pemodelan ancaman ](https://www.youtube.com/watch?v=GuhIefIGeuA)
+ [AWS Summit ANZ 2022 - Menskalakan keamanan – Pengoptimalan untuk pengiriman yang cepat dan aman ](https://www.youtube.com/watch?v=DjNPihdWHeA)
**Pelatihan terkait:**
+ [ Pemodelan ancaman yang benar bagi pembangun – Pelatihan mandiri virtual AWS Skill Builder ](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)
+ [ Pemodelan ancaman yang benar bagi pembangun – AWS Workshop ](https://catalog.workshops.aws/threatmodel)
**Alat terkait:**
+ [Komposer Ancaman](https://github.com/awslabs/threat-composer#threat-composer)
# SEC01-BP08 Mengevaluasi dan mengimplementasikan fitur serta layanan keamanan baru secara rutin
Evaluasikan dan implementasikan fitur serta layanan keamanan dari Partner AWS dan AWS yang memungkinkan peningkatan postur keamanan beban kerja. Blog Keamanan AWS menyoroti fitur dan layanan baru AWS, panduan implementasi, dan panduan keamanan umum. [Yang Baru dengan AWS?](https://aws.amazon.com/new) adalah cara terbaik untuk tetap mengetahui fitur, layanan, dan pengumuman baru dari AWS.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah
## Panduan implementasi
+ Rencanakan peninjauan rutin: Buat kalender aktivitas peninjauan yang mencakup persyaratan kepatuhan, evaluasi fitur dan layanan keamanan baru AWS, serta tetap mengikuti berita terbaru industri.
+ Temukan fitur dan layanan AWS: Temukan fitur keamanan yang tersedia untuk layanan yang Anda gunakan, dan tinjau fitur baru setelah dirilis.
+ [ Blog keamanan AWS](https://aws.amazon.com/blogs/security/)
+ [ Buletin keamanan AWS](https://aws.amazon.com/security/security-bulletins/)
+ [Dokumentasi layanan AWS](https://aws.amazon.com/documentation/)
+ Tentukan proses onboarding layanan AWS: Tentukan proses untuk onboarding layanan baru AWS. Sertakan cara Anda mengevaluasi layanan baru AWS untuk fungsionalitas, dan persyaratan kepatuhan untuk beban kerja Anda.
+ Uji coba fitur dan layanan baru: Uji coba fitur dan layanan baru setelah dirilis di lingkungan nonproduksi yang direplikasi menyerupai lingkungan produksi Anda.
+ Implementasikan mekanisme pertahanan lainnya: Implementasikan mekanisme otomatis untuk melindungi beban kerja, dan menelusuri opsi yang tersedia.
+ [Mengatasi sumber daya AWS yang tidak patuh dengan Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## Sumber daya
**Video terkait:**
+ [Praktik Terbaik Keamanan dengan Cara Well-Architected ](https://youtu.be/u6BCVkXkPnM)
# Manajemen identitas dan akses
**Topics**
+ [SEC 2. Bagaimana cara mengelola autentikasi untuk manusia dan mesin?](sec-02.md)
+ [SEC 3. Bagaimana cara mengelola izin untuk manusia dan mesin?](sec-03.md)
# SEC 2. Bagaimana cara mengelola autentikasi untuk manusia dan mesin?
Ada dua jenis identitas yang harus Anda kelola ketika menentukan pendekatan terhadap pengoperasian beban kerja AWS yang aman. Pemahaman tentang jenis identitas yang harus Anda kelola dan berikan akses akan membantu Anda memverifikasi identitas yang tepat memiliki akses ke sumber daya yang tepat dalam kondisi yang tepat.
Identitas Manusia: Administrator, developer, operator, dan pengguna akhir Anda memerlukan identitas untuk mengakses lingkungan dan aplikasi AWS Anda. Ini adalah anggota organisasi Anda, atau pengguna eksternal yang berkolaborasi dengan Anda, dan yang berinteraksi dengan sumber daya AWS Anda melalui browser web, aplikasi klien, atau alat baris perintah interaktif.
Identitas Mesin: Aplikasi layanan, alat operasional, dan beban kerja Anda memerlukan identitas untuk membuat permintaan ke layanan AWS, misalnya, untuk membaca data. Identitas ini mencakup mesin yang dijalankan di lingkungan AWS Anda, seperti instans Amazon EC2 atau fungsi AWS Lambda. Anda juga dapat mengelola identitas mesin untuk pihak eksternal yang membutuhkan akses. Selain itu, Anda mungkin juga memiliki mesin di luar AWS yang memerlukan akses ke lingkungan AWS Anda.
**Topics**
+ [SEC02-BP01 Menggunakan mekanisme masuk yang kuat](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Menggunakan kredensial sementara](sec_identities_unique.md)
+ [SEC02-BP03 Menyimpan dan menggunakan rahasia secara aman](sec_identities_secrets.md)
+ [SEC02-BP04 Mengandalkan penyedia identitas terpusat](sec_identities_identity_provider.md)
+ [SEC02-BP05 Mengaudit dan merotasi kredensial secara berkala](sec_identities_audit.md)
+ [SEC02-BP06 Manfaatkan grup dan atribut pengguna](sec_identities_groups_attributes.md)
# SEC02-BP01 Menggunakan mekanisme masuk yang kuat
Proses masuk (autentikasi menggunakan kredensial masuk) dapat menimbulkan risiko jika tidak menggunakan mekanisme seperti autentikasi multi-faktor (MFA), khususnya ketika kredensial tanpa sengaja bocor atau mudah ditebak. Untuk mengurangi risiko ini, gunakan mekanisme masuk yang kuat dengan menerapkan MFA dan kebijakan kata sandi yang kuat.
**Hasil yang diinginkan:** Mengurangi risiko adanya akses yang tidak diinginkan ke kredensial di AWS menggunakan mekanisme masuk yang kuat bagi pengguna [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/), [pengguna root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html), [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) (pengganti AWS Single Sign-On), dan penyedia identitas pihak ketiga. Tujuan ini dapat dicapai dengan MFA, menerapkan kebijakan kata sandi yang kuat, dan mendeteksi perilaku masuk tidak wajar.
**Antipola umum:**
+ Tidak menerapkan kebijakan kata sandi yang kuat untuk identitas Anda, termasuk kata sandi yang kompleks dan MFA.
+ Kredensial yang sama digunakan oleh pengguna yang berbeda.
+ Tidak menggunakan kontrol deteksi untuk aktivitas masuk yang mencurigakan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Ada banyak cara bagi identitas manusia masuk untuk ke AWS. Ini adalah praktik terbaik AWS untuk mengandalkan penyedia identitas terpusat menggunakan federasi (federasi langsung atau dengan AWS IAM Identity Center) saat melakukan autentikasi ke AWS. Dalam kasus tersebut, Anda harus membuat proses masuk yang aman dengan penyedia identitas atau Microsoft Active Directory.
Saat pertama kali membuka Akun AWS, Anda akan memulainya dengan pengguna root Akun AWS. Hanya gunakan akun pengguna root untuk mengonfigurasikan akses bagi pengguna Anda (dan untuk [tugas yang memerlukan pengguna root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)). Penting halnya untuk segera mengaktifkan MFA bagi akun pengguna root setelah membuka Akun AWS Anda dan mengamankan pengguna root menggunakan [panduan praktik terbaik](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_aws_account.html) AWS.
Jika Anda membuat pengguna di AWS IAM Identity Center, amankan proses masuk dalam layanan tersebut. Untuk identitas konsumen, Anda dapat menggunakan [Amazon Cognito user pools](https://docs.aws.amazon.com/cognito/index.html) dan mengamankan proses masuk dalam layanan tersebut, atau dengan salah satu penyedia identitas yang didukung Amazon Cognito user pools.
Jika Anda menggunakan pengguna [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/), amankan proses masuk menggunakan IAM.
Apa pun metode masuknya, menerapkan kebijakan masuk yang kuat adalah hal yang sangat penting.
**Langkah implementasi**
Berikut ini adalah rekomendasi mekanisme masuk yang kuat secara umum. Pengaturan aktual yang Anda konfigurasikan harus diatur sesuai kebijakan perusahaan Anda atau gunakan standar seperti [NIST 800-63](https://pages.nist.gov/800-63-3/sp800-63b.html).
+ Terapkan MFA. Ini adalah [praktik terbaik IAM untuk menerapkan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users) untuk beban kerja dan identitas manusia. Mengaktifkan MFA akan memberikan lapisan keamanan tambahan yang mengharuskan pengguna untuk memberikan kredensial masuk dan kata sandi sekali pakai (OTP) atau string yang dibuat dan diverifikasi secara kriptografik dari perangkat untuk perangkat keras.
+ Terapkan batas minimum karakter kata sandi, yang merupakan faktor utama dari kekuatan kata sandi.
+ Terapkan kompleksitas kata sandi agar tidak mudah ditebak.
+ Izinkan pengguna mengubah kata sandi mereka sendiri.
+ Buat identitas individu, bukan kredensial bersama. Dengan membuat identitas individu, Anda dapat memberikan kredensial keamanan yang unik kepada setiap pengguna. Pengguna individu juga memungkinkan pengauditan aktivitas setiap pengguna.
Rekomendasi IAM Identity Center:
+ IAM Identity Center memberikan [kebijakan kata sandi](https://docs.aws.amazon.com/singlesignon/latest/userguide/password-requirements.html) yang telah ditentukan sebelumnya apabila menggunakan direktori default yang menerapkan persyaratan jumlah karakter, kompleksitas, dan penggunaan ulang kata sandi.
+ [Aktifkan MFA](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-enable-how-to.html) dan konfigurasikan pengaturan sesuai konteks (context-aware) atau selalu aktif (always-on) untuk MFA saat sumber identitas merupakan AWS Managed Microsoft AD, AD Connector, atau direktori default.
+ Izinkan pengguna untuk [mendaftarkan perangkat MFA miliknya](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-allow-user-registration.html).
Rekomendasi direktori Amazon Cognito user pools:
+ Konfigurasikan pengaturan [Kekuatan kata sandi](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-policies.html).
+ [Terapkan MFA](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) bagi pengguna.
+ Gunakan [pengaturan keamanan lanjutan](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-advanced-security.html) Amazon Cognito user pools untuk fitur seperti [autentikasi adaptif](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-adaptive-authentication.html) yang dapat memblokir aktivitas masuk yang mencurigakan.
Rekomendasi pengguna IAM:
+ Idealnya, Anda menggunakan IAM Identity Center atau federasi langsung. Namun, Anda mungkin membutuhkan pengguna IAM. Dalam kasus seperti itu, [atur kebijakan kata sandi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) untuk pengguna IAM. Anda dapat menggunakan kebijakan kata sandi untuk menentukan persyaratan, seperti minimum karakter atau apakah kata sandi harus terdiri dari karakter nonalfabet.
+ Buat kebijakan IAM untuk [menerapkan mekanisme masuk MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1) sehingga pengguna dapat mengelola perangkat MFA dan kata sandi miliknya.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC02-BP03 Menyimpan dan menggunakan rahasia secara aman](sec_identities_secrets.md)
+ [SEC02-BP04 Mengandalkan penyedia identitas terpusat](sec_identities_identity_provider.md)
+ [SEC03-BP08 Membagikan sumber daya secara aman dalam organisasi Anda](sec_permissions_share_securely.md)
**Dokumen terkait:**
+ [Kebijakan Kata Sandi AWS IAM Identity Center (pengganti AWS Single Sign-On) ](https://docs.aws.amazon.com/singlesignon/latest/userguide/password-requirements.html)
+ [ Kebijakan kata sandi pengguna IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [ Mengatur kata sandi pengguna root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
+ [ Kebijakan kata sandi Amazon Cognito ](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-policies.html)
+ [ Kredensial AWS](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)
+ [ Praktik terbaik keamanan IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
**Video terkait:**
+ [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Menguasai identitas di setiap lapisan susunan](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 Menggunakan kredensial sementara
Saat melakukan autentikasi jenis apa pun, sebaiknya gunakan kredensial sementara daripada kredensial jangka panjang untuk mengurangi atau menghindari risiko seperti pengungkapan, pembagian, dan pencurian kredensial.
**Hasil yang diinginkan:** Untuk mengurangi risiko kredensial jangka panjang, sebisa mungkin gunakan kredensial sementara untuk identitas mesin dan manusia. Kredensial jangka panjang menimbulkan banyak risiko, misalnya, dapat diunggah ke repositori GitHub publik dalam bentuk kode. Dengan kredensial sementara, Anda dapat secara signifikan mengurangi risiko penyusupan kredensial.
**Antipola umum:**
+ Developer memilih menggunakan kunci akses jangka panjang dari IAM users dibanding memperoleh kredensial sementara dari CLI menggunakan federasi.
+ Developer menyematkan kunci akses jangka panjang dalam kodenya dan mengunggah kode tersebut ke repositori Git publik.
+ Developer menyematkan kunci akses jangka panjang di aplikasi seluler yang kemudian dibuat tersedia di toko aplikasi.
+ Pengguna membagikan kunci akses jangka panjang kepada pengguna lainnya, atau karyawan yang sudah keluar dari perusahaan tetapi masih memiliki kunci akses jangka panjang.
+ Menggunakan kunci akses jangka panjang untuk identitas mesin meski kredensial sementara dapat digunakan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Gunakan kredensial keamanan sementara, bukan kredensial jangka panjang untuk semua permintaan CLI dan API AWS. Permintaan CLI dan API ke layanan AWS harus, hampir di setiap kasus, ditandatangani menggunakan [kunci akses AWS](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html). Permintaan ini dapat ditandatangani dengan kredensial jangka panjang maupun sementara. Satu-satunya situasi yang perlu menggunakan kredensial jangka panjang, disebut juga kunci akses jangka panjang, adalah ketika Anda menggunakan [pengguna IAM](https://docs.aws.amazon.com//latest/UserGuide/id_users.html) atau [pengguna root Akun AWS](https://docs.aws.amazon.com//latest/UserGuide/id_root-user.html). Saat Anda bergabung ke AWS atau mengambil [peran IAM](https://docs.aws.amazon.com//latest/UserGuide/id_roles.html) melalui metode lainnya, kredensial sementara akan dibuat. Bahkan ketika Anda mengakses Konsol Manajemen AWS menggunakan kredensial masuk, kredensial sementara akan dibuat untuk Anda untuk melakukan panggilan ke layanan AWS. Anda hanya memerlukan kredensial jangka panjang untuk beberapa situasi saja; hampir semua tugas dapat dilakukan menggunakan kredensial sementara.
Menghindari penggunaan kredensial jangka panjang dan mengutamakan kredensial sementara harus diikuti dengan penerapan strategi pengurangan penggunaan pengguna IAM untuk mengutamakan federasi dan peran IAM. Meski sebelumnya pengguna IAM sudah digunakan untuk identitas mesin dan manusia, kini sebaiknya jangan gunakan pengguna tersebut untuk menghindari risiko dalam penggunaan kunci akses jangka panjang.
### Langkah implementasi
Untuk identitas manusia seperti karyawan, administrator, developer, operator, dan pelanggan:
+ Anda harus [mengandalkan penyedia identitas terpusat](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html) dan [dan mengharuskan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensial sementara](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#bp-users-federation-idp). Federasi untuk pengguna Anda dapat dilakukan dengan [federasi langsung ke setiap Akun AWS](https://aws.amazon.com/identity/federation/) atau menggunakan [AWS IAM Identity Center (pengganti AWS IAM Identity Center)](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dan penyedia identitas yang Anda pilih. Selain mengurangi penggunaan kredensial jangka panjang, federasi memberikan berbagai manfaat atas penggunaan pengguna IAM. Pengguna Anda juga dapat meminta kredensial sementara dari baris perintah untuk [federasi langsung](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/) atau menggunakan [IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html). Artinya, ada beberapa kasus penggunaan yang memerlukan kredensial jangka panjang atau pengguna IAM untuk pengguna Anda.
+ Saat memberi pihak ketiga, seperti penyedia perangkat lunak sebagai layanan (SaaS), akses ke sumber daya di Akun AWS Anda, Anda dapat menggunakan [peran lintas akun](https://docs.aws.amazon.com//latest/UserGuide/tutorial_cross-account-with-roles.html) dan [kebijakan berbasis sumber daya](https://docs.aws.amazon.com//latest/UserGuide/access_policies_identity-vs-resource.html).
+ Jika Anda perlu memberi aplikasi untuk konsumen atau pelanggan akses ke sumber daya AWS Anda, Anda dapat menggunakan [kolam identitas Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html) atau [Amazon Cognito user pools](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) untuk menyediakan kredensial sementara. Izin untuk kredensial ini dikonfigurasikan lewat peran IAM. Anda juga dapat menentukan peran IAM terpisah dengan izin terbatas untuk pengguna tamu yang tidak diautentikasi.
Untuk identitas mesin, Anda mungkin perlu menggunakan kredensial jangka panjang. Dalam kasus tersebut, Anda harus [mewajibkan beban kerja untuk menggunakan kredensial sementara dengan peran IAM untuk mengakses AWS](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#bp-workloads-use-roles).
+ Untuk [Amazon Elastic Compute Cloud](https://aws.amazon.com/pm/ec2/) (Amazon EC2), Anda dapat menggunakan [peran untuk Amazon EC2](https://docs.aws.amazon.com//latest/UserGuide/id_roles_use_switch-role-ec2.html).
+ [AWS Lambda](https://aws.amazon.com/lambda/) memungkinkan Anda untuk mengonfigurasikan [peran eksekusi Lambda guna memberikan izin layanan](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) untuk melakukan tindakan AWS menggunakan kredensial sementara. Ada banyak model serupa untuk layanan AWS yang digunakan untuk memberikan kredensial sementara menggunakan peran IAM.
+ Untuk perangkat IoT, Anda dapat menggunakan [penyedia kredensial AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html) untuk meminta kredensial sementara.
+ Untuk sistem on-premise atau sistem yang berjalan di luar AWS yang memerlukan akses ke sumber daya AWS, Anda dapat menggunakan [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html).
Dalam beberapa skenario, kredensial sementara tidak dapat digunakan dan Anda mungkin perlu menggunakan kredensial jangka panjang. Dalam situasi tersebut, [audit dan rotasikan kredensial secara berkala](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html) serta [rotasikan kunci akses secara rutin untuk kasus penggunaan yang memerlukan kredensial jangka panjang](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#rotate-credentials). Beberapa contoh yang dapat mengharuskan kredensial jangka panjang termasuk plugin WordPress dan klien pihak ketiga AWS. Dalam situasi yang mengharuskan Anda menggunakan kredensial jangka panjang, atau untuk kredensial selain kunci akses AWS, seperti masuk ke basis data, Anda dapat menggunakan layanan yang dirancang untuk menangani manajemen rahasia, seperti [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager memudahkan manajemen, rotasi, dan penyimpanan rahasia terenkripsi dengan aman menggunakan [layanan yang didukung](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Untuk informasi lebih lanjut tentang merotasi kredensial jangka panjang, lihat [merotasi kunci akses](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey).
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC02-BP03 Menyimpan dan menggunakan rahasia secara aman](sec_identities_secrets.md)
+ [SEC02-BP04 Mengandalkan penyedia identitas terpusat](sec_identities_identity_provider.md)
+ [SEC03-BP08 Membagikan sumber daya secara aman dalam organisasi Anda](sec_permissions_share_securely.md)
**Dokumen terkait:**
+ [Kredensial Keamanan Sementara](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html)
+ [Kredensial AWS](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)
+ [Praktik Terbaik Keamanan IAM](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [Peran IAM](https://docs.aws.amazon.com//latest/UserGuide/id_roles.html)
+ [IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html)
+ [Merotasi Kunci Akses](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)
+ [Solusi Partner Keamanan: Akses dan Kontrol Akses](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Pengguna Root Akun AWS](https://docs.aws.amazon.com//latest/UserGuide/id_root-user.html)
**Video terkait:**
+ [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center (pengganti AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E)
+ [Menguasai identitas di setiap lapisan susunan](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 Menyimpan dan menggunakan rahasia secara aman
Beban kerja memerlukan kemampuan otomatis untuk membuktikan identitasnya ke basis data, sumber daya, dan layanan pihak ketiga. Hal ini dapat dilakukan menggunakan kredensial akses rahasia, seperti kunci akses API, kata sandi, dan token OAuth. Menggunakan layanan yang dibuat khusus untuk menyimpan, mengelola, dan merotasi kredensial ini membantu mengurangi kemungkinan penyusupan kredensial.
**Hasil yang diinginkan:** Mengimplementasikan mekanisme untuk mengelola kredensial aplikasi secara aman, yang mencapai tujuan berikut:
+ Mengidentifikasi rahasia apa yang diperlukan untuk beban kerja.
+ Mengurangi kebutuhan kredensial jangka panjang yang diperlukan dan menggunakan kredensial jangka pendek jika memungkinkan.
+ Membangun penyimpanan yang aman dan rotasi otomatis untuk kredensial jangka panjang yang tersisa.
+ Mengaudit akses ke rahasia yang ada di beban kerja.
+ Pemantauan berkelanjutan untuk memverifikasi bahwa tidak ada rahasia yang disematkan di kode sumber selama proses pengembangan.
+ Mengurangi kemungkinan pengungkapan kredensial secara tidak sengaja.
**Antipola umum:**
+ Tidak merotasi kredensial.
+ Menyimpan kredensial jangka panjang dalam kode sumber atau file konfigurasi.
+ Menyimpan kredensial diam tanpa dienkripsi.
**Manfaat menjalankan praktik terbaik ini:**
+ Rahasia yang disimpan diamankan dengan enkripsi saat diam maupun bergerak.
+ Akses ke kredensial harus melewati API (bayangkan ini seperti *mesin penjual otomatis kredensial*).
+ Akses ke kredensial (baca dan tulis) diaudit dan dicatat.
+ Pemisahan masalah (Separation of concerns): rotasi kredensial dilakukan oleh komponen terpisah, yang dapat dipisahkan dari bagian arsitektur lainnya.
+ Rahasia didistribusikan secara otomatis ke komponen perangkat lunak sesuai permintaan dan rotasi dilakukan di lokasi pusat.
+ Akses ke kredensial dapat dikontrol dengan sangat ketat.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Dahulu, kredensial digunakan untuk mengautentikasi basis data, API pihak ketiga, token, dan rahasia lainnya yang mungkin disematkan dalam kode sumber atau dalam file lingkungan. AWS menyediakan beberapa mekanisme untuk menyimpan kredensial ini secara aman, merotasinya secara otomatis, dan mengaudit penggunaannya.
Cara terbaik untuk mengelola rahasia adalah dengan mengikuti panduan penghapusan, penggantian, dan rotasi. Kredensial yang paling aman adalah kredensial yang tidak perlu Anda simpan, kelola, atau tangani. Jika ada kredensial yang sudah tidak digunakan untuk menjalankan beban kerja, Anda dapat menghapusnya.
Apabila kredensial masih diperlukan untuk menjalankan beban kerja dengan benar, kredensial jangka panjangnya mungkin bisa diganti dengan kredensial sementara atau jangka pendek. Misalnya, daripada melakukan hard-coding kunci akses rahasia AWS, coba ganti kredensial jangka panjang tersebut dengan kredensial sementara menggunakan peran IAM.
Beberapa rahasia yang sudah lama ada mungkin tidak dapat dihapus atau diganti. Rahasia tersebut dapat disimpan dalam layanan seperti [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html), tempat rahasia bisa disimpan, dikelola, dan dirotasi secara rutin dan terpusat.
Pengauditan file konfigurasi dan kode sumber beban kerja dapat menunjukkan berbagai jenis kredensial. Tabel berikut merangkum strategi yang digunakan untuk menangani jenis kredensial umum:
| Credential type | Description | Suggested strategy |
| --- | --- | --- |
| IAM access keys | AWS IAM access and secret keys used to assume IAM roles inside of a workload | Replace: Use [Peran IAM](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios.html) assigned to the compute instances (such as [Amazon EC2](https://docs.aws.amazon.com//latest/UserGuide/id_roles_use_switch-role-ec2.html) or [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)) instead. For interoperability with third parties that require access to resources in your Akun AWS, ask if they support [Akses lintas akun AWS](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios_third-party.html). For mobile apps, consider using temporary credentials through [Kolam identitas (identitas gabungan) Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html). For workloads running outside of AWS, consider [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) or [AWS Systems Manager Hybrid Activations](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html). |
| SSH keys | Secure Shell private keys used to log into Linux EC2 instances, manually or as part of an automated process | Replace: Use [AWS Systems Manager](https://aws.amazon.com/blogs/mt/vr-beneficios-session-manager/) or [EC2 Instance Connect](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Connect-using-EC2-Instance-Connect.html) to provide programmatic and human access to EC2 instances using IAM roles. |
| Application and database credentials | Passwords – plain text string | Rotate: Store credentials in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and establish automated rotation if possible. |
| Amazon RDS and Aurora Admin Database credentials | Passwords – plain text string | Replace: Use the [Integrasi Secrets Manager dengan Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-secrets-manager.html) or [Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-secrets-manager.html). In addition, some RDS database types can use IAM roles instead of passwords for some use cases (for more detail, see [Autentikasi basis data IAM](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.DBAuth.html)). |
| OAuth tokens | Secret tokens – plain text string | Rotate: Store tokens in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and configure automated rotation. |
| API tokens and keys | Secret tokens – plain text string | Rotate: Store in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and establish automated rotation if possible. |
Antipola umumnya adalah menyematkan kunci akses IAM ke dalam kode sumber, file konfigurasi, atau aplikasi seluler. Saat kunci akses IAM diperlukan untuk berkomunikasi dengan layanan AWS, gunakan [kredensial keamanan sementara (jangka-pendek)](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html). Kredensial jangka pendek tersebut dapat diberikan melalui [peran IAM untuk instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html), [peran eksekusi](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) untuk fungsi Lambda, [peran IAM Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/iam-roles.html) untuk akses pengguna seluler, dan [kebijakan IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html) untuk perangkat IoT. Saat beroperasi dengan pihak ketiga, utamakan [mendelegasikan akses ke peran IAM](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios_third-party.html) dengan akses yang diperlukan ke sumber daya akun Anda daripada mengonfigurasikan pengguna IAM lalu mengirim kunci akses rahasia kepada pihak ketiga untuk pengguna tersebut.
Dalam banyak kasus, beban kerja memerlukan penyimpanan rahasia agar dapat saling beroperasi dengan sumber daya dan layanan lainnya. [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) dibuat khusus untuk mengelola kredensial ini secara aman, sekaligus penyimpanan, penggunaan, dan rotasi token API, kata sandi, serta kredensial lainnya.
AWS Secrets Manager menyediakan lima kemampuan utama untuk memastikan keamanan penyimpanan dan penanganan kredensial sensitif: [enkripsi diam](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html), [enkripsi bergerak](https://docs.aws.amazon.com/secretsmanager/latest/userguide/data-protection.html), [pengauditan menyeluruh](https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html), [kontrol akses terperinci](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html), dan [rotasi kredensial yang dapat diperluas](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html). Layanan manajemen rahasia lainnya dari Partner AWS atau solusi yang dikembangkan secara lokal yang memberikan kemampuan dan jaminan serupa juga dapat digunakan.
### Langkah implementasi
1. Identifikasi jalur kode yang berisi kredensial hard-coding menggunakan alat otomatis seperti [Amazon CodeGuru](https://aws.amazon.com/codeguru/features/).
+ Gunakan Amazon CodeGuru untuk memindai repositori kode Anda. Setelah peninjauan selesai, filter `Type=Secrets` di CodeGuru untuk menemukan baris kode yang bermasalah.
1. Identifikasi kredensial yang dapat dihapus atau diganti.
1. Identifikasi kredensial yang sudah tidak diperlukan, lalu tandai untuk dihapus.
1. Untuk Kunci Rahasia AWS yang tersemat dalam kode sumber, ganti dengan peran IAM yang terkait dengan sumber daya yang diperlukan. Jika bagian beban kerja Anda berada di luar AWS tetapi memerlukan kredensial IAM untuk mengakses sumber daya AWS, pertimbangkan untuk menggunakan [IAM Roles Anywhere](https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/) atau [AWS Systems Manager Hybrid Activations](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html).
1. Untuk rahasia lama lainnya dari pihak ketiga yang memerlukan penggunaan strategi rotasi, integrasikan Secrets Manager ke dalam kode Anda untuk mengambil rahasia pihak ketiga pada waktu proses.
1. Konsol CodeGuru dapat secara otomatis [membuat rahasia di Secrets Manager](https://aws.amazon.com/blogs/aws/codeguru-reviewer-secrets-detector-identify-hardcoded-secrets/) menggunakan kredensial yang ditemukan.
1. Integrasikan pengambilan rahasia dari Secrets Manager ke dalam kode aplikasi Anda.
+ Fungsi Lambda nirserver dapat menggunakan [ekstensi Lambda](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets_lambda.html) bahasa agnostik.
+ Untuk instans atau kontainer EC2, AWS menyediakan contoh [kode sisi klien untuk pengambilan rahasia dari Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets.html) dalam beberapa bahasa pemrograman yang populer.
1. Tinjau basis kode Anda secara berkala dan pindai kembali untuk memverifikasi bahwa tidak ada rahasia baru yang ditambahkan ke kode.
+ Pertimbangkan untuk menggunakan alat bantu seperti [git-secrets](https://github.com/awslabs/git-secrets) untuk mencegah masuknya rahasia baru ke repositori kode sumber Anda.
1. [Pantau aktivitas Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html) untuk mengetahui apakah ada penggunaan yang tidak diharapkan, akses rahasia yang tidak sesuai, atau upaya penghapusan rahasia.
1. Kurangi akses manusia ke kredensial. Batasi akses membaca, menulis, dan memodifikasi kredensial untuk peran IAM khusus untuk tujuan ini, serta hanya sediakan akses untuk mengambil peran ke sebagian kecil pengguna operasional.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC02-BP02 Menggunakan kredensial sementara](sec_identities_unique.md)
+ [SEC02-BP05 Mengaudit dan merotasi kredensial secara berkala](sec_identities_audit.md)
**Dokumen terkait:**
+ [Mulai menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html)
+ [Amazon CodeGuru Memperkenalkan Pendeteksi Rahasia](https://aws.amazon.com/blogs/aws/codeguru-reviewer-secrets-detector-identify-hardcoded-secrets/)
+ [Bagaimana AWS Secrets Manager menggunakan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html)
+ [Enkripsi dan dekripsi rahasia di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)
+ [Entri blog Secrets Manager](https://aws.amazon.com/blogs/security/tag/aws-secrets-manager/)
+ [Amazon RDS mengumumkan integrasi dengan AWS Secrets Manager](https://aws.amazon.com/about-aws/whats-new/2022/12/amazon-rds-integration-aws-secrets-manager/)
**Video terkait:**
+ [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Rahasia dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4)
+ [Temukan Rahasia yang Sudah Diberi Hard-Code Menggunakan Pendeteksi Rahasia Amazon CodeGuru](https://www.youtube.com/watch?v=ryK3PN--oJs)
+ [Mengamankan Rahasia untuk Beban Kerja Hibrida Menggunakan AWS Secrets Manager](https://www.youtube.com/watch?v=k1YWhogGVF8)
**Lokakarya terkait:**
+ [Menyimpan, mengambil, dan mengelola kredensial sensitif di AWS Secrets Manager](https://catalog.us-east-1.prod.workshops.aws/workshops/497b4908-169f-4e6f-b80d-ef10be3038d3/en-US)
+ [AWS Systems Manager Hybrid Activations](https://mng.workshop.aws/ssm/capability_hands-on_labs/hybridactivations.html)
# SEC02-BP04 Mengandalkan penyedia identitas terpusat
Untuk identitas tenaga kerja (karyawan dan kontraktor), andalkan penyedia identitas yang memungkinkan Anda mengelola identitas di tempat terpusat. Ini akan mempermudah pengelolaan akses di beberapa aplikasi dan sistem, karena Anda membuat, menetapkan, mengelola, mencabut, dan mengaudit akses dari satu lokasi.
**Hasil yang diinginkan:** Anda memiliki penyedia identitas terpusat tempat Anda mengelola pengguna tenaga kerja, kebijakan autentikasi (misalnya mengharuskan autentikasi multifaktor (MFA)), dan otorisasi ke sistem dan aplikasi (misalnya menetapkan akses berdasarkan keanggotaan atau atribut grup pengguna) secara terpusat. Pengguna tenaga kerja Anda masuk ke penyedia identitas pusat dan melakukan penggabungan (masuk tunggal) ke aplikasi internal dan eksternal, sehingga pengguna tidak perlu mengingat lebih dari satu kredensial. Penyedia identitas Anda terintegrasi dengan sistem sumber daya manusia (SDM) Anda sehingga perubahan personel secara otomatis disinkronkan ke penyedia identitas Anda. Misalnya, jika seseorang keluar dari organisasi Anda, Anda dapat secara otomatis mencabut akses ke aplikasi dan sistem gabungan (termasuk AWS). Anda telah mengaktifkan pencatatan log audit mendetail di penyedia identitas Anda dan memantau log tersebut untuk perilaku pengguna yang tidak biasa.
**Antipola umum:**
+ Anda tidak menggunakan federasi dan masuk tunggal. Pengguna tenaga kerja Anda membuat akun dan kredensial pengguna terpisah di beberapa aplikasi dan sistem.
+ Anda belum mengotomatiskan siklus hidup identitas untuk pengguna tenaga kerja, seperti dengan mengintegrasikan penyedia identitas Anda dengan sistem SDM Anda. Saat pengguna keluar dari organisasi atau beralih jabatan, Anda mengikuti proses manual untuk menghapus atau memperbarui catatan mereka di beberapa aplikasi dan sistem.
**Manfaat menjalankan praktik terbaik ini:** Dengan menggunakan penyedia identitas yang terpusat, Anda memiliki satu tempat untuk mengelola identitas dan kebijakan pengguna tenaga kerja, kemampuan untuk menetapkan akses aplikasi kepada pengguna dan grup, dan kemampuan untuk memantau aktivitas masuk pengguna. Melalui integrasi dengan sistem sumber daya manusia (SDM), ketika pengguna beralih jabatan, perubahan ini disinkronkan dengan penyedia identitas yang secara otomatis memperbarui aplikasi dan izin yang ditetapkan. Ketika pengguna keluar dari organisasi Anda, identitas mereka secara otomatis dinonaktifkan di penyedia identitas, sehingga akses mereka ke aplikasi dan sistem gabungan dicabut.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan**: Tinggi
## Panduan implementasi
**Panduan untuk pengguna tenaga kerja yang mengakses AWS**
Pengguna tenaga kerja seperti karyawan dan kontraktor di organisasi Anda mungkin memerlukan akses ke AWS menggunakan Konsol Manajemen AWS atau AWS Command Line Interface (AWS CLI) untuk menjalankan fungsi pekerjaan mereka. Anda dapat memberikan akses AWS kepada pengguna tenaga kerja Anda dengan melakukan federasi dari penyedia identitas terpusat Anda ke AWS pada dua tingkat: federasi langsung ke setiap Akun AWS atau federasi ke beberapa akun di [organisasi AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
+ Untuk menggabungkan pengguna tenaga kerja Anda secara langsung dengan setiap Akun AWS, Anda dapat menggunakan penyedia identitas terpusat untuk digabungkan ke [AWS Identity and Access Management](https://aws.amazon.com/iam/) dalam akun tersebut. Fleksibilitas IAM memungkinkan Anda mengaktifkan Penyedia Identitas [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) atau [Open ID Connect (OIDC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html) secara terpisah untuk setiap Akun AWS dan gunakan atribut pengguna gabungan untuk kontrol akses. Pengguna tenaga kerja Anda akan menggunakan browser web mereka untuk masuk ke penyedia identitas dengan memberikan kredensialnya (seperti kata sandi dan kode token MFA). Penyedia identitas mengeluarkan pernyataan SAFL ke browser mereka yang dikirimkan ke URL masuk Konsol Manajemen AWS agar pengguna dapat melakukan masuk tunggal ke [Konsol Manajemen AWS dengan mengambil Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html). Pengguna Anda juga dapat memperoleh kredensial API AWS sementara untuk digunakan di [AWS CLI](https://aws.amazon.com/cli/) atau [SDK AWS](https://aws.amazon.com/developer/tools/) dari [AWS STS](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) dengan [mengambil peran IAM menggunakan pernyataan SAFL](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) dari penyedia identitas.
+ Untuk menggabungkan pengguna tenaga kerja Anda dengan beberapa akun di organisasi AWS Anda, Anda dapat menggunakan [https://aws.amazon.com/single-sign-on/](https://aws.amazon.com/single-sign-on/) untuk mengelola akses secara terpusat bagi pengguna tenaga kerja Anda ke Akun AWS dan aplikasi. Anda mengaktifkan Pusat Identitas untuk organisasi Anda dan mengonfigurasi sumber identitas Anda. IAM Identity Center menyediakan direktori sumber identitas default yang dapat Anda gunakan untuk mengelola pengguna dan grup Anda. Atau, Anda dapat memilih sumber identitas eksternal dengan [https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) menggunakan SAFL 2.0 dan [secara otomatis menyediakan](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) pengguna dan grup menggunakan SCIM, atau [https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) menggunakan [Directory Service](https://aws.amazon.com/directoryservice/). Setelah sumber identitas dikonfigurasi, Anda dapat menetapkan akses kepada pengguna dan grup ke Akun AWS dengan menentukan kebijakan hak akses paling rendah di [seperangkat izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html). Pengguna tenaga kerja Anda dapat melakukan autentikasi melalui penyedia identitas pusat Anda untuk masuk ke [portal akses AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-the-portal.html) dan melakukan masuk tunggal ke Akun AWS dan aplikasi cloud yang ditetapkan untuk mereka. Pengguna Anda dapat mengonfigurasi [AWS CLI v2](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) untuk mengautentikasi dengan Pusat Identitas dan mendapatkan kredensial untuk menjalankan perintah AWS CLI. Pusat Identitas juga memungkinkan akses masuk tunggal ke aplikasi AWS seperti [Amazon SageMaker AI Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-sso-users.html) dan [portal AWS IoT Sitewise Monitor](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/monitor-getting-started.html).
Setelah Anda mengikuti panduan di atas, pengguna tenaga kerja Anda tidak perlu lagi menggunakan IAM users dan grup IAM untuk operasi normal saat mengelola beban kerja di AWS. Sebaliknya, pengguna dan grup Anda dikelola di luar AWS dan pengguna dapat mengakses sumber daya AWS sebagai *identitas gabungan*. Identitas gabungan menggunakan grup yang ditentukan oleh penyedia identitas terpusat Anda. Anda harus mengidentifikasi dan menghapus grup IAM, IAM users, dan kredensial pengguna jangka panjang (kata sandi dan kunci akses) yang sudah tidak diperlukan di situs Akun AWS Anda. Anda dapat [menemukan kredensial yang tidak digunakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) menggunakan [laporan kredensial IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html), [menghapus IAM users terkait,](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html) dan [menghapus grup IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html) Anda dapat menerapkan [Kebijakan Kontrol Layanan (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) ke organisasi Anda yang membantu mencegah pembuatan IAM users dan grup IAM baru, sehingga memaksa akses ke AWS hanya terjadi melalui identitas gabungan.
**Panduan untuk pengguna aplikasi Anda**
Anda dapat mengelola identitas pengguna aplikasi Anda, seperti aplikasi seluler, menggunakan [https://aws.amazon.com/cognito/](https://aws.amazon.com/cognito/) sebagai penyedia identitas terpusat Anda. Amazon Cognito memungkinkan autentikasi, otorisasi, dan manajemen pengguna untuk web dan aplikasi seluler Anda. Amazon Cognito menyediakan tempat penyimpanan identitas yang menyesuaikan skala dengan jutaan pengguna, mendukung federasi identitas sosial dan korporasi, serta menawarkan fitur keamanan canggih untuk membantu melindungi pengguna dan bisnis Anda. Anda dapat mengintegrasikan aplikasi web atau seluler kustom Anda dengan Amazon Cognito untuk menambahkan autentikasi pengguna dan kontrol akses ke aplikasi Anda dalam hitungan menit. Dibangun di atas standar identitas terbuka seperti SAFL dan Open ID Connect (OIDC), Amazon Cognito mendukung berbagai peraturan kepatuhan dan terintegrasi dengan sumber daya pengembangan frontend dan backend.
### Langkah implementasi
**Langkah-langkah untuk pengguna tenaga kerja yang mengakses AWS**
+ Gabungkan pengguna tenaga kerja Anda ke AWS menggunakan penyedia identitas terpusat melalui salah satu pendekatan berikut:
+ Gunakan IAM Identity Center untuk mengaktifkan masuk tunggal ke beberapa Akun AWS di organisasi AWS Anda dengan cara menggabungkan dengan penyedia identitas Anda.
+ Gunakan IAM untuk menghubungkan penyedia identitas Anda secara langsung ke setiap Akun AWS, sehingga memungkinkan akses mendetail gabungan.
+ Identifikasikan dan hapus IAM users dan grup IAM yang digantikan dengan identitas gabungan.
**Langkah-langkah untuk pengguna aplikasi Anda**
+ Gunakan Amazon Cognito sebagai penyedia identitas terpusat menuju aplikasi Anda.
+ Integrasikan aplikasi kustom Anda dengan Amazon Cognito menggunakan OpenID Connect dan OAuth. Anda dapat mengembangkan aplikasi kustom menggunakan pustaka Amplify yang menyediakan antarmuka sederhana untuk diintegrasikan dengan berbagai layanan AWS, seperti Amazon Cognito untuk autentikasi.
## Sumber daya
**Praktik terbaik Well-Architected terkait:**
+ [SEC02-BP06 Manfaatkan grup dan atribut pengguna](sec_identities_groups_attributes.md)
+ [SEC03-BP02 Memberikan hak akses paling rendah](sec_permissions_least_privileges.md)
+ [SEC03-BP06 Mengelola akses berdasarkan siklus hidup](sec_permissions_lifecycle.md)
**Dokumen terkait:**
+ [Federasi identitas di AWS](https://aws.amazon.com/identity/federation/)
+ [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Praktik terbaik AWS Identity and Access Management](https://aws.amazon.com/iam/resources/best-practices/)
+ [Memulai dengan administrasi terdelegasi IAM Identity Center](https://aws.amazon.com/blogs/security/getting-started-with-aws-sso-delegated-administration/)
+ [Cara menggunakan kebijakan yang dikelola pelanggan di IAM Identity Center untuk kasus penggunaan lanjutan](https://aws.amazon.com/blogs/security/how-to-use-customer-managed-policies-in-aws-single-sign-on-for-advanced-use-cases/)
+ [AWS CLI v2: penyedia kredensial IAM Identity Center](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sso-credentials.html)
**Video terkait:**
+ [AWS re:Inforce 2022 - Pembahasan mendalam AWS Identity and Access Management (IAM)](https://youtu.be/YMj33ToS8cI)
+ [AWS re:invent 2022 - Menyederhanakan akses tenaga kerja Anda dengan IAM Identity Center](https://youtu.be/TvQN4OdR_0Y)
+ [AWS re:Invent 2018: Menguasai Identitas di Setiap Lapisan Susunan](https://youtu.be/vbjFjMNVEpc)
**Contoh terkait:**
+ [Lokakarya: Menggunakan AWS IAM Identity Center untuk mencapai manajemen identitas yang kuat](https://catalog.us-east-1.prod.workshops.aws/workshops/590f8439-42c7-46a1-8e70-28ee41498b3a/en-US)
+ [Lokakarya: Identitas nirserver](https://identity-round-robin.awssecworkshops.com/serverless/)
**Alat terkait:**
+ [Partner Kompetensi Keamanan AWS: Manajemen Identitas dan Akses](https://aws.amazon.com/security/partner-solutions/)
+ [saml2aws](https://github.com/Versent/saml2aws)
# SEC02-BP05 Mengaudit dan merotasi kredensial secara berkala
Audit dan rotasikan kredensial secara berkala guna membatasi seberapa lama kredensial dapat digunakan untuk mengakses sumber daya Anda. Kredensial jangka panjang menimbulkan banyak risiko, tetapi risiko ini dapat dikurangi dengan merotasikan kredensial jangka panjang secara berkala.
**Hasil yang diinginkan:** Mengimplementasikan rotasi kredensial untuk mengurangi risiko terkait penggunaan kredensial jangka panjang. Melakukan audit dan perbaikan secara rutin untuk penggunaan yang tidak mematuhi kebijakan rotasi kredensial.
**Antipola umum:**
+ Tidak mengaudit penggunaan kredensial.
+ Menggunakan kredensial jangka panjang saat tidak diperlukan.
+ Menggunakan kredensial jangka panjang dan tidak merotasinya secara rutin.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
Jika Anda tidak dapat mengandalkan kredensial sementara dan memerlukan kredensial jangka panjang, lakukan audit kredensial untuk memastikan bahwa kontrol yang ditentukan seperti autentikasi multi-faktor (MFA) telah diterapkan, dirotasi secara rutin, dan memiliki tingkat akses yang sesuai.
Validasi berkala, sebaiknya melalui alat otomatis, diperlukan untuk memverifikasi penerapan kontrol yang tepat. Untuk identitas manusia, Anda harus mewajibkan pengguna untuk mengubah kata sandi mereka secara rutin dan menonaktifkan kunci akses yang ditukar dengan kredensial sementara. Setelah Anda beralih dari pengguna AWS Identity and Access Management (IAM) ke pengguna identitas terpusat, Anda dapat [membuat laporan kredensial](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) untuk mengaudit pengguna Anda.
Anda juga sebaiknya menerapkan dan memantau MFA dalam penyedia identitas Anda. Anda dapat mengonfigurasikan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html), atau menggunakan [Standar Keamanan AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-3), untuk memantau apakah pengguna mengaktifkan MFA. Pertimbangkan untuk menggunakan IAM Roles Anywhere guna memberikan kredensial sementara untuk identitas mesin. Dalam situasi yang tidak memungkinkan penggunaan peran IAM dan kredensial sementara, pengauditan dan rotasi kunci akses perlu sering dilakukan.
**Langkah implementasi**
+ **Audit kredensial secara rutin:** Mengaudit identitas yang dikonfigurasikan dalam penyedia identitas dan IAM Anda membantu memastikan bahwa hanya identitas yang diotorisasi yang memiliki akses ke beban kerja Anda. Identitas tersebut mencakup, tetapi tidak terbatas pada, pengguna IAM, pengguna AWS IAM Identity Center, pengguna Active Directory, atau pengguna dalam penyedia identitas hulu yang berbeda. Misalnya, hapus orang yang keluar dari organisasi, serta hapus peran lintas akun yang sudah tidak diperlukan. Terapkan proses untuk secara berkala mengaudit izin ke layanan yang diakses oleh entitas IAM. Tindakan ini akan membantu Anda mengidentifikasi kebijakan yang perlu diubah untuk menghapus izin yang tidak digunakan. Gunakan laporan kredensial dan [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) untuk mengaudit izin dan kredensial IAM. Anda dapat menggunakan [Amazon CloudWatch untuk mengonfigurasi alarm untuk panggilan API tertentu](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) dalam lingkungan AWS Anda. [Amazon GuardDuty juga dapat memberikan peringatan terkait aktivitas yang tidak diharapkan](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html), yang mungkin menandakan akses yang terlalu permisif atau akses yang tidak diinginkan ke kredensial IAM.
+ **Lakukan rotasi kredensial secara rutin:** Ketika Anda tidak dapat menggunakan kredensial sementara, rotasikan kunci akses IAM jangka panjang secara rutin (maksimum 90 hari sekali). Tindakan ini akan membatasi waktu penggunaan kredensial untuk mengakses sumber daya Anda jika kunci akses bocor tanpa sepengetahuan Anda. Untuk informasi tentang merotasi kunci akses bagi pengguna IAM, lihat [Merotasi kunci akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey).
+ **Tinjau izin IAM:** Untuk meningkatkan keamanan Akun AWS Anda, tinjau dan pantau setiap kebijakan IAM Anda secara rutin. Pastikan kebijakan tersebut memenuhi prinsip hak akses paling rendah.
+ **Pertimbangkan untuk mengotomatiskan pembaruan dan pembuatan sumber daya IAM:** IAM Identity Center mengotomatiskan banyak tugas IAM, seperti manajemen kebijakan dan peran. Atau, AWS CloudFormation dapat digunakan untuk mengotomatiskan deployment sumber daya IAM, termasuk kebijakan dan peran, untuk mengurangi kemungkinan kesalahan akibat kelalaian manusia karena templat dapat diverifikasi serta dikelola dengan kendali versi.
+ **Gunakan IAM Roles Anywhere untuk mengganti pengguna IAM untuk identitas mesin:** IAM Roles Anywhere memungkinkan Anda untuk menggunakan peran dalam area yang secara tradisional tidak bisa digunakan, seperti server on-premise. IAM Roles Anywhere menggunakan sertifikat X.509 tepercaya untuk mengautentikasi ke AWS serta menerima kredensial sementara. Dengan IAM Roles Anywhere, Anda tidak perlu merotasi kredensial ini karena kredensial jangka panjang tidak lagi disimpan dalam lingkungan on-premise Anda. Perlu diketahui bahwa Anda harus memantau dan merotasi sertifikat X.509 sebelum kedaluwarsa.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC02-BP02 Menggunakan kredensial sementara](sec_identities_unique.md)
+ [SEC02-BP03 Menyimpan dan menggunakan rahasia secara aman](sec_identities_secrets.md)
**Dokumen terkait:**
+ [Mulai menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Praktik Terbaik IAM](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html)
+ [Solusi Partner Keamanan: Akses dan Kontrol Akses](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Kredensial Keamanan Sementara](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html)
+ [ Mendapatkan laporan kredensial untuk Akun AWS Anda ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
**Video terkait:**
+ [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Rahasia dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4)
+ [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Menguasai identitas di setiap lapisan susunan](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**Contoh terkait:**
+ [ Lab Well-Architected - Pembersihan Pengguna IAM Otomatis ](https://wellarchitectedlabs.com/security/200_labs/200_automated_iam_user_cleanup/)
+ [ Lab Well-Architected Deployment Otomatis Peran dan Grup IAM ](https://wellarchitectedlabs.com/security/200_labs/200_automated_deployment_of_iam_groups_and_roles/)
# SEC02-BP06 Manfaatkan grup dan atribut pengguna
Seiring meningkatnya jumlah pengguna yang dikelola, Anda perlu menentukan cara agar dapat mengelolanya dalam skala besar. Tempatkan pengguna yang memiliki persyaratan keamanan yang sama dalam grup yang ditentukan oleh penyedia identitas Anda, dan terapkan mekanisme untuk memastikan atribut pengguna yang dapat digunakan untuk kontrol akses (misalnya departemen atau lokasi) sudah benar dan diperbarui. Gunakan grup dan atribut tersebut untuk mengontrol akses, bukan pengguna individual. Dengan demikian, Anda dapat mengelola akses secara terpusat cukup dengan satu kali mengubah keanggotaan atau atribut grup pengguna dengan [seperangkat izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html), daripada memperbarui banyak kebijakan satu per satu saat akses pengguna perlu diubah. Anda dapat menggunakan AWS IAM Identity Center (IAM Identity Center) untuk mengelola grup dan atribut pengguna. IAM Identity Center mendukung atribut yang paling sering digunakan, baik dimasukkan secara manual selama pembuatan pengguna atau disediakan secara otomatis menggunakan mesin sinkronisasi, seperti yang ditetapkan dalam spesifikasi Sistem untuk Manajemen Identitas Lintas Domain (SCIM).
Tempatkan pengguna yang memiliki persyaratan keamanan yang sama dalam grup yang ditentukan oleh penyedia identitas Anda, dan terapkan mekanisme untuk memastikan atribut pengguna yang dapat digunakan untuk kontrol akses (misalnya departemen atau lokasi) sudah benar dan diperbarui. Gunakan grup dan atribut tersebut, bukan pengguna individual, untuk mengontrol akses. Dengan demikian, Anda dapat mengelola akses secara terpusat cukup dengan satu kali mengubah keanggotaan atau atribut grup pengguna, daripada memperbarui banyak kebijakan satu per satu saat akses pengguna perlu diubah.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah
## Panduan implementasi
+ Jika Anda menggunakan AWS IAM Identity Center (IAM Identity Center), konfigurasikan grup: IAM Identity Center memberikan kemampuan untuk mengonfigurasi grup pengguna dan menetapkan grup untuk tingkat izin yang diinginkan.
+ [AWS Masuk Tunggal - Kelola Identitas](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ Pelajari lebih lanjut tentang kontrol akses berbasis atribut (ABAC): ABAC adalah strategi otorisasi yang menetapkan izin berdasarkan atribut.
+ [Apa Itu ABAC untuk AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Lab: Kontrol Akses Berbasis Tanda IAM untuk EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## Sumber daya
**Dokumen terkait:**
+ [Mulai Menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Video terkait:**
+ [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Secret dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4)
+ [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Menguasai identitas di setiap lapisan beban kerja](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**Contoh terkait:**
+ [Lab: Kontrol Akses Berbasis Tanda IAM untuk EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
# SEC 3. Bagaimana cara mengelola izin untuk manusia dan mesin?
Kelola izin untuk mengontrol akses ke identitas manusia dan identitas mesin yang memerlukan akses ke AWS dan beban kerja Anda. Izin akan mengontrol siapa yang dapat mengakses hal tertentu, beserta kondisinya.
**Topics**
+ [SEC03-BP01 Menetapkan persyaratan akses](sec_permissions_define.md)
+ [SEC03-BP02 Memberikan hak akses paling rendah](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Menerapkan proses akses darurat](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Mengurangi izin secara terus-menerus](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Menentukan pagar pembatas izin untuk organisasi Anda](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Mengelola akses berdasarkan siklus hidup](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Menganalisis akses lintas akun dan publik](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Membagikan sumber daya secara aman dalam organisasi Anda](sec_permissions_share_securely.md)
+ [SEC03-BP09 Membagikan sumber daya secara aman kepada pihak ketiga](sec_permissions_share_securely_third_party.md)
# SEC03-BP01 Menetapkan persyaratan akses
Tiap-tiap komponen atau sumber daya beban kerja Anda perlu diakses oleh administrator, pengguna akhir, atau komponen lainnya. Miliki penetapan yang jelas tentang siapa atau apa yang harus memiliki akses ke tiap-tiap komponen, pilih tipe identitas dan metode autentikasi serta otorisasi yang tepat.
**Antipola umum:**
+ Hard-coding atau menyimpan rahasia di dalam aplikasi Anda.
+ Memberikan izin kustom untuk tiap pengguna.
+ Menggunakan kredensial berumur panjang.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Tiap-tiap komponen atau sumber daya beban kerja Anda perlu diakses oleh administrator, pengguna akhir, atau komponen lainnya. Miliki penetapan yang jelas tentang siapa atau apa yang harus memiliki akses ke tiap-tiap komponen, pilih tipe identitas dan metode autentikasi serta otorisasi yang tepat.
Akses rutin ke Akun AWS di dalam organisasi harus disediakan menggunakan [akses gabungan](https://aws.amazon.com/identity/federation/) atau penyedia identitas terpusat. Anda juga sebaiknya memusatkan manajemen identitas Anda dan memastikan terdapat praktik yang matang untuk mengintegrasikan akses AWS ke siklus hidup akses karyawan Anda. Misalnya, saat seorang karyawan berganti peran pekerjaan dengan level akses berbeda, keanggotaan grupnya juga harus berubah agar sesuai dengan persyaratan akses barunya.
Saat menetapkan persyaratan akses untuk identitas non-manusia, tentukan aplikasi dan komponen mana yang memerlukan akses dan bagaimana izin diberikan. Menggunakan IAM role yang dibangun dengan model akses hak akses paling rendah adalah pendekatan yang disarankan. [Kebijakan yang Dikelola AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) menyediakan kebijakan IAM yang telah ditetapkan sebelumnya yang mencakup kasus-kasus penggunaan paling umum.
Layanan AWS, seperti [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) dan [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html), dan membantu memisahkan rahasia dari aplikasi atau beban kerja secara aman pada kasus-kasus yang tidak memungkinkan penggunaan IAM role. Di Secrets Manager, Anda dapat membuat rotasi otomatis untuk kredensial Anda. Anda dapat menggunakan Systems Manager untuk merujuk parameter di skrip, perintah, dokumen SSM, konfigurasi, dan alur kerja otomatisasi Anda menggunakan nama unik yang telah Anda tentukan saat membuat parameter tersebut.
Anda dapat menggunakan AWS Identity and Access Management Roles Anywhere untuk mendapatkan [kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) untuk beban kerja yang berjalan di luar AWS. Beban kerja Anda dapat menggunakan [kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dan [IAM role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang sama dengan yang Anda gunakan dengan aplikasi AWS untuk mengakses sumber daya AWS.
Jika memungkinkan, gunakan kredensial sementara jangka pendek, bukan kredensial statis jangka panjang. Untuk skenario di mana Anda memerlukan pengguna IAM dengan akses terprogram dan kredensial jangka panjang, gunakan [informasi yang terakhir digunakan kunci akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) untuk merotasi dan menghapus kunci akses.
## Sumber daya
**Dokumen terkait:**
+ [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [Kebijakan yang dikelola AWS untuk IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [Ketentuan kebijakan AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Kasus penggunaan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [Hapus kredensial yang tidak diperlukan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Bekerja dengan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [Cara mengontrol akses ke sumber daya AWS berdasarkan Akun AWS, OU, atau organisasi](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [Identifikasi, atur, dan kelola rahasia secara mudah menggunakan pencarian yang ditingkatkan di AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**Video terkait:**
+ [Menjadi Master Kebijakan IAM dalam 60 Menit atau Kurang](https://youtu.be/YQsK4MtsELU)
+ [Pemisahan Tugas, Hak Akses Paling Rendah, Delegasi, dan CI/CD](https://youtu.be/3H0i7VyTu70)
+ [Merampingkan manajemen identitas dan akses untuk inovasi](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 Memberikan hak akses paling rendah
Salah satu praktik terbaik adalah memberikan hanya akses yang diperlukan identitas untuk melakukan tindakan tertentu pada sumber daya tertentu dalam kondisi tertentu. Gunakan atribut grup dan identitas untuk menetapkan izin secara dinamis dalam skala besar daripada menentukan izin satu per satu untuk setiap pengguna. Misalnya, Anda dapat memberikan akses kepada sebuah grup developer untuk mengelola sumber daya untuk proyek mereka saja. Dengan cara ini, jika seorang developer keluar dari proyek, akses developer tersebut secara otomatis dicabut tanpa mengubah kebijakan akses dasar.
**Hasil yang diinginkan:** Pengguna hanya memiliki izin yang diperlukan untuk melakukan pekerjaannya. Pengguna hanya diberi akses ke lingkungan produksi untuk melakukan tugas tertentu dalam jangka waktu terbatas dan akses harus dicabut setelah tugas tersebut selesai. Izin harus dicabut jika sudah tidak digunakan, termasuk saat pengguna beralih ke proyek atau jabatan kerja lain. Hak akses administrator hanya boleh diberikan kepada sekelompok kecil administrator yang tepercaya. Izin harus ditinjau secara rutin untuk menghindari creep izin. Akun sistem atau mesin hanya boleh diberi rangkaian izin paling sedikit yang diperlukan untuk menyelesaikan tugas mereka.
**Antipola umum:**
+ Memberikan izin administrator kepada para pengguna secara default.
+ Menggunakan pengguna root untuk aktivitas harian.
+ Membuat kebijakan yang terlalu permisif, tetapi tanpa hak istimewa administrator penuh.
+ Tidak meninjau izin untuk mengetahui apakah izin tersebut memberikan hak akses paling rendah.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Prinsip [hak akses paling rendah](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#grant-least-privilege) menyatakan bahwa identitas hanya boleh diizinkan untuk melakukan rangkaian tindakan sekecil mungkin yang diperlukan untuk menyelesaikan tugas tertentu. Hal ini menyeimbangkan kegunaan, efisiensi, dan keamanan. Pengoperasian berdasarkan prinsip ini membantu membatasi akses yang tidak diinginkan dan membantu memantau siapa saja yang memiliki akses ke sumber daya yang mana. Pengguna dan peran IAM secara default tidak memiliki izin apa pun. Pengguna root memiliki akses penuh secara default dan harus secara ketat dikontrol, dimonitor, dan digunakan hanya untuk [tugas yang memerlukan akses root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html).
Kebijakan IAM digunakan untuk memberikan izin secara eksplisit ke peran IAM atau sumber daya tertentu. Contohnya, kebijakan berbasis identitas dapat dilampirkan ke grup IAM, sedangkan bucket S3 dapat dikontrol oleh kebijakan berbasis sumber daya.
Saat membuat kebijakan IAM, Anda dapat menentukan tindakan layanan, sumber daya, dan kondisi yang harus terpenuhi agar AWS dapat memberikan atau menolak akses. AWS mendukung beragam kondisi untuk membantu Anda menyaring akses. Contohnya, dengan menggunakan [kunci kondisi](https://docs.aws.amazon.com//latest/UserGuide/reference_policies_condition-keys.html) `PrincipalOrgID`, Anda dapat menolak tindakan jika pemohon bukan bagian dari Organisasi AWS Anda.
Anda juga dapat mengontrol permintaan yang dibuat oleh layanan AWS atas nama Anda, seperti AWS CloudFormation yang membuat fungsi AWS Lambda, dengan menggunakan kunci kondisi `CalledVia`. Anda sebaiknya menggunakan berbagai macam kebijakan secara berlapis untuk membuat sistem pertahanan yang mendalam dan membatasi izin keseluruhan untuk pengguna Anda. Anda juga bisa membatasi izin yang dapat diberikan beserta kondisinya. Misalnya, Anda dapat mengizinkan tim aplikasi membuat kebijakan IAM sendiri untuk sistem yang mereka buat, tetapi Anda juga harus menerapkan [Batasan Izin](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) untuk membatasi izin maksimum yang bisa didapatkan sistem.
**Langkah implementasi**
+ **Implementasikan kebijakan hak akses paling rendah**: Tetapkan kebijakan akses dengan hak paling rendah ke grup dan peran IAM untuk mencerminkan peran atau fungsi pengguna yang telah Anda tetapkan.
+ **Kebijakan dasar untuk penggunaan API**: Salah satu cara untuk menentukan izin yang diperlukan adalah dengan meninjau log AWS CloudTrail. Dengan peninjauan ini, Anda dapat membuat izin yang disesuaikan dengan tindakan yang benar-benar dilakukan oleh pengguna di dalam AWS. [IAM Access Analyzer dapat menghasilkan kebijakan IAM secara otomatis berdasarkan](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) [aktivitas](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). Anda dapat menggunakan Penasihat Akses IAM di tingkat organisasi atau akun guna [melacak](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html) [informasi yang terakhir diakses untuk kebijakan tertentu](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html).
+ **Pertimbangkan penggunaan [kebijakan terkelola AWS untuk fungsi tugas](https://docs.aws.amazon.com//latest/UserGuide/access_policies_job-functions.html).** Saat akan membuat kebijakan izin yang disesuaikan secara mendetail, mungkin sulit untuk mengetahui cara memulainya. AWS memiliki kebijakan terkelola untuk peran tugas umum, misalnya penagihan, administrator basis data, dan ilmuwan data. Kebijakan ini dapat membantu mempersempit akses yang dimiliki pengguna selagi menentukan cara menerapkan kebijakan hak akses paling rendah.
+ **Hapus izin yang tidak diperlukan:** Hapus izin yang tidak diperlukan dan ketatkan kebijakan yang terlalu longgar. [Pembuatan kebijakan IAM Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/access-analyzer-policy-generation.html) dapat membantu menyaring kebijakan izin.
+ **Pastikan pengguna memiliki akses yang terbatas ke lingkungan produksi:** Pengguna seharusnya hanya memiliki akses ke lingkungan produksi dengan kasus penggunaan yang valid. Setelah pengguna menyelesaikan tugas tertentu yang memerlukan akses produksi, akses harus dicabut. Pembatasan akses ke lingkungan produksi membantu mencegah kejadian tak terduga yang memengaruhi produksi dan memperkecil cakupan dampak akses yang tidak diharapkan.
+ **Pertimbangkan batasan izin:** Batasan izin adalah fitur untuk menggunakan kebijakan terkelola yang menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas ke entitas IAM. Batasan izin memungkinkan entitas melakukan tindakan hanya yang diizinkan oleh kebijakan berbasis identitas serta batasan izinnya.
+ **Pertimbangkan [tanda sumber daya](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) untuk izin:** Model kontrol akses berbasis atribut yang menggunakan tanda sumber daya memungkinkan Anda memberikan akses berdasarkan tujuan sumber daya, pemilik, lingkungan, atau kriteria lain. Misalnya, Anda dapat menggunakan tanda sumber daya untuk membedakan lingkungan pengembangan dan produksi. Dengan tanda ini, Anda dapat membatasi developer agar hanya dapat mengakses lingkungan pengembangan. Dengan memadukan kebijakan pemberian tanda dan izin, Anda dapat memiliki akses sumber daya yang terperinci tanpa harus menentukan kebijakan kustom dan rumit untuk setiap fungsi tugas.
+ **Gunakan [kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) untuk AWS Organizations.** Kebijakan kontrol layanan secara terpusat mengontrol izin maksimum yang tersedia bagi akun anggota di organisasi Anda. Fungsi penting dari kebijakan kontrol layanan adalah memungkinkan Anda membatasi izin pengguna root di dalam akun anggota. Pertimbangkan juga untuk menggunakan AWS Control Tower, yang menyediakan kontrol terkelola preskriptif yang makin melengkapi AWS Organizations. Anda juga dapat menentukan kontrol sendiri di dalam Control Tower.
+ **Buat kebijakan siklus hidup pengguna untuk organisasi Anda:** Kebijakan siklus hidup pengguna menentukan tugas yang harus dilakukan saat pengguna ditambahkan ke AWS, mengubah peran atau cakupan pekerjaan, atau sudah tidak memerlukan akses ke AWS. Peninjauan izin harus dilakukan selama setiap langkah dalam siklus hidup pengguna untuk memverifikasi bahwa izin dibatasi dengan sesuai dan untuk menghindari creep izin.
+ **Buat jadwal rutin untuk meninjau izin dan menghapus izin yang tidak diperlukan:** Anda harus rutin meninjau akses pengguna untuk memverifikasi bahwa pengguna tidak memiliki akses yang terlalu leluasa. [AWS Config](https://aws.amazon.com/config/) dan IAM Access Analyzer dapat membantu Anda saat mengaudit izin pengguna.
+ **Buat matriks peran kerja:** Matrik peran kerja memberikan visualiasi untuk berbagai peran dan tingkat akses yang diperlukan dalam jejak AWS Anda. Dengan matriks peran kerja, Anda dapat menentukan dan memisahkan izin berdasarkan tanggung jawab pengguna di dalam organisasi. Gunakan grup daripada menerapkan izin secara langsung ke pengguna atau peran satu per satu.** **
## Sumber Daya
**Dokumen terkait:**
+ [Berikan hak akses paling rendah](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html?ref=wellarchitected#grant-least-privilege)
+ [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com//latest/UserGuide/access_policies_boundaries.html)
+ [Teknik untuk menulis kebijakan IAM hak akses paling rendah](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [IAM Access Analyzer mempermudah implementasi izin hak akses paling rendah dengan menghasilkan kebijakan IAM](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/) [berdasarkan aktivitas akses](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [Delegasikan manajemen izin ke developer menggunakan batasan izin IAM](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/)
+ [Mempersempit Izin menggunakan informasi yang terakhir kali diakses](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html)
+ [Jenis kebijakan IAM dan kapan harus digunakan](https://docs.aws.amazon.com//latest/UserGuide/access_policies.html)
+ [Menguji kebijakan IAM dengan simulator kebijakan IAM](https://docs.aws.amazon.com//latest/UserGuide/access_policies_testing-policies.html)
+ [Pagar Pembatas di AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [Arsitektur Zero Trust: Sebuah perspektif AWS](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [Cara mengimplementasikan prinsip hak akses paling rendah dengan CloudFormation StackSets](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
+ [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com//latest/UserGuide/introduction_attribute-based-access-control.html?ref=wellarchitected)
+ [Mengurangi cakupan kebijakan dengan melihat aktivitas pengguna](https://docs.aws.amazon.com//latest/UserGuide/access_policies_access-advisor.html?ref=wellarchitected)
+ [Lihat akses peran](https://docs.aws.amazon.com//latest/UserGuide/id_roles_manage_delete.html?ref=wellarchitected#roles-delete_prerequisites)
+ [Gunakan Penandaan untuk Mengelola Lingkungan Anda dan Meningkatkan Akuntabilitas](https://docs.aws.amazon.com/aws-technical-content/latest/cost-optimization-laying-the-foundation/tagging.html?ref=wellarchitected)
+ [Strategi Penandaan AWS](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/?ref=wellarchitected)
+ [Penandaan sumber daya AWS](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-iam-identity-center/)
**Video terkait:**
+ [Manajemen izin generasi baru](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [Zero Trust: Sebuah perspektif AWS](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [Bagaimana cara menggunakan batasan izin untuk membatasi pengguna dan peran guna mencegah eskalasi hak akses?](https://www.youtube.com/watch?v=omwq3r7poek)
**Contoh terkait:**
+ [Lab: Batasan izin IAM yang mendelegasikan pembuatan peran](https://wellarchitectedlabs.com/Security/300__Permission_Boundaries_Delegating_Role_Creation/README.html)
+ [Lab: Kontrol akses berbasis tanda IAM untuk EC2](https://wellarchitectedlabs.com/Security/300__Tag_Based_Access_Control_for_EC2/README.html?ref=wellarchitected)
# SEC03-BP03 Menerapkan proses akses darurat
Buat proses yang memungkinkan akses darurat ke beban kerja Anda jika terjadi masalah pada penyedia identitas terpusat Anda.
Anda harus merancang proses untuk berbagai mode kegagalan yang dapat mengakibatkan peristiwa darurat. Misalnya, dalam keadaan normal, pengguna tenaga kerja Anda melakukan federasi ke cloud menggunakan penyedia identitas terpusat ([SEC02-BP04](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)) untuk mengelola beban kerja mereka. Namun, jika penyedia identitas terpusat Anda gagal, atau konfigurasi untuk federasi di cloud diubah, maka pengguna tenaga kerja Anda mungkin tidak dapat melakukan federasi ke cloud. Proses akses darurat memungkinkan administrator yang berwenang untuk mengakses sumber daya cloud Anda melalui cara alternatif (seperti bentuk federasi alternatif atau akses pengguna langsung) untuk memperbaiki masalah dengan konfigurasi federasi atau beban kerja Anda. Proses akses darurat digunakan sampai mekanisme federasi normal dipulihkan.
**Hasil yang diinginkan:**
+ Anda telah menentukan dan mendokumentasikan mode kegagalan yang terhitung sebagai keadaan darurat: pertimbangkan keadaan normal Anda dan sistem yang diandalkan oleh pengguna Anda untuk mengelola beban kerja mereka. Pertimbangkan bagaimana setiap dependensi ini dapat gagal dan menyebabkan keadaan darurat. Anda dapat menemukan pertanyaan dan praktik terbaik di [Pilar Keandalan](https://docs.aws.amazon.com/wellarchitected/latest/framework/a-reliability.html) yang berguna untuk mengidentifikasi mode kegagalan dan merancang sistem yang lebih tangguh untuk meminimalkan kemungkinan kegagalan.
+ Anda telah mendokumentasikan langkah-langkah yang harus diikuti untuk mengonfirmasi kegagalan sebagai keadaan darurat. Misalnya, Anda dapat meminta administrator identitas Anda untuk memeriksa status penyedia identitas utama dan siaga Anda dan, jika keduanya tidak tersedia, umumkan peristiwa darurat untuk kegagalan penyedia identitas.
+ Anda telah menentukan proses akses darurat khusus untuk setiap jenis mode darurat atau kegagalan. Pengkhususan ini dapat mengurangi godaan di pihak pengguna Anda untuk terlalu sering menggunakan proses umum untuk semua jenis keadaan darurat. Proses akses darurat Anda menggambarkan keadaan di mana setiap proses harus digunakan dan, sebaliknya, situasi di mana proses tidak boleh digunakan dan menunjuk ke proses alternatif yang mungkin berlaku.
+ Proses Anda didokumentasikan dengan baik dengan instruksi yang mendetail dan playbook yang dapat diikuti dengan cepat dan efisien. Ingatlah bahwa peristiwa darurat dapat menjadi saat yang memusingkan bagi pengguna Anda dan mereka sedang di bawah tekanan waktu yang ekstrem, jadi rancanglah proses Anda sesederhana mungkin.
**Antipola umum:**
+ Anda tidak memiliki proses akses darurat yang terdokumentasi dengan baik dan teruji dengan baik. Pengguna Anda tidak siap menghadapi keadaan darurat dan mengikuti proses improvisasi ketika peristiwa darurat muncul.
+ Proses akses darurat Anda bergantung pada sistem yang sama (seperti penyedia identitas terpusat) dengan mekanisme akses normal Anda. Ini artinya, kegagalan sistem tersebut dapat memengaruhi mekanisme akses normal dan darurat Anda dan mengganggu kemampuan Anda untuk pulih dari kegagalan.
+ Proses akses darurat Anda digunakan dalam situasi non-darurat. Misalnya, pengguna Anda sering menyalahgunakan proses akses darurat karena mereka merasa lebih mudah melakukan perubahan secara langsung daripada mengirimkan perubahan melalui pipeline.
+ Proses akses darurat Anda tidak menghasilkan log yang memadai untuk mengaudit proses, atau log tersebut tidak dipantau untuk mendapatkan peringatan potensi penyalahgunaan proses.
**Manfaat menjalankan praktik terbaik ini:**
+ Dengan memiliki proses akses darurat yang terdokumentasi dengan baik dan teruji dengan baik, Anda dapat mengurangi waktu yang dibutuhkan pengguna untuk merespons dan menyelesaikan peristiwa darurat. Hal ini dapat menghasilkan lebih sedikit waktu henti dan ketersediaan yang lebih tinggi untuk layanan yang Anda berikan kepada pelanggan Anda.
+ Anda dapat melacak setiap permintaan akses darurat dan mendeteksi serta memberikan peringatan adanya upaya penyalahgunaan proses untuk peristiwa non-darurat.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan**: Sedang
## Panduan implementasi
Bagian ini memberikan panduan dalam membuat proses akses darurat untuk beberapa mode kegagalan yang berkaitan dengan beban kerja yang di-deploy di AWS, dimulai dengan panduan umum yang berlaku untuk semua mode kegagalan dan dilanjutkan dengan panduan khusus berdasarkan jenis mode kegagalan.
**Panduan umum untuk semua mode kegagalan**
Pertimbangkan hal berikut saat Anda merancang proses akses darurat untuk mode kegagalan:
+ Dokumentasikan kondisi awal dan asumsi tentang proses tersebut: kapan proses tersebut harus digunakan dan kapan proses tersebut tidak boleh digunakan. Penting untuk memiliki detail mode kegagalan dan mendokumentasikan asumsi, seperti keadaan sistem terkait lainnya. Misalnya, proses untuk Mode Kegagalan 2 mengasumsikan bahwa penyedia identitas tersedia, tetapi konfigurasi di AWS dimodifikasi atau telah kedaluwarsa.
+ Sejak awal, buat sumber daya yang dibutuhkan oleh proses akses darurat ([SEC10-BP05](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_pre_provision_access.html)). Misalnya, buat Akun AWS akses darurat di awal dengan IAM users dan peran IAM, dan peran IAM lintas akun di semua akun beban kerja. Hal ini memastikan bahwa semua sumber daya ini siap dan tersedia ketika peristiwa darurat terjadi. Dengan membuat sumber daya di awal, Anda tidak bergantung pada API AWS [bidang kendali](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/control-planes-and-data-planes.html) (yang digunakan untuk membuat dan memodifikasi sumber daya AWS) yang mungkin tidak tersedia dalam keadaan darurat. Selanjutnya, dengan membuat sumber daya IAM di awal, Anda tidak perlu memperhitungkan [potensi penundaan disebabkan konsistensi akhir.](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency)
+ Sertakan proses akses darurat sebagai bagian dari rencana manajemen insiden Anda ([SEC10-BP02](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_develop_management_plans.html)). Dokumentasikan bagaimana peristiwa darurat dilacak dan dikomunikasikan kepada orang lain di organisasi Anda seperti tim sejawat, pimpinan Anda, dan, jika ada, secara eksternal kepada pelanggan dan partner bisnis Anda.
+ Tentukan proses permintaan akses darurat di sistem alur kerja permintaan layanan yang ada jika Anda memilikinya. Biasanya, sistem alur kerja semacam ini memungkinkan Anda membuat formulir penerimaan informasi untuk mengumpulkan informasi tentang permintaan, melacak permintaan melalui setiap tahap alur kerja, dan menambahkan langkah persetujuan otomatis dan manual. Hubungkan setiap permintaan dengan peristiwa darurat terkait yang dilacak dalam sistem manajemen insiden Anda. Dengan memiliki sistem yang seragam untuk akses darurat, Anda dapat melacak permintaan tersebut dalam sistem tunggal, menganalisis tren penggunaan, dan meningkatkan kualitas proses Anda.
+ Pastikan proses akses darurat Anda hanya dapat dimulai oleh pengguna yang berwenang dan memerlukan persetujuan dari rekan sejawat atau manajemen pengguna yang sesuai. Proses persetujuan harus beroperasi secara efektif baik di dalam maupun di luar jam kerja. Tentukan bagaimana permintaan persetujuan mengizinkan pemberi persetujuan sekunder jika pemberi persetujuan utama tidak tersedia dan ditingkatkan ke rantai manajemen Anda hingga disetujui.
+ Pastikan bahwa proses tersebut menghasilkan log dan peristiwa audit yang mendetail, baik untuk upaya yang berhasil maupun yang gagal untuk mendapatkan akses darurat. Pantau proses permintaan serta mekanisme akses darurat untuk mendeteksi penyalahgunaan atau akses yang tidak sah. Korelasikan aktivitas dengan peristiwa darurat yang sedang berlangsung dari sistem manajemen insiden Anda dan munculkan peringatan ketika tindakan terjadi di luar periode waktu yang diharapkan. Misalnya, Anda harus memantau dan memperingatkan aktivitas dalam Akun AWS akses darurat, karena akun tersebut tidak boleh digunakan dalam operasi normal.
+ Uji proses akses darurat secara berkala untuk memverifikasi bahwa langkah-langkahnya jelas dan memberikan tingkat akses yang benar dengan cepat dan efisien. Proses akses darurat Anda harus diuji sebagai bagian dari simulasi respons insiden ([SEC10-BP07](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_run_game_days.html)) dan tes pemulihan bencana ([REL13-BP03](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_planning_for_recovery_dr_tested.html)).
**Mode Kegagalan 1: Penyedia identitas yang digunakan untuk federasi ke AWS tidak tersedia**
Seperti yang dijelaskan dalam [SEC02-BP04 Mengandalkan penyedia identitas terpusat](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html), kami sarankan Anda mengandalkan penyedia identitas terpusat untuk memfederasi pengguna tenaga kerja Anda untuk memberikan akses ke Akun AWS. Anda dapat melakukan federasi ke beberapa Akun AWS di organisasi AWS Anda menggunakan IAM Identity Center, atau Anda dapat melakukan federasi ke Akun AWS secara terpisah menggunakan IAM. Dalam kedua kasus tersebut, pengguna tenaga kerja melakukan autentikasi dengan penyedia identitas terpusat Anda sebelum diarahkan ke titik akhir masuk AWS ke masuk tunggal.
Apabila penyedia identitas terpusat Anda tidak tersedia, pengguna tenaga kerja Anda tidak dapat melakukan federasi ke Akun AWS atau mengelola beban kerja mereka. Dalam peristiwa darurat ini, Anda dapat menyediakan proses akses darurat untuk sekelompok kecil administrator untuk mengakses Akun AWS untuk melakukan tugas-tugas penting yang tidak dapat ditunda sampai penyedia identitas terpusat Anda kembali aktif. Misalnya, penyedia identitas Anda tidak tersedia selama 4 jam dan selama periode tersebut Anda perlu mengubah batas atas grup Amazon EC2 Auto Scaling di sebuah akun Produksi untuk menangani lonjakan lalu lintas pelanggan yang tidak terduga. Administrator darurat Anda harus mengikuti proses akses darurat untuk mendapatkan akses ke Akun AWS khusus produksi dan membuat perubahan yang diperlukan.
Proses akses darurat tersebut bergantung pada Akun AWS akses darurat yang telah dibuat sebelumnya yang digunakan semata-mata untuk akses darurat dan memiliki sumber daya AWS (seperti peran IAM danIAM users) untuk mendukung proses akses darurat. Selama operasi normal, tidak ada yang boleh mengakses akun akses darurat tersebut dan Anda harus memantau dan memperingatkan penyalahgunaan akun ini (untuk lebih jelasnya, lihat bagian panduan umum sebelumnya).
Akun akses darurat memiliki peran IAM akses darurat dengan izin untuk mengambil peran lintas akun di dalam Akun AWS yang memerlukan akses darurat. Peran IAM ini telah dibuat sebelumnya dan dikonfigurasi dengan kebijakan kepercayaan yang mempercayai peran IAM akun darurat.
Proses akses darurat dapat menggunakan salah satu pendekatan berikut:
+ Anda dapat membuat satu set [IAM users](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) di awal untuk administrator darurat Anda di dalam akun akses darurat dengan kata sandi yang kuat dan token MFA terkait. Set IAM users ini memiliki izin untuk mengambil peran IAM yang kemudian memungkinkan akses lintas akun ke Akun AWS tempat akses darurat diperlukan. Kami sarankan Anda membuat pengguna sesedikit mungkin dan menetapkan setiap pengguna ke satu administrator darurat. Selama keadaan darurat, pengguna administrator darurat masuk ke akun akses darurat menggunakan kata sandi dan kode token MFA mereka, beralih ke peran IAM akses darurat di dalam akun darurat, dan akhirnya beralih ke peran IAM akses darurat di akun beban kerja untuk melakukan tindakan perubahan darurat. Kelebihan pendekatan ini adalah setiap IAM user ditugaskan ke satu administrator darurat dan Anda dapat mengetahui pengguna mana yang masuk dengan meninjau peristiwa CloudTrail. Kelemahannya adalah Anda harus mempertahankan beberapa IAM users dengan kata sandi berumur panjang dan token MFA yang terkait.
+ Anda dapat menggunakan [pengguna root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) akses darurat untuk masuk ke akun akses darurat, mengambil peran IAM untuk akses darurat, dan mengambil peran lintas akun di akun beban kerja. Kami merekomendasikan pengaturan kata sandi yang kuat dan beberapa token MFA untuk pengguna root. Kami juga menyarankan Anda menyimpan kata sandi dan token MFA di brankas kredensial korporasi aman yang memberlakukan autentikasi dan otorisasi yang kuat. Anda harus mengamankan kata sandi dan faktor pengaturan ulang token MFA: atur alamat email akun ke daftar distribusi email yang dipantau oleh administrator keamanan cloud Anda, dan nomor telepon akun ke nomor telepon bersama yang juga dipantau oleh administrator keamanan. Keunggulan pendekatan ini adalah ada satu set kredensial pengguna root untuk dikelola. Kelemahannya adalah karena ini merupakan pengguna bersama, beberapa administrator memiliki kemampuan untuk masuk sebagai pengguna root. Anda harus mengaudit peristiwa log brankas korporasi Anda untuk mengidentifikasi administrator mana yang menggunakan kata sandi pengguna root.
**Mode Kegagalan 2: Konfigurasi penyedia identitas di AWS dimodifikasi atau telah kedaluwarsa**
Agar pengguna tenaga kerja Anda dapat melakukan federasi ke Akun AWS, Anda dapat mengonfigurasi IAM Identity Center dengan penyedia identitas eksternal atau membuat Penyedia Identitas IAM ([SEC02-BP04](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)). Biasanya, Anda mengonfigurasinya dengan mengimpor dokumen XML metadata SAML yang disediakan oleh penyedia identitas Anda. Dokumen metadata XML tersebut mencakup sertifikat X.509 yang sesuai dengan kunci privat yang digunakan oleh penyedia identitas untuk menandatangani pernyataan SAML-nya.
Konfigurasi di sisi AWS ini dapat diubah atau dihapus secara tidak sengaja oleh administrator. Dalam skenario lain, sertifikat X.509 yang diimpor ke dalam AWS dapat kedaluwarsa dan XML metadata baru dengan sertifikat baru belum diimpor ke AWS. Kedua skenario ini dapat mengganggu federasi ke AWS untuk pengguna tenaga kerja Anda, yang mengakibatkan keadaan darurat.
Dalam keadaan darurat seperti ini, Anda dapat memberikan akses ke AWS kepada administrator identitas Anda untuk memperbaiki masalah federasi tersebut. Misalnya, administrator identitas Anda menggunakan proses akses darurat untuk masuk ke Akun AWS akses darurat, beralih ke peran di akun administrator Pusat Identitas, dan memperbarui konfigurasi penyedia identitas eksternal dengan mengimpor dokumen XML metadata SAML terbaru dari penyedia identitas Anda untuk mengaktifkan kembali federasi. Setelah federasi diperbaiki, pengguna tenaga kerja Anda melanjutkan penggunaan proses operasi normal untuk melakukan federasi ke akun beban kerja mereka.
Anda dapat mengikuti pendekatan yang dijelaskan dalam Mode Kegagalan 1 sebelumnya untuk membuat proses akses darurat. Anda dapat memberikan hak akses paling sedikit kepada administrator identitas Anda untuk mengakses hanya akun administrator Pusat Identitas dan melakukan tindakan pada Pusat Identitas di akun tersebut.
**Mode Kegagalan 3: Gangguan Pusat Identitas**
Apabila terjadi gangguan IAM Identity Center atau Wilayah AWS, kami sarankan Anda menyiapkan konfigurasi yang dapat Anda gunakan untuk menyediakan akses sementara ke Konsol Manajemen AWS.
Proses akses darurat tersebut menggunakan federasi langsung dari penyedia identitas Anda ke IAM dalam akun darurat. Untuk detail tentang proses dan pertimbangan desain, lihat [Menyiapkan akses darurat ke Konsol Manajemen AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/emergency-access.html).
### Langkah implementasi
**Langkah-langkah umum untuk semua mode kegagalan**
+ Buat Akun AWS yang ditujukan khusus untuk proses akses darurat. Di awal, buat sumber daya IAM yang dibutuhkan di dalam akun seperti peran IAM atau IAM users, dan Penyedia Identitas IAM opsional. Selain itu, buat di awal peran IAM lintas akun di dalam Akun AWS beban kerja dengan hubungan kepercayaan dengan IAM peran yang sesuai di akun akses darurat. Anda dapat menggunakan [CloudFormation StackSets dengan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) untuk membuat sumber daya tersebut di akun anggota di dalam organisasi Anda.
+ Buat AWS Organizations [kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) untuk menyangkal penghapusan dan modifikasi peran IAM lintas akun di Akun AWS anggota.
+ Aktifkan CloudTrail untuk Akun AWS akses darurat dan kirimkan peristiwa jejak ke bucket S3 pusat di Akun AWS pengumpulan log Anda. Jika Anda menggunakan AWS Control Tower untuk menyiapkan dan mengatur lingkungan multiakun AWS Anda, maka setiap akun yang Anda buat menggunakan AWS Control Tower atau daftarkan di AWS Control Tower memiliki CloudTrail yang diaktifkan secara default dan dikirim ke bucket S3 dalam Akun AWS arsip log khusus.
+ Pantau aktivitas di akun akses darurat dengan membuat aturan EventBridge yang cocok saat login konsol dan aktivitas API berdasarkan peran IAM darurat. Kirimkan notifikasi ke pusat operasi keamanan Anda ketika aktivitas terjadi di luar peristiwa darurat yang sedang berlangsung yang dilacak dalam sistem manajemen insiden Anda.
**Langkah-langkah tambahan untuk Mode Kegagalan 1: Penyedia identitas yang digunakan untuk melakukan federasi ke AWS tidak tersedia dan Mode Kegagalan 2: Konfigurasi penyedia identitas di AWS dimodifikasi atau telah kedaluwarsa**
+ Buat sumber daya di awal tergantung mekanisme yang Anda pilih untuk akses darurat:
+ **Menggunakan IAM users** buat IAM users di awal dengan kata sandi yang kuat serta perangkat MFA terkait.
+ **Menggunakan pengguna root akun darurat:** konfigurasikan pengguna root dengan kata sandi yang kuat dan simpan kata sandi di dalam brankas kredensial korporasi Anda. Kaitkan beberapa perangkat MFA fisik dengan pengguna root dan simpan perangkat di lokasi yang dapat diakses dengan cepat oleh anggota tim administrator darurat Anda.
**Langkah-langkah tambahan untuk Mode Kegagalan 3: Gangguan pusat identitas**
+ Seperti yang dijelaskan dalam [Menyiapkan akses darurat ke Konsol Manajemen AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/emergency-access.html), di Akun AWS akses darurat, buat sebuah Penyedia Identitas IAM untuk mengaktifkan federasi SAFL langsung dari penyedia identitas Anda.
+ Buat grup operasi darurat di IdP Anda tanpa anggota.
+ Buat peran IAM yang sesuai dengan grup operasi darurat di akun akses darurat.
## Sumber daya
**Praktik terbaik Well-Architected terkait:**
+ [SEC02-BP04 Mengandalkan penyedia identitas terpusat](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_identities_identity_provider.html)
+ [SEC03-BP02 Memberikan hak akses paling rendah](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html)
+ [SEC10-BP02 Membuat rencana manajemen insiden](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_develop_management_plans.html)
+ [SEC10-BP07 Menjalankan game day](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_run_game_days.html)
**Dokumen terkait:**
+ [Menyiapkan akses darurat ke Konsol Manajemen AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/emergency-access.html)
+ [Mengaktifkan pengguna federasi SAFL 2.0 untuk mengakses Konsol Manajemen AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)
+ [Akses “pecah kaca”](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html)
**Video terkait:**
+ [AWS re:invent 2022 - Menyederhanakan akses tenaga kerja Anda dengan IAM Identity Center](https://youtu.be/TvQN4OdR_0Y)
+ [AWS re:Inforce 2022 - Pembahasan mendalam AWS Identity and Access Management (IAM)](https://youtu.be/YMj33ToS8cI)
**Contoh terkait:**
+ [Peran “Pecah Kaca” AWS](https://github.com/awslabs/aws-break-glass-role)
+ [Kerangka kerja playbook pelanggan AWS](https://github.com/aws-samples/aws-customer-playbook-framework)
+ [Contoh playbook respons insiden AWS](https://github.com/aws-samples/aws-incident-response-playbooks)
# SEC03-BP04 Mengurangi izin secara terus-menerus
Jika tim Anda telah menentukan akses yang diperlukan, hapus izin yang tidak diperlukan dan tetapkan proses peninjauan untuk mendapatkan izin hak akses paling rendah. Pantau secara terus-menerus dan hapus identitas serta izin yang tidak diperlukan, baik untuk akses manusia maupun mesin.
**Hasil yang diinginkan:** Kebijakan izin harus mematuhi hak akses paling rendah. Setelah penetapan tugas dan peran pekerjaan sudah lebih baik, kebijakan izin Anda perlu ditinjau untuk menghapus izin yang tidak perlu. Pendekatan ini mempersempit cakupan dampak akibat kebocoran kredensial secara tidak sengaja, atau diakses tanpa otorisasi.
**Antipola umum:**
+ Memberikan izin administrator kepada para pengguna secara default.
+ Membuat kebijakan yang terlalu permisif, tetapi tanpa hak istimewa administrator penuh.
+ Menyimpan kebijakan izin meski sudah tidak diperlukan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
Setelah tim dan proyek mulai, kebijakan izin permisif mungkin digunakan untuk menumbuhkan inovasi dan ketangkasan. Misalnya, di dalam lingkungan pengembangan atau pengujian, developer dapat diberi akses ke seperangkat layanan AWS. Sebaiknya evaluasi akses secara terus-menerus dan batasi akses hanya untuk layanan dan tindakan layanan yang diperlukan untuk menyelesaikan tugas saat ini. Sebaiknya evaluasi ini dilakukan untuk identitas manusia maupun mesin. Identitas mesin, sering disebut sebagai akun layanan atau sistem, adalah identitas yang memberikan AWS akses ke aplikasi atau server. Akses ini penting terutama dalam lingkungan produksi, yang apabila izinnya terlalu permisif, dampaknya bisa luas dan berpotensi mengekspos data konsumen.
AWS menyediakan berbagai metode untuk membantu mengidentifikasi pengguna, peran, izin, dan kredensial yang tidak diperlukan. AWS juga dapat membantu menganalisis aktivitas akses oleh pengguna dan peran IAM, termasuk kunci akses terkait, dan akses ke sumber daya AWS, misalnya objek di bucket Amazon S3. Pembuatan kebijakan AWS Identity and Access Management Access Analyzer dapat membantu Anda menciptakan kebijakan pembatasan izin berdasarkan layanan dan tindakan aktual yang berinteraksi dengan pengguna utama. [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dapat membantu menyederhanakan manajemen izin. Dengan kontrol ini, Anda dapat memberikan izin kepada pengguna menggunakan atribut mereka tanpa perlu melampirkan kebijakan izin secara langsung ke setiap pengguna.
**Langkah implementasi**
+ **Gunakan [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html): ** IAM Access Analyzer membantu mengidentifikasi sumber daya di organisasi dan akun Anda, seperti bucket Amazon Simple Storage Service (Amazon S3) atau peran IAM yang [dibagikan kepada entitas eksternal](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html).
+ **Gunakan [pembuatan kebijakan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html):** Pembuatan kebijakan IAM Access Analyzer membantu Anda [membuat kebijakan izin terperinci berdasarkan aktivitas pengguna atau peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html#access-analyzer-policy-generation-howitworks).
+ **Tentukan rentang waktu yang diterima serta kebijakan penggunaan untuk pengguna dan peran IAM:** Gunakan [stempel waktu yang terakhir diakses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) untuk [mengidentifikasi pengguna dan peran yang tidak perlu](https://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/) lalu hapus. Tinjau informasi layanan dan tindakan yang terakhir diakses untuk mengidentifikasi dan [ menentukan cakupan izin bagi pengguna dan peran tertentu](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Misalnya, Anda dapat menggunakan informasi yang terakhir diakses untuk mengidentifikasi tindakan Amazon S3 tertentu yang diperlukan oleh peran aplikasi dan membatasi akses hanya untuk tindakan tersebut. Fitur informasi yang terakhir diakses tersedia di Konsol Manajemen AWS dan secara terprogram memungkinkan Anda menggabungkannya ke dalam alur kerja infrastruktur dan alat otomatis Anda.
+ **Pertimbangkan [pencatatan log peristiwa data di AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html):** Secara default, CloudTrail tidak mencatat log peristiwa data seperti aktivitas tingkat objek Amazon S3 (misalnya, `GetObject` dan `DeleteObject`) atau aktivitas tabel Amazon DynamoDB (misalnya, `PutItem` dan `DeleteItem`). Pertimbangkan untuk mengaktifkan pencatatan log pada peristiwa ini untuk menentukan pengguna dan peran apa yang perlu mengakses objek Amazon S3 dan item tabel DynamoDB tertentu.
## Sumber daya
**Dokumen terkait:**
+ [Memberikan hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Menghapus kredensial yang tidak diperlukan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [ Apa itu AWS CloudTrail? ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)
+ [Mengelola Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [ Pencatatan log dan pemantauan DynamoDB ](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/MonitoringDynamoDB.html)
+ [ Mengaktifkan pencatatan log peristiwa CloudTrail untuk bucket dan objek Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)
+ [ Mendapatkan laporan kredensial untuk Akun AWS Anda ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
**Video terkait:**
+ [Menjadi Master Kebijakan IAM dalam 60 Menit atau Kurang](https://youtu.be/YQsK4MtsELU)
+ [Pemisahan Tugas, Hak Akses Paling Rendah, Delegasi, dan CI/CD](https://youtu.be/3H0i7VyTu70)
+ [AWS re:Inforce 2022 - Lebih dalam tentang AWS Identity and Access Management (IAM) ](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP05 Menentukan pagar pembatas izin untuk organisasi Anda
Tetapkan kontrol umum yang membatasi akses ke semua identitas di organisasi Anda. Misalnya, Anda dapat membatasi akses untuk Wilayah AWS tertentu, atau mencegah operator Anda menghapus dari sumber daya umum, seperti IAM role yang digunakan untuk tim keamanan pusat Anda.
**Antipola umum:**
+ Menjalankan beban kerja di akun administrator Organisasi Anda.
+ Menjalankan beban kerja produksi dan non-produksi di akun yang sama.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
Seiring Anda menumbuhkan dan mengelola beban kerja tambahan di AWS, Anda harus memisahkan semua beban kerja ini menggunakan akun dan mengelola akun-akun tersebut menggunakan AWS Organizations. Kami menyarankan Anda membuat pagar pembatas izin umum yang membatasi akses ke semua identitas di organisasi Anda. Misalnya, Anda dapat membatasi akses ke Wilayah AWS tertentu, atau mencegah tim Anda menghapus sumber daya umum, seperti IAM role yang digunakan oleh tim keamanan pusat Anda.
Anda dapat memulainya dengan mengimplementasikan contoh kebijakan kontrol layanan, seperti mencegah pengguna menonaktifkan layanan utama. SCP menggunakan bahasa kebijakan IAM dan memungkinkan Anda untuk menerapkan kontrol yang dipatuhi semua principal (pengguna dan peran). Anda dapat membatasi akses ke tindakan atau sumber daya layanan tertentu, dan berdasarkan kondisi tertentu untuk memenuhi kebutuhan kontrol akses organisasi Anda. Jika perlu, Anda dapat menetapkan pengecualian pada pagar pembatas Anda. Misalnya, Anda dapat membatasi tindakan layanan untuk semua entitas IAM di dalam akun kecuali untuk peran administrator tertentu.
Kami menyarankan Anda untuk tidak menjalankan beban kerja di akun manajemen Anda. Akun manajemen sebaiknya digunakan untuk menata kelola dan men-deploy pagar pembatas keamanan yang akan memengaruhi akun-akun anggota. Beberapa layanan AWS mendukung penggunaan akun administrator yang didelegasikan. Saat tersedia, Anda harus menggunakan akun delegasi ini sebagai pengganti akun manajemen. Anda harus membatasi secara ketat akses ke akun administrator Organisasi.
Menggunakan strategi multi-akun memungkinkan Anda untuk memiliki fleksibilitas yang lebih besar dalam menerapkan pagar pembatas ke beban kerja Anda. Arsitektur Rujukan Keamanan AWS memberikan panduan preskriptif tentang cara merancang struktur akun Anda. Layanan AWS seperti AWS Control Tower menyediakan kemampuan untuk mengelola kontrol preventif serta detektif secara terpusat di seluruh organisasi Anda. Tetapkan tujuan yang jelas untuk tiap akun atau OU di dalam organisasi dan batasi kontrol yang sejalan dengan tujuan tersebut.
## Sumber daya
**Dokumen terkait:**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [Kebijakan kontrol layanan (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Dapatkan hasil maksimal dari kebijakan kontrol layanan di lingkungan multi-akun](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [Arsitektur Referensi Keamanan AWS (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**Video terkait:**
+ [Tegakkan Pagar Pembatas Preventif menggunakan Kebijakan Kontrol Layanan](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [Membangun tata kelola pada skala besar dengan AWS Control Tower](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [Mendalami AWS Identity and Access Management](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 Mengelola akses berdasarkan siklus hidup
Integrasikan kontrol akses dengan siklus hidup operator dan aplikasi serta penyedia federasi terpusat. Misalnya, hapus akses pengguna saat mereka keluar dari organisasi atau berganti peran.
Saat Anda mengelola beban kerja menggunakan akun terpisah, akan ada kasus saat Anda perlu membagikan sumber daya kepada akun-akun tersebut. Sebaiknya bagikan sumber menggunakan [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Layanan ini memungkinkan Anda untuk membagikan sumber daya AWS di dalam Unit Organisasi dan AWS Organizations Anda. Menggunakan AWS RAM, akses ke sumber daya bersama secara otomatis diberikan atau dicabut ketika akun dimasukkan atau dikeluarkan dari Organisasi atau Unit Organisasi mereka. Hal ini memastikan bahwa sumber daya hanya dibagikan dengan akun yang Anda maksudkan saja.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah
## Panduan implementasi
Siklus hidup akses pengguna mengimplementasikan kebijakan siklus hidup akses pengguna untuk pengguna yang baru bergabung, perubahan fungsi tugas, serta pengguna yang keluar, sehingga hanya pengguna saat ini yang memiliki akses.
## Sumber daya
**Dokumen terkait:**
+ [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Berikan hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Hapus kredensial yang tidak diperlukan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Bekerja dengan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Video terkait:**
+ [Become an IAM Policy Master in 60 Minutes or Less](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 Menganalisis akses lintas akun dan publik
Pantau secara terus-menerus temuan yang menyoroti akses lintas akun dan publik. Kurangi akses publik dan akses lintas akun hanya ke sumber daya yang memerlukan akses ini.
**Hasil yang diinginkan:** Mengetahui mana sumber daya AWS yang dapat dibagikan dan kepada siapa. Pantau secara terus-menerus dan audit sumber daya bersama untuk memastikan sumber daya tersebut hanya dibagikan kepada pengguna utama yang sah.
**Antipola umum:**
+ Tidak menyimpan inventaris sumber daya bersama.
+ Tidak mengikuti proses persetujuan akses lintas akun atau publik ke sumber daya.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Rendah
## Panduan implementasi
Jika akun Anda berada di AWS Organizations, Anda dapat memberikan akses sumber daya ke seluruh organisasi, unit organisasi tertentu, atau akun individu. Jika akun Anda bukan anggota suatu organisasi, Anda dapat berbagi sumber daya dengan akun individu. Anda dapat memberikan akses lintas akun langsung menggunakan kebijakan berbasis sumber daya — contohnya, [kebijakan bucket Amazon Simple Storage Service (Amazon S3) ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) — atau dengan mengizinkan pengguna utama di akun lain menggunakan suatu peran IAM di akun Anda. Saat menggunakan kebijakan sumber daya, pastikan bahwa akses tersebut hanya diberikan kepada pengguna utama yang sah. Tentukan proses untuk menyetujui semua sumber daya yang diperlukan untuk tersedia secara publik.
[AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) menggunakan [keamanan yang dapat dibuktikan](https://aws.amazon.com/security/provable-security/) untuk mengidentifikasi semua jalur akses ke sumber daya dari luar akunnya. Keamanan tersebut meninjau kebijakan sumber daya secara terus-menerus, dan melaporkan temuan akses lintas akun dan publik untuk memudahkan Anda menganalisis potensi akses yang meluas. Pertimbangkan untuk mengonfigurasi IAM Access Analyzer dengan AWS Organizations untuk memastikan Anda memiliki visibilitas ke semua akun Anda. IAM Access Analyzer juga mendukung Anda untuk [melakukan pratinjau temuan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html) sebelum melakukan deployment izin sumber daya. Hal ini memungkinkan Anda untuk memvalidasi bahwa perubahan kebijakan hanya memberikan akses lintas akun dan publik tertentu ke sumber daya Anda. Saat merancang akses multiakun, Anda dapat menggunakan [kebijakan kepercayaan](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/) untuk mengontrol dalam kasus seperti apa suatu peran bisa didapatkan. Misalnya, Anda dapat menggunakan kunci kondisi [`PrincipalOrgId` untuk menolak upaya untuk mendapatkan peran dari luar AWS Organizations Anda](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/).
[AWS Config dapat melaporkan sumber daya](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) yang konfigurasinya salah, dan melalui pemeriksaan kebijakan AWS Config, dapat mendeteksi sumber daya dengan konfigurasi akses publik. Layanan seperti [AWS Control Tower](https://aws.amazon.com/controltower/) dan [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) menyederhanakan deployment kontrol deteksi dan pagar pembatas di seluruh AWS Organizations untuk mengidentifikasi dan memulihkan sumber daya yang terekspos ke publik. Misalnya, AWS Control Tower memiliki pagar pembatas terkelola yang dapat mendeteksi adanya [snapshot Amazon EBS yang dapat dipulihkan di Akun AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).
**Langkah implementasi**
+ **Pertimbangkan untuk mengaktifkan [AWS Config untuk AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html):** AWS Config memungkinkan Anda mengumpulkan temuan dari banyak akun di dalam satu AWS Organizations ke akun administrator yang ditunjuk. Layanan ini memberikan tampilan komprehensif dan membantu Anda [melakukan deployment Aturan AWS Config di seluruh akun untuk mendeteksi sumber daya yang dapat diakses publik](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html).
+ **Konfigurasikan AWS Identity and Access Management Access Analyzer:** IAM Access Analyzer membantu Anda mengidentifikasi sumber daya di organisasi dan akun Anda, seperti bucket Amazon S3 atau peran IAM yang [dibagikan kepada entitas eksternal](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html).
+ **Gunakan perbaikan otomatis di AWS Config untuk merespons perubahan dalam konfigurasi akses publik di bucket Amazon S3:** [Anda dapat secara otomatis mengaktifkan kembali pengaturan blokir akses publik untuk bucket Amazon S3](https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowing-public-access/).
+ **Implementasikan pemantauan dan peringatan untuk mengidentifikasi apakah Amazon S3 dapat diakses publik:** Anda harus menerapkan [pemantauan dan peringatan](https://aws.amazon.com/blogs/aws/amazon-s3-update-cloudtrail-integration/) untuk mengidentifikasi saat Amazon S3 Blokir Akses Publik dinonaktifkan, dan saat bucket Amazon S3 dapat diakses publik. Selain itu, jika Anda menggunakan AWS Organizations, Anda dapat membuat [kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) yang mencegah perubahan pada kebijakan akses publik Amazon S3. AWS Trusted Advisor memeriksa apakah ada bucket Amazon S3 yang memiliki izin akses terbuka. Izin bucket yang memberikan, mengunggah, atau menghapus akses ke semua orang akan menciptakan potensi masalah keamanan dengan mengizinkan siapa pun untuk menambahkan, mengubah, atau menghapus item dalam bucket. Pemeriksaan Trusted Advisor memeriksa izin bucket eksplisit dan kebijakan bucket terkait yang mungkin mengganti izin bucket. Anda juga dapat menggunakan AWS Config untuk memantau bucket Amazon S3 Anda untuk akses publik. Untuk informasi selengkapnya, kunjungi [Cara Menggunakan AWS Config untuk Memantau dan Merespons Bucket Amazon S3 yang Mengizinkan Akses Publik](https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowing-public-access/). Saat meninjau akses, penting untuk mengetahui jenis data yang ada di bucket Amazon S3. [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/findings-types.html) membantu menemukan dan melindungi data sensitif seperti PII, PHI, dan kredensial seperti kunci AWS atau privat.
## Sumber daya
**Dokumen terkait:**
+ [Menggunakan AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [Pustaka kontrol AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/controls-reference.html)
+ [Standar Praktik Terbaik Keamanan Dasar AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [Aturan Terkelola AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [Referensi pemeriksaan AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
+ [ Memantau hasil pemeriksaan AWS Trusted Advisor dengan Amazon EventBridge ](https://docs.aws.amazon.com/awssupport/latest/user/cloudwatch-events-ta.html)
+ [ Mengelola Aturan AWS Config Seluruh Akun di Organisasi Anda ](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html)
+ [AWS Config dan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html)
**Video terkait:**
+ [Praktik Terbaik untuk mengamankan lingkungan multiakun Anda](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Memahami IAM Access Analyzer Lebih Dalam](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 Membagikan sumber daya secara aman dalam organisasi Anda
Seiring meningkatnya jumlah beban kerja, Anda mungkin perlu membagikan akses ke sumber daya dalam beban kerja tersebut atau berulang kali menyediakan sumber daya tersebut di seluruh akun. Anda mungkin memiliki konsep untuk membagi lingkungan Anda dalam beberapa kelompok, seperti lingkungan pengembangan, pengujian, dan produksi. Konsep pemisahan ini tidak akan membatasi Anda untuk berbagi secara aman. Dengan membagikan komponen yang tumpang tindih, Anda dapat mengurangi overhead operasional dan memungkinkan pengalaman yang konsisten tanpa ada yang terlewatkan sambil membuat sumber daya yang sama berulang kali.
**Hasil yang diinginkan:** Meminimalkan akses yang tidak diinginkan menggunakan metode yang aman untuk berbagi sumber daya dalam organisasi, dan membantu inisiatif pencegahan kehilangan data. Mengurangi overhead operasional daripada mengelola komponen satu per satu, yang akan mengurangi kesalahan dari pembuatan komponen yang sama secara manual berulang kali, serta meningkatkan skalabilitas beban kerja. Anda dapat memperoleh manfaat dari pengurangan waktu hingga resolusi di skenario kegagalan multi-titik, dan meningkatkan keyakinan Anda dalam menentukan kapan komponen tidak diperlukan lagi. Untuk panduan preskriptif dalam menganalisis sumber daya yang dibagikan secara eksternal, lihat [SEC03-BP07 Menganalisis akses lintas akun dan publik](sec_permissions_analyze_cross_account.md).
**Antipola umum:**
+ Tidak ada proses untuk terus memantau dan memberikan peringatan otomatis terkait pembagian secara eksternal yang tidak terduga.
+ Tidak ada acuan terkait apa yang boleh dan tidak boleh dibagikan.
+ Kebijakan terbuka luas secara default, bukannya berbagi secara eksplisit ketika diperlukan.
+ Membuat sumber daya dasar secara manual, yang tumpang tindih saat diperlukan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
Rancang pola dan kontrol akses Anda untuk mengelola penggunaan sumber daya yang dibagikan secara aman dan hanya dengan entitas tepercaya. Pantau sumber daya yang dibagikan dan tinjau akses sumber daya yang dibagikan secara terus-menerus serta tetap waspada terhadap pembagian yang tidak terduga atau tidak tepat. Lihat [Menganalisis akses lintas akun dan akses publik](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html) untuk membantu Anda menetapkan tata kelola guna mengurangi akses eksternal hanya ke sumber daya yang memerlukannya, dan menetapkan proses untuk terus memantau dan memberikan peringatan secara otomatis.
Berbagi lintas akun dalam AWS Organizations didukung oleh [sejumlah layanan AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html), seperti [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html), dan [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html). Layanan tersebut memungkinkan data untuk dibagikan ke akun pusat, dapat diakses dari akun pusat, atau mengelola sumber daya dan data dari akun pusat. Misalnya, AWS Security Hub CSPM dapat mentransfer temuan dari akun individu ke akun pusat sehingga Anda dapat melihat semua temuan. AWS Backup dapat melakukan pencadangan untuk sumber daya dan membagikannya ke seluruh akun. Anda dapat menggunakan [AWS Resource Access Manager](https://aws.amazon.com/ram/) (AWS RAM) untuk membagikan sumber daya umum, seperti [subnet VPC dan lampiran Transit Gateway](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall), atau [ jalur Amazon SageMaker AI](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker).
Untuk membatasi akun Anda agar hanya berbagi sumber daya dalam organisasi, gunakan [kebijakan kontrol layanan (SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) untuk mencegah akses ke pengguna utama eksternal. Saat membagikan sumber daya, kombinasikan kontrol berbasis identitas dan kontrol jaringan untuk [membuat perimeter data bagi organisasi Anda](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) guna membantu melindungi dari akses yang tidak diinginkan. Perimeter data adalah kumpulan pagar pembatas preventif untuk membantu memverifikasi bahwa hanya identitas yang Anda percaya yang mengakses sumber daya tepercaya dari jaringan yang dikenal. Kontrol ini menetapkan batas yang sesuai terkait sumber daya apa yang dapat dibagikan, serta mencegah dibagikan atau bocornya sumber daya yang tidak semestinya dibagikan. Misalnya, sebagai bagian dari perimeter data, Anda dapat menggunakan kebijakan titik akhir VPC dan persyaratan `:PrincipalOrgId AWS` untuk memastikan bahwa identitas yang mengakses bucket Amazon S3 adalah milik organisasi Anda. Penting diketahui bahwa [SCP tidak berlaku untuk peran terkait layanan (LSR) atau pengguna utama layanan AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions).
Saat menggunakan Amazon S3, [nonaktifkan ACL untuk bucket Amazon S3 Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) dan gunakan kebijakan IAM untuk menentukan kontrol akses. Untuk [membatasi akses ke Amazon S3 asal](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) dari [Amazon CloudFront](https://aws.amazon.com/cloudfront/), migrasikan identitas akses asal (OAI) ke kontrol akses awal (OAC) yang mendukung fitur tambahan, termasuk enkripsi di sisi server dengan [AWS Key Management Service](https://aws.amazon.com/kms/).
Dalam beberapa kasus, Anda mungkin ingin mengizinkan pembagian sumber daya ke luar organisasi Anda atau memberikan pihak ketiga akses ke sumber daya Anda. Untuk panduan preskriptif tentang manajemen izin untuk membagikan sumber daya secara eksternal, lihat [Manajemen izin](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html).
**Langkah implementasi**
1. **Gunakan AWS Organizations.**
AWS Organizations adalah layanan manajemen akun yang memungkinkan Anda untuk menggabungkan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat. Anda dapat mengelompokkan akun ke dalam unit organisasi (OU) dan melampirkan kebijakan yang berbeda ke setiap OU untuk membantu memenuhi kebutuhan anggaran, keamanan, dan kepatuhan. Anda juga dapat mengontrol cara layanan kecerdasan buatan (AI) dan machine learning (ML) AWS mengumpulkan dan menyimpan data, serta menggunakan manajemen multiakun layanan AWS yang terintegrasi dengan Organizations.
1. **Integrasikan AWS Organizations dengan layanan AWS.**
Saat Anda mengaktifkan layanan AWS untuk melakukan tugas atas nama Anda di akun anggota organisasi, AWS Organizations membuat peran terkait layanan IAM untuk layanan tersebut di setiap akun anggota. Anda harus mengelola akses tepercaya menggunakan Konsol Manajemen AWS, API AWS, atau AWS CLI. Untuk panduan preskriptif tentang mengaktifkan akses tepercaya, lihat [Menggunakan AWS Organizations dengan layanan AWS lainnya](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) dan [Layanan AWS yang dapat digunakan dengan Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
1. **Buat perimeter data.**
Perimeter AWS biasanya direpresentasikan sebagai organisasi yang dikelola oleh AWS Organizations. Selain sistem dan jaringan on-premise, mengakses sumber daya AWS adalah hal yang banyak orang kategorikan sebagai salah satu perimeter AWS Saya. Perimeter bertujuan untuk memverifikasi bahwa akses diizinkan jika identitas dipercaya, sumber daya dipercaya, dan jaringan dikenal.
1. Menentukan dan mengimplementasikan perimeter.
Ikuti langkah yang dijelaskan dalam [Implementasi perimeter](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/perimeter-implementation.html) dalam Membangun Perimeter di laporan resmi AWS untuk setiap persyaratan otorisasi. Untuk panduan preskriptif tentang melindungi lapisan jaringan, lihat [Melindungi jaringan](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-networks.html).
1. Tetap pantau dan waspada.
[AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) membantu mengidentifikasi sumber daya di organisasi Anda dan akun yang dibagikan kepada entitas eksternal. Anda dapat mengintegrasikan [IAM Access Analyzer dengan AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html) guna mengirimkan dan menggabungkan temuan untuk sumber daya dari IAM Access Analyzer ke Security Hub CSPM untuk membantu menganalisis postur keamanan lingkungan Anda. Untuk mengaktifkan integrasi, aktifkan IAM Access Analyzer dan Security Hub CSPM di setiap Wilayah di setiap akun. Anda juga dapat menggunakan Aturan AWS Config untuk mengaudit konfigurasi dan memberikan peringatan kepada pihak yang sesuai menggunakan [Amazon Q Developer in chat applications dengan AWS Security Hub CSPM](https://aws.amazon.com/blogs/security/enabling-aws-security-hub-integration-with-aws-chatbot/). Anda kemudian dapat menggunakan [dokumen AWS Systems Manager Automation](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) untuk memperbaiki sumber daya yang melanggar kepatuhan.
1. Untuk panduan preskriptif tentang pemantauan dan peringatan secara berkelanjutan terkait sumber daya yang dibagikan secara eksternal, lihat [Menganalisis akses lintas akun dan publik](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html).
1. **Gunakan fitur berbagi sumber daya di layanan AWS dan batasi sesuai kebutuhan.**
Banyak layanan AWS dapat Anda gunakan untuk membagikan sumber daya kepada akun lainnya, atau menargetkan sumber daya di akun lainnya, seperti [Amazon Machine Images (AMI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) dan [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html). Batasi API `ModifyImageAttribute` guna menentukan akun tepercaya untuk berbagi AMI. Tentukan persyaratan `ram:RequestedAllowsExternalPrincipals` saat menggunakan AWS RAM untuk membatasi berbagi hanya ke organisasi Anda, untuk membantu mencegah akses dari identitas yang tidak tepercaya. Untuk panduan preskriptif dan pertimbangan, lihat [Berbagi sumber daya dan target eksternal](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/perimeter-implementation.html).
1. **Gunakan AWS RAM untuk berbagi dengan aman dalam akun atau dengan Akun AWS lainnya.**
[AWS RAM](https://aws.amazon.com/ram/) membantu Anda secara aman membagikan sumber daya yang Anda buat kepada peran dan pengguna di akun Anda serta kepada Akun AWS lainnya. Dalam lingkungan multiakun, AWS RAM memungkinkan Anda untuk membuat sumber daya satu kali dan membagikannya kepada akun lain. Pendekatan ini membantu mengurangi overhead operasional sekaligus memberikan konsistensi, visibilitas, dan auditabilitas melalui integrasi dengan Amazon CloudWatch dan AWS CloudTrail, yang tidak Anda dapatkan saat menggunakan akses lintas akun.
Jika ada sumber daya yang sebelumnya dibagikan menggunakan kebijakan berbasis sumber daya, Anda dapat menggunakan [API `PromoteResourceShareCreatedFromPolicy`](https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html) atau yang setara untuk mendukung berbagi sumber daya ke berbagi sumber daya AWS RAM penuh.
Dalam beberapa kasus, Anda mungkin memerlukan beberapa langkah tambahan untuk berbagi sumber daya. Misalnya, untuk membagikan snapshot terenkripsi, Anda perlu [membagikan kunci AWS KMS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-kms-key).
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC03-BP07 Menganalisis akses lintas akun dan publik](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP09 Membagikan sumber daya secara aman kepada pihak ketiga](sec_permissions_share_securely_third_party.md)
+ [SEC05-BP01 Membuat lapisan jaringan](sec_network_protection_create_layers.md)
**Dokumen terkait:**
+ [Pemilik bucket yang memberikan izin lintas akun ke objek yang tidak dimilikinya](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [Cara menggunakan Kebijakan Kepercayaan dengan IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Membangun Perimeter Data di AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [Cara menggunakan ID eksternal saat memberikan akses ke sumber daya AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)Anda kepada pihak ketiga
+ [ Layanan AWS yang dapat digunakan dengan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)
+ [ Membuat perimeter data di AWS: Izinkan hanya identitas tepercaya untuk mengakses data perusahaan ](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/)
**Video terkait:**
+ [Akses Terperinci dengan AWS Resource Access Manager](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Mengamankan perimeter data Anda dengan titik akhir VPC](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Membuat perimeter data di AWS](https://www.youtube.com/watch?v=SMi5OBjp1fI)
**Alat terkait:**
+ [ Contoh Kebijakan Perimeter Data ](https://github.com/aws-samples/data-perimeter-policy-examples)
# SEC03-BP09 Membagikan sumber daya secara aman kepada pihak ketiga
Keamanan lingkungan cloud tidak berhenti di organisasi Anda. Organisasi Anda mungkin menggunakan pihak ketiga untuk mengelola sebagian data Anda. Manajemen izin untuk sistem yang dikelola pihak ketiga harus mengikuti praktik akses sesuai kebutuhan menggunakan prinsip hak akses paling rendah dengan kredensial sementara. Melalui kerja sama dengan pihak ketiga, Anda dapat mengurangi cakupan dampak sekaligus risiko dari akses yang tidak diinginkan.
**Hasil yang diinginkan:** Kredensial AWS Identity and Access Management (IAM) jangka panjang, kunci akses IAM, dan kunci rahasia yang terkait dengan pengguna dapat digunakan oleh siapa saja selama kredensialnya valid dan aktif. Menggunakan peran IAM dan kredensial sementara membantu Anda meningkatkan kekukuhan keamanan dengan mengurangi upaya manajemen kredensial jangka panjang, termasuk manajemen dan overhead operasional terkait detail sensitif tersebut. Dengan pengidentifikasi unik universal (UUID) untuk ID eksternal dalam kebijakan kepercayaan IAM, dan menjaga kebijakan IAM untuk peran IAM di bawah kendali Anda, Anda dapat mengaudit dan memverifikasi bahwa akses yang diberikan kepada pihak ketiga tidak terlalu permisif. Untuk panduan preskriptif dalam menganalisis sumber daya yang dibagikan secara eksternal, lihat [SEC03-BP07 Menganalisis akses lintas akun dan publik](sec_permissions_analyze_cross_account.md).
**Antipola umum:**
+ Menggunakan kebijakan kepercayaan IAM default tanpa persyaratan apa pun.
+ Menggunakan kunci akses dan kredensial IAM jangka panjang.
+ Menggunakan kembali ID eksternal.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
Anda mungkin ingin mengizinkan pembagian sumber daya ke luar AWS Organizations atau memberi pihak ketiga akses ke akun Anda. Misalnya, pihak ketiga mungkin menyediakan solusi pemantauan yang perlu mengakses sumber daya di akun Anda. Dalam kasus tersebut, buat peran lintas akun IAM yang hanya memiliki hak akses sesuai yang dibutuhkan oleh pihak ketiga tersebut. Selain itu, tentukan kebijakan kepercayaan menggunakan [persyaratan ID eksternal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Saat menggunakan ID eksternal, Anda atau pihak ketiga dapat membuat ID unik untuk setiap pelanggan, pihak ketiga, atau penghunian. Setelah dibuat, ID unik tidak boleh dikontrol siapa pun selain Anda. Pihak ketiga harus mengimplementasikan proses untuk memberikan ID eksternal melalui cara yang aman, dapat diaudit, dan diproduksi kembali.
Anda juga dapat menggunakan [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) guna mengelola peran IAM untuk aplikasi di luar AWS yang menggunakan API AWS.
Hapus peran tersebut jika pihak ketiga sudah tidak perlu mengakses lingkungan Anda. Hindari menyediakan kredensial jangka panjang kepada pihak ketiga. Selalu waspadai layanan AWS lainnya yang mendukung fitur berbagi. Misalnya, AWS Well-Architected Tool memungkinkan [berbagi beban kerja](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) dengan Akun AWS lainnya, dan [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) membantu membagikan sumber daya AWS yang Anda miliki secara aman kepada akun lain.
**Langkah implementasi**
1. **Gunakan peran lintas akun untuk memberikan akses kepada akun eksternal.**
[Peran lintas akun](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) mengurangi jumlah informasi sensitif yang disimpan oleh akun eksternal dan pihak ketiga untuk memberikan layanan kepada pelanggannya. Peran lintas akun memungkinkan Anda untuk memberikan akses ke sumber daya AWS di akun Anda kepada pihak ketiga secara aman, seperti AWS Partner atau akun lainnya di organisasi Anda, dan Anda pun tetap dapat mengelola dan mengaudit akses tersebut.
Pihak ketiga mungkin memberikan layanan kepada Anda dari infrastruktur hibrida atau menarik data ke lokasi di luar situs. [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) membantu Anda memungkinkan beban kerja pihak ketiga berinteraksi dengan beban kerja AWS Anda secara aman dan makin mengurangi kebutuhan kredensial jangka panjang.
Anda tidak boleh menggunakan kredensial jangka panjang, atau kunci akses yang terkait dengan pengguna, untuk menyediakan akses kepada akun eksternal. Sebaiknya gunakan peran lintas akun untuk memberikan akses lintas akun.
1. **Gunakan ID eksternal dengan pihak ketiga.**
Menggunakan [ID eksternal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) memungkinkan Anda untuk menunjuk siapa yang dapat mengambil peran di kebijakan kepercayaan IAM. Kebijakan kepercayaan mungkin mengharuskan pengguna yang mengambil peran menegaskan persyaratan dan target operasi. Dengan cara ini, pemilik akun dapat mengizinkan peran tersebut untuk diambil hanya dalam keadaan tertentu. Fungsi utama ID eksternal adalah untuk mencegah dan menangani masalah [confused deputy](https://docs.aws.amazon.com/blogs/security/how-to-use-external-id-when-granting-access-to-your-aws-resources/).
Gunakan ID eksternal jika Anda adalah pemilik Akun AWS dan sudah mengonfigurasi peran untuk pihak ketiga yang mengakses Akun AWS lainnya selain akun Anda, atau jika Anda mengambil peran atas nama pelanggan yang lain. Jalin kerja sama dengan pihak ketiga atau AWS Partner untuk menentukan persyaratan ID eksternal yang akan disertakan dalam kebijakan kepercayaan IAM.
1. **Gunakan ID eksternal yang unik secara universal.**
Implementasikan proses yang membuat nilai unik acak yang unik untuk ID eksternal, seperti pengidentifikasi unik universal (UUID). Pihak ketiga yang menggunakan kembali ID eksternal untuk pengguna yang berbeda tidak menangani masalah confused deputy karena pelanggan A mungkin dapat melihat data pelanggan B menggunakan peran ARN pelanggan B serta duplikat ID eksternal. Dalam lingkungan multipenyewa yang di dalamnya ada pihak ketiga yang mendukung beberapa pelanggan dengan Akun AWS yang berbeda, pihak ketiga tersebut harus menggunakan ID unik yang berbeda sebagai ID eksternal untuk setiap Akun AWS. Pihak ketiga bertanggung jawab untuk mendeteksi duplikat ID eksternal dan memetakan setiap pelanggan secara aman ke ID eksternal masing-masing. Pihak ketiga harus menguji untuk memverifikasi bahwa pihaknya hanya dapat mengambil peran saat menentukan ID eksternal. Pihak ketiga dilarang menyimpan ARN peran pelanggan dan ID eksternal hingga ID eksternal diperlukan.
ID eksternal bukan sesuatu yang rahasia, tetapi tidak boleh berupa nilai yang mudah ditebak, seperti nomor telepon, nama, atau ID akun. Buat ID eksternal menjadi bidang hanya baca sehingga ID eksternal tidak dapat diubah untuk tujuan meniru penyiapan.
Anda atau pihak ketiga dapat membuat ID eksternal. Bentuk proses untuk menentukan siapa yang bertanggung jawab dalam pembuatan ID. Siapa pun entitas pembuat ID eksternalnya, pihak ketiga menjaga keunikan dan formatnya tetap konsisten untuk semua pelanggan.
1. **Hentikan kredensial jangka panjang yang disediakan pelanggan.**
Hentikan penggunaan kredensial jangka panjang dan gunakan peran lintas akun atau IAM Roles Anywhere. Jika Anda harus menggunakan kredensial jangka panjang, buat rencana atau migrasikan ke akses berbasis peran. Untuk detail tentang manajemen kunci, lihat [Manajemen Identitas](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html). Selain itu, jalin kerja sama dengan tim Akun AWS Anda dan pihak ketiga untuk menyusun runbook mitigasi risiko. Untuk panduan preskriptif tentang merespons dan memitigasi potensi dampak insiden keamanan, lihat [Respons insiden](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html).
1. **Verifikasi bahwa penyiapan memiliki panduan preskriptif atau diotomatisasi.**
Kebijakan yang dibuat untuk akses lintas akun di akun Anda harus mematuhi [prinsip hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Pihak ketiga harus menyediakan dokumen kebijakan peran atau mekanisme penyiapan otomatis yang menggunakan templat AWS CloudFormation atau yang setara. Hal ini mengurangi potensi kesalahan yang bisa terjadi pada pembuatan kebijakan manual dan menyediakan jejak yang dapat diaudit. Untuk informasi lebih lanjut tentang menggunakan templat CloudFormation untuk membuat peran lintas akun, lihat [Peran Lintas Akun](https://aws.amazon.com/blogs/apn/tag/cross-account-roles/).
Pihak ketiga harus menyediakan mekanisme penyiapan otomatis yang dapat diaudit. Namun, dengan dokumen kebijakan peran yang menguraikan akses yang diperlukan, Anda harus mengotomatiskan penyiapan peran. Anda harus memantau perubahan dengan deteksi penyimpangan menggunakan templat CloudFormation atau yang setara sebagai bagian dari praktik audit.
1. **Antisipasi perubahan.**
Struktur akun Anda, kebutuhan Anda akan pihak ketiga, atau penawaran layanan yang disediakan dapat berubah. Anda harus mengantisipasi perubahan dan kegagalan, dan membuat rencana yang sesuai dengan orang, proses, dan teknologi yang tepat. Audit tingkat akses yang Anda berikan secara berkala, dan terapkan metode deteksi untuk memberi tahu Anda tentang perubahan yang tidak terduga. Pantau dan audit penggunaan peran dan penyimpanan data ID eksternal. Anda harus bersiap untuk mencabut akses pihak ketiga, baik untuk sementara atau secara permanen, jika ada perubahan atau pola akses yang tidak terduga. Selain itu, ukur dampak atas operasi pencabutan Anda, termasuk waktu yang diperlukan untuk melakukannya, orang yang terlibat, biaya, dan dampak terhadap sumber daya lainnya.
Untuk panduan preskriptif tentang metode deteksi, lihat [Praktik terbaik deteksi](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html).
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC02-BP02 Menggunakan kredensial sementara](sec_identities_unique.md)
+ [SEC03-BP05 Menentukan pagar pembatas izin untuk organisasi Anda](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Mengelola akses berdasarkan siklus hidup](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Menganalisis akses lintas akun dan publik](sec_permissions_analyze_cross_account.md)
+ [ SEC04 Deteksi ](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html)
**Dokumen terkait:**
+ [Pemilik bucket yang memberikan izin lintas akun ke objek yang tidak dimilikinya](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [ Cara menggunakan kebijakan kepercayaan dengan peran IAM ](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [ Mendelegasikan akses di seluruh Akun AWS menggunakan peran IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)
+ [ Bagaimana cara mengakses sumber daya di Akun AWS lainnya menggunakan IAM? ](https://aws.amazon.com/premiumsupport/knowledge-center/cross-account-access-iam/)
+ [ Praktik terbaik keamanan dalam IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [ Logika evaluasi kebijakan lintas akun ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html)
+ [ Cara menggunakan ID eksternal saat memberikan akses ke sumber daya AWS Anda kepada pihak ketiga ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
+ [ Mengumpulkan Informasi dari Sumber Daya AWS CloudFormation yang Dibuat di Akun Eksternal dengan Sumber Daya Kustom ](https://aws.amazon.com/blogs/apn/collecting-information-from-aws-cloudformation-resources-created-in-external-accounts-with-custom-resources/)
+ [ Menggunakan ID Eksternal Secara Aman untuk Mengakses Akun AWS Milik Pihak Lain ](https://aws.amazon.com/blogs/apn/securely-using-external-id-for-accessing-aws-accounts-owned-by-others/)
+ [ Memperluas peran IAM ke beban kerja di luar IAM dengan IAM Roles Anywhere ](https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/)
**Video terkait:**
+ [ Bagaimana caranya mengizinkan pengguna atau peran di Akun AWS yang terpisah untuk mengakses Akun AWS saya? ](https://www.youtube.com/watch?v=20tr9gUY4i0)
+ [AWS re:Invent 2018: Menjadi Master Kebijakan IAM dalam 60 Menit atau Kurang ](https://www.youtube.com/watch?v=YQsK4MtsELU)
+ [ Pusat Pengetahuan AWS Live: Praktik Terbaik IAM dan Keputusan Rancangan ](https://www.youtube.com/watch?v=xzDFPIQy4Ks)
**Contoh terkait:**
+ [ Well-Architected Lab - Pengambilan peran IAM lintas akun Lambda (Level 300) ](https://www.wellarchitectedlabs.com/security/300_labs/300_lambda_cross_account_iam_role_assumption/)
+ [ Mengonfigurasi akses lintas akun ke Amazon DynamoDB ](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/configure-cross-account-access-to-amazon-dynamodb.html)
+ [AWS STS Network Query Tool ](https://github.com/aws-samples/aws-sts-network-query-tool)
# Deteksi
**Topics**
+ [SEC 4. Bagaimana cara mendeteksi dan menyelidiki peristiwa keamanan?](sec-04.md)
# SEC 4. Bagaimana cara mendeteksi dan menyelidiki peristiwa keamanan?
Catat dan analisis peristiwa dari log dan metrik untuk mendapatkan visibilitas. Ambil tindakan atas peristiwa keamanan dan potensi ancaman untuk membantu mengamankan beban kerja Anda.
**Topics**
+ [SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Menganalisis log, temuan, dan metrik secara terpusat](sec_detect_investigate_events_analyze_all.md)
+ [SEC04-BP03 Mengotomatiskan respons untuk peristiwa](sec_detect_investigate_events_auto_response.md)
+ [SEC04-BP04 Implementasikan peristiwa keamanan yang dapat ditindaklanjuti](sec_detect_investigate_events_actionable_events.md)
# SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi
Menyimpan log peristiwa keamanan dari layanan dan aplikasi. Hal ini merupakan prinsip fundamental dalam keamanan untuk audit, penyelidikan, dan kasus penggunaan operasional, serta merupakan persyaratan keamanan umum yang didorong oleh prosedur, kebijakan, dan standar tata kelola, risiko, serta kepatuhan (GRC).
**Hasil yang diinginkan:** Sebuah organisasi harus dapat dengan andal dan konsisten mengambil log peristiwa keamanan dari aplikasi dan layanan AWS dengan cepat saat diperlukan untuk memenuhi proses atau kewajiban internal, seperti respons insiden keamanan. Sebaiknya pusatkan log untuk mendapatkan hasil operasional yang lebih baik.
**Antipola umum:**
+ Log disimpan tanpa batas waktu yang jelas atau dihapus terlalu cepat.
+ Semua orang dapat mengakses log.
+ Sepenuhnya menggunakan proses manual untuk tata kelola dan penggunaan log.
+ Menyimpan setiap jenis log untuk berjaga-jaga jika diperlukan.
+ Memeriksa integritas log hanya jika diperlukan.
**Manfaat menjalankan praktik terbaik ini:** Mengimplementasikan mekanisme analisis akar masalah (RCA) untuk insiden keamanan dan sumber bukti untuk kewajiban tata kelola, risiko, dan kepatuhan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Selama penyelidikan keamanan atau kasus penggunaan lain berdasarkan kebutuhan Anda, Anda harus dapat meninjau log yang relevan untuk mencatat dan memahami seluruh cakupan serta garis waktu insiden. Log juga diperlukan untuk pembuatan peringatan yang mengindikasikan bahwa tindakan tertentu telah terjadi. Sangat penting untuk memilih, mengaktifkan, menyimpan, dan menyiapkan mekanisme kueri dan pengambilan serta pembuatan peringatan.
**Langkah implementasi**
+ **Pilih dan aktifkan sumber log.** Sebelum melakukan penyelidikan keamanan, Anda perlu mengambil log yang relevan untuk merekonstruksi aktivitas secara surut di Akun AWS. Pilih dan aktifkan sumber log yang relevan dengan beban kerja Anda.
Kriteria pemilihan sumber log harus didasarkan pada kasus penggunaan yang diperlukan oleh bisnis Anda. Tetapkan jejak untuk setiap Akun AWS menggunakan AWS CloudTrail atau jejak AWS Organizations, dan konfigurasikan bucket Amazon S3 untuk jejak tersebut.
AWS CloudTrail adalah layanan pencatatan log yang melacak panggilan API yang dibuat terhadap Akun AWS yang merekam aktivitas layanan AWS. Layanan tersebut diaktifkan secara default dengan peristiwa manajemen retensi 90 hari yang dapat [diambil melalui riwayat Peristiwa CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS SDK. Untuk visibilitas dan retensi peristiwa data yang lebih lama, [buat jejak CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) dan kaitkan dengan bucket Amazon S3, serta dengan grup log Amazon CloudWatch (opsional). Anda juga dapat membuat [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html), yang menyimpan log CloudTrail hingga tujuh tahun dan menyediakan fasilitas kueri berbasis SQL.
AWS menyarankan agar pelanggan yang menggunakan VPC mengaktifkan lalu lintas jaringan dan log DNS menggunakan [Log Arus VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) dan [log kueri Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html), serta mengalirkannya ke bucket Amazon S3 atau grup log CloudWatch. Anda dapat membuat log arus VPC untuk VPC, subnet, dan antarmuka jaringan. Untuk Log Arus VPC, Anda dapat memilih cara dan tempat penggunaan Log Arus untuk mengurangi biaya.
Log AWS CloudTrail, Log Arus VPC, dan log kueri Route 53 Resolver merupakan sumber pencatatan log dasar untuk mendukung penyelidikan keamanan di AWS. Anda juga dapat menggunakan [Danau Keamanan Amazon](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) untuk mengumpulkan, menormalisasi, dan menyimpan data log ini dalam format Apache Parquet dan Open Cybersecurity Schema Framework (OCSF), yang siap untuk kueri. Danau Keamanan juga mendukung log AWS lainnya dan log dari sumber pihak ketiga.
Layanan AWS dapat membuat log yang tidak direkam oleh sumber log dasar, seperti log Elastic Load Balancing, log AWS WAF, log perekam AWS Config, temuan Amazon GuardDuty, log audit Amazon Elastic Kubernetes Service (Amazon EKS), dan log aplikasi serta sistem operasi instans Amazon EC2. Untuk daftar lengkap opsi pencatatan log dan pemantauan, lihat [Lampiran A: Penentuan kemampuan cloud – Pencatatan Log dan Peristiwa ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/logging-and-events.html) dalam [Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html).
+ **Pelajari kemampuan pencatatan log untuk setiap aplikasi dan layanan AWS:** Setiap layanan dan aplikasi AWS memberikan opsi untuk penyimpanan log yang masing-masing dilengkapi dengan kemampuan retensi dan siklus hidup. Dua layanan penyimpanan yang paling umum adalah Amazon Simple Storage Service (Amazon S3) dan Amazon CloudWatch. Untuk periode retensi yang panjang, sebaiknya gunakan Amazon S3 untuk efektivitas biaya dan kemampuan siklus hidup yang fleksibel. Jika opsi pencatatan log utama adalah Log Amazon CloudWatch, sebagai opsi, Anda dapat mempertimbangkan untuk mengarsipkan log yang jarang diakses ke Amazon S3.
+ **Pilih penyimpanan log:** Pilihan penyimpanan log umumnya dikaitkan dengan alat kueri yang digunakan, kemampuan retensi, seberapa familier, dan biaya. Opsi utama untuk penyimpanan log adalah bucket Amazon S3 atau grup Log CloudWatch.
Bucket Amazon S3 menyediakan penyimpanan yang tahan lama dan hemat biaya, dengan kebijakan siklus hidup opsional. Log yang disimpan di bucket Amazon S3 dapat dikueri menggunakan layanan seperti Amazon Athena.
Grup log CloudWatch menyediakan penyimpanan yang tahan lama dan fasilitas kueri bawaan melalui Wawasan Log CloudWatch.
+ **Identifikasi retensi log yang sesuai:** Saat Anda menggunakan bucket Amazon S3 atau grup log CloudWatch untuk menyimpan log, Anda harus menetapkan siklus hidup yang memadai untuk setiap sumber log guna mengoptimalkan biaya penyimpanan dan pengambilan. Pada umumnya, pelanggan memiliki waktu antara tiga bulan hingga satu tahun untuk melakukan kueri log, dengan periode retensi hingga tujuh tahun. Pilihan ketersediaan dan retensi harus selaras dengan persyaratan keamanan dan gabungan dari undang-undang, peraturan, serta kewajiban bisnis.
+ **Aktifkan pencatatan log untuk setiap layanan dan aplikasi AWS dengan kebijakan retensi dan siklus hidup yang tepat:** Untuk setiap aplikasi dan layanan AWS di organisasi Anda, cari panduan konfigurasi pencatatan log khusus:
+ [ Mengonfigurasi Jejak AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [ Mengonfigurasi Log Arus VPC ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Mengonfigurasi Ekspor Temuan Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html)
+ [ Mengonfigurasi perekaman AWS Config](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)
+ [ Mengonfigurasi lalu lintas ACL web AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
+ [ Mengonfigurasi log lalu lintas jaringan AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)
+ [ Mengonfigurasi log akses Elastic Load Balancing ](https://docs.aws.amazon.com/)
+ [ Mengonfigurasi log kueri Amazon Route 53 Resolver ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)
+ [ Mengonfigurasi log Amazon RDS ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.html)
+ [ Mengonfigurasi log Bidang Kendali Amazon EKS ](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)
+ [ Mengonfigurasi agen Amazon CloudWatch untuk instans Amazon EC2 dan server on-premise ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ **Pilih dan implementasikan mekanisme kueri untuk log:** Untuk kueri log, Anda dapat menggunakan [CloudWatch Wawasan Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) untuk data yang disimpan di grup log CloudWatch, dan [Amazon Athena](https://aws.amazon.com/athena/) serta [Amazon OpenSearch Service](https://aws.amazon.com/opensearch-service/) untuk data yang disimpan di Amazon S3. Anda dapat menggunakan alat kueri pihak ketiga seperti layanan informasi keamanan dan manajemen peristiwa (SIEM).
Proses pemilihan alat kueri harus mempertimbangkan aspek manusia, proses, dan teknologi operasi keamanan Anda. Pilih alat yang memenuhi persyaratan operasional, bisnis, dan keamanan, serta dapat diakses dan dipelihara dalam jangka panjang. Perlu diingat bahwa alat kueri berfungsi secara optimal saat jumlah log yang dipindai masih berada dalam batasan alat tersebut. Tidak jarang terdapat beberapa alat kueri karena adanya kendala biaya atau teknis.
Misalnya, Anda menggunakan informasi keamanan dan manajemen peristiwa pihak ketiga untuk menjalankan kueri data selama 90 hari terakhir, tetapi menggunakan Athena untuk menjalankan kueri di atas 90 hari karena biaya penyerapan log SIEM. Terlepas dari implementasi, pastikan pendekatan Anda meminimalkan jumlah alat yang diperlukan untuk memaksimalkan efisiensi operasional, khususnya selama penyelidikan peristiwa keamanan.
+ **Gunakan log untuk peringatan:** AWS memberikan peringatan melalui beberapa layanan keamanan:
+ [AWS Config](https://aws.amazon.com/config/) memantau dan merekam konfigurasi sumber daya AWS Anda serta membantu mengotomatiskan evaluasi dan perbaikan berdasarkan konfigurasi yang diinginkan.
+ [Amazon GuardDuty](https://aws.amazon.com/guardduty/) adalah layanan deteksi ancaman yang terus memantau aktivitas mencurigakan dan perilaku tidak sah untuk melindungi Akun AWS dan beban kerja Anda. GuardDuty menyerap, menggabungkan, dan menganalisis informasi dari berbagai sumber, seperti manajemen dan peristiwa data AWS CloudTrail, log DNS, Log Arus VPC, dan log Audit Amazon EKS. GuardDuty mengambil aliran data independen secara langsung dari CloudTrail, Log Arus VPC, log kueri DNS, dan Amazon EKS. Anda tidak perlu mengelola kebijakan bucket Amazon S3 atau mengubah cara Anda mengumpulkan dan menyimpan log. Sebaiknya tetap simpan log tersebut untuk tujuan penyelidikan dan kepatuhan.
+ [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) menyediakan satu tempat yang mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan atau temuan Anda dari beberapa layanan AWS serta produk pihak ketiga opsional untuk menampilkan peringatan keamanan dan status kepatuhan secara komprehensif.
Anda juga dapat menggunakan mesin pembuat peringatan kustom untuk peringatan keamanan yang tidak dicakup oleh layanan ini atau untuk peringatan tertentu yang relevan dengan lingkungan Anda. Untuk informasi tentang pembuatan peringatan dan deteksi tersebut, lihat [Deteksi dalam Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html).
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC04-BP02 Menganalisis log, temuan, dan metrik secara terpusat](sec_detect_investigate_events_analyze_all.md)
+ [SEC07-BP04 Menentukan manajemen siklus hidup data](sec_data_classification_lifecycle_management.md)
+ [SEC10-BP06 Melakukan deployment alat di awal](sec_incident_response_pre_deploy_tools.md)
**Dokumen terkait:**
+ [ Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)
+ [ Memulai Danau Keamanan Amazon ](https://aws.amazon.com/security-lake/getting-started/)
+ [ Memulai: Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Solusi Partner Keamanan: Pencatatan Log dan Pemantauan](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Video terkait:**
+ [AWS re:Invent 2022 - Memperkenalkan Danau Keamanan Amazon ](https://www.youtube.com/watch?v=V7XwbPPjXSY)
**Contoh terkait:**
+ [ Assisted Log Enabler untuk AWS](https://github.com/awslabs/assisted-log-enabler-for-aws/)
+ [ Ekspor Temuan AWS Security Hub CSPM Historis ](https://github.com/aws-samples/aws-security-hub-findings-historical-export)
**Alat terkait:**
+ [ Snowflake for Cybersecurity ](https://www.snowflake.com/en/data-cloud/workloads/cybersecurity/)
# SEC04-BP02 Menganalisis log, temuan, dan metrik secara terpusat
Tim operasi keamanan mengandalkan pengumpulan data dan penggunaan alat pencarian untuk menemukan potensi peristiwa yang menjadi perhatian, yang mungkin menandakan aktivitas yang tidak diotorisasi atau perubahan yang tidak diinginkan. Namun, menganalisis data yang terkumpul dan memproses informasi secara manual saja tidak cukup untuk mengimbangi volume informasi yang mengalir dari arsitektur kompleks. Analisis dan pelaporan saja belum cukup untuk memfasilitasi penetapan sumber daya yang tepat untuk mengerjakan peristiwa pada waktu yang diinginkan.
Praktik terbaik untuk membangun tim operasi keamanan yang matang adalah dengan mengintegrasikan aliran peristiwa keamanan dan temuan ke dalam notifikasi dan sistem alur kerja seperti sistem ticketing, sistem masalah atau bug, atau sistem informasi keamanan dan manajemen peristiwa (SIEM) lainnya. Hal ini mengalihkan alur kerja dari email dan laporan statis, sehingga Anda dapat merutekan, mengeskalasi, dan mengelola peristiwa atau temuan. Banyak organisasi yang juga mengintegrasikan peringatan keamanan ke dalam obrolan atau kolaborasi mereka, dan platform produktivitas developer. Untuk organisasi yang memulai otomatisasi, sistem ticketing yang didorong API dan berlatensi rendah menawarkan berbagai fleksibilitas saat merencanakan apa yang harus diotomatiskan terlebih dahulu.
Praktik terbaik ini tidak hanya berlaku untuk peristiwa keamanan yang dibuat dari pesan log yang menggambarkan aktivitas pengguna atau peristiwa jaringan, tetapi juga dari perubahan yang terdeteksi dalam infrastruktur. Kemampuan untuk mendeteksi perubahan, menentukan apakah perubahan tersebut sesuai, dan kemudian mengarahkan informasi tersebut ke alur kerja remediasi begitu penting dalam memelihara dan memvalidasi arsitektur yang aman, saat terjadi perubahan yang tidak diinginkan tetapi sulit dideteksi sehingga eksekusinya saat ini tidak dapat dicegah dengan kombinasi konfigurasi AWS Identity and Access Management(IAM) dan AWS Organizations.
Amazon GuardDuty dan AWS Security Hub CSPM memberikan gabungan, deduplikasi, dan mekanisme analisis untuk catatan log, yang juga dibuat tersedia untuk Anda via layanan AWS lainnya. GuardDuty menyerap, menggabungkan, dan menganalisis, informasi dari sumber seperti manajemen AWS CloudTrail dan peristiwa data, log DNS VPC, dan Log Alur VPC. Security Hub CSPM dapat menyerap, menggabungkan, dan menganalisis hasil dari GuardDuty, AWS Config, Amazon Inspector, Amazon Macie, AWS Firewall Manager, dan sebagian besar produk keamanan pihak ketiga yang tersedia di AWS Marketplace, dan jika langsung dibangun, kode milik Anda sendiri. GuardDuty dan Security Hub CSPM memiliki model Administrator-Anggota yang dapat mengagregatkan temuan dan wawasan dari beberapa akun, dan Security Hub CSPM sering digunakan oleh pelanggan SIEM on-premise sebagai log sisi AWS dan peringatan praprosesor dan agregator yang dapat diserap Amazon EventBridge melalui prosesor dan penerus berbasis AWS Lambda.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
+ Evaluasikan kemampuan pemrosesan log: Evaluasikan opsi yang tersedia untuk pemrosesan log.
+ [Gunakan Amazon OpenSearch Service untuk mencatat dan memantau (hampir) semuanya ](https://d1.awsstatic.com/whitepapers/whitepaper-use-amazon-elasticsearch-to-log-and-monitor-almost-everything.pdf)
+ [Temukan partner yang ahli dalam pencatatan log dan pemantauan. ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
+ Sebagai awal untuk menganalisis log CloudTrail, uji Amazon Athena.
+ [ Konfigurasikan Athena untuk menganalisis log CloudTrail ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)
+ Implementasikan sentralisasi pencatatan dalam AWS: Lihat solusi contoh AWS berikut untuk memusatkan pencatatan dari berbagai sumber.
+ [Solusi sentralisasi pencatatan ](https://aws.amazon.com/solutions/centralized-logging/https://aws.amazon.com/solutions/centralized-logging/)
+ Implementasikan sentralisasi pencatatan dengan partner: APN Partner memiliki solusi untuk membantu Anda menganalisis log secara terpusat.
+ [ Pencatatan dan Pemantauan ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
## Sumber daya
**Dokumen terkait:**
+ [AWS Answers: Pencatatan Log Terpusat ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Mulai menggunakan: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Solusi Partner Keamanan: Pencatatan Log dan Pemantauan](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Video terkait:**
+ [ Konfigurasi dan Kepatuhan Sumber Daya Pemantauan Terpusat ](https://youtu.be/kErRv4YB_T4)
+ [Memperbaiki Temuan Amazon GuardDuty dan AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Manajemen ancaman di cloud: Amazon GuardDuty dan AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# SEC04-BP03 Mengotomatiskan respons untuk peristiwa
Menggunakan otomatisasi untuk menyelidiki dan menangani peristiwa dapat mengurangi upaya manusia dan potensi kesalahan, serta memungkinkan Anda untuk menskalakan kemampuan penyelidikan. Tinjauan rutin dapat membantu Anda menyesuaikan alat otomatisasi, dan mengulanginya secara iteratif.
Di AWS, menyelidiki peristiwa menarik dan informasi tentang potensi perubahan yang tidak diharapkan ke alur kerja otomatis dapat dicapai menggunakan Amazon EventBridge. Layanan ini menyediakan mesin aturan yang dapat diskalakan dan dirancang untuk mengelola format peristiwa AWS native (seperti peristiwa AWS CloudTrail), serta peristiwa kustom yang dapat dihasilkan dari aplikasi Anda. Amazon GuardDuty juga memungkinkan Anda untuk merutekan peristiwa ke sistem alur kerja untuk mereka yang membangun sistem respons insiden (AWS Step Functions), atau ke Akun Keamanan pusat, atau ke bucket untuk analisis lebih jauh.
Mendeteksi perubahan dan merutekan informasi ini ke alur kerja yang sesuai dapat dilakukan dengan menggunakan Aturan AWS Config [dan Paket Konformasi](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html). AWS Config mendeteksi perubahan ke layanan dalam cakupan (walaupun dengan latensi yang lebih tinggi dari EventBridge) dan membuat peristiwa yang dapat di-parse menggunakan Aturan AWS Config untuk rollback, penerapan kebijakan kepatuhan, dan melanjutkan informasi ke sistem, seperti mengubah platform manajemen dan sistem ticketing operasional. Selain menulis fungsi Lambda Anda sendiri untuk merespons peristiwa AWS Config, Anda juga dapat memanfaatkan [Kit Pengembangan Aturan AWS Config](https://github.com/awslabs/aws-config-rdk), dan [pustaka sumber terbuka](https://github.com/awslabs/aws-config-rules) Aturan AWS Config. Paket konformasi adalah kumpulan Aturan AWS Config dan tindakan perbaikan yang Anda deploy sebagai entitas tunggal yang ditulis sebagai templat YAML. Sebuah [sampel templat paket konformasi](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) tersedia untuk Pilar Keamanan Well-Architected.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang
## Panduan implementasi
+ Implementasikan peringatan yang diotomatiskan dengan GuardDuty: GuardDuty adalah layanan deteksi ancaman yang terus-menerus memantau aktivitas berbahaya dan perilaku yang tidak diotorisasi, untuk melindungi Akun AWS dan beban kerja Anda. Aktifkan GuardDuty dan konfigurasikan peringatan yang diotomatiskan.
+ Otomatiskan proses penyelidikan: Kembangkan proses otomatis yang menyelidiki peristiwa serta melaporkan informasi ke administrator untuk menghemat waktu.
+ [ Lab: Penggunaan Amazon GuardDuty ](https://hands-on-guardduty.awssecworkshops.com/)
## Sumber daya
**Dokumen terkait:**
+ [AWS Jawaban: Pencatatan Log Terpusat ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Mulai menggunakan: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Solusi Partner Keamanan: Pencatatan Log dan Pemantauan](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
+ [ Menyiapkan Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)
**Video terkait:**
+ [ Centrally Monitoring Resource Configuration and Compliance ](https://youtu.be/kErRv4YB_T4)
+ [Memperbaiki Temuan Amazon GuardDuty dan AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Manajemen ancaman di cloud: Amazon GuardDuty dan AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**Contoh terkait:**
+ [Lab: Deployment Otomatis Kontrol Deteksi ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP04 Implementasikan peristiwa keamanan yang dapat ditindaklanjuti
Buat peringatan yang dikirimkan ke tim Anda dan dapat ditindaklanjuti oleh mereka. Pastikan peringatan mencakup informasi yang relevan bagi tim untuk mengambil tindakan. Untuk setiap mekanisme deteksi yang Anda miliki, Anda juga harus memiliki proses, dalam bentuk [runbook](https://wa.aws.amazon.com/wat.concept.runbook.en.html) atau [playbook](https://wa.aws.amazon.com/wat.concept.playbook.en.html), untuk menyelidiki. Contohnya, ketika Anda mengaktifkan [Amazon GuardDuty](http://aws.amazon.com/guardduty), ini menghasilkan [temuan yang berbeda.](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html). Anda harus memiliki entri runbook untuk setiap jenis temuan, contohnya, jika [ditemukan trojan,](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_trojan.html) runbook Anda memiliki instruksi mudah yang menginstruksikan seseorang untuk menyelidiki dan memperbaiki.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah
## Panduan implementasi
+ Temukan metrik yang tersedia untuk layanan AWS: Temukan metrik yang tersedia melalui Amazon CloudWatch untuk layanan yang Anda gunakan.
+ [Dokumentasi layanan AWS](https://aws.amazon.com/documentation/)
+ [Menggunakan Metrik Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ Konfigurasikan alarm Amazon CloudWatch.
+ [Menggunakan Alarm Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## Sumber daya
**Dokumen terkait:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [Solusi Partner Keamanan: Logging dan Pemantauan](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Video terkait:**
+ [ Konfigurasi dan Kepatuhan Sumber Daya Pemantauan Terpusat ](https://youtu.be/kErRv4YB_T4)
+ [Memperbaiki Temuan Amazon GuardDuty dan AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Manajemen ancaman di cloud: Amazon GuardDuty dan AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# Perlindungan infrastruktur
**Topics**
+ [SEC 5. Bagaimana cara melindungi sumber daya jaringan Anda?](sec-05.md)
+ [SEC 6. Bagaimana cara melindungi sumber daya komputasi Anda?](sec-06.md)
# SEC 5. Bagaimana cara melindungi sumber daya jaringan Anda?
Setiap beban kerja yang memiliki suatu bentuk konektivitas jaringan, baik internet atau jaringan privat, memerlukan beberapa lapisan pertahanan untuk membantu melindungi dari ancaman eksternal dan internal berbasis jaringan.
**Topics**
+ [SEC05-BP01 Membuat lapisan jaringan](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Mengontrol lalu lintas di semua lapisan](sec_network_protection_layered.md)
+ [SEC05-BP03 Mengotomatiskan perlindungan jaringan](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 Mengimplementasikan inspeksi dan perlindungan](sec_network_protection_inspection.md)
# SEC05-BP01 Membuat lapisan jaringan
Kelompokkan komponen dengan persyaratan sensitivitas yang sama ke dalam lapisan-lapisan untuk meminimalkan cakupan potensi dampak dari akses yang tidak sah. Misalnya, sebuah klaster basis data di cloud privat virtual (VPC) yang tidak memerlukan akses internet harus ditempatkan dalam subnet yang tidak memiliki rute ke atau dari internet. Lalu lintas hanya boleh mengalir dari sumber daya terdekat berikutnya yang paling tidak sensitif. Pertimbangkan aplikasi web di balik penyeimbang beban. Basis data Anda tidak boleh dapat diakses secara langsung dari penyeimbang beban. Hanya logika bisnis dan server web yang boleh memiliki akses langsung ke basis data Anda.
**Hasil yang diinginkan:** Membuat jaringan berlapis. Jaringan berlapis membantu mengelompokkan komponen jaringan yang serupa secara logis. Jaringan ini memperkecil potensi cakupan dampak dari akses jaringan yang tidak sah. Jaringan berlapis yang tepat mempersulit pengguna yang tidak sah untuk beralih ke sumber daya tambahan di lingkungan AWS Anda. Selain mengamankan jalur jaringan internal, Anda juga perlu melindungi edge jaringan, seperti aplikasi web dan titik akhir API.
**Antipola umum:**
+ Membuat semua sumber daya dalam satu VPC atau subnet.
+ Menggunakan grup keamanan yang terlalu permisif.
+ Gagal menggunakan subnet.
+ Mengizinkan akses langsung ke penyimpanan data seperti basis data.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Komponen seperti instans Amazon Elastic Compute Cloud (Amazon EC2), klaster basis data Amazon Relational Database Service (Amazon RDS), dan fungsi AWS Lambda yang memiliki persyaratan keterjangkauan yang sama dapat disegmentasikan menjadi lapisan yang dibentuk oleh subnet. Pertimbangkan untuk melakukan deployment beban kerja nirserver, seperti [fungsi Lambda](https://docs.aws.amazon.com/lambda/index.html), dalam VPC atau di balik [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html). Tugas [AWS Fargate](https://aws.amazon.com/fargate/getting-started/) yang tidak memerlukan akses internet harus ditempatkan di subnet yang tidak memiliki rute ke atau dari internet. Pendekatan berlapis ini memitigasi dampak kesalahan konfigurasi satu lapisan yang dapat mengizinkan akses yang tidak diinginkan. Untuk AWS Lambda, Anda dapat menjalankan fungsi di VPC untuk memanfaatkan kontrol berbasis VPC.
Untuk konektivitas jaringan yang dapat mencakup ribuan VPC, Akun AWS, dan jaringan on-premise, Anda harus menggunakan [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/). Transit Gateway bertindak sebagai hub yang mengontrol cara perutean lalu lintas di antara semua jaringan yang terhubung, yang bertindak seperti jari-jari roda. Lalu lintas antara Amazon Virtual Private Cloud (Amazon VPC) dan Transit Gateway tetap berada dalam jaringan privat AWS, sehingga mengurangi paparan eksternal terkait pengguna yang tidak sah dan potensi masalah keamanan. Peering Antarwilayah Transit Gateway juga mengenkripsi lalu lintas Antarwilayah tanpa titik kegagalan tunggal atau hambatan bandwidth.
**Langkah implementasi**
+ **Gunakan [Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html) untuk menganalisis jalur antara sumber dan tujuan berdasarkan konfigurasi:** Reachability Analyzer memungkinkan Anda untuk mengotomatiskan verifikasi konektivitas ke dan dari sumber daya yang terhubung ke VPC. Perhatikan bahwa analisis ini dilakukan dengan meninjau konfigurasi (tidak ada paket jaringan yang dikirimkan dalam menjalankan analisis ini).
+ **Gunakan [Penganalisis Akses Jaringan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) untuk mengidentifikasi akses jaringan yang tidak diinginkan ke sumber daya:** Penganalisis Akses Jaringan Amazon VPC memungkinkan Anda untuk menentukan persyaratan akses jaringan dan mengidentifikasi jalur jaringan potensial.
+ **Pertimbangkan apakah sumber daya harus ada di subnet publik:** Jangan menempatkan sumber daya di subnet publik VPC Anda kecuali sumber daya benar-benar harus menerima lalu lintas jaringan masuk dari sumber publik.
+ **Buat [subnet di VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html):** Buat subnet untuk setiap lapisan jaringan (dalam grup yang menyertakan beberapa Zona Ketersediaan) untuk meningkatkan segmentasi mikro. Selain itu, pastikan Anda telah mengaitkan [tabel rute](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html) yang benar ke subnet Anda untuk mengontrol perutean dan konektivitas internet.
+ **Gunakan [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/security-group-policies.html) untuk mengelola grup keamanan VPC Anda:** AWS Firewall Manager membantu mengurangi beban manajemen dalam penggunaan beberapa grup keamanan.
+ **Gunakan [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html) untuk melindungi dari kerentanan web umum:** AWS WAF dapat membantu meningkatkan keamanan edge dengan memeriksa lalu lintas untuk kerentanan web umum, misalnya injeksi SQL. Layanan ini juga dapat Anda gunakan untuk membatasi alamat IP yang berasal dari negara atau lokasi geografis tertentu.
+ **Gunakan [Amazon CloudFront](https://docs.aws.amazon.com/cloudfront/index.html) sebagai jaringan distribusi konten (CDN):** Amazon CloudFront dapat membantu mempercepat aplikasi web dengan menyimpan data lebih dekat ke pengguna. Hal ini juga meningkatkan keamanan edge dengan menerapkan HTTPS, membatasi akses ke area geografis, dan memastikan bahwa lalu lintas jaringan hanya dapat mengakses sumber daya saat dirutekan melalui CloudFront.
+ **Gunakan [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) saat membuat antarmuka pemrograman aplikasi (API):** Amazon API Gateway membantu menerbitkan, memantau, dan mengamankan API WebSocket, HTTPS, dan REST.
## Sumber daya
**Dokumen terkait:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+ [Keamanan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [ Reachability Analyzer ](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html)
+ [ Penganalisis Akses Jaringan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/getting-started.html#run-analysis)
**Video terkait:**
+ [Arsitektur referensi AWS Transit Gateway untuk banyak VPC ](https://youtu.be/9Nikqn_02Oc)
+ [Perlindungan dan Akselerasi Aplikasi dengan Amazon CloudFront, AWS WAF, dan AWS Shield](https://youtu.be/0xlwLEccRe0)
+ [AWS re:Inforce 2022 - Validasikan kontrol akses jaringan efektif di AWS](https://www.youtube.com/watch?v=aN2P2zeQek0)
+ [AWS re:Inforce 2022 - Perlindungan tingkat lanjut terhadap bot menggunakan AWS WAF](https://www.youtube.com/watch?v=pZ2eftlwZns)
**Contoh terkait:**
+ [Well-Architected Lab - Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [ Lokakarya: Penganalisis Akses Jaringan Amazon VPC ](https://catalog.us-east-1.prod.workshops.aws/workshops/cf2ecaa4-e4be-4f40-b93f-e9fe3b1c1f64)
# SEC05-BP02 Mengontrol lalu lintas di semua lapisan
Ketika merancang topologi jaringan, Anda harus memeriksa persyaratan konektivitas setiap komponen. Misalnya, periksa apakah komponen memerlukan aksesibilitas internet (masuk dan keluar), konektivitas ke VPC, layanan edge, dan pusat data eksternal.
Dengan VPC, Anda dapat menentukan topologi jaringan yang menjangkau Wilayah AWS dengan rentang alamat IPv4 privat yang Anda atur, atau rentang alamat IPv6 yang dipilih oleh AWS. Anda harus menerapkan beberapa kontrol dengan pendekatan pertahanan mendalam untuk lalu lintas masuk dan keluar, termasuk penggunaan grup keamanan (firewall inspeksi stateful), ACL Jaringan, subnet, dan tabel rute. Di dalam VPC, Anda dapat membuat subnet di Zona Ketersediaan. Masing-masing subnet dapat memiliki tabel rute terkait yang menentukan aturan perutean untuk mengelola jalur yang digunakan lalu lintas dalam subnet. Anda dapat menentukan subnet yang dapat dirutekan internet dengan rute yang mengarah ke gateway NAT atau internet yang terikat ke VPC, atau melalui VPC lainnya.
Saat diluncurkan di dalam VPC, instans, basis data Amazon Relational Database Service(Amazon RDS), atau layanan lainnya akan memiliki grup keamanannya sendiri per antarmuka jaringan. Firewall ini berada di luar lapisan sistem operasi dan dapat digunakan untuk menentukan aturan bagi lalu lintas masuk dan keluar yang diizinkan. Anda juga dapat menentukan hubungan antargrup keamanan. Misalnya, instans dalam grup keamanan tingkat basis data hanya menerima lalu lintas dari instans dalam tingkat aplikasi, dengan merujuk ke grup keamanan yang diterapkan ke instans yang terlibat. Namun jika Anda menggunakan protokol non-TCP, Anda tidak perlu memiliki instans Amazon Elastic Compute Cloud(Amazon EC2) yang dapat diakses langsung dengan internet (bahkan dengan port yang dibatasi oleh grup keamanan) tanpa penyeimbang beban, atau [CloudFront](https://aws.amazon.com/cloudfront). Hal ini akan membantu melindunginya dari akses yang tidak diharapkan melalui sistem operasi atau masalah aplikasi. Subnet juga dapat memiliki ACL jaringan yang terikat dengannya, yang berperan sebagai firewall stateless. Anda harus mengonfigurasi jaringan ACL untuk mempersempit cakupan lalu lintas yang diizinkan antarlapisan, Anda juga harus menentukan aturan masuk dan keluar.
Beberapa layanan AWS memerlukan komponen untuk mengakses internet guna membuat panggilan API, tempat [titik akhir API AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) berada. Layanan AWS lain menggunakan [titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) di dalam Amazon VPC Anda. Banyak layanan AWS, termasuk Amazon S3 dan Amazon DynamoDB, yang mendukung titik akhir VPC. Selain itu, teknologi ini telah digeneralisasi dalam [AWS PrivateLink](https://aws.amazon.com/privatelink/). Sebaiknya gunakan pendekatan ini untuk mengakses layanan AWS, layanan pihak ketiga, dan layanan milik Anda yang di-host di VPC lain secara aman. Semua lalu lintas jaringan di AWS PrivateLink tetap dalam jalur utama AWS global dan tidak akan melintasi internet. Konektivitas hanya dapat diinisiasi oleh konsumen layanan, bukan oleh penyedia layanan. Dengan AWS PrivateLink untuk akses layanan eksternal, Anda dapat menciptakan VPC terisolasi tanpa akses internet dan membantu melindungi VPC Anda dari vektor ancaman eksternal. Layanan pihak ketiga dapat menggunakan AWS PrivateLink agar konsumen dapat terhubung ke layanan dari VPC mereka melalui alamat IP privat. Untuk aset VPC yang perlu membuat koneksi keluar ke internet, ini dapat ditetapkan khusus keluar (satu jalur) melalui gateway NAT yang dikelola AWS, gateway internet khusus keluar, atau proksi web yang Anda buat dan kelola.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
+ Kontrol lalu lintas jaringan di VPC: Implementasikan praktik terbaik VPC untuk mengontrol lalu lintas.
+ [Keamanan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)
+ [titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Grup keamanan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [ACL jaringan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ Kontrol lalu lintas di edge: Implementasikan layanan edge, seperti Amazon CloudFront, untuk memberikan lapisan perlindungan tambahan dan fitur lainnya.
+ [Kasus penggunaan Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html)
+ [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [Firewall Aplikasi Web AWS (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html)
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [Perutean Masuk Amazon VPC](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/)
+ Kontrol lalu lintas jaringan privat: Implementasikan layanan yang melindungi lalu lintas privat untuk beban kerja Anda.
+ [Peering Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [Layanan Titik Akhir Amazon VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html)
+ [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html)
+ [Amazon S3 Access Points](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html)
## Sumber daya
**Dokumen terkait:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Mulai menggunakan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Video terkait:**
+ [Arsitektur referensi AWS Transit Gateway untuk banyak VPC](https://youtu.be/9Nikqn_02Oc)
+ [Perlindungan dan Akselerasi Aplikasi dengan Amazon CloudFront, AWS WAF, dan AWS Shield](https://youtu.be/0xlwLEccRe0)
**Contoh terkait:**
+ [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP03 Mengotomatiskan perlindungan jaringan
Otomatiskan mekanisme perlindungan untuk memberikan jaringan perlindungan mandiri berdasarkan deteksi anomali dan kecerdasan ancaman. Misalnya, deteksi gangguan dan alat pencegahan yang dapat beradaptasi dengan ancaman masa kini serta mengurangi dampaknya. Firewall aplikasi web adalah contoh tempat Anda mengotomatiskan perlindungan jaringan, misalnya, dengan menggunakan solusi Otomatisasi Keamanan AWS WAF ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)) untuk secara otomatis memblokir permintaan yang berasal dari alamat IP yang terkait dengan penyebab ancaman yang diketahui.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang
## Panduan implementasi
+ Otomatiskan perlindungan untuk lalu lintas berbasis web: AWS menawarkan solusi yang menggunakan AWS CloudFormation untuk secara otomatis melakukan deployment rangkaian aturan AWS WAF yang didesain untuk memfilter serangan berbasis web yang umum. Pengguna dapat memilih dari fitur perlindungan sebelum dikonfigurasi yang menentukan aturan yang disertakan dalam daftar kontrol akses web (web ACL) AWS WAF.
+ [Otomatisasi keamanan AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/)
+ Pertimbangkan solusi AWS Partner: Partner AWS menawarkan ratusan produk industri terkemuka yang setara, serupa, atau dapat diintegrasikan dengan kontrol yang sudah ada di lingkungan on-premise Anda. Produk-produk ini melengkapi layanan AWS untuk memungkinkan Anda melakukan deployment arsitektur keamanan yang menyeluruh dan pengalaman yang lancar di seluruh lingkungan cloud dan on-premise Anda.
+ [Keamanan infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Sumber daya
**Dokumen terkait:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Keamanan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Mulai menggunakan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Video terkait:**
+ [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)
**Contoh terkait:**
+ [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP04 Mengimplementasikan inspeksi dan perlindungan
Inspeksi dan filter lalu lintas Anda di setiap lapisan. Anda dapat melakukan inspeksi terhadap konfigurasi VPC untuk potensi akses yang tidak diinginkan menggunakan [VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). Anda dapat menentukan persyaratan akses jaringan Anda serta mengidentifikasi jalur jaringan yang berpotensi tidak memenuhi syarat tersebut. Untuk komponen transaksi melalui protokol berbasis HTTP, firewall aplikasi web dapat membantu melindungi dari serangan yang umum. [AWS WAF](https://aws.amazon.com/waf) adalah firewall aplikasi web yang memungkinkan Anda untuk memantau dan memblokir permintaan HTTP sesuai dengan aturan yang dapat Anda konfigurasikan yang diteruskan ke API Amazon API Gateway, Amazon CloudFront, atau Application Load Balancer. Untuk mulai menggunakan AWS WAF, Anda dapat memulai dengan [Peraturan yang Dikelola AWS](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) yang digabungkan dengan milik Anda sendiri, atau gunakan [integrasi partner yang ada.](https://aws.amazon.com/waf/partners/).
Untuk mengelola AWS WAF, perlindungan AWS Shield Advanced, dan grup keamanan Amazon VPC di seluruh AWS Organizations, Anda dapat menggunakan AWS Firewall Manager. Hal ini memungkinkan Anda untuk mengonfigurasikan dan mengelola aturan firewall di seluruh akun dan aplikasi Anda secara terpusat, sehingga lebih mudah untuk menskalakan penerapan aturan umum. Penerapan ini juga memungkinkan Anda merespons serangan dengan cepat, menggunakan [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html), atau [solusi](https://aws.amazon.com/solutions/aws-waf-security-automations/) yang dapat secara otomatis memblokir permintaan yang tidak diinginkan ke aplikasi web Anda. Firewall Manager juga menerapkan [AWS Network Firewall](https://aws.amazon.com/network-firewall/). AWS Network Firewall adalah layanan terkelola yang menggunakan mesin aturan untuk memberi Anda kontrol fine-grained terhadap lalu lintas jaringan stateful dan stateless. Layanan ini mendukung [spesifikasi sistem perlindungan gangguan (IPS)](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) sumber terbuka yang sesuai dengan aturan Suricata untuk aturan yang membantu melindungi beban kerja Anda.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah
## Panduan implementasi
+ Konfigurasikan Amazon GuardDuty: GuardDuty adalah layanan pendeteksi ancaman yang secara terus-menerus memantau aktivitas berbahaya dan perilaku yang tidak diotorisasi untuk melindungi Akun AWS dan beban kerja Anda. Aktifkan GuardDuty dan konfigurasikan peringatan yang diotomatiskan.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
+ [Lab: Deployment Otomatis Kontrol Deteksi](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
+ Konfigurasikan Log Alur cloud privat virtual (VPC): Log Alur VPC adalah fitur yang memungkinkan Anda untuk mendokumentasikan informasi tentang lalu lintas IP ke dan dari antarmuka jaringan di VPC Anda. Data log alur dapat dipublikasikan ke Amazon CloudWatch Logs dan Amazon Simple Storage Service (Amazon S3). Setelah Anda membuat log alur, Anda dapat mengambil dan melihat datanya di lokasi tujuan yang telah dipilih.
+ Pertimbangkan traffic mirroring VPC: Traffic mirroring adalah fitur Amazon VPC yang dapat Anda gunakan untuk menyalin lalu lintas jaringan dari antarmuka jaringan elastis instans Amazon Elastic Compute Cloud (Amazon EC2) dan mengirimnya ke alat pemantauan dan keamanan luar jaringan untuk inspeksi konten, pemantauan ancaman, dan pemecahan masalah.
+ [Traffic mirroring VPC](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
## Sumber daya
**Dokumen terkait:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Keamanan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Mulai menggunakan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Video terkait:**
+ [Arsitektur referensi AWS Transit Gateway untuk banyak VPC](https://youtu.be/9Nikqn_02Oc)
+ [Perlindungan dan Akselerasi Aplikasi dengan Amazon CloudFront, AWS WAF, dan AWS Shield](https://youtu.be/0xlwLEccRe0)
**Contoh terkait:**
+ [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC 6. Bagaimana cara melindungi sumber daya komputasi Anda?
Sumber daya komputasi di beban kerja Anda memerlukan beberapa lapisan pertahanan untuk membantu melindungi dari ancaman eksternal dan internal. Sumber daya komputasi meliputi instans EC2, kontainer, fungsi AWS Lambda, layanan basis data, perangkat IoT, dan banyak lagi.
**Topics**
+ [SEC06-BP01 Melakukan manajemen kerentanan](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 Mengurangi permukaan serangan](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 Mengimplementasikan layanan terkelola](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 Mengotomatiskan perlindungan komputasi](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 Memberikan kemampuan melakukan tindakan dari jarak jauh](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 Memvalidasi integritas perangkat lunak](sec_protect_compute_validate_software_integrity.md)
# SEC06-BP01 Melakukan manajemen kerentanan
Seringlah memindai dan melakukan patching kerentanan pada kode, dependensi, dan infrastruktur Anda untuk membantu mencegah ancaman baru.
**Hasil yang diinginkan:** Membuat dan memelihara program manajemen kerentanan: Memindai dan melakukan patch sumber daya secara rutin, seperti instans Amazon EC2, kontainer Amazon Elastic Container Service (Amazon ECS), dan beban kerja Amazon Elastic Kubernetes Service (Amazon EKS). Mengonfigurasi jendela pemeliharaan untuk sumber daya yang dikelola AWS, seperti basis data Amazon Relational Database Service (Amazon RDS). Menggunakan pemindaian kode statis untuk memeriksa kode sumber aplikasi untuk masalah umum. Pertimbangkan uji penetrasi aplikasi web jika organisasi Anda memiliki keterampilan yang diperlukan atau dapat menggunakan bantuan dari luar.
**Antipola umum:**
+ Tidak memiliki program manajemen kerentanan.
+ Menjalankan patching sistem tanpa mempertimbangkan tingkat keparahan atau penghindaran risiko.
+ Menggunakan perangkat lunak yang sudah lewat tanggal akhir masa pakai (EOL) dari vendor.
+ Melakukan deployment kode ke dalam produksi sebelum menganalisis masalah keamanan.
**Manfaat menjalankan praktik terbaik ini:**
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Program manajemen kerentanan mencakup penilaian keamanan, mengidentifikasi masalah, memprioritaskan, dan menjalankan operasi patch sebagai bagian dari penyelesaian masalah. Otomatisasi adalah kunci agar dapat terus memindai beban kerja untuk menemukan masalah dan paparan jaringan yang tidak diinginkan serta melakukan perbaikan. Mengotomatiskan pembuatan dan pembaruan sumber daya menghemat waktu dan mengurangi risiko kesalahan konfigurasi yang menciptakan masalah lebih lanjut. Program manajemen kerentanan yang dirancang dengan baik juga harus mempertimbangkan pengujian kerentanan selama tahap pengembangan dan deployment siklus hidup perangkat lunak. Mengimplementasikan manajemen kerentanan selama pengembangan dan deployment membantu mengurangi kemungkinan kerentanan dapat masuk ke lingkungan produksi Anda.
Mengimplementasikan program manajemen kerentanan memerlukan pemahaman yang baik terkait [Model Tanggung Jawab Bersama AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) dan bagaimana kaitannya dengan beban kerja tertentu. Dalam Model Tanggung Jawab Bersama, AWS bertanggung jawab untuk melindungi infrastruktur AWS Cloud. Infrastruktur ini terdiri dari perangkat keras, perangkat lunak, jaringan, dan fasilitas yang menjalankan layanan AWS Cloud. Anda bertanggung jawab atas keamanan di cloud, misalnya, data aktual, konfigurasi keamanan, dan tugas manajemen instans Amazon EC2, serta memastikan bahwa klasifikasi dan konfigurasi objek Amazon S3 Anda sudah tepat. Pendekatan terhadap manajemen kerentanan juga dapat bervariasi, bergantung pada layanan yang digunakan. Misalnya, AWS mengelola patching untuk layanan basis data relasional terkelola kami, Amazon RDS, tetapi Anda akan bertanggung jawab atas patching basis data yang di-hosting secara mandiri.
AWS memiliki berbagai layanan untuk membantu program manajemen kerentanan. [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) terus memindai beban kerja AWS untuk menemukan masalah perangkat lunak dan akses jaringan yang tidak diinginkan. [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) membantu mengelola patching di seluruh instans Amazon EC2. Amazon Inspector dan Systems Manager dapat dilihat di [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html), layanan manajemen postur keamanan cloud yang membantu mengotomatiskan pemeriksaan keamanan AWS dan memusatkan peringatan keamanan.
[Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) dapat membantu mengidentifikasi potensi masalah di aplikasi Java dan Python menggunakan analisis kode statis.
**Langkah implementasi**
+ **Konfigurasikan [Amazon Inspector](https://docs.aws.amazon.com/inspector/v1/userguide/inspector_introduction.html):** Amazon Inspector secara otomatis mendeteksi instans Amazon EC2 yang baru saja diluncurkan, fungsi Lambda, dan gambar kontainer yang dimasukkan ke Amazon ECR serta segera memindainya untuk menemukan masalah perangkat lunak, potensi kecacatan, dan paparan jaringan yang tidak diinginkan.
+ **Pindai kode sumber:** Pindai pustaka dan dependensi untuk menemukan masalah dan kecacatan. [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) dapat memindai dan memberikan rekomendasi untuk memperbaiki [masalah keamanan umum](https://docs.aws.amazon.com/codeguru/detector-library/index.html) untuk aplikasi Java dan Python. [OWASP Foundation](https://owasp.org/www-community/Source_Code_Analysis_Tools) menerbitkan daftar Alat Analisis Kode Sumber (juga disebut sebagai alat SAST).
+ **Implementasikan mekanisme untuk memindai dan melakukan patching lingkungan yang ada, serta pemindaian sebagai bagian dari proses pembuatan jalur CI/CD:** Implementasikan mekanisme untuk memindai dan melakukan patching masalah di dependensi dan sistem operasi untuk membantu melindungi dari ancaman baru. Jalankan mekanisme tersebut secara rutin. Penting untuk memahami manajemen kerentanan perangkat lunak saat Anda ingin menerapkan patch atau mengatasi masalah perangkat lunak. Prioritaskan perbaikan potensi masalah keamanan dengan menanamkan penilaian kerentanan lebih awal ke dalam jalur integrasi berkelanjutan/pengiriman berkelanjutan (CI/CD). Pendekatan dapat bervariasi berdasarkan layanan AWS yang digunakan. Untuk memeriksa potensi masalah terkait perangkat lunak yang dijalankan di instans Amazon EC2, tambahkan [Amazon Inspector](https://aws.amazon.com/inspector/) ke jalur untuk memberikan peringatan dan menghentikan proses pembuatan jika masalah atau potensi kecacatan terdeteksi. Amazon Inspector memantau sumber daya secara berkelanjutan. Anda juga dapat menggunakan produk sumber terbuka seperti [Pemeriksaan Dependensi OWASP](https://owasp.org/www-project-dependency-check/), [Snyk](https://snyk.io/product/open-source-security-management/), [OpenVAS](https://www.openvas.org/), manajer paket, dan alat AWS Partner untuk manajemen kerentanan.
+ **Gunakan [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html):** Anda bertanggung jawab atas manajemen patch sumber daya AWS Anda, termasuk instans Amazon Elastic Compute Cloud (Amazon EC2), Amazon Machine Image (AMI), dan sumber daya komputasi lainnya. [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) mengotomatiskan proses patching instans terkelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya. Patch Manager dapat digunakan untuk menerapkan patch pada instans Amazon EC2 untuk sistem operasi dan aplikasi, termasuk aplikasi Microsoft, paket layanan Windows, dan pembaruan versi minor untuk instans berbasis Linux. Selain Amazon EC2, Patch Manager juga dapat digunakan untuk melakukan patching server on-premise.
Untuk daftar sistem operasi yang didukung, lihat [Sistem operasi yang didukung](https://docs.aws.amazon.com/systems-manager/latest/userguide/prereqs-operating-systems.html) di Panduan Pengguna Systems Manager. Anda dapat memindai instans untuk hanya melihat laporan patch yang hilang, atau Anda dapat memindai dan secara otomatis memasang semua patch yang hilang.
+ **Gunakan [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html):** Security Hub CSPM menyediakan tampilan komprehensif untuk status keamanan Anda di AWS. Program ini mengumpulkan data keamanan di [berbagai layanan AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html) dan mengumpulkan temuan tersebut dalam format standar, memungkinkan Anda untuk memprioritaskan temuan keamanan di seluruh layanan AWS.
+ **Gunakan [AWS CloudFormation](https://aws.amazon.com/cloudformation/):** [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) adalah layanan infrastruktur sebagai kode (IaC) yang dapat membantu manajemen kerentanan dengan mengotomatiskan deployment sumber daya dan menstandarkan arsitektur sumber daya di berbagai akun dan lingkungan.
## Sumber daya
**Dokumen terkait:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS--Security.pdf)
+ [ Amazon CodeGuru ](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [ Manajemen Kerentanan Otomatis yang Ditingkatkan untuk Beban Kerja Cloud dengan Amazon Inspector Baru ](https://aws.amazon.com/blogs/aws/improved-automated-vulnerability-management-for-cloud-workloads-with-a-new-amazon-inspector/)
+ [ Mengotomatiskan manajemen kerentanan dan perbaikan di AWS menggunakan Amazon Inspector dan AWS Systems Manager – Bagian 1 ](https://aws.amazon.com/blogs/mt/automate-vulnerability-management-and-remediation-in-aws-using-amazon-inspector-and-aws-systems-manager-part-1/)
**Video terkait:**
+ [Mengamankan Layanan Kontainer dan Nirserver](https://youtu.be/kmSdyN9qiXY)
+ [Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2](https://youtu.be/2B5bhZzayjI)
# SEC06-BP02 Mengurangi permukaan serangan
Kurangi paparan Anda ke akses yang tidak diinginkan dengan penguatan sistem operasi serta meminimalkan penggunaan komponen, pustaka, dan layanan sekali pakai eksternal. Mulai dengan mengurangi komponen yang tidak digunakan untuk seluruh beban kerja, baik itu paket sistem operasi atau aplikasi, untuk beban kerja berbasis Amazon Elastic Compute Cloud (Amazon EC2), maupun modul perangkat lunak eksternal pada kode Anda. Anda dapat menemukan beberapa panduan konfigurasi penguatan dan keamanan untuk sistem operasi umum dan perangkat lunak server. Misalnya, Anda dapat memulai dengan [Pusat Keamanan Internet](https://www.cisecurity.org/) dan lakukan iterasi.
Di Amazon EC2, Anda dapat membuat Amazon Machine Image (AMI) Anda sendiri, yang telah di-patch dan diperkuat, untuk membantu memenuhi persyaratan keamanan spesifik bagi organisasi Anda. Patch dan kontrol keamanan lain yang Anda terapkan di AMI efektif pada saat dibuat—sifatnya tidak dinamis kecuali Anda memodifikasinya setelah peluncuran, misalnya, dengan AWS Systems Manager.
Anda dapat menyederhanakan proses membangun AMI yang aman dengan EC2 Image Builder. EC2 Image Builder secara signifikan mengurangi upaya yang diperlukan untuk membuat dan memelihara image emas tanpa otomatisasi penulisan dan pemeliharaan. Ketika pembaruan perangkat lunak sudah tersedia, Image Builder secara otomatis memproduksi image baru tanpa mengharuskan pengguna memulai pembangunan image secara manual. EC2 Image Builder memungkinkan Anda untuk memvalidasi fungsionalitas dan keamanan image Anda dengan mudah sebelum menggunakannya dalam produksi dengan pengujian yang disediakan AWS serta pengujian Anda sendiri. Anda juga dapat menerapkan pengaturan keamanan yang disediakan AWS untuk mengamankan image Anda secara lebih lanjut untuk memenuhi kriteria keamanan internal. Misalnya, Anda dapat memproduksi image yang sesuai dengan standar Security Technical Implementation Guide (STIG) menggunakan templat yang disediakan oleh AWS.
Menggunakan alat analisis kode statis pihak ketiga, Anda dapat mengidentifikasi masalah keamanan umum seperti batas input fungsi yang tidak diperiksa, dan juga kelemahan dan paparan umum (common vulnerabilities and exposures, CVE) yang dapat diterapkan. Anda dapat menggunakan [Amazon CodeGuru](https://aws.amazon.com/codeguru/) untuk bahasa yang didukung. Alat pemeriksaan dependensi juga dapat digunakan untuk menentukan apakah pustaka yang ditautkan kode Anda merupakan versi terbaru, bebas dari CVE, serta memiliki syarat perizinan yang memenuhi persyaratan kebijakan perangkat lunak Anda.
Menggunakan Amazon Inspector, Anda dapat melakukan penilaian konfigurasi terhadap instans Anda untuk CVE yang diketahui, menilai tolok ukur keamanan, serta mengotomatiskan pemberitahuan kecacatan. Amazon Inspector berjalan di instans produksi atau di jalur build, serta memberi tahu pengembang dan teknisi ketika ada temuan. Anda dapat mengakses temuan secara terprogram dan mengarahkan tim Anda ke backlog dan sistem pelacakan bug. [EC2 Image Builder](https://aws.amazon.com/image-builder/) dapat digunakan untuk memelihara image server (AMI) dengan patching otomatis, penegakan kebijakan keamanan yang disediakan oleh AWS, serta kustomisasi lainnya. Ketika menggunakan kontainer, terapkan [Pemindaian Image ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) pada jalur build Anda dan secara rutin terhadap repositori image Anda untuk mencari CVE dalam kontainer Anda.
Ketika Amazon Inspector dan alat lainnya mengidentifikasi dengan efektif konfigurasi dan CVE apa pun yang ada, metode lain diperlukan untuk menguji beban kerja Anda pada tingkat aplikasi. [Fuzzing](https://owasp.org/www-community/Fuzzing) adalah metode yang terkenal untuk menemukan bug menggunakan otomatisasi untuk menginjeksi data dengan kesalahan bentuk ke bidang input dan area lain pada aplikasi Anda.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
+ Perkuat sistem operasi: Konfigurasikan sistem operasi agar memenuhi praktik terbaik.
+ [Mengamankan Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/)
+ [Mengamankan Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/)
+ Perkuat sumber daya terkontainerisasi: Konfigurasikan sumber daya terkontainerisasi untuk memenuhi praktik terbaik keamanan.
+ Terapkan praktik terbaik AWS Lambda.
+ [Praktik terbaik AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html)
## Sumber daya
**Dokumen terkait:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Mengganti Host Bastion dengan Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Video terkait:**
+ [Menjalankan beban kerja dengan keamanan tinggi di Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Mengamankan Layanan Kontainer dan Nirserver](https://youtu.be/kmSdyN9qiXY)
+ [Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Contoh terkait:**
+ [Lab: Deployment Firewall Aplikasi Web secara Otomatis](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP03 Mengimplementasikan layanan terkelola
Implementasikan layanan yang mengelola sumber daya seperti Amazon Relational Database Service (Amazon RDS), AWS Lambda, dan Amazon Elastic Container Service (Amazon ECS), untuk mengurangi tugas pemeliharaan keamanan sebagai bagian dari model tanggung jawab bersama. Contohnya, Amazon RDS membantu Anda mengatur, mengoperasikan, dan menskalakan basis data relasional, mengotomatiskan tugas administrasi seperti penyediaan perangkat keras, pengaturan basis data, patching, dan pencadangan. Ini berarti Anda memiliki lebih banyak waktu luang untuk berkonsentrasi mengamankan aplikasi Anda dengan cara lain yang disebutkan dalam AWS Well-Architected Framework. Lambda memungkinkan Anda menjalankan kode tanpa menyediakan atau mengelola server, sehingga Anda hanya perlu fokus pada konektivitas, permintaan, dan keamanan di tingkat kode–bukan infrastruktur atau sistem operasi.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
+ Jelajahi layanan yang tersedia: Jelajahi, uji, dan terapkan layanan yang mengelola sumber daya, seperti Amazon RDS, AWS Lambda, dan Amazon ECS.
## Sumber daya
**Dokumen terkait:**
+ [ Situs web AWS](https://aws.amazon.com/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Mengganti Host Bastion dengan Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Video terkait:**
+ [Menjalankan beban kerja dengan keamanan tinggi di Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Mengamankan Layanan Kontainer dan Nirserver](https://youtu.be/kmSdyN9qiXY)
+ [Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Contoh terkait:**
+ [Lab: Permohonan Sertifikat Publik AWS Certificate Manager ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)
# SEC06-BP04 Mengotomatiskan perlindungan komputasi
Otomatiskan mekanisme komputasi protektif Anda termasuk manajemen kelemahan, pengurangan permukaan serangan, serta manajemen sumber daya. Otomatisasi akan membantu Anda menginvestasikan waktu untuk mengamankan aspek-aspek lain dalam beban kerja Anda, dan mengurangi risiko kesalahan manusia.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang
## Panduan implementasi
+ Otomatiskan manajemen konfigurasi: Tegakkan dan validasi konfigurasi keamanan secara otomatis menggunakan layanan atau alat manajemen konfigurasi.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Lab: Deployment otomatis VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [Lab: Deployment otomatis aplikasi web EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
+ Otomatiskan patching instans Amazon Elastic Compute Cloud (Amazon EC2): AWS Systems Manager Patch Manager mengotomatiskan proses patching instans terkelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya. Anda dapat menggunakan Patch Manager guna menerapkan patch untuk sistem operasi maupun aplikasi.
+ [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Patching multiakun dan multiwilayah terpusat dengan AWS Systems Manager Automation](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ Implementasikan deteksi dan pencegahan intrusi: Implementasikan alat deteksi dan pencegahan intrusi untuk memantau dan menghentikan aktivitas berbahaya pada instans.
+ Pertimbangkan solusi AWS Partner: Partner AWS menawarkan ratusan produk industri terkemuka yang setara, serupa, atau dapat diintegrasikan dengan kontrol yang sudah ada di lingkungan on-premise Anda. Produk-produk ini melengkapi layanan AWS untuk memungkinkan Anda melakukan deployment arsitektur keamanan yang menyeluruh dan pengalaman yang lancar di seluruh lingkungan cloud dan on-premise Anda.
+ [Keamanan infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Sumber daya
**Dokumen terkait:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Patching multiakun dan multiwilayah terpusat dengan AWS Systems Manager Automation](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ [Keamanan infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
+ [Mengganti Host Bastion dengan Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Video terkait:**
+ [Running high-security workloads on Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Security best practices for the Amazon EC2 instance metadata service](https://youtu.be/2B5bhZzayjI)
**Contoh terkait:**
+ [Lab: Deployment Firewall Aplikasi Web secara Otomatis](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
+ [Lab: Deployment otomatis aplikasi web EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
# SEC06-BP05 Memberikan kemampuan melakukan tindakan dari jarak jauh
Menghapus kemampuan akses interaktif dapat mengurangi risiko kesalahan akibat kelalaian manusia, dan kemungkinan dibutuhkannya manajemen atau konfigurasi manual. Misalnya, gunakan alur kerja manajemen perubahan untuk melakukan deployment instans Amazon Elastic Compute Cloud (Amazon EC2) menggunakan infrastruktur sebagai kode, selanjutnya kelola instans Amazon EC2 menggunakan alat seperti AWS Systems Manager, bukannya menerapkan akses langsung melalui host bastion. AWS Systems Managerdapat mengotomatiskan berbagai tugas pemeliharaan dan deployment, menggunakan fitur yang mencakup [alur kerja](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [otomatisasi](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), [dokumen](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (buku pedoman), dan [run command (jalankan perintah)](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html). Tumpukan AWS CloudFormation dibangun dari pipeline dan dapat mengotomatiskan tugas manajemen serta deployment infrastruktur Anda tanpa menggunakan Konsol Manajemen AWS atau API secara langsung.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah
## Panduan implementasi
+ Ganti akses konsol: Ganti akses konsol (SSH atau RDP) ke instans dengan AWS Systems Manager Run Command untuk mengotomatiskan tugas manajemen.
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
## Sumber daya
**Dokumen terkait:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [Mengganti Host Bastion dengan Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Video terkait:**
+ [Jalankan beban kerja dengan keamanan tinggi di Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Mengamankan Layanan Kontainer dan Nirserver](https://youtu.be/kmSdyN9qiXY)
+ [Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Contoh terkait:**
+ [Lab: Deployment Otomatis Firewall Aplikasi Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP06 Memvalidasi integritas perangkat lunak
Implementasikan mekanisme (misalnya, penandatanganan kode) untuk memvalidasi bahwa perangkat lunak, kode, dan pustaka yang digunakan di beban kerja berasal dari sumber tepercaya dan belum pernah dimodifikasi. Misalnya, Anda harus memverifikasi sertifikat penandatanganan kode biner dan skrip untuk mengonfirmasi penulis, serta memastikan sertifikat tersebut belum pernah dimodifikasi sejak dibuat oleh penulisnya. [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) dapat membantu memastikan kepercayaan dan integritas kode Anda dengan mengelola secara terpusat siklus hidup penandatanganan kode, termasuk sertifikat penandatanganan serta kunci privat dan publik. Anda dapat mempelajari cara menggunakan pola tingkat lanjut dan praktik terbaik penandatanganan kode dengan [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/). Selain itu, checksum perangkat lunak yang Anda unduh, dibandingkan dengan checksum dari penyedia, dapat membantu memastikan bahwa perangkat belum pernah dimodifikasi.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah
## Panduan implementasi
+ Selidiki mekanisme: Penandatanganan kode adalah sebuah mekanisme yang dapat digunakan untuk memvalidasi integritas perangkat lunak.
+ [NIST: Pertimbangan Keamanan untuk Penandatanganan Kode](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf)
## Sumber daya
**Dokumen terkait:**
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [Baru – Penandatanganan Kode, Kontrol Integritas dan Kepercayaan untuk AWS Lambda](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)
# Perlindungan data
**Topics**
+ [SEC 7. Bagaimana cara mengklasifikasikan data Anda?](sec-07.md)
+ [SEC 8. Bagaimana cara melindungi data diam Anda?](sec-08.md)
+ [SEC 9. Bagaimana cara melindungi data bergerak Anda?](sec-09.md)
# SEC 7. Bagaimana cara mengklasifikasikan data Anda?
Klasifikasi memberikan cara untuk mengategorikan data, berdasarkan tingkat kekritisan dan sensitivitas untuk membantu Anda menentukan kontrol retensi dan perlindungan yang sesuai.
**Topics**
+ [SEC07-BP01 Mengidentifikasi data dalam beban kerja Anda](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Menentukan kontrol perlindungan data](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Mengotomatisasi identifikasi dan klasifikasi](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Menentukan manajemen siklus hidup data](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 Mengidentifikasi data dalam beban kerja Anda
Penting untuk memahami jenis dan klasifikasi data yang sedang diproses oleh beban kerja Anda, proses bisnis terkait, tempat penyimpanan data, dan pemilik data. Anda juga harus memahami persyaratan hukum dan kepatuhan yang berlaku dari beban kerja Anda, dan kontrol data apa yang perlu diterapkan. Mengidentifikasi data adalah langkah pertama dalam perjalanan klasifikasi data.
**Manfaat menjalankan praktik terbaik ini:**
Dengan klasifikasi data, pemilik beban kerja dapat mengidentifikasi lokasi penyimpanan data sensitif dan menentukan bagaimana data tersebut dapat diakses dan dibagikan.
Klasifikasi data bertujuan untuk menjawab pertanyaan berikut:
+ **Jenis data apa yang Anda miliki?**
Data dapat berupa:
+ Kekayaan intelektual (IP), seperti rahasia dagang, paten, atau perjanjian kontrak.
+ Informasi kesehatan yang dilindungi (PHI), seperti rekam medis yang berisi informasi riwayat kesehatan seseorang.
+ Informasi pengenal pribadi (PII), seperti nama, alamat, tanggal lahir, dan nomor registrasi atau ID nasional.
+ Data kartu kredit, seperti Nomor Rekening Utama (PAN), nama pemilik kartu, tanggal kedaluwarsa, dan nomor kode layanan.
+ Di mana data sensitif disimpan?
+ Siapa yang dapat mengakses, mengubah, dan menghapus data?
+ Memahami izin pengguna adalah hal yang penting dalam menghindari potensi kesalahan penanganan data.
+ **Siapa yang dapat melakukan operasi membuat, membaca, memperbarui, dan menghapus (CRUD)? **
+ Antisipasi potensi peningkatan hak akses dengan memahami siapa yang dapat mengelola izin ke data.
+ **Dampak bisnis seperti apa yang mungkin terjadi jika data secara tidak sengaja diungkapkan, diubah, atau dihapus? **
+ Pahami konsekuensi risiko jika data diubah, dihapus, atau diungkapkan secara tidak sengaja.
Dengan mengetahui jawaban atas pertanyaan ini, Anda dapat mengambil tindakan berikut:
+ Mengurangi cakupan data sensitif (seperti jumlah lokasi data sensitif) dan membatasi akses ke data sensitif hanya untuk pengguna yang disetujui.
+ Memahami berbagai jenis data sehingga Anda dapat menerapkan mekanisme dan teknik perlindungan data yang sesuai, seperti enkripsi, pencegahan kehilangan data, serta manajemen identitas dan akses.
+ Mengoptimalkan biaya dengan memberikan tujuan kontrol yang tepat untuk data.
+ Tanpa ragu menjawab pertanyaan dari regulator dan auditor mengenai jenis dan jumlah data, dan bagaimana data dengan sensitivitas yang berbeda dipisahkan dari satu sama lain.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Klasifikasi data adalah tindakan mengidentifikasi sensitivitas data. Aktivitas ini mungkin melibatkan pemberian tag untuk memudahkan pencarian dan pelacakan data. Klasifikasi data juga mengurangi duplikasi data, yang dapat membantu mengurangi biaya penyimpanan dan pencadangan sekaligus mempercepat proses pencarian.
Gunakan layanan seperti Amazon Macie untuk mengotomatiskan penemuan dan klasifikasi data sensitif dalam skala besar. Layanan lain, seperti Amazon EventBridge dan AWS Config, dapat digunakan untuk mengotomatiskan perbaikan masalah keamanan data, seperti bucket Amazon Simple Storage Service (Amazon S3) tidak terenkripsi dan volume EBS Amazon EC2 atau sumber daya data yang tidak diberi tag. Untuk daftar lengkap integrasi layanan AWS, lihat [dokumentasi EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/event-types.html).
[Mendeteksi PII](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html) dalam data yang tidak terstruktur seperti email pelanggan, tiket dukungan, ulasan produk, dan media sosial dapat dilakukan [menggunakan Amazon Comprehend](https://aws.amazon.com/blogs/machine-learning/detecting-and-redacting-pii-using-amazon-comprehend/), yang merupakan layanan pemrosesan bahasa alami (NLP) yang menggunakan machine learning (ML) untuk menemukan wawasan dan hubungan seperti orang, tempat, sentimen, serta topik dalam teks yang tidak terstruktur. Untuk daftar layanan AWS yang dapat membantu identifikasi data, lihat [Teknik umum untuk mendeteksi data PHI dan PII menggunakan layanan AWS](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/).
Metode lain yang mendukung klasifikasi dan perlindungan data adalah [Pemberian tag sumber daya AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html). Pemberian tag memungkinkan Anda menetapkan metadata ke sumber daya AWS yang dapat digunakan untuk mengelola, mengidentifikasi, mengatur, mencari, dan memfilter sumber daya.
Dalam beberapa kasus, Anda mungkin memilih untuk memberi tag seluruh sumber daya (seperti bucket S3), khususnya saat beban kerja atau layanan tertentu diharapkan menyimpan proses atau transmisi dari klasifikasi data yang sudah umum.
Jika perlu, Anda dapat memberi tag bucket S3 dan bukan pada objek individu untuk kemudahan administrasi dan pemeliharaan keamanan.
### Langkah implementasi
**Deteksi data sensitif dalam Amazon S3: **
1. Sebelum memulai, pastikan Anda memiliki izin yang sesuai untuk mengakses konsol Amazon Macie dan operasi API. Untuk detail tambahan, lihat [Mulai menggunakan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html).
1. Gunakan Amazon Macie untuk menjalankan penemuan data otomatis saat data sensitif berada di [Amazon S3](https://aws.amazon.com/s3/).
+ Gunakan panduan [Mulai Menggunakan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) untuk mengonfigurasi repositori untuk hasil penemuan data sensitif dan membuat tugas penemuan untuk data sensitif.
+ [Cara menggunakan Amazon Macie untuk pratinjau data sensitif di bucket S3.](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/)
Secara default, Macie menganalisis objek menggunakan set pengidentifikasi data terkelola yang kami rekomendasikan untuk penemuan data sensitif otomatis. Anda dapat menyesuaikan analisis dengan mengonfigurasi Macie untuk menggunakan pengidentifikasi data terkelola tertentu, pengidentifikasi data kustom, dan daftar yang diizinkan saat melakukan penemuan data sensitif otomatis untuk akun atau organisasi Anda. Anda dapat menyesuaikan cakupan analisis dengan mengecualikan bucket tertentu (misalnya, bucket S3 yang biasanya menyimpan data pencatatan log AWS).
1. Untuk mengonfigurasi dan menggunakan penemuan data sensitif otomatis, lihat [Menjalankan penemuan data sensitif otomatis dengan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html).
1. Anda juga dapat mempertimbangkan [Penemuan Data Otomatis untuk Amazon Macie](https://aws.amazon.com/blogs/aws/automated-data-discovery-for-amazon-macie/).
**Deteksi data sensitif dalam Amazon RDS: **
Untuk informasi lebih lanjut tentang penemuan data di basis data [Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds/), lihat [Mengaktifkan klasifikasi data untuk basis data Amazon RDS dengan Macie](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/).
**Deteksi data sensitif dalam DynamoDB: **
+ [Mendeteksi data sensitif di DynamoDB dengan Macie](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/) menjelaskan cara menggunakan Amazon Macie untuk mendeteksi data sensitif di tabel [Amazon DynamoDB](https://aws.amazon.com/dynamodb/) dengan mengekspor data ke Amazon S3 untuk pemindaian.
**Solusi Partner AWS: **
+ Pertimbangkan untuk menggunakan ekstensi AWS Partner Network. Partner AWS memiliki alat ekstensi dan kerangka kerja kepatuhan yang terintegrasi langsung dengan layanan AWS. Partner dapat memberikan solusi tata kelola dan kepatuhan yang disesuaikan untuk membantu memenuhi kebutuhan organisasi Anda.
+ Untuk solusi kustom dalam klasifikasi data, lihat [Tata kelola data dalam peraturan dan persyaratan kepatuhan](https://aws.amazon.com/big-data/featured-partner-solutions-data-governance-compliance/).
Anda dapat secara otomatis menerapkan standar pemberian tag yang diadopsi oleh organisasi Anda dengan membuat dan melakukan deployment kebijakan menggunakan AWS Organizations. Kebijakan tag memungkinkan Anda menentukan aturan yang menentukan nama kunci yang valid dan nilai apa yang valid untuk setiap kunci. Anda dapat memilih untuk hanya memantau, yang dapat Anda gunakan untuk mengevaluasi dan menghapus tag yang ada. Setelah tag mematuhi standar yang dipilih, Anda dapat mengaktifkan penerapan di kebijakan tag untuk mencegah pembuatan tag yang tidak patuh. Untuk detail lebih lanjut, lihat [Mengamankan tag sumber daya yang digunakan untuk otorisasi menggunakan kebijakan kontrol layanan di AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/) dan contoh kebijakan di [mencegah perubahan tag selain oleh pengguna utama yang sah](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin).
+ Untuk mulai menggunakan kebijakan tag di [AWS Organizations](https://aws.amazon.com/organizations/), sangat disarankan untuk mengikuti alur kerja di [Mulai menggunakan kebijakan tag](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) sebelum melanjutkan ke kebijakan tag yang lebih tinggi. Memahami efek pelampiran kebijakan tag sederhana ke satu akun sebelum menerapkannya ke seluruh unit organisasi (OU) atau organisasi dapat memberikan gambaran akan efek kebijakan tag sebelum Anda menerapkan kepatuhan ke kebijakan tag. [Mulai menggunakan kebijakan tag](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) menyediakan tautan ke instruksi untuk tugas terkait kebijakan yang lebih tinggi.
+ Pertimbangkan untuk mengevaluasi [layanan dan fitur AWS](https://docs.aws.amazon.com/whitepapers/latest/data-classification/using-aws-cloud-to-support-data-classification.html#aws-services-and-features) lainnya yang mendukung klasifikasi data, yang tercantum dalam laporan resmi [Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html).
## Sumber daya
**Dokumen terkait:**
+ [Mulai Menggunakan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [Penemuan data otomatis dengan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd.html)
+ [Mulai menggunakan kebijakan tag](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)
+ [Mendeteksi entitas PII](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html)
**Blog terkait:**
+ [Cara menggunakan Amazon Macie untuk pratinjau data sensitif di bucket S3.](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/)
+ [Menjalankan penemuan data sensitif dengan Amazon Macie.](https://aws.amazon.com/blogs/aws/automated-data-discovery-for-amazon-macie/)
+ [Teknik umum untuk mendeteksi data PHI dan PII menggunakan Layanan AWS](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/)
+ [Mendeteksi dan mengedit PII menggunakan Amazon Comprehend](https://aws.amazon.com/blogs/machine-learning/detecting-and-redacting-pii-using-amazon-comprehend/)
+ [Menggunakan tag sumber daya yang digunakan untuk otorisasi menggunakan kebijakan kontrol layanan di AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [Melakukan klasifikasi data untuk basis data Amazon RDS dengan Macie](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/)
+ [Mendeteksi data sensitif di DynamoDB dengan Macie](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/)
**Video terkait:**
+ [Keamanan yang diarahkan peristiwa menggunakan Amazon Macie](https://www.youtube.com/watch?v=onqA7MJssoU)
+ [Amazon Macie untuk perlindungan dan tata kelola data](https://www.youtube.com/watch?v=SmMSt0n6a4k)
+ [Menyaring temuan data sensitif dengan daftar yang diizinkan](https://www.youtube.com/watch?v=JmQ_Hybh2KI)
# SEC07-BP02 Menentukan kontrol perlindungan data
Lindungi data sesuai dengan tingkat klasifikasinya. Contohnya, amankan data dengan klasifikasi publik menggunakan rekomendasi yang relevan sekaligus melindungi data sensitif dengan kontrol tambahan.
Dengan menggunakan tag sumber daya, pisahkan AWSakun berdasarkan sensitivitas (dan berpotensi juga untuk setiap peringatan, enklave, atau komunitas minat), kebijakan IAM, SCP AWS Organizations, AWS Key Management Service (AWS KMS), dan AWS CloudHSM, Anda dapat menentukan dan menerapkan kebijakan Anda untuk klasifikasi dan perlindungan data dengan enkripsi. Contohnya, jika Anda memiliki proyek dengan bucket S3 yang berisi data yang sangat penting atau instans Amazon Elastic Compute Cloud (Amazon EC2) yang memproses data rahasia, Anda dapat menandainya dengan tag `Project=ABC` . Hanya tim langsung Anda yang mengetahui arti kode proyek ini, dan ini menyediakan cara untuk menggunakan kontrol akses berbasis atribut. Anda dapat menentukan tingkatan akses ke kunci enkripsi AWS KMS melalui kebijakan dan pemberian kunci untuk memastikan hanya layanan yang sesuai yang memiliki akses ke konten sensitif melalui mekanisme yang aman. Jika Anda membuat keputusan otorisasi berdasarkan tag, Anda harus memastikan bahwa izin pada tag telah ditentukan dengan tepat menggunakan kebijakan tag di AWS Organizations.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
+ Tentukan identifikasi dan skema klasifikasi data Anda: Identifikasi dan klasifikasi data Anda dilakukan untuk menilai potensi dampak dan tipe data yang Anda simpan dan siapa saja yang dapat mengaksesnya.
+ [Dokumentasi AWS](https://docs.aws.amazon.com/)
+ Temukan kontrol AWS yang tersedia: Untuk layanan AWS yang sedang atau akan Anda gunakan, temukan kontrol keamanannya. Banyak layanan memiliki bagian keamanan dalam dokumentasinya.
+ [Dokumentasi AWS](https://docs.aws.amazon.com/)
+ Kenali sumber daya kepatuhan AWS: Kenali sumber daya yang disediakan oleh AWS untuk membantu.
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## Sumber daya
**Dokumen terkait:**
+ [Dokumentasi AWS](https://docs.aws.amazon.com/)
+ [Laporan Resmi Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Mulai menggunakan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [Teks Hilang](https://aws.amazon.com/compliance/)
**Video terkait:**
+ [Memperkenalkan Amazon Macie Baru](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 Mengotomatisasi identifikasi dan klasifikasi
Otomatisasi identifikasi dan klasifikasi data dapat membantu Anda mengimplementasikan kontrol yang tepat. Menggunakan otomatisasi untuk hal ini, sebagai ganti akses langsung dari orang, dapat mengurangi risiko kesalahan dan eksposur manusia. Anda harus mengevaluasi menggunakan alat, seperti [Amazon Macie](https://aws.amazon.com/macie/), yang menggunakan machine learning untuk menemukan, mengelompokkan, dan melindungi data sensitif secara otomatis di AWS. Amazon Macie mengenali data sensitif, seperti informasi pengenal pribadi (PII) atau kekayaan intelektual, dan membekali Anda dengan dasbor dan peringatan yang memberikan visibilitas tentang bagaimana data ini diakses atau dipindahkan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
+ Gunakan Inventaris Amazon Simple Storage Service (Amazon S3): Inventaris Amazon S3 adalah salah satu alat yang dapat Anda gunakan untuk mengaudit serta melaporkan replikasi dan status enkripsi objek.
+ [Inventaris Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Pertimbangkan Amazon Macie: Amazon Macie menggunakan machine learning untuk secara otomatis menemukan dan mengelompokkan data yang disimpan di Amazon S3.
+ [Amazon Macie](https://aws.amazon.com/macie/)
## Sumber daya
**Dokumen terkait:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Inventaris Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [Laporan Resmi Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Mulai menggunakan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Video terkait:**
+ [Memperkenalkan Amazon Macie Baru](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 Menentukan manajemen siklus hidup data
Strategi siklus hidup yang ditentukan harus berdasarkan tingkat sensitivitas serta persyaratan hukum dan organisasi. Aspek-aspek yang perlu diperhatikan mencakup durasi mempertahankan data, proses penghancuran data, manajemen akses data, transformasi data, dan berbagi data. Saat memilih metodologi klasifikasi data, seimbangkan ketergunaan dan akses. Anda juga harus mengakomodasi beberapa tingkat akses dan perbedaan untuk mengimplementasikan pendekatan yang aman tetapi masih dapat digunakan untuk masing-masing tingkat. Selalu gunakan pendekatan pertahanan mendalam dan kurangi akses manusia ke data dan mekanisme untuk mentransformasi, menghapus, atau menyalin data. Misalnya, pengguna perlu diautentikasi oleh aplikasi, dan berikan izin akses yang diperlukan untuk melakukan tindakan dari jarak jauh kepada aplikasi, bukan pengguna. Selain itu, pastikan bahwa pengguna berasal dari jalur jaringan tepercaya dan memerlukan akses ke kunci dekripsi. Gunakan alat seperti dasbor dan pelaporan otomatis untuk memberikan informasi data kepada pengguna daripada memberi mereka akses langsung ke data.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah
## Panduan implementasi
+ Identifikasikan jenis data: Identifikasikan jenis data yang disimpan atau diproses di beban kerja. Data tersebut dapat berupa teks, gambar, basis data biner, dan lainnya.
## Sumber daya
**Dokumen terkait:**
+ [Laporan Resmi Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Mulai menggunakan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Video terkait:**
+ [Memperkenalkan Amazon Macie Baru](https://youtu.be/I-ewoQekdXE)
# SEC 8. Bagaimana cara melindungi data diam Anda?
Lindungi data diam dengan mengimplementasikan beberapa kontrol, untuk mengurangi risiko akses tanpa otorisasi atau penanganan yang salah.
**Topics**
+ [SEC08-BP01 Mengimplementasikan manajemen kunci yang aman](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Menerapkan enkripsi data diam](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Mengotomatiskan perlindungan data diam](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Menerapkan kontrol akses](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 Menggunakan mekanisme untuk mencegah orang mengakses data](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 Mengimplementasikan manajemen kunci yang aman
Manajemen kunci yang aman mencakup penyimpanan, rotasi, kontrol akses, dan pemantauan materi kunci yang diperlukan untuk mengamankan data diam untuk beban kerja Anda.
**Hasil yang diinginkan:** Mekanisme manajemen kunci yang dapat diskalakan, dapat diulang, dan dapat diotomatiskan. Mekanisme ini harus memberikan kemampuan untuk menerapkan hak akses paling rendah ke materi kunci, memberikan keseimbangan yang tepat antara ketersediaan, kerahasiaan, dan integritas kunci. Akses ke kunci harus dipantau, dan materi kunci dirotasi melalui proses otomatis. Materi kunci tidak boleh diakses oleh identitas manusia.
**Antipola umum:**
+ Akses manusia ke materi kunci yang tidak terenkripsi.
+ Membuat algoritma kriptografi kustom.
+ Izin yang terlalu luas untuk mengakses materi kunci.
**Manfaat menjalankan praktik terbaik ini:** Dengan membuat mekanisme manajemen kunci yang aman untuk beban kerja Anda, Anda dapat membantu memberikan perlindungan untuk konten Anda dari akses yang tidak sah. Selain itu, Anda mungkin harus mematuhi persyaratan peraturan untuk mengenkripsi data Anda. Solusi manajemen kunci yang efektif dapat memberikan mekanisme teknis yang selaras dengan peraturan tersebut untuk melindungi materi kunci.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Banyak persyaratan peraturan dan praktik terbaik yang menyertakan enkripsi data diam sebagai kontrol keamanan mendasar. Untuk mematuhi kontrol ini, beban kerja Anda memerlukan mekanisme untuk menyimpan dan mengelola materi kunci yang digunakan untuk mengenkripsi data diam Anda.
AWS menawarkan AWS Key Management Service (AWS KMS) untuk menyediakan penyimpanan yang tahan lama, aman, dan redundan untuk kunci AWS KMS. [Banyak layanan AWS terintegrasi dengan AWS KMS](https://aws.amazon.com/kms/features/#integration) untuk mendukung enkripsi data Anda. AWS KMS menggunakan modul keamanan perangkat keras yang divalidasi FIPS 140-2 Level 3 untuk melindungi kunci Anda. Tidak ada mekanisme untuk mengekspor kunci AWS KMS ke dalam bentuk teks biasa.
Saat men-deploy beban kerja menggunakan strategi multiakun, merupakan salah satu [praktik terbaik](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html#app-kms) untuk menyimpan kunci AWS KMS di akun yang sama dengan beban kerja yang menggunakannya. Dalam model terdistribusi ini, tanggung jawab untuk mengelola kunci AWS KMS diemban oleh tim aplikasi. Dalam kasus penggunaan lainnya, organisasi dapat memilih untuk menyimpan kunci AWS KMS ke dalam sebuah akun terpusat. Struktur terpusat ini memerlukan kebijakan tambahan untuk mengaktifkan akses lintas akun yang diperlukan agar akun beban kerja dapat mengakses kunci yang disimpan di akun terpusat tersebut, tetapi mungkin lebih ideal untuk kasus penggunaan di mana satu kunci digunakan bersama-sama di beberapa Akun AWS.
Terlepas dari lokasi penyimpanan materi kunci, akses ke kunci harus dikontrol dengan ketat melalui penggunaan [kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dan kebijakan IAM Kebijakan kunci adalah cara utama untuk mengontrol akses ke kunci AWS KMS. Selain itu, pemberian kunci AWS KMS dapat memberikan akses ke layanan AWS untuk mengenkripsi dan mendekripsi data atas nama Anda. Luangkan waktu untuk mempelajari [praktik terbaik untuk kontrol akses ke kunci AWS KMS Anda](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html).
Salah satu praktik terbaik adalah memantau penggunaan kunci enkripsi untuk mendeteksi pola akses yang tidak biasa. Operasi yang dijalankan menggunakan kunci yang dikelola AWS dan kunci yang dikelola pelanggan yang disimpan AWS KMS dapat dicatatkan dalam log di AWS CloudTrail dan harus ditinjau secara berkala. Perhatian khusus harus diberikan pada pemantauan peristiwa penghancuran kunci. Untuk mengurangi penghancuran materi kunci yang tidak disengaja atau berbahaya, peristiwa penghancuran kunci tidak langsung menghapus materi kunci. Upaya untuk menghapus kunci di AWS KMS tunduk pada [masa tunggu](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-how-it-works), yakni secara default 30 hari, sehingga memberikan waktu kepada administrator untuk meninjau tindakan ini dan membatalkan permintaan jika perlu.
Sebagian besar layanan AWS menggunakan AWS KMS secara transparan bagi Anda - satu-satunya persyaratan Anda adalah memutuskan apakah akan menggunakan kunci yang dikelola AWS atau dikelola pelanggan. Jika beban kerja Anda memerlukan penggunaan langsung AWS KMS untuk mengenkripsi atau mendekripsi data, praktik terbaiknya adalah menggunakan [enkripsi amplop](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) untuk melindungi data Anda. Perintah [SDK Enkripsi AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) dapat menyediakan primitive enkripsi sisi klien aplikasi Anda untuk mengimplementasikan enkripsi amplop dan terintegrasi dengan AWS KMS.
### Langkah implementasi
1. Tentukan [opsi manajemen kunci](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) (yang dikelola AWS atau dikelola pelanggan) yang tepat untuk kunci Anda.
+ Untuk memudahkan penggunaan, AWS menawarkan kunci yang dimiliki AWS dan yang dikelola AWS untuk sebagian besar layanan, yang menyediakan kemampuan enkripsi data diam tanpa perlu mengelola materi kunci atau kebijakan kunci.
+ Saat menggunakan kunci yang dikelola pelanggan, pertimbangkan penyimpanan kunci default untuk memberikan keseimbangan terbaik antara ketangkasan, keamanan, kedaulatan data, dan ketersediaan. Kasus-kasus penggunaan lain mungkin memerlukan penggunaan penyimpanan kunci kustom dengan [AWS CloudHSM](https://aws.amazon.com/cloudhsm/) atau [penyimpanan kunci eksternal](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html).
1. Tinjau daftar layanan yang sedang Anda gunakan untuk beban kerja Anda untuk memahami bagaimana AWS KMS terintegrasi dengan layanan. Misalnya, instans EC2 dapat menggunakan volume EBS terenkripsi, yang memverifikasi bahwa snapshot Amazon EBS yang dibuat dari volume tersebut juga dienkripsi menggunakan kunci yang dikelola pelanggan dan mengurangi pengungkapan data snapshot yang tidak terenkripsi secara tidak disengaja.
+ [Bagaimana layanan AWS menggunakan AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/service-integration.html)
+ Untuk informasi mendetail tentang opsi enkripsi yang ditawarkan oleh layanan AWS, lihat topik Enkripsi Data Diam di panduan pengguna atau panduan developer untuk layanan tersebut.
1. Implementasikan AWS KMS: AWS KMS memudahkan Anda membuat dan mengelola kunci serta mengontrol penggunaan enkripsi di berbagai layanan AWS dan dalam aplikasi Anda.
+ [Memulai: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ Tinjau [praktik terbaik untuk kontrol akses ke kunci AWS KMS Anda](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html).
1. Pertimbangkan AWS Encryption SDK: Gunakan AWS Encryption SDK dengan integrasi AWS KMS ketika aplikasi Anda harus mengenkripsi data di sisi klien.
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
1. Aktifkan [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) agar secara otomatis meninjau dan memberi tahu jika ada kebijakan kunci AWS KMS yang terlalu luas.
1. Aktifkan [Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html) agar menerima notifikasi jika ada kebijakan kunci yang salah konfigurasi, kunci yang dijadwalkan untuk dihapus, atau kunci tanpa pengaktifan rotasi otomatis.
1. Tentukan tingkat pencatatan log yang sesuai untuk kunci AWS KMS Anda. Karena panggilan ke AWS KMS, termasuk peristiwa hanya-baca, dicatat ke log, jumlah log CloudTrail yang terkait dengan AWS KMS bisa jadi sangat banyak.
+ Beberapa organisasi lebih suka memisahkan aktivitas pencatatan log AWS KMS ke dalam jalur terpisah. Untuk detail selengkapnya, lihat bagian [Mencatatkan log panggilan API AWS KMS dengan CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) dalam panduan AWS KMS untuk developer.
## Sumber daya
**Dokumen terkait:**
+ [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
+ [Layanan dan alat kriptografi AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Melindungi Data Amazon S3 Menggunakan Enkripsi](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
+ [Enkripsi amplop](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)
+ [Janji kedaulatan digital](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/)
+ [Menjelaskan operasi kunci AWS KMS, membawa kunci Anda sendiri, penyimpanan kunci kustom, dan portabilitas teks sandi](https://aws.amazon.com/blogs/security/demystifying-kms-keys-operations-bring-your-own-key-byok-custom-key-store-and-ciphertext-portability/)
+ [Detail kriptografi AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Video terkait:**
+ [Cara Kerja Enkripsi di AWS](https://youtu.be/plv7PQZICCM)
+ [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8)
+ [Perlindungan data AWS: Menggunakan gembok, kunci, tanda tangan, dan sertifikat](https://www.youtube.com/watch?v=lD34wbc7KNA)
**Contoh terkait:**
+ [Mengimplementasikan mekanisme kontrol akses lanjutan menggunakan AWS KMS](https://catalog.workshops.aws/advkmsaccess/en-US/introduction)
# SEC08-BP02 Menerapkan enkripsi data diam
Anda harus menerapkan penggunaan enkripsi untuk data diam. Enkripsi menjaga kerahasiaan data sensitif jika terjadi akses tidak sah atau pengungkapan yang tidak disengaja.
**Hasil yang diinginkan:** Data pribadi harus dienkripsi secara default saat diam. Enkripsi membantu menjaga kerahasiaan data dan memberikan lapisan perlindungan tambahan terhadap pengungkapan atau eksfiltrasi data yang disengaja atau tidak disengaja. Data yang dienkripsi tidak dapat dibaca atau diakses tanpa membuka enkripsi data terlebih dahulu. Semua data tersimpan yang tidak dienkripsi harus diinventarisasi dan dikontrol.
**Antipola umum:**
+ Tidak menggunakan konfigurasi enkripsikan secara default.
+ Memberikan akses yang terlalu permisif ke kunci dekripsi.
+ Tidak memantau penggunaan kunci enkripsi dan dekripsi.
+ Menyimpan data tidak terenkripsi.
+ Menggunakan kunci enkripsi yang sama untuk semua data tanpa memperhatikan penggunaan, jenis, dan klasifikasi data.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Petakan kunci enkripsi ke klasifikasi data dalam beban kerja Anda. Pendekatan ini membantu melindungi dari akses yang terlalu permisif saat menggunakan kunci enkripsi tunggal atau yang sangat kecil untuk data Anda (lihat [SEC07-BP01 Mengidentifikasi data dalam beban kerja Anda](sec_data_classification_identify_data.md)).
AWS Key Management Service (AWS KMS) terintegrasi dengan berbagai layanan AWS untuk mempermudah enkripsi data diam. Misalnya, di Amazon Simple Storage Service (Amazon S3), Anda dapat mengatur [enkripsi default](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) pada bucket agar semua objek baru dienkripsi secara otomatis. Saat menggunakan AWS KMS, pertimbangkan seberapa ketat pembatasan data yang perlu dilakukan. Kunci AWS KMS default dan yang dikontrol layanan dikelola dan digunakan atas nama Anda oleh AWS. Untuk data sensitif yang memerlukan akses terperinci ke kunci enkripsi yang mendasarinya, pertimbangkan kunci yang dikelola pelanggan (CMK). Anda memiliki kontrol penuh atas CMK, termasuk rotasi dan manajemen akses melalui penggunaan kebijakan kunci.
Selain itu, [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) dan [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) mendukung penerapan enkripsi dengan mengatur enkripsi default. Anda dapat menggunakan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) untuk memeriksa secara otomatis apakah Anda sedang menggunakan enkripsi. Misalnya, untuk [volume Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instans Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html), dan [bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
AWS juga menyediakan opsi untuk enkripsi sisi klien, sehingga Anda dapat mengenkripsi data sebelum mengunggahnya ke cloud. AWS Encryption SDK menyediakan cara untuk mengenkripsi data Anda menggunakan [enkripsi amplop](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping). Anda memberikan kunci pembungkus, dan AWS Encryption SDK menghasilkan kunci data unik untuk setiap objek data yang dienkripsi. Pertimbangkan AWS CloudHSM jika Anda memerlukan modul keamanan perangkat keras (HSM) penyewa tunggal terkelola. AWS CloudHSM memungkinkan Anda membuat, mengimpor, dan mengelola kunci kriptografi pada HSM tervalidasi FIPS 140-2 level 3. Beberapa kasus penggunaan AWS CloudHSM termasuk melindungi kunci pribadi untuk menerbitkan otoritas sertifikat (CA), dan mengaktifkan enkripsi data transparan (TDE) untuk basis data Oracle. SDK Klien AWS CloudHSM menyediakan perangkat lunak yang dapat Anda gunakan untuk mengenkripsi data sisi klien menggunakan kunci yang disimpan di dalam AWS CloudHSM sebelum mengunggah data Anda ke AWS. Amazon DynamoDB Encryption Client juga mendukung enkripsi dan penandatanganan item sebelum diunggah ke tabel DynamoDB.
**Langkah implementasi**
+ **Terapkan enkripsi data diam untuk Amazon S3:** Implementasikan [enkripsi default bucket Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html).
**Konfigurasikan [enkripsi default untuk volume Amazon EBS baru](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html):** Tentukan bahwa Anda ingin membuat semua volume Amazon EBS baru dalam bentuk terenkripsi, dengan opsi penggunaan kunci default yang disediakan oleh AWS, atau kunci yang Anda buat.
**Konfigurasikan Amazon Machine Image (AMI) terenkripsi:** Menyalin AMI yang ada dengan enkripsi aktif akan mengenkripsi volume root dan snapshot secara otomatis.
**Konfigurasikan [enkripsi Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html):** Konfigurasikan enkripsi untuk klaster dan snapshot basis data Amazon RDS Anda saat diam menggunakan opsi enkripsi.
**Buat dan konfigurasikan kunci AWS KMS dengan kebijakan yang membatasi akses ke pengguna utama yang sesuai untuk setiap klasifikasi data:** Misalnya, buat satu kunci AWS KMS untuk mengenkripsi data produksi dan satu kunci untuk mengenkripsi data pengembangan atau pengujian. Anda juga dapat menyediakan kunci akses ke Akun AWS lainnya. Pertimbangkan untuk memiliki akun yang berbeda untuk lingkungan pengembangan dan produksi Anda. Jika lingkungan produksi Anda perlu mendekripsi artefak di akun pengembangan, Anda dapat mengedit kebijakan CMK yang digunakan untuk mengenkripsi artefak pengembangan agar akun produksi dapat mendekripsi artefak tersebut. Kemudian lingkungan produksi dapat menyerap data yang didekripsi untuk digunakan dalam produksi.
**Konfigurasikan enkripsi di layanan AWS tambahan:** Untuk layanan AWS lain yang Anda gunakan, lihat [dokumentasi keamanan](https://docs.aws.amazon.com/security/) untuk layanan terkait guna menentukan opsi enkripsi untuk layanan tersebut.
## Sumber daya
**Dokumen terkait:**
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [Dokumentasi AWS](https://docs.aws.amazon.com/)
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [Laporan Resmi Detail Kriptografi AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [Layanan dan alat kriptografi AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Enkripsi Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Enkripsi default untuk volume Amazon EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Mengenkripsi Sumber Daya Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [Bagaimana cara mengaktifkan enkripsi default untuk bucket Amazon S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [Melindungi Data Amazon S3 Menggunakan Enkripsi](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Video terkait:**
+ [Cara Kerja Enkripsi di AWS](https://youtu.be/plv7PQZICCM)
+ [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 Mengotomatiskan perlindungan data diam
Gunakan alat otomatis untuk memvalidasi dan menegakkan kontrol data diam secara terus menerus, misalnya, memastikan bahwa hanya ada sumber daya penyimpanan terenkripsi. Anda bisa [mengotomatiskan validasi bahwa semua volume EBS telah dienkripsi](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) menggunakan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) juga dapat memverifikasi beberapa kontrol yang berbeda melalui pemeriksaan otomatis berdasarkan standar keamanan. Selain itu, Aturan AWS Config Anda secara otomatis bisa [memperbaiki sumber daya yang tidak patuh](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation).
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
*Data diam* mewakili data yang Anda pertahankan di penyimpanan non-volatile selama durasi apa pun di beban kerja Anda. Data ini mencakup penyimpanan blok, penyimpanan objek, basis data, arsip, perangkat IoT, dan medium penyimpanan lain di mana datanya dipertahankan. Melindungi data diam Anda dapat mengurangi risiko akses yang tidak sah, ketika enkripsi dan kontrol akses yang tepat diimplementasikan.
Terapkan enkripsi data diam: Anda harus memastikan bahwa satu-satunya cara untuk menyimpan data adalah dengan menggunakan enkripsi. AWS KMS terintegrasi secara mulus dengan beberapa layanan AWS untuk mempermudah Anda mengenkripsi semua data diam Anda. Misalnya, di Amazon Simple Storage Service (Amazon S3) Anda bisa mengatur [enkripsi default](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) pada bucket sehingga semua objek baru terenkripsi secara otomatis. Selain itu, [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) dan [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) mendukung penegakan enkripsi dengan mengatur enkripsi default. Anda dapat menggunakan [AWS Managed Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) untuk memeriksa secara otomatis bahwa Anda menggunakan enkripsi, misalnya, untuk [volume EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instans Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html), dan [bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
## Sumber daya
**Dokumen terkait:**
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**Video terkait:**
+ [Cara Kerja Enkripsi di AWS](https://youtu.be/plv7PQZICCM)
+ [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 Menerapkan kontrol akses
Untuk membantu melindungi data diam, terapkan kontrol akses menggunakan mekanisme, seperti isolasi dan versioning, serta terapkan prinsip hak akses paling rendah. Cegah pemberian akses publik ke data Anda.
**Hasil yang diinginkan:** Memastikan hanya pengguna yang sah yang dapat mengakses data sesuai kebutuhan. Melindungi data Anda dengan pencadangan dan versioning rutin untuk mencegah pengubahan atau penghapusan data yang disengaja atau tidak disengaja. Mengisolasi data penting dari data lain untuk melindungi kerahasiaan dan integritas data tersebut.
**Antipola umum:**
+ Menyimpan data dengan kebutuhan atau klasifikasi sensitivitas yang berbeda secara bersamaan.
+ Menggunakan izin yang terlalu permisif pada kunci dekripsi.
+ Salah mengklasifikasi data.
+ Tidak menyimpan pencadangan terperinci untuk data penting.
+ Memberikan akses terus-menerus ke data produksi.
+ Tidak mengaudit akses data atau meninjau izin secara rutin
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Rendah
## Panduan implementasi
Beberapa kontrol dapat membantu melindungi data diam, termasuk akses (menggunakan hak akses paling rendah), isolasi, dan versioning. Akses ke data Anda harus diaudit menggunakan mekanisme deteksi, seperti AWS CloudTrail, dan log tingkat layanan, seperti log akses Amazon Simple Storage Service (Amazon S3). Anda harus membuat daftar data mana yang dapat diakses publik, dan menyusun rencana untuk mengurangi jumlah data yang tersedia untuk publik dari waktu ke waktu.
Kunci Vault Amazon Glacier dan Kunci Objek Amazon S3 memberikan kontrol akses wajib untuk objek di Amazon S3—begitu kebijakan vault dikunci dengan opsi kepatuhan, kebijakan tersebut tidak akan dapat diubah hingga kedaluwarsa, bahkan oleh pengguna root sekalipun.
### Langkah implementasi
+ **Terapkan akses kontrol**: Terapkan akses kontrol dengan hak akses paling rendah, termasuk akses ke kunci enkripsi.
+ **Pisahkan data berdasarkan tingkat klasifikasi yang berbeda**: Gunakan berbagai Akun AWS untuk tingkat klasifikasi, dan kelola akun tersebut menggunakan [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
+ **Tinjau kebijakan AWS Key Management Service (AWS KMS)**: [Tinjau tingkat akses](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) yang diberikan di kebijakan AWS KMS.
+ **Tinjau izin objek dan bucket Amazon S3**: Tinjau tingkat akses yang diberikan dalam kebijakan bucket S3 secara rutin. Praktik terbaiknya adalah menghindari penggunaan bucket yang dapat dibaca atau ditulis oleh publik. Coba gunakan [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) untuk mendeteksi bucket yang tersedia untuk publik, dan Amazon CloudFront untuk menyajikan konten dari Amazon S3. Pastikan bucket yang seharusnya tidak mengizinkan akses publik telah dikonfigurasi dengan benar untuk mencegah akses publik. Secara default, semua bucket S3 bersifat privat, dan hanya dapat diakses oleh pengguna yang telah diberi akses secara eksplisit.
+ **Aktifkan [AWS IAM Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/what-is-access-analyzer.html):** IAM Access Analyzer menganalisis bucket Amazon S3 dan menghasilkan temuan saat [kebijakan S3 memberikan izin ke entitas eksternal.](https://docs.aws.amazon.com//latest/UserGuide/access-analyzer-resources.html#access-analyzer-s3)
+ **Aktifkan [versioning Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) dan [kunci objek](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)** jika perlu.
+ **Gunakan [Inventaris Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)**: Inventaris Amazon S3 dapat digunakan untuk mengaudit serta melaporkan replikasi dan status enkripsi objek S3.
+ **Tinjau izin [Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) dan [berbagi AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)**: Dengan izin berbagi, Anda dapat membagikan gambar dan volume kepada Akun AWS eksternal ke beban kerja Anda.
+ **Tinjau [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html): Berbagi secara berkala untuk menentukan apakah sumber daya harus terus dibagikan.** Dengan Resource Access Manager, Anda dapat membagikan sumber daya seperti kebijakan AWS Network Firewall, aturan Amazon Route 53 Resolver, dan subnet dalam Amazon VPC Anda. Audit sumber daya yang dibagikan secara rutin dan hentikan pembagian sumber daya yang sudah tidak perlu dibagikan.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC03-BP01 Menetapkan persyaratan akses](sec_permissions_define.md)
+ [SEC03-BP02 Memberikan hak akses paling rendah](sec_permissions_least_privileges.md)
**Dokumen terkait:**
+ [Laporan Resmi Detail Kriptografi AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [Pengantar Manajemen Izin Akses ke Sumber Daya Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ [Gambaran umum manajemen akses ke sumber daya AWS KMS Anda](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront: Kombinasi Fantastis di Cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ [Menggunakan versioning](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Mengunci Objek Menggunakan Kunci Objek Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ [Membagikan Snapshot Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [AMI Bersama](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
+ [Meng-hosting aplikasi satu halaman aktif Amazon S3](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-a-react-based-single-page-application-to-amazon-s3-and-cloudfront.html)
**Video terkait:**
+ [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 Menggunakan mekanisme untuk mencegah orang mengakses data
Cegah semua pengguna dari mengakses sistem dan data sensitif secara langsung saat kondisi operasional normal. Misalnya, gunakan alur kerja manajemen perubahan untuk mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) menggunakan alat, bukan dengan mengizinkan akses langsung atau host bastion. Hal ini dapat dicapai dengan [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), yaitu menggunakan [dokumen otomatis](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) yang berisi langkah yang Anda gunakan untuk menjalankan tugas. Dokumen tersebut dapat disimpan di kontrol sumber, ditinjau oleh rekan sebelum dijalankan, dan diuji secara menyeluruh untuk meminimalkan risiko dibandingkan akses shell. Pengguna bisnis dapat menggunakan dasbor, bukan akses langsung ke penyimpanan data, untuk menjalankan kueri. Ketika pipeline CI/CD tidak digunakan, tentukan proses dan kontrol mana yang diperlukan agar dapat menyediakan mekanisme akses break-glass nonaktif secara normal.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah
## Panduan implementasi
+ Implementasikan mekanisme untuk mencegah orang dari mengakses data: Mekanisme termasuk menggunakan dasbor, seperti Quick, untuk menampilkan data ke pengguna ketimbang membuat kueri secara langsung.
+ [Quick](https://aws.amazon.com/quicksight/)
+ Otomatiskan manajemen konfigurasi: Lakukan tindakan dari jarak jauh, terapkan dan validasikan konfigurasi keamanan secara otomatis menggunakan layanan atau alat manajemen konfigurasi. Hindari penggunaan host bastion atau mengakses instans EC2 secara langsung.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Pipeline CI/CD untuk templat AWS CloudFormation di AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## Sumber daya
**Dokumen terkait:**
+ [Laporan Resmi Detail Kriptografi AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Video terkait:**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9. Bagaimana cara melindungi data bergerak Anda?
Lindungi data bergerak dengan mengimplementasikan beberapa kontrol untuk mengurangi risiko akses tanpa otorisasi atau hilangnya data.
**Topics**
+ [SEC09-BP01 Mengimplementasikan manajemen sertifikat dan kunci keamanan](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Menerapkan enkripsi data bergerak](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Mengotomatiskan deteksi akses data yang tidak dimaksudkan](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 Sahkan komunikasi jaringan](sec_protect_data_transit_authentication.md)
# SEC09-BP01 Mengimplementasikan manajemen sertifikat dan kunci keamanan
Sertifikat Keamanan Lapisan Pengangkutan (TLS) digunakan untuk mengamankan komunikasi jaringan dan menetapkan identitas situs web, sumber daya, dan beban kerja di internet, serta jaringan privat.
**Hasil yang diinginkan:** Sistem manajemen sertifikat aman yang dapat menyediakan, men-deploy, menyimpan, dan memperpanjang sertifikat di dalam infrastruktur kunci publik (PKI). Mekanisme manajemen kunci dan sertifikat yang aman mencegah pengungkapan materi kunci privat sertifikat dan secara otomatis memperpanjang sertifikat secara berkala. Mekanisme ini juga terintegrasi dengan layanan lain untuk menyediakan komunikasi jaringan yang aman dan identitas untuk sumber daya mesin di dalam beban kerja Anda. Materi kunci tidak boleh diakses oleh identitas manusia.
**Antipola umum:**
+ Melakukan langkah-langkah manual selama proses deployment atau perpanjangan sertifikat.
+ Kurang memperhatikan hierarki otoritas sertifikat (CA) saat merancang CA privat.
+ Menggunakan sertifikat yang ditandatangani sendiri untuk sumber daya publik.
**Manfaat menjalankan praktik terbaik ini: **
+ Sederhanakan manajemen sertifikat melalui deployment dan perpanjangan otomatis
+ Dorong enkripsi data bergerak menggunakan sertifikat TLS
+ Peningkatan keamanan dan auditabilitas tindakan sertifikat yang dilakukan oleh otoritas sertifikat
+ Manajemen tugas-tugas manajemen di berbagai lapisan hierarki CA
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Beban kerja modern banyak memanfaatkan komunikasi jaringan terenkripsi menggunakan protokol PKI seperti TLS. Manajemen sertifikat PKI mungkin kompleks, tetapi penyediaan, deployment, dan perpanjangan sertifikat secara otomatis dapat mengurangi gesekan yang berkaitan dengan manajemen sertifikat.
AWS menyediakan dua layanan untuk mengelola sertifikat PKI tujuan umum: [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) dan [AWS Private Certificate Authority (AWS Private CA)](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html). ACM adalah layanan primer yang digunakan oleh pelanggan untuk menyediakan, mengelola, dan melakukan deployment sertifikat untuk digunakan di beban kerja publik maupun AWS privat. ACM mengeluarkan sertifikat menggunakan AWS Private CA dan [terintegrasi](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) dengan banyak layanan terkelola AWS lainnya untuk menyediakan sertifikat TLS yang aman untuk beban kerja.
Dengan AWS Private CA, Anda dapat membuat otoritas sertifikat root atau subordinat Anda sendiri dan menerbitkan sertifikat TLS melalui API. Anda dapat menggunakan jenis-jenis sertifikat ini dalam skenario di mana Anda mengontrol dan mengelola rantai kepercayaan pada sisi klien koneksi TLS. Selain kasus penggunaan TLS, AWS Private CA dapat digunakan untuk menerbitkan sertifikat ke pod Kubernetes, atestasi produk perangkat Matter, penandatanganan kode, dan kasus penggunaan lain dengan [templat kustom](https://docs.aws.amazon.com/privateca/latest/userguide/UsingTemplates.html). Anda juga dapat menggunakan [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) untuk memberikan kredensial IAM sementara ke beban kerja on-premise yang telah diberikan sertifikat X.509 yang ditandatangani oleh CA Privat Anda.
Selain ACM dan AWS Private CA, [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/what-is-aws-iot.html) memberikan dukungan khusus untuk penyediaan, manajemen, dan deployment sertifikat PKI ke perangkat IoT. AWS IoT Core menyediakan mekanisme khusus untuk [memasukkan perangkat IoT](https://docs.aws.amazon.com/whitepapers/latest/device-manufacturing-provisioning/device-manufacturing-provisioning.html) ke dalam infrastruktur kunci publik Anda dalam skala besar.
**Pertimbangan untuk membangun hierarki CA privat **
Ketika Anda perlu membuat CA privat, penting untuk berhati-hati dalam merancang hierarki CA dengan benar di awal. Salah satu praktik terbaiknya adalah men-deploy setiap tingkat hierarki CA Anda ke dalam Akun AWS yang terpisah saat membuat hierarki CA privat. Langkah sengaja ini mengurangi luas permukaan untuk setiap tingkat di dalam hierarki CA, sehingga mempermudah penemuan anomali dalam data log CloudTrail dan mengurangi ruang lingkup akses atau dampak jika terdapat akses tidak sah ke salah satu akun. CA root harus berada di akun terpisahnya sendiri dan hanya boleh digunakan untuk menerbitkan satu atau beberapa sertifikat CA perantara.
Kemudian, buat satu atau beberapa CA perantara di akun yang terpisah dari akun CA root untuk menerbitkan sertifikat bagi pengguna akhir, perangkat, atau beban kerja lainnya. Terakhir, terbitkan sertifikat dari CA root Anda ke CA perantara, yang pada gilirannya akan menerbitkan sertifikat kepada pengguna akhir atau perangkat Anda. Untuk informasi selengkapnya tentang perencanaan deployment CA dan perancangan hierarki CA, termasuk perencanaan ketahanan, replikasi lintas wilayah, berbagi CA di seluruh organisasi, dan lainnya, lihat [Merencanakan deployment AWS Private CA Anda](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html).
### Langkah implementasi
1. Tentukan layanan AWS relevan yang diperlukan untuk kasus penggunaan Anda:
+ Banyak kasus penggunaan dapat memanfaatkan infrastruktur kunci publik AWS yang sudah ada dengan menggunakan [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html). ACM dapat digunakan untuk melakukan deployment sertifikat TLS untuk server web, penyeimbang beban, atau penggunaan lain untuk sertifikat yang dipercaya secara publik.
+ Pertimbangkan [AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) ketika Anda perlu membuat hierarki otoritas sertifikat privat Anda sendiri atau memerlukan akses ke sertifikat yang dapat diekspor. ACM kemudian dapat digunakan untuk menerbitkan [banyak jenis sertifikat entitas akhir](https://docs.aws.amazon.com/privateca/latest/userguide/PcaIssueCert.html) menggunakan AWS Private CA.
+ Untuk kasus penggunaan di mana sertifikat harus disediakan dalam skala besar untuk perangkat Internet untuk Segala (IoT) yang disematkan, pertimbangkan [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/x509-client-certs.html).
1. Implementasikan perpanjangan sertifikat otomatis jika memungkinkan:
+ Gunakan [perpanjangan yang dikelola ACM](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) untuk sertifikat yang diterbitkan oleh ACM bersama dengan layanan terkelola AWS yang terintegrasi.
1. Bangun jalur pencatatan dan audit:
+ Aktifkan [log CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html) untuk melacak akses ke akun yang memiliki otoritas sertifikat. Pertimbangkan mengonfigurasi validasi integritas file log di CloudTrail untuk memverifikasi keaslian data log.
+ Buat dan tinjau secara berkala [laporan audit](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html) yang mencantumkan sertifikat yang telah diterbitkan atau dicabut oleh CA privat Anda. Laporan ini dapat diekspor ke bucket S3.
+ Saat men-deploy CA pribadi, Anda juga perlu membuat bucket S3 untuk menyimpan Daftar Pencabutan Sertifikat (CRL). Untuk panduan mengonfigurasi bucket S3 ini berdasarkan persyaratan beban kerja Anda, lihat [Merencanakan daftar pencabutan sertifikat (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html).
## Sumber daya
**Praktik terbaik terkait:**
+ [SEC02-BP02 Menggunakan kredensial sementara](sec_identities_unique.md)
+ [SEC08-BP01 Mengimplementasikan manajemen kunci yang aman](sec_protect_data_rest_key_mgmt.md)
+ [SEC09-BP04 Sahkan komunikasi jaringan](sec_protect_data_transit_authentication.md)
**Dokumen terkait:**
+ [Cara meng-host dan mengelola seluruh infrastruktur sertifikat privat di AWS.](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ [Cara mengamankan hierarki CA Privat ACM skala korporasi untuk otomotif dan manufaktur](https://aws.amazon.com/blogs/security/how-to-secure-an-enterprise-scale-acm-private-ca-hierarchy-for-automotive-and-manufacturing/)
+ [Praktik terbaik CA privat](https://docs.aws.amazon.com/privateca/latest/userguide/ca-best-practices.html)
+ [Cara menggunakan AWS RAM untuk membagikan CA Privat ACM Anda lintas akun](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/)
**Video terkait:**
+ [Mengaktifkan CA Privat AWS Certificate Manager (lokakarya)](https://www.youtube.com/watch?v=XrrdyplT3PE)
**Contoh terkait:**
+ [Lokakarya CA privat](https://catalog.workshops.aws/certificatemanager/en-US/introduction)
+ [Lokakarya Manajemen Perangkat IOT](https://iot-device-management.workshop.aws/en/) (termasuk penyediaan perangkat)
**Alat terkait:**
+ [Plugin ke Kubernetes cert-manager untuk menggunakan AWS Private CA](https://github.com/cert-manager/aws-privateca-issuer)
# SEC09-BP02 Menerapkan enkripsi data bergerak
Terapkan persyaratan enkripsi yang Anda tentukan berdasarkan kebijakan, kewajiban regulasi, dan standar organisasi Anda untuk membantu memenuhi persyaratan organisasi, hukum, dan kepatuhan. Hanya gunakan protokol yang dienkripsi ketika mengirimkan data sensitif di luar cloud privat virtual (VPC) Anda. Enkripsi membantu menjaga kerahasiaan data, bahkan ketika data berada di jaringan tidak tepercaya.
**Hasil yang diinginkan:** Semua data harus dienkripsi saat bergerak menggunakan protokol TLS dan rangkaian sandi yang aman. Lalu lintas jaringan antara sumber daya Anda dan internet harus dienkripsi untuk mengurangi akses tidak sah ke data. Lalu lintas jaringan yang hanya berada dalam lingkungan AWS internal Anda harus sebisa mungkin dienkripsi menggunakan TLS. Jaringan internal AWS dienkripsi secara default dan lalu lintas jaringan di dalam VPC tidak dapat dipalsukan atau dilacak kecuali pihak yang tidak sah telah memperoleh akses ke sumber daya yang menghasilkan lalu lintas (seperti instans Amazon EC2 dan kontainer Amazon ECS). Pertimbangkan untuk melindungi lalu lintas antarjaringan dengan jaringan privat virtual (VPN) IPsec.
**Antipola umum:**
+ Menggunakan versi komponen SSL, TLS, rangkaian sandi yang tidak digunakan lagi (misalnya, SSL v3.0, kunci RSA 1024-bit, dan sandi RC4).
+ Mengizinkan lalu lintas (HTTP) tidak terenkripsi ke atau dari sumber daya yang dapat diakses publik.
+ Tidak memantau dan tidak mengganti sertifikat X.509 sebelum kedaluwarsa.
+ Menggunakan sertifikat X.509 yang Anda buat sendiri untuk TLS.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Layanan AWS menyediakan titik akhir HTTPS menggunakan TLS untuk komunikasi, memberikan enkripsi data bergerak saat berkomunikasi dengan API AWS. Protokol yang tidak aman, seperti HTTP, dapat diaudit dan diblokir di VPC melalui penggunaan grup keamanan. Permintaan HTTP juga dapat [secara otomatis diarahkan ke HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) di Amazon CloudFront atau pada [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Anda memiliki kendali penuh atas sumber daya komputasi Anda untuk mengimplementasikan enkripsi data bergerak di seluruh layanan Anda. Selain itu, Anda dapat menggunakan sambungan VPN ke dalam VPC Anda dari jaringan eksternal atau [AWS Direct Connect](https://aws.amazon.com/directconnect/) untuk mendukung enkripsi lalu lintas. Pastikan klien Anda melakukan panggilan ke API AWS menggunakan minimal TLS 1.2, karena [AWS menghentikan penggunaan TLS 1.0 dan 1.1 pada Juni 2023](https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/). Jika Anda memiliki persyaratan khusus, tersedia solusi pihak ketiga di AWS Marketplace.
**Langkah implementasi**
+ **Terapkan enkripsi data bergerak:** Persyaratan enkripsi yang Anda tetapkan harus didasarkan pada standar dan praktik terbaik terbaru dan hanya mengizinkan protokol yang aman. Misalnya, konfigurasikan grup keamanan untuk hanya mengizinkan protokol HTTPS ke penyeimbang beban aplikasi atau instans Amazon EC2.
+ **Konfigurasikan protokol yang aman di layanan edge:** [Konfigurasikan HTTPS dengan Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html) dan gunakan [profil keamanan yang sesuai dengan postur keamanan dan kasus penggunaan Anda](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html#secure-connections-supported-ciphers).
+ **Gunakan [VPN untuk koneksi eksternal](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html):** Pertimbangkan penggunaan VPN IPsec untuk mengamankan koneksi antartitik atau antarjaringan untuk membantu memberikan integritas dan privasi data.
+ **Konfigurasikan protokol yang aman di penyeimbang beban:** Pilih kebijakan keamanan yang menyediakan rangkaian sandi terkuat yang didukung oleh klien yang akan terhubung ke pendengar. [Membuat pendengar HTTPS untuk Application Load Balancer Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html).
+ **Konfigurasikan protokol yang aman di Amazon Redshift:** Konfigurasikan klaster Anda untuk meminta [koneksi lapisan soket aman (SSL) atau keamanan lapisan pengangkutan (TLS)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html).
+ **Konfigurasikan protokol yang aman:** Baca dokumentasi layanan AWS untuk menentukan kemampuan enkripsi data bergerak.
+ **Konfigurasikan akses yang aman saat melakukan pengunggahan ke bucket Amazon S3:** Gunakan kontrol kebijakan bucket Amazon S3 untuk [menerapkan akses aman](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) ke data.
+ **Pertimbangkan penggunaan [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/):** ACM memungkinkan Anda untuk menyediakan, mengelola, dan melakukan deployment sertifikat TLS publik untuk digunakan dengan layanan AWS.
+ **Pertimbangkan penggunaan [AWS Private Certificate Authority](https://aws.amazon.com/private-ca/) untuk kebutuhan PKI privat:** AWS Private CA memungkinkan Anda membuat hierarki otoritas sertifikat (CA) pribadi untuk menerbitkan sertifikat X.509 entitas akhir yang dapat digunakan untuk membuat saluran TLS terenkripsi.
## Sumber daya
**Dokumen terkait:**
+ [ Dokumentasi AWS](https://docs.aws.amazon.com/index.html)
+ [ Menggunakan HTTPS dengan CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ [ Menghubungkan VPC ke jaringan jarak jauh menggunakan AWS Virtual Private Network](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)
+ [ Membuat pendengar HTTPS untuk Application Load Balancer Anda ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ [ Tutorial: Mengonfigurasi SSL/TLS di Amazon Linux 2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html)
+ [ Menggunakan SSL/TLS untuk mengenkripsi koneksi ke instans DB ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ [ Mengonfigurasi opsi-opsi keamanan untuk koneksi ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
# SEC09-BP03 Mengotomatiskan deteksi akses data yang tidak dimaksudkan
Gunakan alat seperti Amazon GuardDuty untuk secara otomatis mendeteksi aktivitas mencurigakan atau mencoba memindahkan data di luar batas yang telah ditetapkan. Misalnya, GuardDuty dapat mendeteksi aktivitas baca Amazon Simple Storage Service (Amazon S3) yang tidak seperti biasanya dengan [Temuan Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Selain GuardDuty, [Log Alur Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)yang mendokumentasikan informasi lalu lintas jaringan, dapat digunakan dengan Amazon EventBridge untuk memicu deteksi koneksi tidak normal, baik yang berhasil maupun yang ditolak. [Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) dapat membantu mengukur data apa yang dapat diakses di dalam bucket Amazon S3 Anda.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang
## Panduan implementasi
+ Otomatiskan deteksi akses data yang tidak dimaksudkan: Gunakan alat atau mekanisme deteksi untuk secara otomatis mendeteksi upaya untuk memindahkan data di luar batas yang ditetapkan; misalnya, untuk mendeteksi sistem basis data yang menyalin data ke host tidak dikenal.
+ [ Log Alur VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ Pertimbangkan Amazon Macie: Amazon Macie adalah layanan privasi data dan keamanan data terkelola secara penuh yang menggunakan machine learning dan pencocokan pola untuk menemukan dan melindungi data sensitif Anda di AWS.
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## Sumber daya
**Dokumen terkait:**
+ [ Log Alur VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 Sahkan komunikasi jaringan
Verifikasi identitas komunikasi dengan menggunakan protokol yang mendukung autentikasi, seperti Keamanan Lapisan Pengangkutan (TLS) atau IPsec.
Rancang beban kerja Anda untuk menggunakan protokol jaringan yang aman dan terautentikasi setiap kali berkomunikasi antara layanan, aplikasi, atau ke pengguna. Menggunakan protokol jaringan yang mendukung autentikasi dan otorisasi memberikan kontrol yang lebih kuat atas aliran jaringan dan mengurangi dampak akses yang tidak sah.
**Hasil yang diinginkan:** Beban kerja dengan arus lalu lintas bidang data dan bidang kontrol yang jelas antara layanan. Arus lalu lintas menggunakan protokol jaringan yang diautentikasi dan dienkripsi jika memungkinkan secara teknis.
**Antipola umum:**
+ Alur lalu lintas yang tidak dienkripsi atau tidak diautentikasi dalam beban kerja Anda.
+ Penggunaan kembali kredensial autentikasi oleh beberapa pengguna atau entitas.
+ Hanya mengandalkan kontrol jaringan sebagai mekanisme kontrol akses.
+ Membuat mekanisme autentikasi kustom, bukan mengandalkan mekanisme autentikasi standar industri.
+ Alur lalu lintas yang terlalu permisif antara komponen layanan atau sumber daya lain di VPC.
**Manfaat menjalankan praktik terbaik ini:**
+ Membatasi ruang lingkup dampak untuk akses tidak sah ke satu bagian dari beban kerja.
+ Memberikan tingkat jaminan yang lebih tinggi bahwa tindakan hanya dilakukan oleh entitas yang diautentikasi.
+ Meningkatkan pemisahan layanan dengan menggambarkan dengan jelas dan menerapkan antarmuka transfer data yang diinginkan.
+ Meningkatkan pemantauan, pembuatan log, dan respons insiden melalui atribusi permintaan dan antarmuka komunikasi yang digambarkan dengan jelas.
+ Memberikan pertahanan mendalam untuk beban kerja Anda dengan menggabungkan kontrol jaringan dengan kontrol autentikasi dan otorisasi.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Rendah
## Panduan implementasi
Pola lalu lintas jaringan beban kerja Anda dapat dikelompokkan ke dalam dua kategori:
+ *Lalu lintas timur-barat* mewakili arus lalu lintas antara layanan yang membentuk beban kerja.
+ *Lalu lintas utara-selatan* mewakili arus lalu lintas antara beban kerja Anda dan konsumen.
Meskipun enkripsi lalu lintas utara-selatan merupakan praktik umum, pengamanan lalu lintas timur-barat menggunakan protokol yang diautentikasi merupakan hal yang kurang umum. Praktik keamanan modern menyebutkan bahwa desain jaringan saja tidak cukup untuk memberikan hubungan yang dapat dipercaya antara dua entitas. Ketika dua layanan dapat berada dalam batas jaringan yang sama, sebaiknya enkripsi, autentikasi, dan otorisasi komunikasi di antara layanan-layanan tersebut tetap dilakukan.
Sebagai contoh, API layanan AWS menggunakan protokol tanda tangan [Signature Version 4 (SIGv4) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html) untuk mengautentikasi pemanggil, dari jaringan mana pun permintaan tersebut berasal. Autentikasi ini memastikan bahwa API AWS dapat memverifikasi identitas yang meminta tindakan, dan identitas tersebut kemudian dapat digabungkan dengan kebijakan untuk membuat keputusan otorisasi guna menentukan apakah tindakan tersebut harus diizinkan atau tidak.
Layanan seperti [Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/access-management-overview.html) dan [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/permissions.html) memungkinkan Anda menggunakan protokol tanda tangan SigV4 yang sama untuk menambahkan autentikasi dan otorisasi ke lalu lintas timur-barat dalam beban kerja Anda sendiri. Jika sumber daya di luar lingkungan AWS Anda perlu berkomunikasi dengan layanan yang memerlukan autentikasi dan otorisasi berbasis SigV4, Anda dapat menggunakan [AWS Identity and Access Management (IAM) Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) pada sumber daya non-AWS untuk memperoleh kredensial AWS sementara. Kredensial ini dapat digunakan untuk menandatangani permintaan ke layanan menggunakan SigV4 untuk memberi otorisasi akses.
Mekanisme umum lainnya untuk mengautentikasi lalu lintas timur-barat adalah autentikasi timbal balik TLS (mTLS). Banyak Internet untuk Segala (IoT), aplikasi bisnis-ke-bisnis, dan layanan mikro menggunakan mTLS untuk memvalidasi identitas kedua sisi komunikasi TLS melalui penggunaan sertifikat X.509 sisi klien dan server. Sertifikat ini dapat dikeluarkan oleh AWS Private Certificate Authority (AWS Private CA). Anda dapat menggunakan layanan seperti [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html) dan [AWS App Mesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/mutual-tls.html) untuk menyediakan autentikasi mTLS untuk komunikasi antar- atau intra-beban kerja. Meskipun mTLS menyediakan informasi autentikasi untuk kedua sisi komunikasi TLS, mekanisme untuk otorisasi tidak disediakan.
Akhirnya, OAuth 2.0 dan OpenID Connect (OIDC) adalah dua protokol yang biasanya digunakan untuk mengontrol akses ke layanan oleh pengguna, tetapi kini juga mulai populer untuk lalu lintas antar-layanan. API Gateway menyediakan [pemberi otorisasi JSON Web Token (JWT)](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-jwt-authorizer.html), yang memungkinkan beban kerja membatasi akses ke rute API menggunakan JWT yang dikeluarkan dari penyedia identitas OIDC atau OAuth 2.0. Cakupan OAuth2 dapat digunakan sebagai sumber untuk keputusan otorisasi dasar, tetapi pemeriksaan otorisasi masih perlu diimplementasikan di lapisan aplikasi, dan cakupan OAuth2 saja tidak dapat mendukung kebutuhan otorisasi yang lebih kompleks.
### Langkah implementasi
+ **Tentukan dan dokumentasikan alur jaringan beban kerja Anda:** Langkah pertama dalam menerapkan strategi pertahanan mendalam adalah menentukan arus lalu lintas beban kerja Anda.
+ Buat diagram alur data yang secara jelas menggambarkan bagaimana data ditransmisikan antara berbagai layanan yang membentuk beban kerja Anda. Diagram ini merupakan langkah pertama untuk menerapkan alur tersebut melalui saluran jaringan yang diautentikasi.
+ Instrumentasikan beban kerja Anda dalam fase pengembangan dan pengujian untuk memvalidasi bahwa diagram alur data mencerminkan perilaku beban kerja secara akurat pada saat runtime.
+ Diagram alur data juga dapat berguna saat melakukan latihan pemodelan ancaman, seperti yang dijelaskan dalam [ SEC01-BP07 Mengidentifikasi ancaman dan memprioritaskan mitigasi menggunakan model ancaman](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html).
+ **Tetapkan kontrol jaringan:** Pertimbangkan kemampuan AWS untuk menetapkan kontrol jaringan yang selaras dengan alur data Anda. Meskipun batas jaringan seharusnya tidak menjadi satu-satunya kontrol keamanan, batas tersebut menyediakan lapisan pada strategi pertahanan mendalam untuk melindungi beban kerja Anda.
+ Gunakan [grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html) untuk menetapkan dan membatasi alur data antarsumber daya.
+ Pertimbangkan penggunaan [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) untuk berkomunikasi dengan layanan AWS dan layanan pihak ketiga yang mendukung AWS PrivateLink. Data yang dikirim melalui titik akhir antarmuka AWS PrivateLink tetap berada di dalam tulang punggung jaringan AWS dan tidak melintasi Internet publik.
+ **Implementasikan autentikasi dan otorisasi di seluruh layanan dalam beban kerja Anda:** Pilih kumpulan layanan AWS yang paling tepat untuk menyediakan alur lalu lintas yang dienkripsi dan diautentikasi dalam beban kerja Anda.
+ Pertimbangkan [Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-lattice.html) untuk mengamankan komunikasi antar layanan. VPC Lattice dapat menggunakan [autentikasi SigV4 yang dikombinasikan dengan kebijakan autentikasi](https://docs.aws.amazon.com/vpc-lattice/latest/ug/auth-policies.html) untuk mengontrol akses antar layanan.
+ Untuk komunikasi antar layanan menggunakan mTLS, pertimbangkan [API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html) atau [App Mesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/mutual-tls.html). [AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) dapat digunakan untuk membuat hierarki CA pribadi yang mampu mengeluarkan sertifikat untuk digunakan dengan mTLS.
+ Saat mengintegrasikan dengan layanan menggunakan OAuth 2.0 atau OIDC, pertimbangkan [API Gateway menggunakan pemberi otorisasi JWT](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-jwt-authorizer.html).
+ Untuk komunikasi antara beban kerja Anda dan perangkat IoT, pertimbangkan [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/client-authentication.html), yang menyediakan beberapa opsi untuk enkripsi lalu lintas jaringan dan autentikasi.
+ **Pantau akses yang tidak sah:** Terus pantau saluran komunikasi yang tidak diinginkan, pengguna utama tidak berwenang yang mencoba mengakses sumber daya yang dilindungi, dan pola akses yang tidak tepat lainnya.
+ Jika VPC Lattice digunakan untuk mengelola akses ke layanan Anda, pertimbangkan untuk mengaktifkan dan memantau [log akses VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/monitoring-access-logs.html). Log akses ini mencakup informasi tentang entitas yang meminta, informasi jaringan termasuk VPC sumber dan tujuan, dan metadata permintaan.
+ Pertimbangkan untuk mengaktifkan [log alur VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) untuk menangkap metadata pada alur jaringan dan meninjau anomali secara berkala.
+ Lihat [Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) dan [bagian Respons Insiden](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) dari pilar keamanan Kerangka Kerja AWS Well-Architected untuk panduan lebih lanjut tentang merencanakan, menyimulasikan, dan menanggapi insiden keamanan.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC03-BP07 Menganalisis akses lintas akun dan publik](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [SEC02-BP02 Menggunakan kredensial sementara](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [SEC01-BP07 Mengidentifikasi ancaman dan memprioritaskan mitigasi menggunakan model ancaman](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html)
**Dokumen terkait:**
+ [ Evaluating access control methods to secure Amazon API Gateway APIs ](https://aws.amazon.com/blogs/compute/evaluating-access-control-methods-to-secure-amazon-api-gateway-apis/)
+ [ Configuring mutual TLS authentication for a REST API ](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html)
+ [ How to secure API Gateway HTTP endpoints with JWT authorizer ](https://aws.amazon.com/blogs/security/how-to-secure-api-gateway-http-endpoints-with-jwt-authorizer/)
+ [ Authorizing direct calls to AWS services using AWS IoT Core credential provider ](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)
+ [ Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)
**Video terkait:**
+ [AWS re:invent 2022: Introducing VPC Lattice ](https://www.youtube.com/watch?v=fRjD1JI0H5w)
+ [AWS re:invent 2020: Serverless API authentication for HTTP APIs on AWS](https://www.youtube.com/watch?v=AW4kvUkUKZ0)
**Contoh terkait:**
+ [ Amazon VPC Lattice Workshop ](https://catalog.us-east-1.prod.workshops.aws/workshops/9e543f60-e409-43d4-b37f-78ff3e1a07f5/en-US)
+ [ Zero-Trust Episode 1 – The Phantom Service Perimeter workshop ](https://catalog.us-east-1.prod.workshops.aws/workshops/dc413216-deab-4371-9e4a-879a4f14233d/en-US)
# Respons insiden
**Topics**
+ [SEC 10. Bagaimana cara mengantisipasi, merespons, dan pulih dari insiden?](sec-10.md)
# SEC 10. Bagaimana cara mengantisipasi, merespons, dan pulih dari insiden?
Dengan kontrol deteksi dan preventif yang matang sekalipun, organisasi Anda harus mengimplementasikan mekanisme untuk merespons dan memitigasi potensi dampak insiden keamanan. Persiapan Anda sangat berpengaruh pada kemampuan tim Anda untuk beroperasi secara efektif selama insiden, untuk mengisolasi, membatasi, dan melakukan forensik terhadap masalah, serta untuk memulihkan operasi ke kondisi yang baik dan dikenal. Menetapkan alat dan akses sebelum terjadi insiden keamanan, lalu secara rutin melatih respons insiden melalui game day, membantu memastikan bahwa Anda dapat melakukan pemulihan sembari tetap meminimalkan gangguan bisnis.
**Topics**
+ [SEC10-BP01 Identifikasikan sumber daya eksternal dan personel kunci](sec_incident_response_identify_personnel.md)
+ [SEC10-BP02 Membuat rencana manajemen insiden](sec_incident_response_develop_management_plans.md)
+ [SEC10-BP03 Menyiapkan kemampuan forensik](sec_incident_response_prepare_forensic.md)
+ [SEC10-BP04 Mengembangkan dan menguji playbook respons insiden keamanan](sec_incident_response_playbooks.md)
+ [SEC10-BP05 Menyediakan akses di awal](sec_incident_response_pre_provision_access.md)
+ [SEC10-BP06 Melakukan deployment alat di awal](sec_incident_response_pre_deploy_tools.md)
+ [SEC10-BP07 Menjalankan simulasi](sec_incident_response_run_game_days.md)
+ [SEC10-BP08 Menetapkan kerangka kerja untuk belajar dari insiden](sec_incident_response_establish_incident_framework.md)
# SEC10-BP01 Identifikasikan sumber daya eksternal dan personel kunci
Identifikasikan kewajiban legal, sumber daya, dan personel internal serta eksternal yang dapat membantu organisasi Anda merespons insiden.
Saat Anda menentukan pendekatan Anda terhadap respons insiden di cloud, bersama dengan tim lainnya (seperti penasihat hukum, pimpinan, pemangku kepentingan bisnis, Layanan AWS Support, dan lainnya), Anda harus mengidentifikasi personel kunci, pemangku kepentingan, dan kontak yang relevan. Untuk mengurangi dependensi dan mempercepat waktu respons, pastikan tim Anda, tim keamanan spesialis, dan pemberi respons paham tentang layanan yang Anda gunakan dan memiliki kesempatan untuk praktik langsung.
Sebaiknya identifikasikan partner keamanan AWS eksternal yang dapat memberi Anda ahli dari luar perusahaan dan memberikan perspektif yang berbeda untuk melengkapi kemampuan respons Anda. Partner keamanan tepercaya Anda dapat membantu Anda mengidentifikasi potensi risiko atau ancaman yang belum Anda kenali dengan baik.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
+ **Identifikasi personel utama dalam organisasi Anda:** Miliki daftar kontak personel di dalam organisasi Anda yang perlu Anda libatkan untuk merespons dan melakukan pemulihan dari insiden.
+ **Identifikasi partner eksternal:** Bekerja samalah dengan partner eksternal yang dapat membantu Anda merespons dan melakukan pemulihan dari insiden, jika diperlukan.
## Sumber daya
**Dokumen terkait:**
+ [Panduan Respons Insiden AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Video terkait:**
+ [Prepare for and respond to security incidents in your AWS environment ](https://youtu.be/8uiO0Z5meCs)
**Contoh terkait:**
# SEC10-BP02 Membuat rencana manajemen insiden
Dokumen pertama yang harus dikembangkan untuk merespons insiden adalah rencana respons insiden. Rencana respons insiden dirancang untuk menjadi landasan bagi program dan strategi respons insiden Anda.
**Manfaat menjalankan praktik terbaik ini:** Mengembangkan proses respons insiden yang menyeluruh dan jelas adalah kunci untuk program respons insiden yang sukses dan dapat diskalakan. Ketika peristiwa keamanan terjadi, langkah dan alur kerja yang jelas dapat membantu Anda merespons secara tepat waktu. Anda mungkin sudah memiliki proses respons insiden yang ada. Terlepas dari status Anda saat ini, penting untuk memperbarui, mengiterasi, dan menguji proses respons insiden Anda secara rutin.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Rencana manajemen insiden sangat penting untuk merespons, memitigasi, dan pulih dari potensi dampak insiden keamanan. Rencana manajemen insiden adalah proses terstruktur untuk mengidentifikasi, memperbaiki, dan merespons insiden keamanan secara tepat waktu.
Cloud memiliki banyak peran dan persyaratan operasional yang sama yang juga ditemukan di lingkungan on-premise. Saat membuat rencana manajemen insiden, penting untuk mempertimbangkan strategi respons dan pemulihan yang paling selaras dengan hasil bisnis dan persyaratan kepatuhan Anda. Sebagai contoh, jika Anda mengoperasikan beban kerja di AWS yang patuh terhadap FedRAMP di Amerika Serikat, ada gunanya Anda mematuhi [NIST SP 800-61 Panduan Penanganan Keamanan Komputer](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf). Begitu juga, saat mengoperasikan beban kerja dengan data informasi pengenal pribadi (PII) Eropa, pertimbangkan skenario seperti cara Anda melindungi dan merespons permasalahan terkait residensi data yang diatur oleh [Peraturan Perlindungan Data Umum (GDPR) Uni Eropa](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en).
Saat membangun rencana manajemen insiden untuk beban kerja di AWS, mulailah dengan [Model Tanggung Jawab Bersama AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) untuk membangun pendekatan pertahanan mendalam untuk respons insiden. Dalam model ini, AWS mengelola keamanan cloud, dan Anda bertanggung jawab atas keamanan di cloud. Ini artinya Anda mempertahankan kontrol dan bertanggung jawab atas kontrol keamanan yang ingin Anda implementasikan. Panduan [Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) menguraikan konsep utama dan panduan mendasar untuk membangun rencana manajemen insiden berorientasi cloud.
Rencana manajemen insiden yang efektif harus diiterasi secara berkelanjutan, dan harus tetap mutakhir sesuai tujuan operasi cloud Anda. Pertimbangkan menggunakan rencana implementasi yang diuraikan di bawah seiring Anda membuat dan mengembangkan rencana manajemen insiden Anda.
## Langkah implementasi
**Tentukan peran dan tanggung jawab**
Penanganan peristiwa keamanan membutuhkan disiplin lintas organisasi dan keinginan untuk bertindak. Dalam struktur organisasi Anda, harus ada banyak orang yang bertanggung jawab, akuntabel, memberi konsultasi, atau terus mendapatkan informasi selama insiden, seperti perwakilan dari sumber daya manusia (SDM), tim eksekutif, dan legal. Pertimbangkan peran dan tanggung jawab ini, dan apakah pihak ketiga harus dilibatkan. Perhatikan bahwa banyak kawasan memiliki undang-undang setempat yang mengatur apa yang seharusnya dan tidak boleh dilakukan. Meskipun pembuatan bagan peran yang bertanggung jawab, akuntabel, memberi konsulatasi, mendapat informasi (RACI) untuk rencana respons keamanan terdengar birokratis, tindakan ini dapat memudahkan komunikasi yang cepat dan langsung serta menjelaskan secara gamblang kepemimpinan di berbagai tahap peristiwa.
Selama insiden, pelibatan pemilik dan developer aplikasi dan sumber daya yang terkena dampak adalah hal yang sangat penting karena mereka adalah pakar bidang (SME) yang dapat memberikan informasi dan konteks untuk membantu mengukur dampak. Pastikan untuk mempraktikkan dan membangun hubungan dengan developer dan pemilik aplikasi sebelum Anda mengandalkan keahlian mereka untuk merespons insiden. Pemilik aplikasi atau SME, seperti administrator atau rekayasawan cloud Anda, mungkin perlu bertindak dalam situasi ketika lingkungan kurang dikenal atau kompleks, atau ketika perespons tidak memiliki akses.
Terakhir, partner tepercaya dapat dilibatkan dalam penyelidikan atau respons karena mereka dapat memberikan keahlian tambahan dan pengawasan yang berharga. Ketika Anda tidak memiliki semua keterampilan ini di tim Anda sendiri, Anda mungkin ingin menggunakan bantuan dari pihak eksternal.
**Pahami dukungan dan tim respons AWS**
+ **AWS Dukungan**
+ [Dukungan](https://aws.amazon.com/premiumsupport/) menawarkan berbagai paket yang menyediakan akses ke alat dan keahlian yang mendukung kesuksesan dan kesehatan operasional solusi AWS Anda. Jika Anda memerlukan dukungan teknis dan lebih banyak sumber daya untuk membantu merencanakan, men-deploy, dan mengoptimalkan lingkungan AWS Anda, Anda dapat memilih paket dukungan yang paling sesuai dengan kasus penggunaan AWS Anda.
+ Pertimbangkan [Pusat Dukungan](https://console.aws.amazon.com/support) di Konsol Manajemen AWS (diperlukan login) sebagai titik kontak utama untuk mendapatkan dukungan atas masalah yang memengaruhi sumber daya AWS Anda. Akses ke Dukungan dikontrol oleh AWS Identity and Access Management. Untuk informasi selengkapnya tentang mendapatkan akses ke fitur Dukungan, lihat [Memulai dengan Dukungan](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html#accessing-support).
+ **Tim Respons Insiden Pelanggan (CIRT) AWS**
+ Tim Respons Insiden Pelanggan (CIRT) AWS adalah tim AWS global 24/7 khusus yang memberikan dukungan kepada pelanggan selama peristiwa keamanan aktif di sisi pelanggan dalam [Model Tanggung Jawab Bersama AWS](https://aws.amazon.com/compliance/shared-responsibility-model/).
+ Ketika CIRT AWS mendukung Anda, mereka memberikan bantuan dengan evaluasi awal dan pemulihan untuk peristiwa keamanan aktif di AWS. Mereka dapat membantu menganalisis akar masalah melalui penggunaan log layanan AWS dan memberi Anda saran-saran pemulihan. Mereka juga dapat memberikan rekomendasi dan praktik terbaik keamanan untuk membantu Anda menghindari peristiwa keamanan di masa depan.
+ Pelanggan AWS dapat melibatkan CIRT AWS melalui [kasus Dukungan](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html).
+ **Dukungan respons DDoS**
+ AWS menawarkan [AWS Shield](https://aws.amazon.com/shield/), yang menyediakan layanan perlindungan penolakan layanan terdistribusi (DDoS) yang terkelola yang melindungi aplikasi web yang berjalan di AWS. Shield menyediakan deteksi yang selalu aktif dan mitigasi inline otomatis yang dapat meminimalkan waktu henti dan latensi aplikasi, sehingga pelanggan tidak perlu melibatkan Dukungan untuk mendapatkan manfaat dari perlindungan DDoS. Terdapat dua tingkatan Shield: AWS Shield Standard dan AWS Shield Advanced. Untuk mempelajari perbedaan antara kedua tingkatan ini, lihat [Dokumentasi fitur Shield](https://aws.amazon.com/shield/features/).
+ **AWS Managed Services (AMS)**
+ [AWS Managed Services (AMS)](https://aws.amazon.com/managed-services/) menyediakan manajemen yang berkelanjutan untuk infrastruktur AWS Anda, sehingga Anda dapat berfokus pada aplikasi Anda. Dengan mengimplementasikan praktik terbaik untuk memelihara infrastruktur Anda, AMS membantu mengurangi overhead dan risiko operasional. AMS mengotomatiskan kegiatan umum seperti permintaan perubahan, pemantauan, manajemen patch, keamanan, dan layanan pencadangan serta menyediakan layanan siklus hidup penuh untuk menyediakan, menjalankan, dan mendukung infrastruktur Anda.
+ AMS bertanggung jawab untuk deployment serangkaian kontrol detektif keamanan dan menyediakan respons lini depan selama 24/7 terhadap peringatan. Saat peringatan dimulai, AMS mengikuti rangkaian standar playbook otomatis dan manual untuk memastikan konsistensi respons. Playbook ini dibagikan kepada pelanggan AMS selama orientasi sehingga mereka dapat mengembangkan dan mengoordinasikan respons dengan AMS.
**Kembangkan rencana respons insiden**
Rencana respons insiden dirancang untuk menjadi landasan bagi program dan strategi respons insiden Anda. Rencana respons insiden harus dalam dokumen resmi. Rencana respons insiden biasanya menyertakan bagian-bagian ini:
+ **Ikhtisar tim respons insiden:** Menguraikan tujuan dan fungsi tim respons insiden.
+ **Peran dan tanggung jawab:** Mencantumkan daftar pemangku kepentingan respons insiden dan memperinci peran mereka ketika insiden terjadi.
+ **Rencana komunikasi:** Berisi detail informasi kontak dan cara Anda berkomunikasi selama insiden.
+ **Metode komunikasi cadangan:** Salah satu praktik terbaik adalah memiliki komunikasi di luar saluran normal (out-of-band) sebagai cadangan untuk komunikasi insiden. Contoh aplikasi yang menyediakan saluran komunikasi out-of-band yang aman adalah AWS Wickr.
+ **Tahapan respons insiden dan tindakan yang harus dilakukan:** Menyebutkan satu per satu tahapan respons insiden (misalnya mendeteksi, menganalisis, memberantas, mengendalikan, dan memulihkan), termasuk tindakan umum yang harus dilakukan dalam tahapan-tahapan tersebut.
+ **Penetapan tingkat keparahan dan prioritas insiden:** Menjelaskan cara mengklasifikasikan tingkat keparahan insiden, cara memprioritaskan insiden, dan bagaimana penetapan keparahan memengaruhi prosedur eskalasi.
Meskipun bagian-bagian ini sudah umum ada di perusahaan dari berbagai ukuran dan industri, rencana respons insiden di setiap organisasi berbeda-beda. Anda perlu membangun rencana respons insiden yang paling cocok untuk organisasi Anda.
## Sumber daya
**Praktik terbaik terkait:**
+ [SEC04 (Bagaimana cara mendeteksi dan menyelidiki peristiwa keamanan?)](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html)
**Dokumen terkait:**
+ [Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [ NIST: Panduan Penanganan Insiden Keamanan Komputer ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
# SEC10-BP03 Menyiapkan kemampuan forensik
Sebelum terjadinya insiden keamanan, pertimbangkan untuk mengembangkan kemampuan forensik untuk mendukung investigasi event keamanan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
Konsep dari forensik on-premise tradisional berlaku untuk AWS. Untuk informasi penting untuk mulai membangun kemampuan forensik di AWS Cloud, lihat [Strategi lingkungan investigasi forensik di AWS Cloud](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/).
Setelah Anda menyiapkan lingkungan dan struktur Akun AWS Anda untuk forensik, tentukan teknologi yang diperlukan untuk secara efektif melakukan metodologi yang baik secara forensik di empat fase:
+ **Pengumpulan:** Kumpulkan log AWS yang relevan, seperti AWS Config, Log Aliran VPC, dan log tingkat host. Kumpulkan snapshot, cadangan, dan dump memori dari sumber daya AWS yang terkena dampak jika tersedia.
+ **Pemeriksaan:** Periksa data yang dikumpulkan dengan mengekstraksi dan menilai informasi yang relevan.
+ **Analisis:** Lakukan analisis data yang dikumpulkan untuk memahami insiden dan menarik kesimpulan darinya.
+ **Pelaporan:** Sajikan informasi yang dihasilkan dari fase analisis.
## Langkah implementasi
**Persiapkan lingkungan forensik Anda**
[AWS Organizations](https://aws.amazon.com/organizations/) membantu Anda mengelola dan mengatur lingkungan AWS secara terpusat saat Anda mengembangkan dan menskalakan sumber daya AWS. Sebuah organisasi AWS menggabungkan Akun AWS Anda sehingga Anda dapat mengelolanya sebagai satu unit. Anda dapat menggunakan unit organisasi (OU) untuk mengumpulkan akun-akun untuk dikelola sebagai satu unit.
Untuk respons insiden, ada manfaatnya memiliki struktur Akun AWS yang mendukung fungsi respons insiden, yang mencakup *OU Keamanan* dan *OU Forensik*. Di dalam OU keamanan, Anda harus memiliki akun untuk:
+ **Pengarsipan log:** Agregasikan log dalam Akun AWS pengarsipan log dengan izin terbatas.
+ **Alat keamanan:** Pusatkan layanan keamanan di Akun AWS alat keamanan. Akun ini beroperasi sebagai administrator yang didelegasikan untuk layanan keamanan.
Dalam OU forensik, Anda memiliki opsi untuk mengimplemetasikan satu atau beberapa akun forensik untuk setiap Region tempat Anda beroperasi, tergantung mana yang paling sesuai untuk model bisnis dan operasional Anda. Jika Anda membuat akun forensik per Region, Anda dapat memblokir pembuatan sumber daya AWS di luar Region tersebut dan mengurangi risiko sumber daya disalin ke region yang tidak diinginkan. Misalnya, jika Anda hanya beroperasi di US East (N. Virginia) Region (`us-east-1`) dan US West (Oregon) (`us-west-2`), maka Anda akan memiliki dua akun di OU forensik: satu untuk `us-east-1` dan satu untuk `us-west-2`.
Anda dapat membuat Akun AWS forensik untuk beberapa Region. Anda harus berhati-hati dalam menyalin sumber daya AWS ke akun tersebut untuk memastikan keselarasan dengan persyaratan kedaulatan data Anda. Karena diperlukan waktu untuk menyediakan akun baru, akun forensik harus dibuat dan dilengkapi jauh sebelum insiden sehingga tim perespons dapat dipersiapkan untuk menggunakannya secara efektif untuk merespons.
Diagram berikut ini menampilkan contoh struktur akun termasuk OU forensik dengan akun forensik per Region:
![\[Diagram alur yang menunjukkan struktur akun per Region untuk respons insiden, bercabang ke OU keamanan dan forensik.\]](http://docs.aws.amazon.com/id_id/wellarchitected/2023-10-03/framework/images/region-account-structure.png)
**Rekam cadangan dan snapshot**
Menyiapkan cadangan sistem dan basis data utama sangat penting untuk pemulihan dari insiden keamanan dan untuk tujuan forensik. Dengan cadangan di tempat, Anda dapat memulihkan sistem Anda ke keadaan aman sebelumnya. Pada AWS, Anda dapat membuat snapshot berbagai sumber daya. Snapshot memberi Anda cadangan titik waktu dari sumber daya tersebut. Ada banyak layanan AWS yang dapat mendukung Anda dalam pencadangan dan pemulihan. Untuk detail tentang layanan dan pendekatan ini untuk pencadangan dan pemulihan, lihat [Panduan Preskriptif Pencadangan dan Pemulihan](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/services.html) dan [Gunakan cadangan untuk memulihkan dari insiden keamanan](https://aws.amazon.com/blogs/security/use-backups-to-recover-from-security-incidents/).
Terutama berkaitan dengan situasi seperti ransomware, cadangan Anda harus terlindungi dengan baik. Untuk panduan tentang mengamankan cadangan Anda, lihat [10 praktik terbaik keamanan untuk mengamankan cadangan di AWS](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-backups-in-aws/). Selain mengamankan cadangan Anda, Anda harus secara rutin menguji proses pencadangan dan pemulihan Anda untuk memastikan teknologi dan proses yang Anda miliki berfungsi seperti yang diharapkan.
**Mengotomatiskan forensik**
Selama event keamanan, tim respons insiden Anda harus dapat mengumpulkan dan menganalisis bukti dengan cepat sambil mempertahankan akurasi selama jangka waktu sebelum dan sesudah event (seperti menangkap log yang berkaitan dengan event atau sumber daya tertentu atau mengumpulkan dump memori suatu instans Amazon EC2). Ini adalah hal yang menantang dan memakan waktu bagi tim respons insiden untuk mengumpulkan bukti yang relevan secara manual, terutama di sejumlah besar instans dan akun. Selain itu, pengumpulan manual bisa rentan terhadap kesalahan manusia. Untuk alasan-alasan ini, Anda harus mengembangkan dan mengimplementasikan otomatisasi untuk forensik sebanyak mungkin.
AWS menawarkan sejumlah sumber daya otomatisasi untuk forensik, yang tercantum di bagian Sumber Daya berikut ini. Sumber daya ini adalah contoh-contoh pola forensik yang telah kami kembangkan dan telah diimplementasikan oleh pelanggan. Meskipun merupakan arsitektur referensi yang berguna untuk memulai, pertimbangkan untuk memodifikasinya atau membuat pola otomatisasi forensik baru berdasarkan lingkungan, persyaratan, alat, dan proses forensik Anda.
## Sumber daya
**Dokumen terkait:**
+ [Panduan Respons Insiden Keamanan AWS - Mengembangkan Kemampuan Forensik ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/develop-forensics-capabilities.html)
+ [Panduan Respons Insiden Keamanan AWS - Sumber Daya Forensik ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-b-incident-response-resources.html#forensic-resources)
+ [Strategi lingkungan investigasi forensik di AWS Cloud](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/)
+ [Cara mengotomatiskan pengumpulan disk forensik di AWS](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/)
+ [Panduan Preskriptif AWS - Mengotomatiskan respons insiden dan forensik ](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automate-incident-response-and-forensics.html)
**Video terkait:**
+ [ Mengotomatiskan Respons Insiden dan Forensik ](https://www.youtube.com/watch?v=f_EcwmmXkXk)
**Contoh terkait:**
+ [ Respons Insiden Otomatis dan Kerangka Forensik ](https://github.com/awslabs/aws-automated-incident-response-and-forensics)
+ [ Orkestrator Forensik Otomatis untuk Amazon EC2 ](https://docs.aws.amazon.com/solutions/latest/automated-forensics-orchestrator-for-amazon-ec2/welcome.html)
# SEC10-BP04 Mengembangkan dan menguji playbook respons insiden keamanan
Bagian penting dari penyiapan proses respons insiden Anda adalah mengembangkan playbook. Playbook respons insiden memberikan serangkaian panduan preskriptif dan langkah-langkah yang harus diikuti ketika event keamanan terjadi. Memiliki struktur dan langkah yang jelas menyederhanakan respons dan mengurangi kemungkinan kesalahan manusia.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
Playbook harus dibuat untuk skenario insiden seperti:
+ **Insiden yang diperkirakan**: Playbook harus dibuat untuk insiden yang Anda antisipasi. Ini mencakup ancaman seperti denial of service (DoS), ransomware, dan kompromi kredensial.
+ **Temuan atau pemberitahuan keamanan yang diketahui**: Playbook harus dibuat untuk temuan dan pemberitahuan keamanan Anda yang diketahui, seperti temuan . Anda mungkin menerima temuan GuardDuty dan berpikir, “Lalu apa?” Untuk mencegah kesalahan penanganan atau pengabaian temuan GuardDuty, buat playbook untuk setiap temuan GuardDuty potensial. Beberapa detail dan panduan perbaikan dapat ditemukan di [dokumentasi GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_remediate.html). Perlu dicatat bahwa GuardDuty tidak diaktifkan secara default dan dikenakan biaya. Untuk detail selengkapnya tentang GuardDuty, lihat [Lampiran A: Definisi kemampuan cloud - Visibilitas dan pembuatan pemberitahuan](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/visibility-and-alerting.html).
Playbook harus berisi langkah-langkah teknis untuk diselesaikan oleh analis keamanan untuk menyelidiki dan merespons insiden keamanan potensial secara memadai.
### Langkah implementasi
Item yang perlu disertakan dalam playbook meliputi:
+ **Gambaran umum playbook**: Risiko atau skenario insiden apa yang ditangani oleh playbook ini? Apa tujuan dari playbook?
+ **Prasyarat**: Log, mekanisme deteksi, dan alat otomatis apa yang diperlukan untuk skenario insiden ini? Apa notifikasi yang diharapkan?
+ **Komunikasi dan informasi eskalasi**: Siapa yang terlibat dan apa informasi kontak mereka? Apa tanggung jawab setiap pemangku kepentingan?
+ **Langkah-langkah respons**: Di seluruh fase respons insiden, langkah taktis apa yang harus dilakukan? Kueri apa yang harus dijalankan analis? Kode apa yang harus dijalankan untuk mencapai hasil yang diinginkan?
+ **Deteksi**: Bagaimana insiden akan dideteksi?
+ **Analisis**: Bagaimana cakupan dampak ditentukan?
+ **Membendung**: Bagaimana insiden akan diisolasi untuk membatasi cakupan?
+ **Memberantas**: Bagaimana ancaman akan disingkirkan dari lingkungan?
+ **Memulihkan**: Bagaimana sistem atau sumber daya yang terdampak akan dikembalikan ke produksi?
+ **Hasil yang diharapkan**: Setelah kueri dan kode dijalankan, apa hasil yang diharapkan dari playbook?
## Sumber daya
**Praktik terbaik Well-Architected terkait:**
+ [SEC10-BP02 - Membuat rencana manajemen insiden](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_develop_management_plans.html)
**Dokumen terkait:**
+ [Kerangka Kerja untuk Playbook Respons Insiden](https://github.com/aws-samples/aws-customer-playbook-framework)
+ [Mengembangkan Playbook Respons Insiden Anda sendiri](https://github.com/aws-samples/aws-incident-response-playbooks-workshop)
+ [Contoh Playbook Respons Insiden](https://github.com/aws-samples/aws-incident-response-playbooks)
+ [Membangun runbook respons insiden AWS menggunakan playbook Jupyter dan CloudTrail Lake](https://catalog.workshops.aws/incident-response-jupyter/en-US)
# SEC10-BP05 Menyediakan akses di awal
Verifikasi staf respons insiden memiliki akses yang benar yang telah disediakan sebelumnya di AWS untuk mengurangi waktu yang diperlukan untuk penyelidikan hingga pemulihan.
**Antipola umum:**
+ Menggunakan akun root untuk merespons insiden.
+ Mengubah akun-akun pengguna yang ada.
+ Memanipulasi izin IAM secara langsung saat menyediakan peningkatan hak akses yang sedang dibutuhkan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
AWS menyarankan Anda untuk sebisa mungkin mengurangi atau menghilangkan kebergantungan pada kredensial berumur panjang, dan memilih kredensial sementara dan *mekanisme* peningkatan hak akses hanya saat diperlukan. Kredensial berumur panjang rentang terkena risiko keamanan dan meningkatkan biaya overhead operasional. Untuk sebagian besar tugas manajemen, serta tugas respons insiden, kami menyarankan Anda untuk mengimplementasikan [federasi identitas](https://docs.aws.amazon.com/identity/federation/) bersamaan dengan [peningkatan sementara untuk akses administratif](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/). Di model ini, seorang pengguna meminta peningkatan ke tingkat hak akses yang lebih tinggi (seperti peran respons insiden) dan, apabila pengguna tersebut memenuhi syarat peningkatan hak, permintaan tersebut dikirimkan ke seorang pemberi persetujuan. Jika permintaan tersebut disetujui, pengguna menerima serangkaian [kredensial AWS](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) sementara yang dapat digunakan untuk menyelesaikan tugas-tugas mereka. Setelah kredensial ini kedaluwarsa, pengguna harus mengirimkan permintaan peningkatan baru.
Kami menyarankan penggunaan peningkatan hak akses sementara di sebagian besar skenario respons insiden. Cara tepat untuk melakukannya adalah dengan menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) dan [kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) untuk membuat cakupan akses.
Terdapat skenario di mana identitas terfederasi tidak tersedia, seperti:
+ Pemadaman yang berkaitan dengan penyedia identitas (IdP) yang terganggu.
+ Kesalahan konfigurasi atau kesalahan manusiawi yang menyebabkan rusaknya sistem manajemen akses terfederasi.
+ Aktivitas berbahaya seperti peristiwa distributed denial of service (DDoS) atau yang menyebabkan sistem tidak tersedia.
Pada kasus-kasus di atas, harus terdapat akses *mendesak (break glass)* yang dikonfigurasi untuk mengizinkan penyelidikan dan perbaikan peristiwa secara cepat. Sebaiknya gunakan juga [pengguna IAM dengan izin yang tepat](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) untuk menjalankan tugas dan mengakses sumber daya AWS. Gunakan kredensial root hanya untuk [tugas yang memerlukan akses pengguna root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Untuk memverifikasi bahwa tim respons insiden memiliki tingkat akses yang tepat ke AWS dan sistem yang relevan lainnya, sebaiknya sediakan akun-akun pengguna khusus sejak awal. Akun pengguna tersebut memerlukan akses istimewa, dan harus dikontrol dan dipantau secara ketat. Akun-akun tersebut harus dibuat dengan hak akses paling sedikit yang diperlukan untuk menjalankan tugas yang diperlukan, dan tingkat akses harus didasarkan pada playbook yang dibuat sebagai bagian dari rencana manajemen insiden.
Gunakan pengguna dan peran yang dibuat khusus sebagai praktik terbaik. Peningkatan akses pengguna atau peran sementara melalui penambahan kebijakan IAM menjadikannya tidak jelas terkait akses apa yang dimiliki pengguna selama insiden, dan terdapat risiko tidak dicabutnya peningkatan hak akses tersebut.
Penting untuk menghapus dependensi sebanyak mungkin untuk memastikan akses dapat diperoleh dalam sebanyak mungkin skenario kegagalan. Untuk mendukung hal ini, buatlah playbook untuk memastikan pengguna respons insiden dibuat sebagai pengguna AWS Identity and Access Management di dalam akun keamanan khusus, dan bukan dikelola melalui solusi Federasi atau masuk tunggal (SSO) yang ada. Tiap-tiap perespons harus memiliki akun dengan nama mereka sendiri. Konfigurasi akun harus menegakkan [kebijakan kata sandi yang kuat](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dan autentikasi multi-faktor (MFA). Jika playbook respons insiden hanya memerlukan akses ke Konsol Manajemen AWS, pengguna tidak boleh memiliki kunci akses yang dikonfigurasi dan harus dilarang secara tegas untuk membuat kunci akses. Hal ini dapat dikonfigurasi dengan kebijakan IAM atau kebijakan kontrol layanan (SCP) sebagaimana disebutkan dalam Praktik Terbaik Keamanan AWS untu [AWS Organizations SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Pengguna tidak boleh memiliki hak ases selain kemampuan untuk mengambil peran respons insiden di akun-akun lainnya.
Selama insiden, mungkin diperlukan pemberian akses ke individu internal atau eksternal untuk mendukung aktivitas penyelidikan, perbaikan, atau pemulihan. Pada kasus ini, gunakan mekanisme playbook yang disebutkan sebelumnya, dan harus ada proses untuk memverifikasi bahwa akses tambahan apa pun segera dicabut setelah insiden selesai.
Untuk memastikan bahwa penggunaan peran respons insiden dapat dipantau dan diaudit dengan layak, penting untuk tidak membagikan akun pengguna IAM yang dibuat untuk tujuan ini kepada individu lain, serta tidak menggunakan pengguna root Akun AWS kecuali [diperlukan untuk tugas tertentu](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Jika pengguna root diperlukan (sebagai contoh, akses IAM ke akun tertentu tidak tersedia), gunakan proses terpisah dengan playbook yang tersedia untuk memverifikasi ketersediaan kata sandi pengguna root dan token MFA.
Untuk mengonfigurasi kebijakan IAM untuk peran respons insiden, pertimbangkan menggunakan [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) untuk menghasilkan kebijakan berdasarkan log AWS CloudTrail. Untuk melakukannya, berikan akses administrator ke peran respons insiden di akun non-produksi dan jalankan playbook Anda. Setelah selesai, kebijakan dapat dibuat yang hanya mengizinkan tindakan yang diambil. Kebijakan ini kemudian dapat diterapkan ke semua peran respons insiden di semua akun. Anda mungkin ingin membuat kebijakan IAM terpisah untuk setiap playbook untuk mempermudah manajemen dan audit. Contoh playbook dapat mencakup rencana respons untuk ransomware, pembobolan data, hilangnya akses produksi, dan skenario lain.
Gunakan akun pengguna respons insiden untuk mengambil [peran IAM respons insiden khusus di Akun AWS lain](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). Peran-peran ini harus dikonfigurasi hanya agar dapat diambil oleh pengguna di akun keamanan, dan hubungan kepercayaan harus mewajibkan bahwa principal pemanggil telah mengautentikasi menggunakan MFA. Peran-peran tersebut harus menggunakan kebijakan IAM dengan cakupan yang ketat untuk mengontrol akses. Pastikan bahwa semua permintaan `AssumeRole` untuk peran-peran ini dicatat dalam log di CloudTrail dan dibuatkan peringatan, dan bahwa tindakan apa pun yang diambil menggunakan peran-peran ini dicatat dalam log.
Sangat disarankan akun pengguna IAM serta IAM role disebutkan secara jelas agar dapat ditemukan dengan mudah di log CloudTrail. Contohnya adalah dengan menamai akun IAM dengan `-BREAK-GLASS` dan IAM role dengan `BREAK-GLASS-ROLE`.
[CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) digunakan untuk membuat log aktivitas API di akun AWS Anda dan harus digunakan untuk [mengonfigurasi peringatan penggunaan peran respons insiden](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/). Lihat postingan blog tentang konfigurasi perintanan saat kunci root digunakan. Instruksi dapat dimodifikasi untuk mengonfigurasi filter-ke-filter metrik [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) pada peristiwa `AssumeRole` terkait dengan IAM role respons insiden:
```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```
Karena peran respons insiden kemungkinan memiliki tingkat akses yang tinggi, peringatan-peringatan ini harus menjangkau grup yang luas dan ditindaklanjuti segera.
Selama insiden, terdapat kemungkinan bahwa perespons mungkin memerlukan akses ke sistem yang tidak diamankan secara langsung oleh IAM. Sistem-sistem tersebut dapat mencakup instans Amazon Elastic Compute Cloud, basis data Amazon Relational Database Service, atau platform perangkat lunak sebagai layanan (SaaS). Sangat disarankan untuk tidak menggunakan protokol native seperti SSH atau RDP, melainkan [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) untuk semua akses administratif ke instans Amazon EC2. Akses ini dapat dikontrol menggunakan IAM, yang aman dan diaudit. Memungkinkan juga untuk mengotomatisasi bagian-bagian playbook Anda menggunakan [dokumen AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html), yang dapat mengurangi kesalahan pengguna dan mempercepat waktu pemulihan. Untuk akses ke basis data dan alat-alat pihak ketiga, kami sarankan menyimpan kredensial akses di AWS Secrets Manager dan memberikan akses ke peran perespons insiden.
Terakhir, manajemen akun pengguna IAM perespons insiden harus ditambahkan ke [proses Joiners, Movers, dan Leavers](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) Anda dan ditinjau serta diuji secara berkala untuk memastikan bahwa yang diizinkan hanyalah akses yang diinginkan.
## Sumber daya
**Dokumen terkait:**
+ [Mengelola peningkatan akses sementara ke lingkungan AWS Anda](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
+ [Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/)
+ [Manajer Insiden AWS Systems Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html)
+ [Mengatur kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [Menggunakan autentikasi multi-faktor (MFA) di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [ Mengonfigurasi Akses Lintas Akun dengan MFA ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ Menggunakan IAM Access Analyzer untuk menghasilkan kebijakan IAM ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ Praktik Terbaik untuk Kebijakan Kontrol Layanan AWS Organizations di Lingkungan Multi-akun ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ Cara Menerima Notifikasi Ketika Kunci Akses Root Akun AWS Anda Digunakan ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ Membuat izin sesi mendetail menggunakan kebijakan terkelola IAM ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)
**Video terkait:**
+ [ Mengotomatiskan Respons Insiden dan Forensik di AWS](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+ [Panduan mandiri untuk runbook, laporan insiden, dan respons insiden](https://youtu.be/E1NaYN_fJUo)
+ [ Bersiap dan merespons insiden keamanan di lingkungan AWS Anda ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**Contoh terkait:**
+ [ Lab: Penyiapan dan Pengguna Root Akun AWS](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ Lab: Respons insiden dengan Konsol AWS dan CLI ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP06 Melakukan deployment alat di awal
Pastikan personel keamanan sejak awal telah melakukan deployment alat yang tepat untuk mengurangi waktu investigasi melalui pemulihan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
Untuk mengotomatiskan respons keamanan dan fungsi operasi, Anda dapat menggunakan set API dan alat yang komprehensif dari AWS. Anda dapat sepenuhnya mengotomatiskan manajemen identitas, keamanan jaringan, perlindungan data, dan kemampuan pemantauan, serta menyediakannya menggunakan metode pengembangan perangkat lunak populer yang sudah Anda gunakan. Saat Anda membangun otomatisasi keamanan, sistem Anda dapat memantau, meninjau, dan menginisiasi respons, tanpa memerlukan orang untuk memantau posisi keamanan Anda dan memberikan reaksi terhadap peristiwa secara manual.
Jika tim respons insiden Anda terus merespons peringatan dengan cara yang sama, mereka berisiko mengalami kelelahan alarm (alarm fatigue). Seiring berjalannya waktu, tim dapat menjadi tidak peka terhadap peringatan sehingga dapat membuat kesalahan saat menangani situasi biasa atau melewatkan peringatan yang tidak biasa. Otomatisasi membantu mencegah kelelahan alarm dengan menggunakan fungsi yang memproses peringatan biasa dan repetitif, sehingga manusia cukup menangani insiden yang sensitif dan unik. Integrasi sistem deteksi anomali, seperti Amazon GuardDuty, Wawasan AWS CloudTrail, dan Deteksi Anomali Amazon CloudWatch, dapat mengurangi beban dari peringatan umum berbasis ambang batas.
Anda dapat memperbaiki proses manual dengan mengotomatiskan langkah-langkah dalam proses secara terprogram. Setelah Anda menentukan perbaikan pola pada peristiwa, Anda dapat menguraikan pola tersebut menjadi logika yang dapat ditindaklanjuti, dan menulis kode untuk menjalankan logika tersebut. Pemberi respons selanjutnya dapat menjalankan kode tersebut untuk memperbaiki masalah. Seiring berjalannya waktu, Anda dapat mengotomatiskan lebih banyak langkah, dan pada akhirnya secara otomatis menangani semua jenis insiden yang biasa muncul.
Selama penyelidikan keamanan, Anda harus dapat meninjau log yang relevan untuk mencatat dan memahami seluruh cakupan serta garis waktu insiden. Log juga diperlukan untuk pembuatan peringatan yang mengindikasikan bahwa tindakan tertentu telah terjadi. Sangat penting untuk memilih, mengaktifkan, menyimpan, dan menyiapkan mekanisme kueri dan pengambilan, serta pembuatan peringatan. Selain itu, cara yang efektif untuk menyediakan alat untuk mencari data log adalah [Amazon Detective](https://aws.amazon.com/detective/).
AWS menawarkan lebih dari 200 layanan cloud dan ribuan fitur. Kami menyarankan Anda meninjau layanan yang dapat mendukung dan menyederhanakan strategi respons insiden Anda.
Selain pencatatan log, Anda harus mengembangkan dan menerapkan [strategi pemberian tag](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html). Pemberian tag dapat membantu memberikan konteks seputar tujuan sebuah sumber daya AWS. Pemberian tag juga dapat digunakan untuk otomatisasi.
### Langkah implementasi
**Pilih dan atur log untuk analisis dan pembuatan peringatan**
Lihat dokumentasi berikut tentang cara mengonfigurasi pencatatan log untuk respons insiden:
+ [ Strategi pencatatan log untuk respons insiden keamanan ](https://aws.amazon.com/blogs/security/logging-strategies-for-security-incident-response/)
+ [SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi](sec_detect_investigate_events_app_service_logging.md)
**Aktifkan layanan keamanan untuk mendukung deteksi dan respons**
AWS menyediakan kemampuan deteksi, pencegahan, dan responsif asli, dan layanan lainnya dapat digunakan untuk merancang solusi keamanan khusus. Untuk daftar layanan yang paling relevan untuk respons insiden keamanan, lihat [Definisi kemampuan cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-a-cloud-capability-definitions.html).
**Mengembangkan dan menerapkan strategi pemberian tag**
Memperoleh informasi kontekstual tentang kasus penggunaan bisnis dan pemangku kepentingan internal yang relevan seputar sumber daya AWS bisa jadi sulit dilakukan. Salah satu cara untuk melakukannya adalah dalam bentuk tag, yang menetapkan metadata ke sumber daya AWS Anda dan terdiri dari kunci dan nilai yang ditentukan pengguna. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, jenis data yang diproses, dan kriteria lain pilihan Anda.
Memiliki strategi pemberian tag yang konsisten dapat mempercepat waktu respons dan meminimalkan waktu yang dihabiskan untuk konteks organisasi dengan memungkinkan Anda mengidentifikasi dan membedakan informasi kontekstual tentang sumber daya AWS dengan cepat. Tag juga dapat berfungsi sebagai mekanisme untuk memulai otomatisasi respons. Untuk detail selengkapnya tentang apa yang harus diberi tag, lihat [Memberi tag pada sumber daya AWS Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html). Anda harus terlebih dahulu menentukan tag yang ingin Anda terapkan di seluruh organisasi Anda. Setelah itu, Anda akan menerapkan dan menegakkan strategi pemberian tag ini. Untuk detail selengkapnya tentang implementasi dan penegakan, lihat [Menerapkan strategi pemberian tag sumber daya AWS menggunakan Kebijakan Tag dan Kebijakan Kontrol Layanan (SCP) AWS](https://aws.amazon.com/blogs/mt/implement-aws-resource-tagging-strategy-using-aws-tag-policies-and-service-control-policies-scps/).
## Sumber daya
**Praktik terbaik Well-Architected terkait:**
+ [SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Menganalisis log, temuan, dan metrik secara terpusat](sec_detect_investigate_events_analyze_all.md)
**Dokumen terkait:**
+ [ Strategi pencatatan log untuk respons insiden keamanan ](https://aws.amazon.com/blogs/security/logging-strategies-for-security-incident-response/)
+ [ Definisi kemampuan cloud respons insiden ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-a-cloud-capability-definitions.html)
**Contoh terkait:**
+ [ Deteksi dan Respons Ancaman dengan Amazon GuardDuty dan Amazon Detective ](https://catalog.workshops.aws/guardduty/en-US)
+ [ Lokakarya Security Hub ](https://catalog.workshops.aws/security-hub/en-US)
+ [ Manajemen Kerentanan dengan Amazon Inspector ](https://catalog.workshops.aws/inspector/en-US)
# SEC10-BP07 Menjalankan simulasi
Organisasi tumbuh dan berkembang dari waktu ke waktu, begitu juga dengan lanskap ancaman. Oleh karena itu, penting untuk terus-menerus mengkaji kemampuan Anda dalam merespons insiden. Menjalankan simulasi (juga dikenal dengan nama game day) adalah salah satu metode yang dapat digunakan untuk melakukan penilaian ini. Simulasi menggunakan skenario peristiwa keamanan dunia nyata yang dirancang untuk meniru taktik, teknik, dan prosedur (TTP) pelaku ancaman dan memungkinkan organisasi untuk melatih dan mengevaluasi kemampuan respons insiden mereka dengan merespons peristiwa dunia maya tiruan ini, yang bisa saja benar-benar terjadi di dunia nyata.
**Manfaat menerapkan praktik terbaik ini:** Simulasi memiliki berbagai manfaat:
+ Memvalidasi kesiapan dunia maya dan membangun kepercayaan diri perespons insiden Anda.
+ Menguji akurasi dan efisiensi alat dan alur kerja.
+ Menyempurnakan metode komunikasi dan eskalasi yang selaras dengan rencana respons insiden Anda.
+ Memberikan kesempatan untuk merespons vektor-vektor yang kurang umum.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
Terdapat tiga jenis simulasi utama:
+ **Latihan simulasi meja:** Pendekatan simulasi meja adalah sesi berbasis diskusi yang melibatkan berbagai pemangku kepentingan respons insiden untuk melatih peran dan tanggung jawab menggunakan alat komunikasi dan playbook yang lazim. Fasilitasi latihan umumnya dapat dilakukan selama sehari penuh di lokasi virtual, lokasi fisik, atau gabungan keduanya. Karena berbasis diskusi, latihan meja berfokus pada proses, orang, dan kolaborasi. Teknologi merupakan bagian tak terpisahkan dari diskusi, tetapi penggunaan nyata alat atau skrip respons insiden umumnya bukan bagian dari latihan meja.
+ **Latihan tim ungu:** Latihan tim ungu meningkatkan level kolaborasi antara perespons insiden (tim biru) dan yang bermain sebagai pelaku ancaman (tim merah). Tim biru terdiri dari anggota pusat operasi keamanan (SOC), tetapi juga bisa melibatkan pemangku kepentingan lain yang akan terlibat selama peristiwa dunia maya nyata. Tim merah terdiri dari tim uji penetrasi atau pemangku kepentingan utama yang terlatih dalam hal keamanan ofensif. Tim merah bekerja secara kolaboratif dengan fasilitator latihan saat merancang skenario sehingga skenario benar-benar akurat dan layak. Selama latihan tim ungu, fokus utamanya adalah mekanisme deteksi, alat, dan prosedur operasi standar (SOP) yang mendukung upaya respons insiden.
+ **Latihan tim merah:** Selama latihan tim merah, pelanggaran (tim merah) melakukan simulasi untuk mencapai satu tujuan atau serangkaian tujuan tertentu dari ruang lingkup yang telah ditentukan. Para pelindung (tim biru) tidak harus mengetahui ruang lingkup dan durasi latihan, sehingga penilaian menjadi lebih realistis tentang cara mereka merespons insiden yang sebenarnya. Karena latihan tim merah bisa bersifat invasif, berhati-hatilah dan terapkan kontrol untuk memverifikasi bahwa latihan tidak menyebabkan kerusakan nyata pada lingkungan Anda.
Pertimbangkan untuk memfasilitasi simulasi dunia maya secara berkala. Setiap jenis latihan dapat memberikan manfaat unik bagi peserta dan organisasi secara keseluruhan, sehingga Anda dapat memilih untuk memulai dengan jenis simulasi yang lebih sederhana (seperti latihan meja) dan secara bertahap beralih ke jenis simulasi yang lebih kompleks (latihan tim merah). Anda harus memilih jenis simulasi berdasarkan kematangan keamanan dan sumber daya Anda, serta hasil yang Anda inginkan. Beberapa pelanggan mungkin tidak mau melakukan latihan tim merah disebabkan kompleksitas dan biayanya.
## Langkah implementasi
Terlepas dari jenis simulasi yang Anda pilih, simulasi umumnya mengikuti langkah-langkah implementasi berikut:
1. **Tentukan elemen latihan inti:** Tentukan skenario simulasi dan tujuan simulasi. Keduanya harus atas izin pimpinan.
1. **Identifikasi pemangku kepentingan utama:** Minimal, latihan membutuhkan fasilitator dan peserta latihan. Tergantung skenario, pemangku kepentingan tambahan seperti pimpinan tim legal, komunikasi, atau eksekutif dapat dilibatkan.
1. **Bangun dan uji skenario:** Skenario mungkin perlu dirombak selama penyusunan apabila elemen tertentu tidak layak. Skenario akhir adalah output yang diharapkan pada tahap ini.
1. **Fasilitasi simulasi:** Jenis simulasi menentukan fasilitas yang digunakan (skenario berbasis kertas versus skenario tersimulasi yang sangat teknis). Fasilitator harus menyelaraskan taktik fasilitas mereka dengan objek latihan dan mereka harus sebisa mungkin melibatkan semua peserta latihan untuk memberikan manfaat paling optimal.
1. **Kembangkan laporan pascatindakan (AAR):** Identifikasi area yang berjalan dengan baik, area yang memerlukan perbaikan, dan potensi celah. AAR harus mengukur efektivitas simulasi serta respons tim terhadap simulasi peristiwa sehingga kemajuan dapat dilacak dari waktu ke waktu dengan simulasi di masa mendatang.
## Sumber daya
**Dokumen terkait:**
+ [Panduan Respons Insiden AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Video terkait:**
+ [AWS GameDay - Edisi Keamanan](https://www.youtube.com/watch?v=XnfDWID_OQs)
# SEC10-BP08 Menetapkan kerangka kerja untuk belajar dari insiden
Menerapkan kerangka kerja *belajar dari pengalaman* dan kemampuan analisis akar masalah tidak hanya dapat membantu meningkatkan kemampuan respons insiden, tetapi juga membantu mencegah insiden berulang. Dengan belajar dari setiap kejadian, Anda dapat membantu menghindari mengulangi kesalahan, paparan, atau kesalahan konfigurasi yang sama, sehingga tidak hanya meningkatkan postur keamanan Anda, tetapi juga meminimalkan waktu yang hilang untuk situasi yang dapat dicegah.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
Penting untuk menerapkan kerangka kerja *belajar dari pengalaman* yang secara umum menetapkan dan mencapai poin-poin berikut ini:
+ Kapan belajar dari pengalaman diadakan?
+ Apa yang terlibat dalam proses belajar dari pengalaman?
+ Bagaimana belajar dari pengalaman dilaksanakan?
+ Siapa yang terlibat dalam prosesnya, dan bagaimana?
+ Bagaimana area perbaikan akan diidentifikasi?
+ Bagaimana Anda akan memastikan bawa perbaikan dilacak dan diimplementasikan secara efektif?
Kerangka kerja ini tidak boleh fokus pada individu atau menyalahkan individu, tetapi harus fokus pada perbaikan alat dan proses.
### Langkah implementasi
Selain hasil tingkat tinggi yang dicantumkan sebelumnya, penting untuk memastikan bahwa Anda mengajukan pertanyaan yang tepat untuk mendapatkan nilai paling besar (informasi yang mengarah pada perbaikan yang dapat ditindaklanjuti) dari proses tersebut. Pertimbangkan pertanyaan-pertanyaan ini untuk membantu Anda memulai dalam membangun diskusi belajar dari pengalaman Anda:
+ Apa insidennya?
+ Kapan insiden tersebut pertama kali diidentifikasi?
+ Bagaimana insiden tersebut diidentifikasi?
+ Sistem apa yang diperingatkan tentang aktivitas tersebut?
+ Sistem, layanan, dan data apa yang terlibat?
+ Apa yang terjadi secara khusus?
+ Apa yang berjalan dengan baik?
+ Apa yang tidak berjalan dengan baik?
+ Proses atau prosedur mana yang gagal atau gagal diskalakan untuk merespons insiden tersebut?
+ Apa yang dapat diperbaiki dalam area-area berikut:
+ **Personel**
+ Apakah orang-orang yang perlu dihubungi benar-benar sedang lowong dan apakah daftar kontak sudah diperbarui?
+ Apakah orang-orang melewatkan pelatihan atau kemampuan yang diperlukan untuk merespons dan menyelidiki insiden tersebut secara efektif?
+ Apakah sumber daya yang tepat siap dan tersedia?
+ **Proses**
+ Apakah proses dan prosedur diikuti?
+ Apakah proses dan prosedur didokumentasikan dan tersedia untuk (jenis) insiden ini?
+ Apakah proses dan prosedur yang diperlukan tidak tersedia?
+ Apakah perespons dapat memperoleh akses tepat waktu ke informasi yang diperlukan untuk merespons masalah ini?
+ **Teknologi**
+ Apakah sistem peringatan yang ada secara efektif mengidentifikasi dan memperingatkan tentang aktivitas?
+ Bagaimana kita bisa mengurangi waktu deteksi hingga 50%?
+ Apakah peringatan yang ada memerlukan perbaikan atau peringatan baru perlu dibuat untuk (jenis) insiden ini?
+ Apakah alat yang ada memungkinkan penyelidikan (pencarian/analisis) insiden yang efektif?
+ Apa yang dapat dilakukan untuk membantu mengidentifikasi (jenis) insiden ini dengan lebih cepat?
+ Apa yang dapat dilakukan untuk membantu mencegah (jenis) insiden ini terjadi lagi?
+ Siapa yang memiliki rencana perbaikan dan bagaimana Anda akan menguji bahwa rencana tersebut telah diterapkan?
+ Bagaimana garis waktu untuk mengimplementasikan dan menguji pemantauan tambahan atau kontrol dan proses pencegahan?
Daftar ini bukanlah daftar lengkap, melainkan dimaksudkan sebagai titik awal untuk mengidentifikasi kebutuhan organisasi dan bisnis dan bagaimana Anda dapat menganalisisnya agar dapat belajar secara efektif dari insiden dan terus meningkatkan postur keamanan Anda. Yang paling penting adalah memulai dengan menyertakan kerangka kerja belajar dari pengalaman sebagai bagian standar dari proses respons insiden, dokumentasi, dan harapan seluruh pemangku kepentingan.
## Sumber daya
**Dokumen terkait:**
+ [Panduan Respons Insiden Keamanan AWS - Menetapkan kerangka kerja untuk belajar dari insiden](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/establish-framework-for-learning.html)
+ [Panduan NCSC CAF - Belajar dari pengalaman](https://www.ncsc.gov.uk/collection/caf/caf-principles-and-guidance/d-2-lessons-learned)
# Keamanan aplikasi
**Topics**
+ [SEC 11. Bagaimana cara menyertakan dan memvalidasi karakteristik keamanan aplikasi sepanjang siklus hidup desain, pengembangan, dan deployment?](sec-11.md)
# SEC 11. Bagaimana cara menyertakan dan memvalidasi karakteristik keamanan aplikasi sepanjang siklus hidup desain, pengembangan, dan deployment?
Melatih karyawan, menguji menggunakan otomatisasi, memahami dependensi, dan memvalidasi karakteristik keamanan alat dan aplikasi akan membantu mengurangi kemungkinan masalah keamanan dalam beban kerja produksi.
**Topics**
+ [SEC11-BP01 Pelatihan untuk keamanan aplikasi](sec_appsec_train_for_application_security.md)
+ [SEC11-BP02 Otomatiskan pengujian sepanjang siklus hidup pengembangan dan rilis](sec_appsec_automate_testing_throughout_lifecycle.md)
+ [SEC11-BP03 Lakukan uji penetrasi secara teratur](sec_appsec_perform_regular_penetration_testing.md)
+ [SEC11-BP04 Peninjauan kode manual](sec_appsec_manual_code_reviews.md)
+ [SEC11-BP05 Pusatkan layanan untuk paket dan dependensi](sec_appsec_centralize_services_for_packages_and_dependencies.md)
+ [SEC11-BP06 Lakukan deployment perangkat lunak secara terprogram](sec_appsec_deploy_software_programmatically.md)
+ [SEC11-BP07 Nilai karakteristik keamanan pipeline secara teratur](sec_appsec_regularly_assess_security_properties_of_pipelines.md)
+ [SEC11-BP08 Buat program yang menanamkan kepemilikan keamanan dalam tim beban kerja](sec_appsec_build_program_that_embeds_security_ownership_in_teams.md)
# SEC11-BP01 Pelatihan untuk keamanan aplikasi
Berikan pelatihan kepada builder dalam organisasi Anda mengenai praktik umum untuk pengembangan dan pengoperasian aplikasi yang aman. Adopsi praktik pengembangan yang berfokus pada keamanan akan membantu mengurangi kemungkinan munculnya masalah yang hanya terdeteksi pada tahap peninjauan keamanan.
**Hasil yang diinginkan:** Perangkat lunak harus didesain dan dikembangkan dengan mempertimbangkan keamanan. Saat builder di sebuah organisasi berlatih praktik pengembangan aman yang dimulai dengan model ancaman, langkah ini meningkatkan keseluruhan kualitas dan keamanan perangkat lunak yang dibuat. Pendekatan ini dapat mempersingkat waktu untuk mengirimkan perangkat lunak atau fitur karena tidak perlu banyak pengerjaan ulang setelah tahap peninjauan keamanan.
Untuk tujuan praktik terbaik ini, *pengembangan aman* merujuk pada perangkat lunak yang sedang ditulis dan alat atau sistem yang mendukung siklus hidup pengembangan perangkat lunak (SDLC).
**Antipola umum:**
+ Menunggu sampai peninjauan keamanan, lalu mempertimbangkan karakteristik keamanan sistem.
+ Menyerahkan semua keputusan keamanan kepada tim keamanan.
+ Gagal menyampaikan cara keputusan diambil di SDLC terkait ekspektasi keseluruhan keamanan atau kebijakan organisasi.
+ Terlambat melibatkan diri dalam proses peninjauan keamanan.
**Manfaat menjalankan praktik terbaik ini:**
+ Memiliki pengetahuan yang lebih baik seputar persyaratan organisasi untuk keamanan pada fase awal siklus pengembangan.
+ Dapat mengidentifikasi dan mengatasi potensi masalah keamanan lebih cepat, sehingga dapat mengirim fitur lebih cepat.
+ Peningkatan kualitas perangkat lunak dan sistem.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
Sediakan pelatihan kepada builder di organisasi Anda. Memulai dengan kursus [pemodelan ancaman](https://catalog.workshops.aws/threatmodel/en-US) adalah dasar yang baik guna membantu pelatihan untuk keamanan. Idealnya, builder harus dapat mengakses secara mandiri informasi yang relevan dengan beban kerja mereka. Akses ini membantu mereka mengambil keputusan yang tepat tentang karakteristik keamanan sistem yang mereka bangun tanpa perlu bertanya kepada tim lain. Proses melibatkan tim keamanan untuk peninjauan harus diatur dengan jelas dan mudah diikuti. Langkah-langkah di proses peninjauan harus disertakan dalam pelatihan keamanan. Jika tersedia templat atau pola implementasi yang diketahui, keduanya harus mudah dicari dan berhubungan dengan persyaratan keamanan keseluruhan. Pertimbangkan untuk menggunakan [AWS CloudFormation,](https://aws.amazon.com/cloudformation/) [AWS Cloud Development Kit (AWS CDK) Constructs](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html), [Service Catalog](https://aws.amazon.com/servicecatalog/), atau alat pembuat templat lainnya untuk mengurangi kebutuhan akan konfigurasi kustom.
### Langkah implementasi
+ Mulai latih builder dengan memberikan kursus terkait [pemodelan ancaman](https://catalog.workshops.aws/threatmodel/en-US) untuk membangun dasar yang baik, dan bimbing mereka untuk mengetahui cara memikirkan tentang keamanan.
+ Berikan akses ke [AWS Training dan Sertifikasi](https://www.aws.training/LearningLibrary?query=&filters=Language%3A1%20Domain%3A27&from=0&size=15&sort=_score&trk=el_a134p000007C9OtAAK&trkCampaign=GLBL-FY21-TRAINCERT-800-Security&sc_channel=el&sc_campaign=GLBL-FY21-TRAINCERT-800-Security-Blog&sc_outcome=Training_and_Certification&sc_geo=mult), industri, atau pelatihan Partner AWS.
+ Berikan pelatihan terkait proses peninjauan keamanan organisasi Anda, yang menguraikan pembagian tanggung jawab antara tim keamanan, tim beban kerja, dan pemegang kepentingan lainnya.
+ Publikasikan panduan layanan mandiri terkait cara memenuhi persyaratan keamanan Anda, termasuk templat dan contoh kode, jika tersedia.
+ Dapatkan umpan balik secara rutin dari tim builder terkait pengalaman mereka seputar pelatihan dan proses peninjauan keamanan, dan gunakan umpan balik tersebut untuk meningkatkan kualitasnya.
+ Gunakan kampanye game day atau bug bash untuk membantu menurunkan jumlah masalah, dan mengasah kemampuan builder Anda.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC11-BP08 Buat program yang menanamkan kepemilikan keamanan dalam tim beban kerja](sec_appsec_build_program_that_embeds_security_ownership_in_teams.md)
**Dokumen terkait:**
+ [AWS Training dan Sertifikasi](https://www.aws.training/LearningLibrary?query=&filters=Language%3A1%20Domain%3A27&from=0&size=15&sort=_score&trk=el_a134p000007C9OtAAK&trkCampaign=GLBL-FY21-TRAINCERT-800-Security&sc_channel=el&sc_campaign=GLBL-FY21-TRAINCERT-800-Security-Blog&sc_outcome=Training_and_Certification&sc_geo=mult)
+ [Cara berpikir tentang tata kelola keamanan cloud](https://aws.amazon.com/blogs/security/how-to-think-about-cloud-security-governance/)
+ [Cara memanfaatkan pemodelan ancaman](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)
+ [Mempercepat pelatihan – AWS Skills Guild](https://docs.aws.amazon.com/whitepapers/latest/public-sector-cloud-transformation/accelerating-training-the-aws-skills-guild.html)
**Video terkait:**
+ [Keamanan proaktif: Pertimbangan dan pendekatan](https://www.youtube.com/watch?v=CBrUE6Qwfag)
**Contoh terkait:**
+ [Lokakarya tentang pemodelan ancaman](https://catalog.workshops.aws/threatmodel)
+ [Kesadaran industri untuk developer](https://owasp.org/www-project-top-ten/)
**Layanan terkait:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Cloud Development Kit (AWS CDK) (AWS CDK) Constructs](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html)
+ [Service Catalog](https://aws.amazon.com/servicecatalog/)
+ [AWS BugBust](https://docs.aws.amazon.com/codeguru/latest/bugbust-ug/what-is-aws-bugbust.html)
# SEC11-BP02 Otomatiskan pengujian sepanjang siklus hidup pengembangan dan rilis
Otomatiskan pengujian untuk karakteristik keamanan sepanjang siklus hidup pengembangan dan rilis. Otomatisasi mempermudah identifikasi yang konsisten dan berulang atas potensi masalah dalam perangkat lunak sebelum rilis, yang mengurangi risiko masalah keamanan dalam perangkat lunak yang disediakan.
**Hasil yang diinginkan: **Tujuan pengujian otomatis adalah menyediakan cara terprogram dalam mendeteksi potensi masalah lebih dini dan lebih sering sepanjang siklus hidup pengembangan. Saat Anda mengotomatiskan pengujian regresi, Anda dapat menjalankan kembali pengujian fungsional dan nonfungsional untuk memastikan bahwa perangkat lunak yang diuji sebelumnya masih berfungsi seperti yang diharapkan setelah perubahan. Saat Anda mendefinisikan pengujian unit keamanan untuk memeriksa apakah ada kesalahan konfigurasi umum, seperti autentikasi yang rusak atau hilang, Anda dapat mengidentifikasi dan memperbaiki masalah ini lebih dini dalam proses pengembangan.
Otomatisasi pengujian menggunakan kasus pengujian yang dibuat berdasarkan tujuan untuk validasi aplikasi, berdasarkan persyaratan aplikasi dan fungsionalitas yang diinginkan. Hasil pengujian otomatis berdasarkan perbandingan output pengujian yang dibuat dengan output yang diharapkan, sehingga mempercepat keseluruhan siklus hidup pengujian. Metodologi pengujian seperti pengujian regresi dan rangkaian pengujian unit adalah pilihan yang terbaik untuk otomatisasi. Otomatisasi pengujian karakteristik keamanan memungkinkan builder menerima umpan balik otomatis tanpa harus menunggu peninjauan keamanan. Pengujian otomatis dalam bentuk analisis kode statis atau dinamis dapat meningkatkan kualitas kode dan membantu mendeteksi potensi masalah perangkat lunak lebih dini dalam siklus hidup pengembangan.
**Antipola umum:**
+ Tidak menyampaikan kasus pengujian dan hasil pengujian dari pengujian otomatis.
+ Hanya menjalankan pengujian otomatis segera sebelum rilis.
+ Mengotomatiskan kasus pengujian dengan berulang kali mengubah persyaratan.
+ Gagal memberikan panduan mengenai cara menangani hasil pengujian keamanan.
**Manfaat menjalankan praktik terbaik ini:**
+ Menurunkan dependensi pada orang yang mengevaluasi karakteristik keamanan sistem.
+ Memiliki temuan yang konsisten di beberapa aliran kerja meningkatkan konsisten.
+ Menurunkan kemungkinan munculnya masalah keamanan dalam produksi perangkat lunak.
+ Periode waktu lebih pendek antara deteksi dan penyelesaian karena mengidentifikasi masalah perangkat lunak lebih dini.
+ Meningkatkan visibilitas perilaku sistemik atau berulang di beberapa aliran kerja, yang dapat digunakan untuk mendorong peningkatan berskala organisasi.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: **Sedang
## Panduan implementasi
Saat Anda membuat perangkat lunak, adopsi beragam mekanisme untuk pengujian perangkat lunak guna memastikan bahwa Anda menguji aplikasi untuk kedua persyaratan aplikasi, berdasarkan logika bisnis aplikasi, dan persyaratan nonfungsional, yang fokus pada keandalan, performa, dan keamanan aplikasi.
Pengujian keamanan aplikasi statis (SAST) menganalisis kode sumber Anda untuk mendeteksi pola keamanan anomali dan memberikan indikasi untuk kode yang rawan cacat. SAST mengandalkan input statis, seperti dokumentasi (spesifikasi persyaratan, dokumentasi desain, dan spesifikasi desain) dan sumber kode aplikasi untuk menguji beragam masalah keamanan yang diketahui. Penganalisis kode statis dapat membantu mempercepat analisis kode dalam volume besar. [NIST Quality Group](https://www.nist.gov/itl/ssd/software-quality-group) menyediakan perbandingan [Penganalisis Keamanan Kode Sumber](https://www.nist.gov/itl/ssd/software-quality-group/source-code-security-analyzers), yang menyertakan alat sumber terbuka untuk [Pemindai Kode Bita](https://samate.nist.gov/index.php/Byte_Code_Scanners.html) dan [Pemindai Kode Biner](https://samate.nist.gov/index.php/Binary_Code_Scanners.html).
Lengkapi pengujian statis Anda dengan metodologi pengujian keamanan analisis dinamis (DAST), yang menjalankan pengujian terhadap aplikasi yang berjalan untuk mengidentifikasi potensi perilaku yang tidak diharapkan. Pengujian dinamis dapat digunakan untuk mendeteksi potensi masalah yang tidak terdeteksi melalui analisis statis. Pengujian di tahap repositori kode, build, dan pipeline memungkinkan Anda memeriksa berbagai jenis potensi masalah agar tidak masuk ke dalam kode Anda. [Amazon CodeWhisperer](https://aws.amazon.com/codewhisperer/) menyediakan rekomendasi kode, termasuk pemindaian keamanan, di IDE builder. [Amazon CodeGuru Reviewer](https://aws.amazon.com/codeguru/) dapat mengidentifikasi masalah penting, masalah keamanan, dan bug yang sulit ditemukan selama pengembangan aplikasi, dan menyediakan rekomendasi untuk meningkatkan kualitas kode.
[Lokakarya Keamanan untuk Developer](https://catalog.workshops.aws/sec4devs) menggunakan alat developer AWS, seperti [AWS CodeBuild](https://aws.amazon.com/codebuild/), [AWS CodeCommit](https://aws.amazon.com/codecommit/), dan [AWS CodePipeline](https://aws.amazon.com/codepipeline/), untuk otomatisasi pipeline rilis yang menyertakan metodologi pengujian SAST dan DAST.
Saat Anda menjalani SDLC, buat proses iteratif yang menyertakan peninjauan aplikasi berkala bersama tim keamanan Anda. Umpan balik yang didapatkan dari peninjauan keamanan ini harus diatasi dan divalidasi sebagai bagian dari peninjauan kesiapan rilis Anda. Tinjauan ini membuat postur keamanan aplikasi yang kokoh, dan memberikan umpan balik yang dapat ditindaklanjuti kepada builder untuk menangani potensi masalah.
### Langkah implementasi
+ Implementasikan IDE yang konsisten, peninjauan kode, dan alat CI/CD yang menyertakan pengujian keamanan.
+ Pertimbangkan posisi yang tepat dalam SDLC untuk memblokir pipeline daripada hanya memberi tahu builder bahwa masalah perlu diselesaikan.
+ [Lokakarya Keamanan untuk Developer](https://catalog.workshops.aws/sec4devs) memberikan contoh mengintegrasikan pengujian statis dan dinamis ke dalam pipeline rilis.
+ Menjalankan pengujian atau analisis kode menggunakan alat otomatis, seperti [Amazon CodeWhisperer](https://aws.amazon.com/codewhisperer/) yang diintegrasikan dengan IDE developer, dan [Amazon CodeGuru Reviewer](https://aws.amazon.com/codeguru/) untuk memindai kode dalam penerapan, membantu builder mendapatkan umpan balik pada waktu yang tepat.
+ Saat membangun menggunakan AWS Lambda, Anda dapat menggunakan [Amazon Inspector](https://aws.amazon.com/about-aws/whats-new/2023/02/code-scans-lambda-functions-amazon-inspector-preview/) untuk memindai kode aplikasi dalam fungsi Anda.
+ [Lokakarya CI/CD AWS](https://catalog.us-east-1.prod.workshops.aws/workshops/ef1c179d-8097-4f34-8dc3-0e9eb381b6eb/en-US/) menyediakan titik awal dalam membangun pipeline CI/CD pada AWS.
+ Saat pengujian otomatis disertakan dalam pipeline CI/CD, Anda harus menggunakan sistem tiket untuk melacak notifikasi dan penyelesaian masalah perangkat lunak.
+ Untuk pengujian keamanan yang mungkin menghasilkan temuan, menautkan ke panduan untuk penyelesaian membantu builder meningkatkan kualitas kode.
+ Analisis temuan secara berkala dari alat otomatis untuk memprioritaskan otomatisasi berikutnya, pelatihan builder, atau kampanye kesadaran.
## Sumber daya
**Dokumen terkait:**
+ [Pengiriman Berkelanjutan dan Deployment Berkelanjutan](https://aws.amazon.com/devops/continuous-delivery/)
+ [Partner Kompetensi DevOps AWS](https://aws.amazon.com/devops/partner-solutions/?blog-posts-cards.sort-by=item.additionalFields.createdDate&blog-posts-cards.sort-order=desc&partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc&awsf.partner-solutions-filter-partner-type=partner-type%23technology&awsf.Filter%20Name%3A%20partner-solutions-filter-partner-location=*all&awsf.partner-solutions-filter-partner-location=*all&partner-case-studies-cards.sort-by=item.additionalFields.sortDate&partner-case-studies-cards.sort-order=desc&awsm.page-partner-solutions-cards=1)
+ [Partner Kompetensi Keamanan AWS](https://aws.amazon.com/security/partner-solutions/?blog-posts-cards.sort-by=item.additionalFields.createdDate&blog-posts-cards.sort-order=desc&partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc&awsf.partner-solutions-filter-partner-type=*all&awsf.Filter%20Name%3A%20partner-solutions-filter-partner-categories=use-case%23app-security&awsf.partner-solutions-filter-partner-location=*all&partner-case-studies-cards.sort-by=item.additionalFields.sortDate&partner-case-studies-cards.sort-order=desc&events-master-partner-webinars.sort-by=item.additionalFields.startDateTime&events-master-partner-webinars.sort-order=asc) untuk Keamanan Aplikasi
+ [Memilih pendekatan CI/CD Well-Architected](https://aws.amazon.com/blogs/devops/choosing-well-architected-ci-cd-open-source-software-aws-services/)
+ [Memantau peristiwa CodeCommit di Amazon EventBridge dan Amazon CloudWatch Events](https://docs.aws.amazon.com/codecommit/latest/userguide/monitoring-events.html)
+ [Deteksi rahasia dalam Peninjauan Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/recommendations.html#secrets-detection)
+ [Percepat deployment di AWS dengan tata kelola yang efektif](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/)
+ [Cara AWS memanfaatkan otomatisasi deployment yang aman tanpa campur tangan](https://aws.amazon.com/builders-library/automating-safe-hands-off-deployments/)
**Video terkait:**
+ [Tanpa campur tangan: Mengotomatiskan pipeline pengiriman berkelanjutan di Amazon](https://www.youtube.com/watch?v=ngnMj1zbMPY)
+ [Mengotomatiskan pipeline CI/CD lintas akun](https://www.youtube.com/watch?v=AF-pSRSGNks)
**Contoh terkait:**
+ [Kesadaran industri untuk developer](https://owasp.org/www-project-top-ten/)
+ [Tata Kelola AWS CodePipeline](https://github.com/awslabs/aws-codepipeline-governance) (GitHub)
+ [Lokakarya Keamanan untuk Developer](https://catalog.us-east-1.prod.workshops.aws/workshops/66275888-6bab-4872-8c6e-ed2fe132a362/en-US)
+ [Lokakarya CI/CD AWS](https://catalog.us-east-1.prod.workshops.aws/workshops/ef1c179d-8097-4f34-8dc3-0e9eb381b6eb/en-US/)
# SEC11-BP03 Lakukan uji penetrasi secara teratur
Lakukan uji penetrasi perangkat lunak secara teratur. Mekanisme ini membantu mengidentifikasi potensi masalah perangkat lunak yang tidak dapat dideteksi oleh pengujian otomatis atau peninjauan kode manual. Mekanisme ini juga membantu Anda memahami efikasi kontrol deteksi Anda. Uji penetrasi harus mencoba untuk menentukan apakah perangkat lunak dapat dibuat untuk berkinerja dengan cara-cara yang tak terduga, seperti mengungkapkan data yang seharusnya dilindungi, atau memberikan izin yang lebih luas daripada yang diharapkan.
**Hasil yang diinginkan:** Uji penetrasi digunakan untuk mendeteksi, menyelesaikan, dan memvalidasi karakteristik keamanan aplikasi Anda. Uji penetrasi yang teratur dan terjadwal harus dilakukan sebagai bagian dari siklus hidup pengembangan perangkat lunak (SDLC). Temuan dari uji penetrasi harus diatasi sebelum perangkat lunak dirilis. Anda harus menganalisis temuan dari uji penetrasi untuk mengidentifikasi apakah ada masalah yang dapat ditemukan menggunakan otomatisasi. Memiliki uji penetrasi yang teratur dan dapat diulangi serta menyertakan mekanisme umpan balik yang aktif membantu menginformasikan panduan kepada builder dan meningkatkan kualitas perangkat lunak.
**Antipola umum:**
+ Hanya melakukan uji penetrasi untuk masalah keamanan yang diketahui atau umum.
+ Melakukan uji penetrasi aplikasi tanpa pustaka dan alat pihak ketiga yang dependen.
+ Hanya melakukan uji penetrasi untuk masalah keamanan paket, dan tidak mengevaluasi logika bisnis yang diimplementasikan.
**Manfaat menjalankan praktik terbaik ini:**
+ Peningkatan kredibilitas karakteristik keamanan dari perangkat lunak sebelum rilis.
+ Peluang untuk mengidentifikasi pola aplikasi yang dipilih, yang menghasilkan kualitas perangkat lunak yang lebih baik.
+ Loop umpan balik yang mengidentifikasi lebih dini di siklus pengembangan di mana otomatisasi atau pelatihan tambahan dapat meningkatkan karakteristik keamanan perangkat lunak.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: **Tinggi
## Panduan implementasi
Uji penetrasi adalah langkah pengujian keamanan terstruktur untuk menjalankan skenario pelanggaran keamanan terencana guna mendeteksi, menyelesaikan, dan memvalidasi kontrol keamanan. Uji penetrasi dimulai dengan pengintaian, yang mana data dikumpulkan berdasarkan desain aplikasi dan dependensinya saat ini. Daftar kurasi skenario pengujian khusus keamanan dibuat dan dijalankan. Tujuan utama pengujian ini adalah mengungkap masalah keamanan di aplikasi Anda, yang dapat dieksploitasi untuk mendapatkan akses yang tidak direncanakan ke lingkungan Anda, atau akses yang tidak diotorisasi ke data Anda. Anda harus melakukan uji penetrasi saat meluncurkan fitur baru atau setiap kali aplikasi Anda menjalani perubahan besar pada implementasi teknis atau fungsi.
Anda harus mengidentifikasi tahap yang paling sesuai dalam siklus hidup pengembangan untuk melakukan uji penetrasi. Pengujian ini harus dilakukan pada waktu yang hampir mendekati status rilis fungsionalitas sistem yang direncanakan, tetapi ada waktu yang cukup untuk menyelesaikan masalah yang ada.
### Langkah implementasi
+ Miliki proses terstruktur mengenai cara uji penetrasi dicakup. Merancang proses berdasarkan [model ancaman](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) adalah cara yang baik dalam mempertahankan konteks.
+ Identifikasi tempat yang sesuai dalam siklus pengembangan untuk melakukan uji penetrasi. Hal ini harus dilakukan saat ada perubahan minim yang diharapkan pada aplikasi, tetapi ada waktu yang cukup untuk melakukan penyelesaian masalah.
+ Latih builder Anda untuk mengetahui apa saja yang diharapkan dari temuan uji penetrasi dan cara mendapatkan informasi dalam penyelesaian.
+ Gunakan alat untuk mempercepat alat uji penetrasi dengan mengotomatiskan pengujian yang umum atau dapat diulang.
+ Analisis temuan uji penetrasi untuk mengidentifikasi masalah keamanan sistemik, dan gunakan data ini untuk menginformasikan pengujian tambahan yang diotomatisasi dan pendidikan builder yang sedang berlangsung.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC11-BP01 Pelatihan untuk keamanan aplikasi](sec_appsec_train_for_application_security.md)
+ [SEC11-BP02 Otomatiskan pengujian sepanjang siklus hidup pengembangan dan rilis](sec_appsec_automate_testing_throughout_lifecycle.md)
**Dokumen terkait:**
+ [Uji Penetrasi AWS](https://aws.amazon.com/security/penetration-testing/) menyediakan panduan mendetail untuk uji penetrasi pada AWS
+ [Percepat deployment di AWS dengan tata kelola yang efektif](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/)
+ [Partner Kompetensi Keamanan AWS](https://aws.amazon.com/security/partner-solutions/?blog-posts-cards.sort-by=item.additionalFields.createdDate&blog-posts-cards.sort-order=desc&partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc&awsf.partner-solutions-filter-partner-type=*all&awsf.Filter%20Name%3A%20partner-solutions-filter-partner-categories=*all&awsf.partner-solutions-filter-partner-location=*all&partner-case-studies-cards.sort-by=item.additionalFields.sortDate&partner-case-studies-cards.sort-order=desc&events-master-partner-webinars.sort-by=item.additionalFields.startDateTime&events-master-partner-webinars.sort-order=asc)
+ [Modernisasi arsitektur uji penetrasi Anda di AWS Fargate](https://aws.amazon.com/blogs/architecture/modernize-your-penetration-testing-architecture-on-aws-fargate/)
+ [Simulator injeksi Kesalahan AWS](https://aws.amazon.com/fis/)
**Contoh terkait:**
+ [Otomatiskan pengujian API dengan AWS CodePipeline](https://github.com/aws-samples/aws-codepipeline-codebuild-with-postman) (GitHub)
+ [Pembantu keamanan yang diotomatiskan](https://github.com/aws-samples/automated-security-helper) (GitHub)
# SEC11-BP04 Peninjauan kode manual
Lakukan peninjauan kode manual atas perangkat lunak yang Anda hasilkan. Proses ini membantu memverifikasi bahwa orang yang menulis kode bukan satu-satunya orang yang memeriksa kualitas kode.
**Hasil yang diinginkan:** Menyertakan langkah peninjauan kode manual selama pengembangan meningkatkan kualitas perangkat lunak yang ditulis, membantu mengasah kemampuan anggota tim yang kurang berpengalaman, dan memberikan peluang untuk mengidentifikasi titik yang cocok untuk otomatisasi. Peninjauan kode manual dapat didukung oleh pengujian dan alat otomatis.
**Antipola umum:**
+ Tidak melakukan peninjauan kode sebelum deployment.
+ Penulis dan peninjau kode adalah orang yang sama.
+ Tidak menggunakan otomatisasi untuk membantu atau mengatur peninjauan kode.
+ Tidak melatih builder agar memahami keamanan aplikasi sebelum mereka meninjau kode.
**Manfaat menjalankan praktik terbaik ini:**
+ Peningkatan kualitas kode.
+ Peningkatan konsistensi pengembangan kode sepanjang penggunaan ulang pendekatan umum.
+ Penurunan jumlah masalah yang ditemukan selama uji penetrasi dan tahap-tahap terakhir.
+ Peningkatan transfer ilmu di dalam tim.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
Langkah peninjauan harus diimplementasikan sebagai bagian dari keseluruhan alur manajemen kode. Spesifikasinya bergantung pada pendekatan yang digunakan untuk pencabangan, permintaan penarikan, dan penggabungan. Anda mungkin menggunakan AWS CodeCommit atau solusi pihak ketiga seperti GitHub, GitLab, atau Bitbucket. Apa pun metode yang Anda gunakan, penting untuk memastikan bahwa proses Anda memerlukan peninjauan kode sebelum di-deploy di lingkungan produksi. Menggunakan alat seperti [Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) dapat mempermudah pengaturan proses peninjauan kode.
### Langkah implementasi
+ Implementasikan langkah peninjauan manual sebagai bagian dari alur manajemen kode Anda dan lakukan peninjauan ini sebelum melanjutkan.
+ Pertimbangkan [Amazon CodeGuru Reviewer](https://aws.amazon.com/codeguru/) untuk mengelola dan membantu dalam peninjauan kode.
+ Implementasikan alur persetujuan yang mengharuskan peninjauan kode selesai sebelum kode dapat lanjut ke tahap berikutnya.
+ Pastikan ada proses untuk mengidentifikasi masalah yang ditemukan selama peninjauan kode manual yang dapat dideteksi secara otomatis.
+ Integrasikan langkah peninjauan kode manual menggunakan cara yang selaras dengan praktik pengembangan kode Anda.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC11-BP02 Otomatiskan pengujian sepanjang siklus hidup pengembangan dan rilis](sec_appsec_automate_testing_throughout_lifecycle.md)
**Dokumen terkait:**
+ [Mengerjakan permintaan penarikan di repositori AWS CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/pull-requests.html)
+ [Mengerjakan templat aturan persetujuan di AWS CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/approval-rule-templates.html)
+ [Tentang permintaan penarikan di GitHub](https://docs.github.com/en/pull-requests/collaborating-with-pull-requests/proposing-changes-to-your-work-with-pull-requests/about-pull-requests)
+ [Otomatiskan peninjauan kode dengan Amazon CodeGuru Reviewer](https://aws.amazon.com/blogs/devops/automate-code-reviews-with-amazon-codeguru-reviewer/)
+ [Mengotomatisasi deteksi kerentanan keamanan dan bug di pipeline CI/CD menggunakan CLI Amazon CodeGuru Reviewer](https://aws.amazon.com/blogs/devops/automating-detection-of-security-vulnerabilities-and-bugs-in-ci-cd-pipelines-using-amazon-codeguru-reviewer-cli/)
**Video terkait:**
+ [Peningkatan berkelanjutan kualitas kode dengan Amazon CodeGuru](https://www.youtube.com/watch?v=iX1i35H1OVw)
**Contoh terkait:**
+ [Lokakarya Keamanan untuk Developer](https://catalog.workshops.aws/sec4devs)
# SEC11-BP05 Pusatkan layanan untuk paket dan dependensi
Berikan layanan terpusat agar tim builder dapat memperoleh paket perangkat lunak dan dependensi lainnya. Hal ini memungkinkan validasi paket sebelum paket disertakan dalam perangkat lunak yang Anda tulis, dan memberikan sumber data untuk analisis perangkat lunak yang digunakan dalam organisasi Anda.
**Hasil yang diinginkan:** Perangkat lunak yang terdiri dari sekumpulan paket perangkat lunak lainnya selain kode yang ditulis. Ini mempermudah untuk menggunakan implementasi fungsionalitas yang berulang kali digunakan, seperti pengurai JSON atau pustaka enkripsi. Memusatkan secara logis sumber untuk paket dan dependensi ini memberikan mekanisme bagi tim keamanan untuk memvalidasi karakteristik paket sebelum paket digunakan. Pendekatan ini juga menurunkan risiko masalah tidak terduga yang disebabkan oleh perubahan dalam paket yang ada, atau oleh tim builder, termasuk paket arbitrer langsung dari internet. Gunakan pendekatan ini sehubungan dengan alur pengujian manual dan otomatis untuk meningkatkan kredibilitas kualitas perangkat lunak yang dikembangkan.
**Antipola umum:**
+ Menarik paket dari repositori arbitrer di internet.
+ Tidak menguji paket baru sebelum menyediakannya kepada builder.
**Manfaat menjalankan praktik terbaik ini:**
+ Pemahaman lebih baik mengenai paket apa yang digunakan di perangkat lunak yang dibangun.
+ Dapat memberi tahu tim beban kerja saat paket perlu diperbarui berdasarkan pemahaman siapa yang menggunakan apa.
+ Menurunkan risiko penyertaan paket bermasalah di perangkat lunak Anda.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: **Sedang
## Panduan implementasi
Sediakan layanan terpusat untuk paket dan dependensi dengan cara yang mudah digunakan bagi builder. Layanan terpusat dapat dipusatkan secara logis daripada diimplementasikan sebagai sistem monolitik. Pendekatan ini memungkinkan Anda menyediakan layanan dengan cara yang memenuhi kebutuhan builder Anda. Anda harus mengimplementasikan cara yang efisien untuk menambahkan paket ke repositori saat pembaruan terjadi atau persyaratan baru muncul. Layanan AWS seperti [AWS CodeArtifact](https://aws.amazon.com/codeartifact/) atau solusi partner AWS serupa menyediakan cara untuk mengirim kapabilitas ini.
### Langkah Implementasi:
+ Implementasikan layanan repositori terpusat secara logis yang tersedia di semua lingkungan tempat perangkat lunak dikembangkan.
+ Sertakan akses ke repositori sebagai bagian dari proses vending Akun AWS.
+ Buat otomatisasi untuk menguji paket sebelum paket dipublikasikan ke repositori.
+ Pertahankan metrik paket yang paling sering digunakan, bahasa, dan tim dengan jumlah perubahan tertinggi.
+ Sediakan mekanisme otomatis untuk tim builder guna meminta paket baru dan memberikan umpan balik.
+ Pindai paket secara rutin di repositori Anda untuk mengidentifikasi potensi dampak masalah yang baru ditemukan.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC11-BP02 Otomatiskan pengujian sepanjang siklus hidup pengembangan dan rilis](sec_appsec_automate_testing_throughout_lifecycle.md)
**Dokumen terkait:**
+ [Percepat deployment di AWS dengan tata kelola yang efektif](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/)
+ [Perketat keamanan paket Anda dengan toolkit CodeArtifact Package Origin Control](https://aws.amazon.com/blogs/devops/tighten-your-package-security-with-codeartifact-package-origin-control-toolkit/)
+ [Mendeteksi masalah keamanan dalam pencatatan log dengan Amazon CodeGuru Reviewer](https://aws.amazon.com/blogs/devops/detecting-security-issues-in-logging-with-amazon-codeguru-reviewer/)
+ [Level rantai Pasokan untuk Artefak Perangkat Lunak (SLSA)](https://slsa.dev/)
**Video terkait:**
+ [Keamanan proaktif: Pertimbangan dan pendekatan](https://www.youtube.com/watch?v=CBrUE6Qwfag)
+ [Filosofi Keamanan AWS (re:Invent 2017)](https://www.youtube.com/watch?v=KJiCfPXOW-U)
+ [Saat keamanan, keselamatan, dan urgensi menjadi penting: Menangani Log4Shell](https://www.youtube.com/watch?v=pkPkm7W6rGg)
**Contoh terkait:**
+ [Pipeline Publikasi Paket Beberapa Wilayah](https://github.com/aws-samples/multi-region-python-package-publishing-pipeline) (GitHub)
+ [Memublikasikan Modul Node.js di AWS CodeArtifact menggunakan AWS CodePipeline](https://github.com/aws-samples/aws-codepipeline-publish-nodejs-modules) (GitHub)
+ [Sampel Pipeline AWS CDK Java CodeArtifact](https://github.com/aws-samples/aws-cdk-codeartifact-pipeline-sample) (GitHub)
+ [Distribusikan paket NuGet .NET pribadi dengan AWS CodeArtifact](https://github.com/aws-samples/aws-codeartifact-nuget-dotnet-pipelines) (GitHub)
# SEC11-BP06 Lakukan deployment perangkat lunak secara terprogram
Lakukan deployment perangkat lunak secara terprogram jika memungkinkan. Pendekatan ini mengurangi kemungkinan terjadinya kegagalan deployment atau masalah tak terduga karena kesalahan manusia.
**Hasil yang diinginkan: **Meminimalkan campur tangan manusia dari data adalah prinsip utama pengembangan yang aman di AWS Cloud. Prinsip ini termasuk cara Anda melakukan deployment pada perangkat lunak.
Dengan tidak bergantung pada orang untuk men-deploy perangkat lunak, Anda akan mendapatkan manfaat peningkatan kredibilitas bahwa apa yang Anda uji adalah apa yang di-deploy, dan deployment dilakukan secara konsisten setiap kali dijalankan. Perangkat lunak tidak perlu diubah agar berfungsi di lingkungan yang berbeda. Menggunakan prinsip pengembangan aplikasi dua belas faktor, terutama eksternalisasi konfigurasi, memungkinkan Anda men-deploy kode yang sama ke beberapa lingkungan tanpa memerlukan perubahan. Menandatangani paket perangkat lunak secara kriptografis adalah cara yang baik untuk memastikan bahwa tidak ada yang berubah di antara lingkungan. Keseluruhan hasil dari pendekatan ini adalah penurunan risiko proses perubahan dan peningkatan konsistensi rilis perangkat lunak.
**Antipola umum:**
+ Men-deploy perangkat lunak secara manual ke tahap produksi.
+ Melakukan perubahan secara manual ke perangkat lunak agar dapat menyesuaikan dengan lingkungan yang berbeda.
**Manfaat menjalankan praktik terbaik ini:**
+ Peningkatan kredibilitas dalam proses rilis perangkat lunak.
+ Penurunan risiko kegagalan perubahan yang berdampak pada fungsionalitas bisnis.
+ Peningkatan jadwal rilis karena risiko terhadap perubahan lebih rendah.
+ Kapabilitas pengembalian (rollback) otomatis untuk peristiwa tidak terduga selama deployment.
+ Kemampuan untuk membuktikan secara kriptografis bahwa perangkat lunak yang diuji adalah perangkat lunak yang di-deploy.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Buat struktur Akun AWS Anda untuk menghapus akses manusia yang persisten dari lingkungan dan gunakan alat CI/CD untuk melakukan deployment. Rancang aplikasi Anda sehingga data konfigurasi khusus lingkungan diperoleh dari sumber eksternal, seperti [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html). Tanda tangani paket setelah paket diuji, dan validasikan tanda tangan ini selama deployment. Konfigurasikan pipeline CI/CD Anda untuk mendorong kode aplikasi dan menggunakan canary untuk mengonfirmasi deployment yang berhasil. Gunakan alat seperti [AWS CloudFormation](https://aws.amazon.com/cloudformation/) atau [AWS CDK](https://aws.amazon.com/cdk/) untuk menentukan infrastruktur Anda, lalu gunakan [AWS CodeBuild](https://aws.amazon.com/codebuild/) dan [AWS CodePipeline](https://aws.amazon.com/codepipeline/) untuk melakukan operasi CI/CD.
### Langkah implementasi
+ Bangun pipeline CI/CD yang ditetapkan dengan baik untuk menyederhanakan proses deployment.
+ Menggunakan [AWS CodeBuild](https://aws.amazon.com/codebuild/) dan [AWS Code Pipeline](https://aws.amazon.com/codepipeline/) untuk menyediakan kemampuan CI/CD mempermudah untuk mengintegrasikan pengujian keamanan ke jalur Anda.
+ Ikuti panduan pemisahan lingkungan di laporan resmi [Mengatur Lingkungan AWS Anda Menggunakan Beberapa Akun](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html).
+ Pastikan tidak ada akses manusia yang persisten ke lingkungan tempat beban kerja produksi berjalan.
+ Rancang aplikasi Anda untuk mendukung eksternalisasi data konfigurasi.
+ Pertimbangkan untuk men-deploy menggunakan model deployment blue/green.
+ Implementasikan canary untuk memvalidasi deployment perangkat lunak yang berhasil.
+ Gunakan alat kriptografis seperti [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) atau [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) untuk menandatangani dan memverifikasi paket perangkat lunak yang Anda deploy.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC11-BP02 Otomatiskan pengujian sepanjang siklus hidup pengembangan dan rilis](sec_appsec_automate_testing_throughout_lifecycle.md)
**Dokumen terkait:**
+ [Lokakarya CI/CD AWS](https://catalog.us-east-1.prod.workshops.aws/workshops/ef1c179d-8097-4f34-8dc3-0e9eb381b6eb/en-US/)
+ [Percepat deployment di AWS dengan tata kelola yang efektif](https://aws.amazon.com/blogs/architecture/accelerate-deployments-on-aws-with-effective-governance/)
+ [Mengotomatiskan deployment aman tanpa campur tangan](https://aws.amazon.com/builders-library/automating-safe-hands-off-deployments/)
+ [Penandatanganan kode menggunakan AWS Certificate Manager Private CA dan kunci asimetris AWS Key Management Service](https://aws.amazon.com/blogs/security/code-signing-aws-certificate-manager-private-ca-aws-key-management-service-asymmetric-keys/)
+ [Penandatanganan Kode, Kontrol Integritas dan Kepercayaan untuk AWS Lambda](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)
**Video terkait:**
+ [Tanpa campur tangan: Mengotomatiskan pipeline pengiriman berkelanjutan di Amazon](https://www.youtube.com/watch?v=ngnMj1zbMPY)
**Contoh terkait:**
+ [Deployment Blue/Green dengan AWS Fargate](https://catalog.us-east-1.prod.workshops.aws/workshops/954a35ee-c878-4c22-93ce-b30b25918d89/en-US)
# SEC11-BP07 Nilai karakteristik keamanan pipeline secara teratur
Terapkan prinsip Pilar Keamanan Well-Architected pada pipeline Anda, dengan perhatian khusus pada pemisahan izin. Nilai karakteristik keamanan infrastruktur pipeline Anda secara teratur. Mengelola keamanan **pipeline secara efektif akan memungkinkan Anda memberikan keamanan perangkat lunak yang lolos *melalui* pipeline.
**Hasil yang diinginkan: **Pipeline yang digunakan untuk membangun dan men-deploy perangkat lunak Anda harus mengikuti rekomendasi praktik yang sama seperti beban kerja lainnya di lingkungan Anda. Pengujian yang diimplementasikan di pipeline seharusnya tidak dapat diedit oleh builder yang menggunakannya. Pipeline seharusnya hanya memiliki izin yang diperlukan untuk deployment yang dilakukannya dan harus mengimplementasikan perlindungan untuk menghindari deployment ke lingkungan yang salah. Pipeline tidak boleh bergantung pada kredensial jangka panjang, dan harus dikonfigurasikan untuk memberikan status sehingga integritas lingkungan build dapat divalidasi.
**Antipola umum:**
+ Pengujian keamanan yang dapat dilewati oleh builder.
+ Izin yang terlalu luas untuk pipeline deployment.
+ Pipeline tidak dikonfigurasikan untuk memvalidasi input.
+ Tidak rutin meninjau izin yang terkait dengan infrastruktur CI/CD Anda.
+ Penggunaan kredensial jangka panjang atau yang diberi hardcode.
**Manfaat menjalankan praktik terbaik ini:**
+ Kredibilitas lebih tinggi pada integritas perangkat lunak yang dibangun dan di-deploy melalui pipeline.
+ Kemampuan untuk menghentikan deployment saat ada aktivitas yang mencurigakan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Memulai dengan layanan CI/CD terkelola yang mendukung peran IAM menurunkan risiko kebocoran kredensial. Menerapkan prinsip Pilar Keamanan ke infrastruktur pipeline CI/CD Anda dapat membantu Anda menentukan titik mana yang dapat ditingkatkan keamanannya. Mengikuti [Arsitektur Rujukan Pipeline Deployment AWS](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/) adalah titik awal yang baik untuk membangun lingkungan CI/CD Anda. Meninjau secara rutin implementasi pipeline dan menganalisis log untuk menemukan perilaku tidak terduga dapat membantu Anda memahami pola penggunaan pipeline yang digunakan untuk men-deploy perangkat lunak.
### Langkah implementasi
+ Mulai dengan [Arsitektur Rujukan Pipeline Deployment AWS](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/).
+ Pertimbangkan untuk menggunakan [AWS IAM Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/what-is-access-analyzer.html) agar dapat secara terprogram membuat kebijakan IAM hak akses paling rendah untuk pipeline.
+ Integrasikan pipeline Anda dengan pemantauan dan peringatan sehingga Anda mendapatkan notifikasi aktivitas tidak terduga atau tidak normal, untuk layanan terkelola AWS, [Amazon EventBridge](https://aws.amazon.com/eventbridge/) memungkinkan Anda merutekan data ke target seperti [AWS Lambda](https://aws.amazon.com/lambda/) atau [Amazon Simple Notification Service](https://aws.amazon.com/sns/) (Amazon SNS).
## Sumber daya
**Dokumen terkait:**
+ [Arsitektur Rujukan Pipeline Deployment AWS](https://aws.amazon.com/blogs/aws/new_deployment_pipelines_reference_architecture_and_-reference_implementations/)
+ [Pemantauan AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/monitoring.html)
+ [Praktik terbaik keamanan untuk AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/security-best-practices.html)
**Contoh terkait:**
+ [Dasbor pemantauan DevOps](https://github.com/aws-solutions/aws-devops-monitoring-dashboard) (GitHub)
# SEC11-BP08 Buat program yang menanamkan kepemilikan keamanan dalam tim beban kerja
Buat program atau mekanisme yang memberdayakan tim builder untuk membuat keputusan keamanan tanpa perangkat lunak yang mereka buat. Tim keamanan Anda masih harus memvalidasi keputusan ini selama peninjauan, tetapi menanamkan kepemilikan keamanan dalam tim builder memungkinkan beban kerja dibangun dengan lebih cepat dan lebih aman. Mekanisme ini juga mendukung budaya kepemilikan yang secara positif memengaruhi operasi sistem yang Anda buat.
**Hasil yang diinginkan: **Untuk menanamkan kepemilikan keamanan dan pengambilan keputusan dalam tim builder, Anda dapat melatih builder mengenai cara berpikir tentang keamanan atau meningkatkan pelatihan mereka bersama orang keamanan yang diikutsertakan atau dikaitkan dengan tim builder. Pendekatan mana pun bisa dilakukan dan memungkinkan tim mengambil keputusan keamanan yang lebih berkualitas pada awal siklus pengembangan. Model kepemilikan ini didasarkan pada pelatihan untuk keamanan aplikasi. Memulai dengan model ancaman untuk beban kerja tertentu akan membantu fokus pada pemikiran desain dalam konteks yang sesuai. Manfaat lain dalam memiliki komunitas builder yang fokus pada keamanan, atau kelompok rekayasawan keamanan yang bekerja sama dengan tim builder, adalah pemahaman yang lebih mendalam mengenai cara perangkat lunak ditulis. Pemahaman ini membantu Anda menentukan area peningkatan selanjutnya dalam kemampuan otomatisasi Anda.
**Antipola umum:**
+ Menyerahkan semua keputusan desain keamanan kepada tim keamanan.
+ Tidak menangani persyaratan keamanan cukup dini dalam proses pengembangan.
+ Tidak memperoleh umpan balik dari builder dan orang keamanan dalam pengoperasian program.
**Manfaat menjalankan praktik terbaik ini:**
+ Waktu penyelesaian peninjauan keamanan lebih cepat.
+ Penurunan masalah keamanan yang hanya terdeteksi pada tahap peninjauan keamanan.
+ Peningkatan keseluruhan kualitas perangkat lunak yang ditulis.
+ Peluang untuk mengidentifikasi dan memahami masalah sistemik atau area dari peningkatan bernilai tinggi.
+ Penurunan jumlah pengerjaan ulang yang diperlukan akibat temuan dari peninjauan keamanan.
+ Peningkatan persepsi fungsi keamanan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Rendah
## Panduan implementasi
Mulai dengan panduan di [SEC11-BP01 Pelatihan untuk keamanan aplikasi](sec_appsec_train_for_application_security.md). Lalu, identifikasi model operasional untuk program yang menurut Anda paling sesuai dengan organisasi Anda. Dua pola utamanya adalah melatih builder atau menyertakan orang keamanan ke dalam tim builder. Setelah Anda memutuskan pendekatan awal, Anda harus melakukan uji coba dengan satu grup atau grup kecil tim beban kerja untuk membuktikan model mana yang sesuai dengan organisasi Anda. Dukungan kepemimpinan dari bagian builder dan keamanan organisasi membantu pengiriman dan kesuksesan program. Saat Anda membangun program, penting untuk memilih metrik yang dapat digunakan untuk menunjukkan nilai program. Belajar dari cara AWS menangani masalah ini adalah pengalaman pembelajaran yang baik. Praktik terbaik ini sangat berfokus pada budaya dan perubahan organisasi. Alat yang Anda gunakan harus mendukung kolaborasi antara komunitas keamanan dan builder.
### Langkah implementasi
+ Mulai dengan melatih builder Anda untuk memahami keamanan aplikasi.
+ Buat komunitas dan program orientasi untuk mengedukasi builder.
+ Pilih nama untuk program. Pelindung, Jawara, atau Pendukung adalah nama yang sering digunakan.
+ Identifikasi model yang akan digunakan: latih builder, sertakan rekayasawan keamanan, atau miliki peran keamanan afinitas.
+ Identifikasi sponsor proyek dari grup keamanan, builder, dan grup lain yang berpotensi.
+ Lacak metrik untuk jumlah orang yang terlibat dalam program, waktu yang dihabiskan untuk peninjauan, dan umpan balik dari orang keamanan dan builder. Gunakan metrik ini untuk membuat peningkatan.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC11-BP01 Pelatihan untuk keamanan aplikasi](sec_appsec_train_for_application_security.md)
+ [SEC11-BP02 Otomatiskan pengujian sepanjang siklus hidup pengembangan dan rilis](sec_appsec_automate_testing_throughout_lifecycle.md)
**Dokumen terkait:**
+ [Cara memanfaatkan pemodelan ancaman](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)
+ [Cara berpikir tentang tata kelola keamanan cloud](https://aws.amazon.com/blogs/security/how-to-think-about-cloud-security-governance/)
**Video terkait:**
+ [Keamanan proaktif: Pertimbangan dan pendekatan](https://www.youtube.com/watch?v=CBrUE6Qwfag)