SEC05-BP04 Otomatiskan perlindungan jaringan - AWS Well-Architected Framework
Panduan implementasiLangkah implementasiSumber daya

SEC05-BP04 Otomatiskan perlindungan jaringan

Otomatiskan deployment perlindungan jaringan Anda menggunakan praktik DevOps, seperti infrastruktur sebagai kode (IaC) dan pipeline CI/CD.  Praktik-praktik ini dapat membantu Anda melacak perubahan dalam perlindungan jaringan Anda melalui sistem kontrol versi, mengurangi waktu yang diperlukan untuk melakukan deployment perubahan, dan membantu mendeteksi apakah perlindungan jaringan Anda menyimpang dari konfigurasi yang Anda inginkan.  

Hasil yang diinginkan: Anda menentukan perlindungan jaringan dengan templat dan meng-commit-nya ke sistem kontrol versi.  Pipeline otomatis dimulai ketika perubahan baru dibuat yang mengorkestrasi pengujian dan deployment.  Pemeriksaan kebijakan dan pengujian statis lainnya diterapkan untuk memvalidasi perubahan sebelum deployment.  Anda melakukan deployment perubahan ke lingkungan staging untuk memvalidasi bahwa berbagai kontrol beroperasi seperti yang diharapkan.  Deployment ke lingkungan produksi Anda juga dilakukan secara otomatis setelah kontrol disetujui.

Antipola umum:

  • Mengandalkan masing-masing tim beban kerja untuk menentukan tumpukan jaringan lengkap, perlindungan, dan otomatisasinya.  Tidak memublikasikan aspek standar dari tumpukan dan perlindungan jaringan secara terpusat yang akan digunakan oleh tim beban kerja.

  • Mengandalkan tim jaringan pusat untuk menentukan semua aspek jaringan, perlindungan, dan otomatisasi.  Tidak mendelegasikan aspek spesifik beban kerja dari tumpukan dan perlindungan jaringan kepada tim beban kerja tersebut.

  • Mencapai keseimbangan yang tepat antara sentralisasi dan delegasi antara tim jaringan dan tim beban kerja, tetapi tidak menerapkan standar pengujian dan deployment yang konsisten ke seluruh templat IaC dan pipeline CI/CD Anda.  Tidak mencatat konfigurasi yang diperlukan dalam alat yang memeriksa kepatuhan templat Anda.

Manfaat menjalankan praktik terbaik ini: Penggunaan templat untuk menentukan perlindungan jaringan memungkinkan Anda melacak dan membandingkan perubahan dari waktu ke waktu menggunakan sistem kontrol versi.  Penggunaan otomatisasi untuk menguji dan melakukan deployment perubahan akan menghasilkan standardisasi dan prediktabilitas, sehingga meningkatkan peluang deployment yang berhasil dan mengurangi konfigurasi manual yang berulang.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang 

Panduan implementasi

Sejumlah kontrol perlindungan jaringan yang dijelaskan dalam SEC05-BP02 Kontrol arus lalu lintas dalam lapisan jaringan Anda dan SEC05-BP03 Implementasikan perlindungan berbasis inspeksi dilengkapi dengan sistem aturan terkelola yang dapat diperbarui secara otomatis berdasarkan intelijen ancaman terbaru.  Contoh perlindungan titik akhir web Anda termasuk aturan terkelola AWS WAF dan mitigasi DDoS lapisan aplikasi otomatis AWS Shield Advanced. Gunakan grup aturan terkelola AWS Network Firewall untuk terus memantau daftar domain bereputasi rendah dan juga mengawasi pola ancaman.

Selain aturan terkelola, sebaiknya Anda menggunakan praktik DevOps untuk mengotomatiskan deployment sumber daya jaringan, perlindungan, dan aturan yang Anda tentukan.  Anda dapat mencatat definisi ini dalam AWS CloudFormation atau alat infrastruktur sebagai kode (IaC) lainnya pilihan Anda, meng-commit-nya ke sistem kontrol versi, dan melakukan deployment-nya menggunakan pipeline CI/CD.  Gunakan pendekatan ini untuk mendapatkan manfaat DevOps yang biasa untuk mengelola kontrol jaringan Anda, seperti rilis yang lebih dapat diprediksi, pengujian otomatis menggunakan alat seperti AWS CloudFormation Guard, serta mendeteksi penyimpangan antara lingkungan yang di-deploy dan konfigurasi yang Anda inginkan.

Berdasarkan keputusan yang Anda buat sebagai bagian dari SEC05-BP01 Buat lapisan jaringan, Anda mungkin memiliki pendekatan manajemen pusat untuk membuat VPC yang dikhususkan untuk alur lalu lintas masuk, lalu lintas keluar, dan inspeksi.  Seperti dijelaskan dalam AWS Security Reference Architecture (AWS SRA), Anda dapat menentukan VPC ini dalam akun infrastruktur Jaringan khusus.  Anda dapat menggunakan teknik serupa untuk secara terpusat menentukan VPC yang digunakan oleh beban kerja Anda di akun lainnya, grup keamanannya, deployment AWS Network Firewall, konfigurasi Firewall DNS dan aturan Route 53 Resolver, serta sumber daya jaringan lainnya.  Anda dapat membagikan sumber daya ini ke akun Anda yang lain menggunakan AWS Resource Access Manager.  Dengan pendekatan ini, Anda dapat menyederhanakan pengujian dan deployment otomatis kontrol jaringan Anda ke akun Jaringan, hanya dengan mengelola satu tujuan.  Anda dapat melakukannya dalam model hybrid, yang memungkinkan Anda melakukan deployment dan membagikan kontrol tertentu secara terpusat serta mendelegasikan kontrol lainnya ke setiap tim beban kerja dan akun mereka masing-masing.

Langkah implementasi

  1. Tetapkan kepemilikan untuk aspek jaringan dan perlindungan yang ditentukan secara terpusat, dan yang dapat dipelihara oleh tim beban kerja Anda.

  2. Buat lingkungan untuk menguji dan melakukan deployment perubahan pada jaringan Anda dan perlindungannya.  Misalnya, gunakan akun Pengujian Jaringan dan akun Produksi Jaringan.

  3. Tentukan cara Anda akan menyimpan dan memelihara templat Anda dalam sistem kontrol versi.  Simpan templat pusat dalam repositori yang berbeda dari repositori beban kerja, sedangkan templat beban kerja dapat disimpan dalam repositori yang khusus untuk beban kerja tersebut.

  4. Buat pipeline CI/CD untuk menguji dan melakukan deployment templat.  Tentukan pengujian untuk memeriksa kesalahan konfigurasi dan bahwa templat tersebut mematuhi standar perusahaan Anda.

Sumber daya

Praktik terbaik terkait:

Dokumen terkait:

Contoh terkait:

Alat terkait: