View a markdown version of this page

SEC05-BP03 Implementasikan perlindungan berbasis inspeksi - AWS Well-Architected Framework
Panduan implementasiLangkah implementasiSumber Daya

SEC05-BP03 Implementasikan perlindungan berbasis inspeksi

Siapkan titik inspeksi lalu lintas di antara lapisan jaringan Anda untuk memastikan data bergerak cocok dengan kategori dan pola yang diharapkan.  Analisis arus lalu lintas, metadata, dan pola untuk membantu mengidentifikasi, mendeteksi, dan merespons peristiwa dengan lebih efektif.

Hasil yang diinginkan: Lalu lintas yang melintasi lapisan-lapisan jaringan Anda diperiksa dan diotorisasi.  Keputusan izinkan dan tolak didasarkan pada aturan eksplisit, intelijen ancaman, dan penyimpangan dari perilaku acuan.  Perlindungan menjadi lebih ketat ketika lalu lintas makin mendekati data sensitif.

Antipola umum:

  • Hanya mengandalkan aturan firewall berdasarkan port dan protokol. Tidak memanfaatkan sistem cerdas.

  • Menulis aturan firewall berdasarkan pola ancaman spesifik saat ini yang masih dapat berubah.

  • Hanya memeriksa lalu lintas yang lalu lintasnya bergerak dari subnet privat ke publik, atau dari subnet publik ke Internet.

  • Tidak memiliki gambaran acuan tentang lalu lintas jaringan Anda untuk membandingkan anomali perilaku.

Manfaat menjalankan praktik terbaik ini: Sistem inspeksi memungkinkan Anda membuat aturan cerdas, seperti mengizinkan atau menolak lalu lintas hanya ketika terdapat kondisi tertentu dalam data lalu lintas. Manfaatkan kumpulan aturan terkelola dari AWS dan partner, berdasarkan intelijen ancaman terbaru, seiring perubahan lanskap ancaman dari waktu ke waktu.  Hal ini menurunkan overhead pemeliharaan aturan dan pencarian indikator penyusupan, sehingga mengurangi potensi positif palsu.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Miliki kontrol yang terperinci atas lalu lintas jaringan stateful dan stateless Anda menggunakan AWS Network Firewall, atau Firewall dan Sistem Pencegahan Intrusi (IPS) lainnya di AWS Marketplace yang dapat Anda deploy di belakang (GWLB). AWS Network Firewall mendukung spesifikasi IPS sumber terbuka yang kompatibel dengan Suricata untuk membantu melindungi beban kerja Anda.

AWS Network Firewall dan solusi vendor yang menggunakan GWLB mendukung model deployment inspeksi inline yang berbeda-beda.  Misalnya, Anda dapat melakukan inspeksi per VPC, memusatkan pada VPC inspeksi, atau melakukan deployment dalam model hybrid yang memungkinkan lalu lintas timur-barat mengalir melalui VPC inspeksi dan lalu lintas masuk Internet ingress diperiksa per VPC.  Pertimbangan yang lain adalah apakah solusi tersebut mendukung unwrapping Keamanan Lapisan Pengangkutan (TLS), sehingga memungkinkan deep packet inspection untuk arus lalu lintas yang dimulai di kedua arah. Untuk informasi lebih lanjut dan detail yang mendalam tentang konfigurasi ini, lihat panduan Praktik Terbaik AWS Network Firewall.

Jika Anda menggunakan solusi yang melakukan inspeksi out-of-band, seperti analisis pcap terhadap data paket dari antarmuka jaringan yang beroperasi dalam mode promiscuous, Anda dapat mengonfigurasi traffic mirroring VPC. Lalu lintas yang di-mirroring diperhitungkan terhadap bandwidth yang tersedia dari antarmuka Anda dan dikenai biaya transfer data yang sama dengan lalu lintas yang tidak di-mirroring. Anda dapat melihat apakah versi virtual dari alat ini tersedia di AWS Marketplace, yang dapat mendukung deployment inline di belakang GWLB.

Untuk komponen yang bertransaksi melalui protokol berbasis HTTP, lindungi aplikasi Anda dari ancaman umum dengan firewall aplikasi web (WAF). AWS WAF adalah firewall aplikasi web yang memungkinkan Anda memantau dan memblokir permintaan HTTP(S) yang sesuai dengan aturan Anda yang dapat dikonfigurasi sebelum mengirim ke Amazon API Gateway, Amazon CloudFront, AWS AppSync, atau Application Load Balancer. Pertimbangkan untuk melakukan deep packet inspection ketika Anda mengevaluasi deployment firewall aplikasi web Anda karena beberapa firewall mengharuskan Anda menghentikan TLS sebelum inspeksi lalu lintas. Untuk mulai memanfaatkan AWS WAF, Anda dapat menggunakan Peraturan yang Dikelola AWS yang dikombinasikan dengan aturan Anda sendiri, atau menggunakan integrasi partner yang ada.

Anda dapat mengelola grup keamanan AWS WAF, AWS Shield Advanced, AWS Network Firewall, dan Amazon VPC secara terpusat di seluruh Organisasi AWS Anda dengan AWS Firewall Manager

Langkah implementasi

  1. Tentukan apakah Anda dapat menentukan cakupan aturan inspeksi secara meluas, seperti melalui VPC inspeksi, atau apakah Anda memerlukan pendekatan per VPC yang lebih terperinci.

  2. Untuk solusi inspeksi inline:

    1. Jika menggunakan AWS Network Firewall, buat aturan, kebijakan firewall, dan firewall itu sendiri. Setelah hal-hal tersebut dikonfigurasi, Anda dapat merutekan lalu lintas ke titik akhir firewall untuk memungkinkan inspeksi. 

    2. Jika menggunakan alat pihak ketiga dengan Penyeimbang Beban Gateway (GWLB), lakukan deployment dan konfigurasikan alat Anda di satu atau beberapa zona ketersediaan. Kemudian, buat GWLB Anda, layanan titik akhir, titik akhir, dan konfigurasikan perutean untuk lalu lintas Anda.

  3. Untuk solusi inspeksi out-of-band:

    1. Aktifkan VPC Traffic Mirroring pada antarmuka yang mengharuskan lalu lintas masuk dan keluar di-mirroring. Anda dapat menggunakan aturan Amazon EventBridge untuk memanggil fungsi AWS Lambda guna mengaktifkan traffic mirroring pada antarmuka saat sumber daya baru dibuat. Arahkan sesi traffic mirroring ke Penyeimbang Beban Jaringan di depan alat Anda yang memproses lalu lintas.

  4. Untuk solusi lalu lintas web masuk:

    1. Untuk mengonfigurasi AWS WAF, mulailah dengan mengonfigurasi daftar kontrol akses web (ACL web). ACL web adalah kumpulan aturan dengan tindakan default yang diproses secara serial (ALLOW atau DENY) yang menentukan cara WAF Anda menangani lalu lintas. Anda dapat membuat aturan dan grup Anda sendiri atau menggunakan grup aturan terkelola AWS di ACL web Anda.

    2. Setelah ACL web Anda dikonfigurasi, kaitkan ACL web ini dengan sumber daya AWS (seperti Application Load Balancer, API REST API Gateway, atau distribusi CloudFront) untuk mulai melindungi lalu lintas web.

Sumber daya

Dokumen terkait:

Contoh terkait:

Alat terkait: