View a markdown version of this page

SEC06-BP05 Otomatiskan perlindungan komputasi - AWS Well-Architected Framework
Panduan implementasiSumber daya

SEC06-BP05 Otomatiskan perlindungan komputasi

Otomatiskan operasi perlindungan komputasi untuk mengurangi kebutuhan akan intervensi manusia. Gunakan pemindaian otomatis untuk mendeteksi potensi masalah dalam sumber daya komputasi Anda, dan lakukan remediasi dengan respons programatis otomatis atau operasi manajemen armada.  Tambahkan otomatisasi dalam proses CI/CD Anda untuk melakukan deployment beban kerja tepercaya dengan dependensi terkini.

Hasil yang diinginkan: Sistem otomatis melakukan semua pemindaian dan patching sumber daya komputasi. Anda menggunakan verifikasi otomatis untuk memeriksa apakah image dan dependensi perangkat lunak berasal dari sumber tepercaya, dan belum dimanipulasi. Beban kerja secara otomatis diperiksa untuk mengetahui apakah sudah memiliki dependensi terkini, dan ditandatangani untuk menetapkan ketepercayaan di lingkungan komputasi AWS.  Remediasi otomatis dimulai ketika sumber daya yang tidak mematuhi persyaratan terdeteksi. 

Antipola umum:

  • Mengikuti praktik infrastruktur imutabel, tetapi tidak memiliki solusi untuk patching atau penggantian darurat sistem produksi.

  • Menggunakan otomatisasi untuk memperbaiki sumber daya yang salah dikonfigurasi, tetapi tidak memiliki mekanisme untuk menimpa secara manual.  Situasi mungkin muncul saat Anda perlu menyesuaikan persyaratan, dan Anda mungkin perlu menangguhkan otomatisasi sampai Anda membuat perubahan ini.

Manfaat menjalankan praktik terbaik ini: Otomatisasi dapat mengurangi risiko akses dan penggunaan yang tidak sah atas sumber daya komputasi Anda.  Hal ini membantu mencegah kesalahan konfigurasi masuk ke lingkungan produksi, serta mendeteksi dan memperbaiki kesalahan konfigurasi jika terjadi.  Otomatisasi juga membantu mendeteksi akses dan penggunaan yang tidak sah atas sumber daya komputasi untuk mempercepat waktu respons Anda.  Hal ini pada gilirannya dapat mengurangi cakupan dampak masalah secara keseluruhan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Anda dapat menerapkan otomatisasi yang dijelaskan dalam praktik Pilar Keamanan untuk melindungi sumber daya komputasi Anda. SEC06-BP01 Lakukan manajemen kerentanan menjelaskan cara Anda dapat menggunakan Amazon Inspector di pipeline CI/CD Anda dan untuk terus memindai lingkungan runtime Anda guna mengetahui Kerentanan dan Paparan Umum (CVE) yang diketahui.  Anda dapat menggunakan AWS Systems Manager untuk menerapkan patch atau melakukan deployment ulang dari image baru melalui runbook otomatis untuk menjaga armada komputasi Anda diperbarui dengan perangkat lunak dan pustaka terbaru.  Gunakan teknik-teknik ini untuk mengurangi kebutuhan akan proses manual dan akses interaktif ke sumber daya komputasi Anda.  Lihat SEC06-BP03 Kurangi manajemen manual dan akses interaktif untuk mempelajari lebih lanjut.

Otomatisasi juga berperan dalam melakukan deployment beban kerja tepercaya, yang dijelaskan dalam SEC06-BP02 Sediakan komputasi dari image yang di-hardening dan SEC06-BP04 Validasikan integritas perangkat lunak.  Anda dapat menggunakan layanan seperti EC2 Image Builder, AWS Signer, AWS CodeArtifact, dan Amazon Elastic Container Registry (ECR) untuk mengunduh, memverifikasi, membuat, serta menyimpan image dan dependensi kode yang di-hardening dan disetujui.   Bersama AWS Inspector, masing-masing layanan ini dapat memainkan peran dalam proses CI/CD Anda sehingga beban kerja Anda akan memasuki produksi hanya ketika dikonfirmasi bahwa dependensinya sudah terbaru dan berasal dari sumber tepercaya.  Beban kerja Anda juga ditandatangani sehingga lingkungan komputasi AWS, seperti AWS Lambda dan Amazon Elastic Kubernetes Service (EKS), dapat memverifikasi bahwa beban kerja ini belum dimanipulasi sebelum mengizinkannya untuk dijalankan.

Di luar kontrol preventif ini, Anda juga dapat menggunakan otomatisasi dalam kontrol deteksi untuk sumber daya komputasi Anda.  Misalnya, AWS Security Hub CSPM menawarkan standar NIST 800-53 Rev. 5 yang menyertakan pemeriksaan seperti [EC2.8] Instans EC2 harus menggunakan Instance Metadata Service Version 2 (IMDSv2).  IMDSv2 menggunakan teknik autentikasi sesi, sehingga memblokir permintaan yang berisi header HTTP X-Forwarded-For, dan TTL jaringan 1 untuk menghentikan lalu lintas yang berasal dari sumber eksternal untuk mengambil informasi tentang instans EC2. Security Hub CSPM check-in ini dapat mendeteksi kapan instans EC2 menggunakan IMDSv1 dan memulai remediasi otomatis. Pelajari lebih lanjut tentang deteksi dan remediasi otomatis di SEC04-BP04 Mulai remediasi untuk sumber daya yang tidak mematuhi persyaratan.

Langkah implementasi

  1. Otomatiskan pembuatan AMI yang aman, mematuhi persyaratan, dan di-hardening dengan EC2 Image Builder.  Anda dapat menghasilkan image yang menambahkan kontrol dari Tolok Ukur Center for Internet Security (CIS) atau standar Security Technical Implementation Guide (STIG) dari image dasar AWS dan partner APN.

  2. Otomatiskan manajemen konfigurasi. Berlakukan dan validasikan konfigurasi aman di sumber daya komputasi Anda secara otomatis menggunakan layanan atau alat manajemen konfigurasi. 

    1. Manajemen konfigurasi otomatis menggunakan AWS Config

    2. Manajemen postur keamanan dan kepatuhan otomatis menggunakan AWS Security Hub CSPM

  3. Otomatiskan patching atau penggantian instans Amazon Elastic Compute Cloud (Amazon EC2). AWS Systems Manager Patch Manager mengotomatiskan proses patching instans terkelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya. Anda dapat menggunakan Patch Manager guna menerapkan patch untuk sistem operasi dan aplikasi.

    1. AWS Systems Manager Patch Manager

  4. Otomatiskan pemindaian sumber daya komputasi untuk menemukan kerentanan dan paparan umum (CVE), serta sematkan solusi pemindaian keamanan dalam pipeline build Anda.

    1. Amazon Inspector

    2. Pemindaian Image ECR

  5. Pertimbangkan Amazon GuardDuty untuk deteksi malware dan ancaman otomatis guna melindungi sumber daya komputasi. GuardDuty juga dapat mengidentifikasi potensi masalah ketika fungsi AWS Lambda diinvokasi di lingkungan AWS Anda. 

    1. Amazon GuardDuty

  6. Pertimbangkan solusi Partner AWS. Partner AWS menawarkan berbagai produk yang terkemuka di industri yang setara, identik, atau dapat diintegrasikan dengan kontrol yang sudah ada di lingkungan on-premise Anda. Produk-produk ini melengkapi layanan AWS yang ada untuk memungkinkan Anda melakukan deployment arsitektur keamanan yang menyeluruh dan pengalaman yang lebih lancar di seluruh lingkungan cloud dan on-premise Anda.

    1. Keamanan infrastruktur

Sumber daya

Praktik terbaik terkait:

Dokumen terkait:

Video terkait: