SEC06-BP05 Otomatiskan perlindungan komputasi

Lakukan otomatisasi terhadap operasi perlindungan komputasi untuk mengurangi kebutuhan akan intervensi manusia. Gunakan pemindaian otomatis untuk mendeteksi adanya potensi masalah yang mungkin terjadi dalam sumber daya komputasi Anda, dan lakukan remediasi dengan respons programatis otomatis atau operasi manajemen armada. Tambahkan otomatisasi dalam proses CI/CD Anda untuk melakukan deployment beban kerja tepercaya dengan dependensi terkini.

Hasil yang diinginkan: Sistem otomatis melakukan semua pemindaian dan penambalan atas sumber daya komputasi. Anda menggunakan verifikasi otomatis untuk memeriksa apakah image dan dependensi perangkat lunak berasal dari sumber tepercaya, dan belum dirusak. Beban kerja secara otomatis akan diperiksa apakah dependensi-nya sudah menggunakan yang terbaru atau tidak, dan ditandatangani untuk membangun kepercayaan di lingkungan komputasi AWS. Remediasi otomatis dimulai ketika ada sumber daya yang tidak mematuhi persyaratan terdeteksi.

Anti-pola umum:

Mengikuti praktik infrastruktur tak dapat diubah, tetapi tidak memiliki solusi untuk melakukan patching atau penggantian darurat sistem produksi.
Menggunakan otomatisasi untuk memperbaiki sumber daya yang salah konfigurasi, tetapi tidak memiliki mekanisme untuk melakukan penimpaan secara manual. Kesulitan mungkin akan muncul saat Anda perlu menyesuaikan persyaratan, dan Anda mungkin perlu menangguhkan otomatisasi sampai Anda membuat perubahan-perubahan ini.

Manfaat menerapkan praktik terbaik ini: Otomatisasi dapat mengurangi risiko akses dan penggunaan sumber daya komputasi Anda yang tidak sah. Hal ini akan membantu Anda mencegah terjadinya kesalahan konfigurasi yang masuk ke lingkungan produksi, serta mendeteksi dan memperbaiki kesalahan konfigurasi jika terjadi. Otomatisasi juga akan membantu Anda mendeteksi akses dan penggunaan yang tidak sah atas sumber daya komputasi untuk mempercepat waktu respons Anda. Hal ini pada gilirannya dapat mengurangi cakupan dampak yang ditimbulkan masalah secara keseluruhan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Anda dapat menerapkan otomatisasi yang dijelaskan dalam praktik Pilar Keamanan untuk memberikan proteksi terhadap melindungi sumber daya komputasi Anda. SEC06-BP01 Melakukan manajemen kerentanan menjelaskan cara-cara yang dapat Anda lakukan untuk menggunakan Amazon Inspector di pipeline CI/CD Anda dan untuk selalu memindai lingkungan runtime Anda untuk mencari Kerentanan Umum dan Eksposur (CVE) yang diketahui. Anda dapat menggunakan AWS Systems Manager untuk menerapkan pacth atau melakukan deployment ulang atas image gambar baru melalui runbook otomatis agar armada komputasi Anda diperbarui dengan perangkat lunak dan pustaka terbaru. Gunakan teknik-teknik ini untuk mengurangi kebutuhan akan proses-proses manual dan akses interaktif ke sumber daya komputasi Anda. Lihat SEC06-BP03 Kurangi manajemen manual dan akses interaktif untuk mempelajari lebih lanjut.

Otomatisasi juga berperan dalam melakukan deployment beban kerja yang dapat dipercaya, sebagaimana dijelaskan dalam SEC06-BP02 Penyediaan komputasi dari image yang diperkeras dan SEC06-BP04 Memvalidasi integritas perangkat lunak. Anda dapat menggunakan layanan seperti EC2 Image Builder, AWS Signer, AWS CodeArtifact, dan Amazon Elastic Container Registry (ECR) untuk mengunduh, memverifikasi, membuat konsep, dan menyimpan kode image dan dependensi yang diperkeras dan sudah disetujui. Bersama Inspector, masing-masing layanan ini dapat memainkan peran dalam proses CI/CD Anda sehingga beban kerja Anda akan memasuki produksi hanya ketika dikonfirmasi bahwa dependensinya sudah terbaru dan berasal dari sumber tepercaya. Beban kerja Anda juga ditandatangani sehingga lingkungan komputasi AWS, seperti AWS Lambda dan Amazon Elastic Kubernetes Service (EKS) dapat memverifikasi bahwa beban kerja belum dirusak sebelum mengizinkannya dijalankan.

Selain kontrol-kontrol preventif ini, Anda juga dapat menggunakan otomatisasi dalam kontrol-kontrol detektif untuk sumber daya komputasi Anda. Sebagai salah satu contoh, AWS Security Hub CSPM menawarkan standar NIST 800-53 Rev. 5 yang mencakup pemeriksaan seperti instans EC2 [EC2.8] harus menggunakan Instans Metadata Service Version 2 (IMDSv2). IMDSv2 menggunakan teknik autentikasi sesi, yang dapat memblokir permintaan yang berisi header HTTP X-Forwarded-For, dan TTL jaringan 1 untuk menghentikan lalu lintas yang berasal dari sumber eksternal yang hendak mengambil informasi tentang instans EC2. Pemeriksaan dalam CSPM Security Hub ini dapat mendeteksi kapan instans EC2 menggunakan IMDSv1 dan memulai remediasi otomatis. Pelajari lebih lanjut tentang deteksi dan remediasi otomatis di SEC04-BP04 Mulai melakukan remediasi untuk sumber daya yang tidak mematuhi persyaratan.

Langkah-langkah implementasi

Otomatiskan pembuatan AMI yang aman, sesuai ketentuan, dan diperkeras dengan EC2 Image Builder. Anda dapat menghasilkan citra yang menambahkan kontrol dari Tolok Ukur Center for Internet Security (CIS) atau standar Security Technical Implementation Guide (STIG) dari citra dasar AWS dan partner APN.
Melakukan otomatisasi manajemen konfigurasi. Berlakukan dan validasikan konfigurasi-konfigurasi yang aman di sumber daya komputasi Anda secara otomatis dengan menggunakan layanan atau alat manajemen konfigurasi.
1. Manajemen konfigurasi otomatis menggunakan AWS Config
2. Keamanan otomatis dan manajemen postur kepatuhan dengan menggunakan AWS Security Hub CSPM
Otomatiskan patching dan penggantian instans Amazon Elastic Compute Cloud (Amazon EC2). AWS Manajer Patch Systems Manager mengotomatiskan proses patching instans terkelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya. Anda dapat menggunakan Patch Manager untuk menerapkan patch untuk kedua sistem operasi dan aplikasi.
1. AWS Systems Manager Patch Manager
Lakukan otomatisasi terhadap pemindaian sumber daya komputasi untuk menemukan kerentanan dan paparan umum (CVE), serta sematkan solusi pemindaian keamanan dalam pipeline build Anda.
1. Amazon Inspector
2. Pemindaian Image ECR
Pertimbangkan Amazon GuardDuty untuk mendeteksi malware dan ancaman otomatis untuk memberikan proteksi terhadap sumber daya komputasi. GuardDuty juga dapat mengidentifikasi masalah-masalah potensial ketika suatu fungsi AWS Lambda diinvokasi di lingkungan AWS Anda.
1. Amazon GuardDuty
Pertimbangkan solusi Partner AWS. AWS Partner menawarkan berbagai produk yang terkemuka di industri yang setara, identik, atau dapat diintegrasikan dengan kontrol yang sudah ada di lingkungan on-premise Anda. Produk-produk ini akan melengkapi layanan-layanan AWS yang ada untuk memungkinkan Anda melakukan deployment arsitektur keamanan yang menyeluruh dan pengalaman yang lebih lancar di seluruh lingkungan cloud dan on-premise Anda.
1. Keamanan infrastruktur

Sumber daya

Praktik-praktik terbaik terkait:

SEC01-BP06 Otomatiskan deployment kontrol keamanan standar

Dokumen terkait:

Dapatkan manfaat penuh dari IMDSv2 dan nonaktifkan IMDSv1 di seluruh infrastruktur AWS Anda

Video terkait:

Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC06-BP04 Validasi integritas perangkat lunak

Perlindungan data