# Mengoperasikan beban kerja Anda dengan aman
<a name="operating-your-workload-securely"></a>

Mengoperasikan beban kerja dengan aman mencakup keseluruhan siklus hidup beban kerja, mulai dari merancang, membangun, menjalankan, hingga peningkatan berkelanjutan. Salah satu cara untuk meningkatkan kemampuan Anda untuk beroperasi secara aman di cloud adalah dengan mengambil pendekatan organisasional terhadap tata kelola. Tata kelola adalah bagaimana keputusan dipandu secara konsisten semata-mata atas penilaian yang baik dari orang-orang yang terlibat di dalamnya. Model dan proses tata kelola Anda adalah cara Anda menjawab pertanyaan “Bagaimana saya mengetahui bahwa sasaran kontrol untuk suatu beban kerja sudah dipenuhi dan sesuai untuk beban kerja tersebut?” Memiliki pendekatan yang konsisten dalam mengambil keputusan akan mempercepat deployment beban kerja dan membantu meningkatkan standar kemampuan keamanan dalam organisasi Anda. 

Untuk mengoperasikan beban kerja dengan aman, Anda harus menerapkan praktik terbaik yang menyeluruh ke setiap area keamanan. Pilih persyaratan dan proses yang telah Anda tetapkan dalam keunggulan operasional di tingkat organisasi dan beban kerja, lalu terapkan ke semua area. Dengan terus mengikuti rekomendasi terbaru dari AWS dan industri serta kecerdasan ancaman, Anda dapat mengembangkan model ancaman dan tujuan kontrol. Mengotomatiskan proses, pengujian, dan validasi keamanan memungkinkan Anda menskalakan operasi keamanan Anda. 

Dengan otomatisasi, konsistensi dan keberulangan proses dapat diwujudkan. Manusia memiliki kemampuan yang baik dalam banyak hal, tetapi melakukan hal sama secara berulang dan terus menerus tanpa kesalahan bukanlah salah satunya. Bahkan dengan playbook yang jelas, tetap ada risiko ketidakkonsistenan ketika orang melakukan tugas berulang. Ini dapat terjadi terutama ketika orang-orang memiliki tanggung jawab yang beragam dan mereka harus memberikan respons terhadap peringatan yang belum dikenal. Namun, otomatisasi merespons dengan cara yang sama setiap kalinya. Cara terbaik untuk melakukan deployment aplikasi adalah melalui otomatisasi. Kode yang menjalankan deployment dapat diuji untuk kemudian diterapkan dalam deployment. Hal ini meningkatkan keyakinan dalam proses perubahan dan mengurangi risiko kegagalan dalam perubahan. 

Untuk memverifikasi bahwa konfigurasi memenuhi sasaran kontrol Anda, uji otomatisasi dan aplikasi yang di-deploy dalam lingkungan nonproduksi terlebih dahulu. Dengan begitu, Anda dapat menguji otomatisasi untuk mengetahui apakah semua langkah telah dilakukan dengan benar. Anda juga mendapatkan umpan balik awal dalam siklus pengembangan dan deployment, meminimalkan penggarapan ulang. Untuk mengurangi peluang kesalahan deployment, lakukan perubahan konfigurasi dengan kode, bukan dengan orang. Jika Anda perlu melakukan deployment ulang sebuah aplikasi, otomatisasi akan membuat hal ini jauh lebih mudah. Begitu Anda menentukan sasaran kontrol tambahan, Anda dapat menambahkannya dengan mudah ke otomatisasi untuk semua beban kerja.

Daripada membuat setiap pemilik beban kerja menerapkan keamanan spesifik pada beban kerjanya, hemat waktu dengan menggunakan kemampuan umum dan komponen bersama. Beberapa contoh layanan yang dapat digunakan oleh banyak tim di antaranya adalah proses pembuatan akun AWS, identitas tersentralisasi untuk orang-orang, konfigurasi pencatatan log umum, serta pembuatan gambar dasar kontainer dan AMI. Pendekatan ini dapat membantu pembangun dalam meningkatkan efisiensi waktu siklus beban kerja serta memenuhi sasaran kontrol keamanan secara konsisten. Ketika tim bekerja secara konsisten, Anda dapat memvalidasi sasaran kontrol dan membuat laporan yang lebih baik tentang postur kontrol dan posisi risiko Anda kepada pemangku kepentingan.

**Topics**
+ [SEC01-BP03 Identifikasikan dan validasikan tujuan kontrol](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Terus ikuti info terbaru tentang ancaman dan rekomendasi keamanan](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Kurangi cakupan manajemen keamanan](sec_securely_operate_reduce_management_scope.md)
+ [SEC01-BP06 Otomatiskan deployment kontrol keamanan standar](sec_securely_operate_automate_security_controls.md)
+ [SEC01-BP07 Mengidentifikasi ancaman dan memprioritaskan mitigasi dengan menggunakan sebuah model ancaman](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Evaluasi dan implementasikan fitur serta layanan keamanan baru secara rutin](sec_securely_operate_implement_services_features.md)

# SEC01-BP03 Identifikasikan dan validasikan tujuan kontrol
<a name="sec_securely_operate_control_objectives"></a>

 Berdasarkan persyaratan kepatuhan dan risiko yang diidentifikasi dari model ancaman Anda, dapatkan dan validasikan kontrol dan tujuan kontrol yang perlu Anda terapkan pada beban kerja Anda. Validasi berkelanjutan terhadap kontrol dan tujuan kontrol dapat membantu Anda mengukur efektivitas mitigasi risiko. 

 **Hasil yang diinginkan:** Tujuan dari kontrol keamanan terhadap bisnis Anda didefinisikan dengan baik dan selaras dengan persyaratan kepatuhan Anda. Kontrol diimplementasikan dan diberlakukan melalui otomatisasi dan kebijakan serta terus dievaluasi untuk mengetahui efektivitasnya dalam mencapai tujuan Anda. Bukti efektivitas pada suatu titik waktu dan selama periode waktu tertentu dapat mudah dilaporkan kepada auditor. 

 **Anti-pola umum:** 
+  Persyaratan peraturan, ekspektasi pasar, dan standar industri untuk keamanan yang dapat dijamin belum dipahami dengan baik untuk bisnis Anda 
+  Kerangka kerja keamanan siber dan tujuan kontrol Anda tidak selaras dengan persyaratan bisnis Anda 
+  Implementasi kontrol tidak sepenuhnya selaras dengan tujuan kontrol Anda secara terukur 
+  Anda tidak menggunakan otomatisasi untuk melaporkan efektivitas kontrol Anda 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Ada banyak kerangka kerja keamanan siber umum yang bisa menjadi dasar untuk tujuan kontrol keamanan Anda. Pertimbangkan persyaratan peraturan, ekspektasi pasar, dan standar industri untuk bisnis Anda guna menentukan kerangka kerja mana yang paling memenuhi kebutuhan Anda. [https://aws.amazon.com/compliance/iso-27001-faqs/](https://aws.amazon.com/compliance/iso-27001-faqs/) 

 Untuk tujuan kontrol yang Anda identifikasi, pahami cara layanan AWS yang Anda gunakan membantu Anda mencapai tujuan tersebut. Gunakan [AWS Artifact](https://aws.amazon.com/artifact/)untuk menemukan dokumentasi dan laporan yang selaras dengan kerangka kerja target Anda yang menjelaskan ruang lingkup tanggung jawab yang dicakup oleh AWS dan panduan untuk ruang lingkup yang tersisa yang menjadi tanggung jawab Anda. Untuk panduan khusus layanan lebih lanjut saat selaras dengan berbagai pernyataan kontrol kerangka kerja, lihat [Panduan Kepatuhan Pelanggan AWS](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf). 

 Saat Anda menentukan kontrol yang memenuhi tujuan Anda, lakukan kodifikasi pemberlakuan menggunakan kontrol preventif, dan lakukan otomatisasi mitigasi dengan menggunakan kontrol-kontrol detektif. Bantu mencegah konfigurasi dan tindakan sumber daya yang tidak sesuai di seluruh [kebijakan kontrol layanan (](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)SCP) yang Anda AWS Organizations gunakan. Implementasikan aturan di [AWS Config](https://aws.amazon.com/config/) untuk memantau dan melaporkan sumber daya yang tidak sesuai, kemudian beralih aturan ke model penegakan setelah yakin dengan perilakunya. Untuk menerapkan set aturan yang telah ditentukan dan dikelola yang selaras dengan kerangka kerja keamanan siber Anda, evaluasi penggunaan [standar AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html) sebagai opsi pertama Anda. Standar AWS Foundational Service Best Practices (FSBP) dan CIS AWS Foundations Benchmark adalah titik awal yang baik dengan kontrol-kontrol yang selaras dengan banyak tujuan yang tercakup dalam berbagai kerangka kerja standar. Jika tidak secara intrinsik memiliki deteksi kontrol yang diinginkan, CSPM Security Hub dapat dilengkapi menggunakan [paket kesesuaian AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html). 

 Gunakan [Paket Partner APN](https://aws.amazon.com/partners/programs/gsca/bundles/) yang direkomendasikan oleh tim AWS Global Security and Compliance Acceleration (GSCA) untuk mendapatkan bantuan dari penasihat keamanan, lembaga konsultasi, sistem pengumpulan dan pelaporan bukti, auditor, dan layanan pelengkap lainnya bila diperlukan. 

### Langkah-langkah implementasi
<a name="implementation-steps"></a>

1.  Evaluasi kerangka kerja keamanan siber umum, dan selaraskan tujuan kontrol Anda dengan kerangka kerja yang dipilih. 

1.  Dapatkan dokumentasi yang relevan tentang panduan dan tanggung jawab untuk kerangka kerja Anda menggunakan AWS Artifact. Pahami bagian kepatuhan mana yang termasuk dalam porsi AWS pada model tanggung jawab bersama dan bagian mana yang merupakan tanggung jawab Anda. 

1.  Gunakan SCP, kebijakan sumber daya, kebijakan kepercayaan peran, dan pagar pembatas lainnya untuk mencegah konfigurasi dan tindakan sumber daya yang tidak mematuhi persyaratan. 

1.  Lakukan evaluasi terhadap penerapan standar CSPM Security Hub dan paket kesesuaian AWS Config yang selaras dengan tujuan kontrol Anda. 

## Sumber daya
<a name="resources"></a>

 **Praktik-praktik terbaik terkait:** 
+  [SEC03-BP01 Menetapkan persyaratan akses](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_define.html) 
+  [SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_app_service_logging.html) 
+  [SEC07-BP01 Pahami skema klasifikasi data Anda](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_identify_data.html) 
+  [OPS01-BP03 Evaluasi persyaratan tata kelola](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_governance_reqs.html) 
+  [OPS01-BP04 Evaluasi persyaratan kepatuhan](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_compliance_reqs.html) 
+  [PERF01-BP05 Menggunakan kebijakan dan arsitektur referensi](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_use_policies_and_reference_architectures.html) 
+  [COST02-BP01 Mengembangkan kebijakan berdasarkan keperluan organisasi Anda](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_govern_usage_policies.html) 

 **Dokumen terkait:** 
+  [AWS Panduan Kepatuhan Pelanggan](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **Alat terkait:** 
+  [AWS Artifact](https://aws.amazon.com/artifact/) 

# SEC01-BP04 Terus ikuti info terbaru tentang ancaman dan rekomendasi keamanan
<a name="sec_securely_operate_updated_threats"></a>

 Terus ikuti perkembangan ancaman dan mitigasi terbaru dengan memantau publikasi intelijen dan umpan data ancaman industri untuk mendapatkan pemberitahuan. Evaluasi penawaran layanan terkelola yang diperbarui secara otomatis berdasarkan data ancaman terbaru. 

 **Hasil yang diinginkan:** Anda tetap mendapat informasi karena publikasi industri diperbarui dengan ancaman dan rekomendasi terbaru.  Anda menggunakan otomatisasi untuk mendeteksi potensi kerentanan dan paparan saat Anda mengidentifikasi ancaman baru. Anda mengambil tindakan mitigasi terhadap ancaman tersebut.  Anda mengadopsi layanan AWS yang diperbarui secara otomatis dengan intelijen ancaman terbaru. 

 **Anti-pola umum:** 
+  Tidak memiliki mekanisme yang andal dan dapat diulangi untuk terus mendapatkan informasi tentang intelijen ancaman terbaru. 
+  Memelihara inventaris manual berisi portofolio teknologi, beban kerja, dan dependensi Anda yang memerlukan peninjauan oleh manusia untuk menemukan potensi kerentanan dan paparan. 
+  Tidak memiliki mekanisme untuk memperbarui beban kerja dan dependensi Anda ke versi terkini yang tersedia yang memberikan mitigasi ancaman yang diketahui. 

 **Manfaat menjalankan praktik terbaik ini:** Menggunakan sumber intelijen ancaman untuk tetap up to date akan mengurangi risiko kehilangan perubahan penting pada lanskap ancaman yang dapat memengaruhi bisnis Anda.  Penerapan otomatisasi untuk melakukan pemindaian, deteksi, dan remediasi jika ada potensi kerentanan atau paparan dalam beban kerja Anda serta dependensinya dapat membantu Anda memitigasi risiko secara cepat dan terprediksi, dibandingkan dengan alternatif manual.  Hal ini membantu mengontrol waktu dan biaya yang terkait dengan mitigasi kerentanan. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Tinjau publikasi intelijen ancaman tepercaya untuk terus mengikuti perkembangan lanskap ancaman.  Konsultasikan dengan basis pengetahuan [MITRE ATT&CK](https://attack.mitre.org/) untuk dokumentasi tentang taktik, teknik, dan prosedur (TTP) adversarial yang diketahui. Tinjau daftar [Kerentanan dan Paparan Umum](https://cve.org/) (CVE) MITRE untuk tetap mendapat informasi tentang kerentanan yang diketahui dalam produk yang Anda andalkan. Pahami risiko kritis terhadap aplikasi web dengan [10 Proyek OWASP](https://owasp.org/www-project-top-ten/) paling populer Open Worldwide Application Security Project (OWASP). 

 Selalu dapatkan kabar terbaru tentang peristiwa keamanan AWS dan langkah-langkah perbaikan yang disarankan dengan [Buletin Keamanan](https://aws.amazon.com/security/security-bulletins/) AWS untuk CVE. 

 Untuk mengurangi tenaga dan biaya secara keseluruhan dalam mengikuti perkembangan terbaru, pertimbangkan menggunakan layanan AWS yang secara otomatis menambahkan intelijen ancaman baru dari waktu ke waktu.  Misalnya, [Amazon GuardDuty](https://aws.amazon.com/guardduty/) selalu dapatkan kabar terbaru dengan kecerdasan menghadapi ancaman industri untuk mendeteksi perilaku anomali dan tanda ancaman dalam akun Anda.  [Amazon Inspector](https://aws.amazon.com/inspector/) secara otomatis menyimpan basis data CVE yang digunakannya untuk fitur pemindaian berkelanjutan yang diperbarui.  Baik [AWS WAF](https://aws.amazon.com/waf/) maupun [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-advanced-summary.html) menyediakan grup aturan terkelola yang diperbarui secara otomatis saat ancaman baru muncul. 

 Kaji [pilar keunggulan operasional Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html) untuk manajemen dan penambalan armada otomatis. 

## Langkah-langkah implementasi
<a name="implementation-steps"></a>
+  Berlanggananlah ke pemberitahuan untuk publikasi intelijen ancaman yang relevan dengan bisnis dan industri Anda. Berlanggananlah ke Buletin Keamanan AWS. 
+  Pertimbangkan untuk mengadopsi layanan yang menambahkan kecerdasan menghadapi ancaman baru secara otomatis, seperti Amazon GuardDuty dan Amazon Inspector. 
+  Lakukan deployment strategi manajemen dan patching armada yang selaras dengan praktik terbaik Pilar Keunggulan Operasional Well-Architected. 

## Sumber daya
<a name="resources"></a>

 **Praktik-praktik terbaik terkait:** 
+  [SEC01-BP07 Mengidentifikasi ancaman dan memprioritaskan mitigasi dengan menggunakan sebuah model ancaman](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_threat_model.html) 
+  [OPS01-BP05 Mengevaluasi lanskap ancaman](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_eval_threat_landscape.html) 
+  [OPS11-BP01 Buatlah suatu proses untuk peningkatan berkelanjutan](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_evolve_ops_process_cont_imp.html) 

# SEC01-BP05 Kurangi cakupan manajemen keamanan
<a name="sec_securely_operate_reduce_management_scope"></a>

 Tentukan apakah Anda dapat mengurangi cakupan keamanan dengan menggunakan layanan AWS yang mengalihkan manajemen kontrol tertentu ke AWS (*layanan terkelola*). Layanan ini dapat membantu mengurangi tugas pemeliharaan keamanan Anda, seperti penyediaan infrastruktur, penyiapan perangkat lunak, patching, atau pencadangan. 

 **Hasil yang diinginkan:** Anda mempertimbangkan ruang lingkup manajemen keamanan Anda saat memilih layanan AWS untuk beban kerja Anda. Biaya overhead manajemen dan tugas pemeliharaan (total biaya kepemilikan, atau TCO) ditimbang terhadap biaya layanan yang Anda pilih, selain pertimbangan Well-Architected lainnya. Anda memasukkan dokumentasi kontrol dan kepatuhan AWS dalam prosedur evaluasi dan verifikasi kontrol Anda. 

 **Anti-pola umum:** 
+  Melakukan deployment beban kerja tanpa sepenuhnya memahami model tanggung jawab bersama untuk layanan yang Anda pilih. 
+  Meng-host basis data dan teknologi lainnya pada mesin virtual tanpa mengevaluasi sarana yang setara dengan layanan terkelola. 
+  Tidak menyertakan tugas manajemen keamanan ke dalam total biaya kepemilikan untuk meng-host teknologi pada mesin virtual jika dibandingkan dengan opsi layanan terkelola. 

 **Manfaat menjalankan praktik terbaik ini:** Menggunakan layanan terkelola akan dapat mengurangi beban keseluruhan Anda dalam mengelola kontrol keamanan operasional, hal ini dapat mengurangi risiko keamanan dan total biaya kepemilikan Anda. Waktu yang seharusnya dihabiskan untuk tugas-tugas keamanan tertentu dapat diinvestasikan kembali ke tugas-tugas yang memberikan nilai lebih bagi bisnis Anda. Layanan terkelola juga dapat mengurangi cakupan persyaratan kepatuhan Anda dengan mengalihkan sebagian persyaratan kontrol ke AWS. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Ada beberapa cara untuk mengintegrasikan komponen beban kerja Anda di AWS. Untuk menginstal dan menjalankan teknologi pada instans Amazon EC2, Anda sering kali harus memikul porsi tanggung jawab keamanan terbesar secara keseluruhan. Untuk membantu mengurangi beban pengoperasian kontrol tertentu, identifikasikan layanan terkelola AWS yang mengurangi cakupan model tanggung jawab bersama Anda dan pahami cara Anda dapat menggunakannya dalam arsitektur yang ada. Contohnya termasuk menggunakan [Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds/) untuk menggunakan basis data, [Amazon Elastic Kubernetes Service (Amazon EKS)](https://aws.amazon.com/eks/) atau [Amazon Elastic Container Service (Amazon ECS)](https://aws.amazon.com/ecs/) untuk mengatur kontainer, atau menggunakan [opsi nirserver](https://aws.amazon.com/serverless/). Saat membuat aplikasi baru, pikirkan layanan mana yang dapat membantu mengurangi waktu dan biaya dalam mengimplementasikan dan mengelola kontrol keamanan. 

 Persyaratan kepatuhan juga dapat menjadi faktor ketika memilih layanan. Layanan terkelola dapat mengalihkan sebagian persyaratan yang perlu dipatuhi ke AWS. Diskusikan dengan tim kepatuhan Anda apakah mereka nyaman dengan pengauditan aspek layanan yang Anda operasikan dan kelola serta mau menerima pernyataan kontrol dalam laporan audit AWS yang relevan. Anda dapat memberikan artefak audit yang ditemukan pada [AWS Artifact](https://aws.amazon.com/artifact/) ke auditor atau regulator Anda sebagai bukti kontrol keamanan AWS. Anda juga dapat menggunakan panduan tanggung jawab yang disediakan oleh beberapa artefak audit AWS untuk merancang arsitektur Anda, bersama dengan [Panduan Kepatuhan Pelanggan AWS](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf). Panduan ini membantu menentukan kontrol keamanan tambahan yang harus Anda terapkan untuk mendukung kasus penggunaan spesifik di sistem Anda. 

 Saat menggunakan layanan terkelola, pahami proses dalam memperbarui sumber dayanya ke versi yang lebih baru (misalnya, memperbarui versi basis data yang dikelola oleh Amazon RDS, atau runtime bahasa pemrograman untuk suatu fungsi AWS Lambda). Meskipun layanan terkelola dapat melakukan operasi ini untuk Anda, Anda tetap bertanggung jawab untuk mengonfigurasi waktu pembaruan dan memahami dampaknya pada operasi Anda. Alat seperti [AWS Health](https://aws.amazon.com/premiumsupport/technology/aws-health/) dapat membantu Anda melacak dan mengelola pembaruan ini di seluruh lingkungan Anda. 

### Langkah-langkah implementasi
<a name="implementation-steps"></a>

1.  Evaluasi komponen beban kerja Anda yang dapat diganti dengan layanan terkelola. 

   1.  Jika Anda memigrasikan beban kerja ke AWS, pertimbangkan melakukan pengurangan manajemen (waktu dan biaya) dan pengurangan risiko ketika Anda menilai apakah Anda harus meng-host ulang, memfaktor ulang, memplatform ulang, membuat ulang, atau mengganti beban kerja Anda. Terkadang, investasi tambahan pada awal migrasi dapat memiliki penghematan yang signifikan dalam jangka panjang. 

1.  Pertimbangkan untuk mengimplementasikan layanan terkelola, seperti Amazon RDS, bukan menginstal dan mengelola deployment teknologi Anda sendiri. 

1.  Gunakan panduan tanggung jawab di AWS Artifact untuk membantu menentukan kontrol keamanan yang harus Anda terapkan untuk beban kerja Anda. 

1.  Pelihara inventaris terkait sumber daya yang digunakan, serta terus ikuti layanan dan pendekatan terkini untuk mengidentifikasi peluang baru dalam mengurangi cakupan. 

## Sumber daya
<a name="resources"></a>

 **Praktik-praktik terbaik terkait:** 
+  [PERF02-BP01 Memilih opsi komputasi terbaik untuk beban kerja Anda](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_compute_hardware_select_best_compute_options.html) 
+  [PERF03-BP01 Menggunakan penyimpanan data yang dibuat khusus yang paling mendukung persyaratan akses data dan penyimpanan data Anda](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_data_use_purpose_built_data_store.html) 
+  [SUS05-BP03 Menggunakan layanan terkelola](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_hardware_a4.html) 

 **Dokumen terkait:** 
+  [Peristiwa siklus hidup yang direncanakan untuk AWS Health](https://docs.aws.amazon.com/health/latest/ug/aws-health-planned-lifecycle-events.html) 

 **Alat terkait:** 
+  [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) 
+  [AWS Artifact](https://aws.amazon.com/artifact/) 
+  [AWS Panduan Kepatuhan Pelanggan](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **Video terkait:** 
+  [Bagaimana cara bermigrasi ke instans Amazon RDS atau Aurora MySQL DB menggunakan DMS AWS?](https://www.youtube.com/watch?v=vqgSdD5vkS0) 
+  [AWS re:Invent 2023 - Mengelola peristiwa siklus hidup sumber daya sesuai skala dengan AWS Health](https://www.youtube.com/watch?v=VoLLNL5j9NA) 

# SEC01-BP06 Otomatiskan deployment kontrol keamanan standar
<a name="sec_securely_operate_automate_security_controls"></a>

 Terapkan praktik-praktik DevOps modern saat Anda mengembangkan dan melakukan deployment kontrol keamanan standar di seluruh lingkungan AWS Anda.  Tentukan kontrol dan konfigurasi keamanan standar dengan menggunakan templat Infrastruktur sebagai Kode (IaC), catat perubahan dalam sistem kontrol versi, uji perubahan sebagai bagian dari pipeline CI/CD, dan lakukan otomatisasi terhadap deployment perubahan ke lingkungan AWS Anda. 

 **Hasil yang diinginkan:** Template IaC merekam kontrol keamanan standar dan memasukkannya ke sistem kontrol versi.  Pipeline CI/CD diterapkan untuk mendeteksi perubahan serta melakukan otomatisasi terhadap pengujian dan deployment lingkungan AWS Anda.  Pagar pembatas diterapkan untuk mendeteksi dan memperingatkan kesalahan konfigurasi dalam templat sebelum melanjutkan ke deployment.  Beban kerja di-deploy ke lingkungan yang menerapkan kontrol standar.  Tim memiliki akses untuk melakukan deployment konfigurasi layanan yang disetujui melalui mekanisme mandiri.  Strategi pencadangan dan pemulihan yang aman diterapkan untuk konfigurasi kontrol, skrip, dan data terkait. 

 **Anti-pola umum:** 
+  Membuat perubahan pada kontrol keamanan standar Anda secara manual, melalui konsol web atau antarmuka baris perintah. 
+  Mengandalkan tim beban kerja individual untuk secara manual mengimplementasikan kontrol yang ditentukan oleh tim pusat. 
+  Mengandalkan tim keamanan pusat untuk melakukan deployment kontrol tingkat beban kerja atas permintaan tim beban kerja. 
+  Mengizinkan individu atau tim yang sama untuk mengembangkan, menguji, dan melakukan deployment skrip otomatisasi kontrol keamanan tanpa pemisahan tugas atau pemeriksaan dan keseimbangan yang tepat.  

 **Manfaat menjalankan praktik terbaik ini:** Menggunakan templat untuk menentukan kontrol keamanan standar Anda akan memungkinkan Anda melacak dan membandingkan perubahan dari waktu ke waktu dengan menggunakan sistem kontrol versi.  Penggunaan otomatisasi untuk menguji dan melakukan deployment perubahan akan menghasilkan standardisasi dan kemampuan prediksi, sehingga meningkatkan peluang deployment yang berhasil dan mengurangi tugas manual yang berulang.  Penyediaan mekanisme mandiri bagi tim beban kerja untuk melakukan deployment layanan dan konfigurasi yang disetujui akan mengurangi risiko kesalahan konfigurasi dan kesalahan penggunaan. Hal ini juga membantu mereka memasukkan kontrol lebih awal dalam proses pengembangan. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Saat mengikuti praktik yang dijelaskan dalam [SEC01-BP01 Memisahkan beban kerja menggunakan akun](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html), Anda akan mendapatkan beberapa Akun AWS untuk lingkungan berbeda yang Anda kelola gunakan AWS Organizations.  Meskipun masing-masing lingkungan dan beban kerja ini mungkin memerlukan kontrol keamanan yang berbeda, Anda dapat menstandardisasi beberapa kontrol keamanan di seluruh organisasi Anda.  Contohnya termasuk mengintegrasikan penyedia identitas tersentralisasi, menentukan jaringan dan firewall, serta mengonfigurasi lokasi standar untuk menyimpan dan menganalisis log.  Dengan cara yang sama Anda dapat menggunakan *infrastruktur sebagai kode* (IaC) untuk menerapkan ketelitian pengembangan kode aplikasi yang sama untuk penyediaan infrastruktur, Anda dapat menggunakan IaC untuk menentukan dan menerapkan kontrol keamanan standar Anda juga. 

 Jika memungkinkan, tentukan kontrol keamanan Anda dengan cara deklaratif, seperti di [AWS CloudFormation](https://aws.amazon.com/cloudformation/), dan simpan dalam sistem kontrol sumber.  Gunakan praktik DevOps untuk mengotomatiskan penerapan kontrol Anda untuk rilis yang lebih dapat diprediksi, pengujian otomatis menggunakan alat seperti [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html), dan mendeteksi penyimpangan antara kontrol yang Anda gunakan dan konfigurasi yang Anda inginkan.  Anda dapat menggunakan layanan seperti [AWS CodePipeline](https://aws.amazon.com/codepipeline/), [AWS CodeBuild](https://aws.amazon.com/codebuild/), dan [AWS CodeDeploy](https://aws.amazon.com/codedeploy/) untuk membangun pipeline CI/CD. Pertimbangkan panduan dalam [Mengatur Lingkungan AWS Anda dengan Menggunakan Beberapa Akun](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) untuk mengonfigurasi berbagai layanan ini di akunnya sendiri yang terpisah dari pipeline deployment lainnya. 

 Anda juga dapat menentukan templat untuk menstandardisasi penentuan dan deployment Akun AWS, layanan, dan konfigurasi.  Teknik ini memungkinkan tim keamanan pusat mengelola penentuan ini dan menyediakannya kepada tim beban kerja melalui pendekatan mandiri.  Salah satu cara untuk mencapai hal ini adalah dengan menggunakan [Service Catalog](https://aws.amazon.com/servicecatalog/), di mana Anda dapat memublikasikan templat sebagai *produk* yang dapat digabungkan oleh tim beban kerja ke dalam deployment pipeline mereka sendiri.  Jika Anda menggunakan [AWS Control Tower](https://aws.amazon.com/controltower/), beberapa templat dan kontrol tersedia sebagai titik awal.  Control Tower juga menyediakan kemampuan [Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/af-customization-page.html), sehingga memungkinkan tim beban kerja membuat Akun AWS yang baru menggunakan standar yang Anda tentukan.  Kemampuan ini membantu meniadakan dependensi pada tim pusat untuk menyetujui dan membuat akun baru ketika akun tersebut diperlukan oleh tim beban kerja Anda.  Anda mungkin memerlukan akun ini untuk mengisolasi komponen beban kerja yang berbeda berdasarkan berbagai alasan, seperti fungsi yang diberikan, sensitivitas data yang diproses, atau perilakunya. 

## Langkah-langkah implementasi
<a name="implementation-steps"></a>

1.  Tentukan cara Anda akan menyimpan dan memelihara templat Anda dalam sebuah sistem kontrol versi. 

1.  Buat pipeline CI/CD untuk menguji dan menerapkan templat Anda.  Tentukan pengujian untuk memeriksa adanya kesalahan konfigurasi dan apakah templat tersebut mematuhi standar perusahaan Anda, atau tidak. 

1.  Buat katalog templat standar bagi tim beban kerja untuk melakukan deployment Akun AWS dan layanan sesuai dengan kebutuhan Anda. 

1.  Implementasikan strategi pencadangan dan pemulihan yang aman untuk konfigurasi kontrol, skrip, dan data terkait Anda. 

## Sumber daya
<a name="resources"></a>

 **Praktik-praktik terbaik terkait:** 
+  [OPS05-BP01 Menggunakan kontrol versi](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_version_control.html) 
+  [OPS05-BP04 Menggunakan sistem manajemen build dan deployment](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_build_mgmt_sys.html) 
+  [REL08-BP05 Melakukan deployment perubahan dengan otomatisasi](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_tracking_change_management_automated_changemgmt.html) 
+  [SUS06-BP01 Mengadopsi metode yang dapat menghadirkan peningkatan keberlanjutan dengan cepat](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_dev_a2.html) 

 **Dokumen terkait:** 
+  [Mengatur Lingkungan AWS Anda dengan Menggunakan Beberapa Akun](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) 

 **Contoh terkait:** 
+  [Mengotomatiskan pembuatan akun, dan penyediaan sumber daya menggunakan Service Catalog, AWS Organizations, dan AWS Lambda](https://aws.amazon.com/blogs/mt/automate-account-creation-and-resource-provisioning-using-aws-service-catalog-aws-organizations-and-aws-lambda/) 
+  [Memperkuat pipeline DevOps dan melindungi data dengan AWS Secrets Manager, AWS KMS, dan AWS Certificate Manager](https://aws.amazon.com/blogs/security/strengthen-the-devops-pipeline-and-protect-data-with-aws-secrets-manager-aws-kms-and-aws-certificate-manager/) 

 **Alat terkait:** 
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [Akselerator Zona Landasan di AWS](https://github.com/awslabs/landing-zone-accelerator-on-aws) 

# SEC01-BP07 Mengidentifikasi ancaman dan memprioritaskan mitigasi dengan menggunakan sebuah model ancaman
<a name="sec_securely_operate_threat_model"></a>

 Lakukan pemodelan ancaman untuk mengidentifikasi dan menyediakan daftar potensi ancaman terbaru serta mitigasi terkait untuk beban kerja Anda. Tentukan prioritas ancaman dan sesuaikan mitigasi kontrol keamanan Anda untuk mencegah, mendeteksi, dan merespons ancaman. Anda harus memeriksa kembali dan mempertahankan hal ini dengan mempertimbangkan beban kerja Anda, serta lanskap keamanan yang terus berubah. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>

 **Apa itu pemodelan ancaman?** 

 “Pemodelan ancaman bekerja untuk mengidentifikasi, berkomunikasi, dan memahami ancaman dan mitigasi dalam konteks melindungi sesuatu yang bernilai.” – [Pemodelan Ancaman Aplikasi Open Web Application Security Project (OWASP](https://owasp.org/www-community/Threat_Modeling) 

 **Mengapa Anda harus menjadi model ancaman?** 

 Sistem begitu kompleks. Kompleksitas dan kemampuannya akan makin meningkat seiring waktu, sehingga memberikan nilai bisnis yang lebih banyak dan meningkatkan keterlibatan serta kepuasan pelanggan. Artinya, keputusan desain IT perlu mempertimbangkan peningkatan jumlah kasus penggunaan. Perubahan kompleksitas dan jumlah kasus penggunaan ini biasanya menjadikan pendekatan tidak terstruktur tidak efektif untuk menemukan temuan tentang ancaman dan memitigasinya. Maka, Anda memerlukan pendekatan sistematis untuk menghitung potensi ancaman terhadap sistem, serta untuk melakukan dan memprioritaskan mitigasi untuk memastikan organisasi Anda dapat meningkatkan postur keamanan sistem secara keseluruhan dengan maksimal meski dengan sumber daya terbatas. 

 Pemodelan ancaman dirancang untuk memberikan pendekatan sistematis ini, yang bertujuan untuk menemukan temuan tentang masalah dan mengatasi masalah tersebut dalam proses desain lebih awal, saat biaya dan upaya mitigasi relatif rendah dibandingkan setelahnya dalam siklus hidup. Pendekatan ini sejalan dengan prinsip industri keamanan [https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview](https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview). Pada intinya, pemodelan ancaman akan terintegrasi dengan proses manajemen risiko organisasi serta membantu menentukan kontrol mana yang akan diimplementasikan menggunakan pendekatan berbasis ancaman. 

 **Kapan pemodelan ancaman harus dilakukan?** 

 Mulai pemodelan ancaman dalam siklus hidup beban kerja Anda sedini mungkin. Hal ini membuat Anda lebih fleksibel dalam menentukan tindakan untuk mengatasi ancaman yang teridentifikasi. Seperti halnya bug perangkat lunak, makin dini Anda mengidentifikasi ancaman, makin hemat biaya penanganannya. Model ancaman adalah dokumen hidup (living document) dan akan terus berkembang seiring perubahan beban kerja Anda. Tinjau kembali untuk mempertahankan model ancaman Anda dari waktu ke waktu, termasuk saat terjadi perubahan besar, perubahan dalam lanskap ancaman, atau saat Anda mengadopsi fitur atau layanan baru. 

### Langkah-langkah implementasi
<a name="implementation-steps"></a>

 **Bagaimana kita bisa melakukan pemodelan ancaman?** 

 Pemodelan ancaman bisa dijalankan dengan banyak cara. Seperti halnya bahasa pemrograman, setiap model memiliki kelebihan dan kekurangannya masing-masing. Pilih cara yang paling tepat untuk Anda. Salah satu pendekatannya adalah memulai dengan [Shostack's 4 Question Frame for Threat Modeling](https://github.com/adamshostack/4QuestionFrame), yang mengajukan pertanyaan terbuka untuk memberikan struktur pada latihan pemodelan ancaman Anda: 

1.  **Apa yang sedang kita kerjakan?** 

    Pertanyaan ini bertujuan untuk membantu memahami dan menentukan sistem yang sedang Anda bangun serta detail sistem tersebut yang relevan dengan keamanan. Membuat model atau diagram adalah cara paling populer untuk menjawab pertanyaan ini, karena membantu Anda memvisualisasikan apa yang Anda bangun, misalnya, menggunakan [diagram alir data](https://en.wikipedia.org/wiki/Data-flow_diagram). Menuliskan asumsi dan detail penting tentang sistem Anda juga dapat membantu Anda menentukan cakupan. Hal ini membantu menyatukan fokus semua orang yang berkontribusi dalam model ancaman, serta menghindari topik di luar cakupan (termasuk versi lama sistem Anda) yang memakan banyak waktu. Misalnya, jika Anda sedang membuat aplikasi web, sepertinya tidak layak untuk membuang waktu melakukan pemodelan ancaman untuk urutan boot tepercaya pada sistem operasi untuk klien browser karena desain Anda tidak akan dapat memengaruhi hal ini. 

1.  **Apa yang bisa salah?** 

    Di sini Anda dapat mengidentifikasi ancaman terhadap sistem Anda. Ancaman adalah tindakan atau peristiwa yang disengaja atau tidak disengaja, yang dampaknya tidak diharapkan dan dapat memengaruhi keamanan sistem Anda. Tanpa mengetahui dengan jelas apa saja potensi permasalahannya, Anda tidak akan tahu cara penanganannya. 

    Tidak ada daftar khusus tentang apa saja masalah yang dapat terjadi. Membuat daftar ini membutuhkan curah pendapat dan kolaborasi antara semua individu dalam tim Anda dan [persona relevan yang terlibat](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/#tips) dalam latihan pemodelan ancaman. Anda dapat membantu curah pendapat Anda dengan menggunakan model untuk mengidentifikasi ancaman, seperti [STRIDE](https://en.wikipedia.org/wiki/STRIDE_(security)), yang menyarankan berbagai kategori untuk dievaluasi: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, dan Elevation of privilege. Selain itu, Anda sebaiknya membantu curah pendapat dengan meninjau daftar dan penelitian yang ada untuk mendapatkan inspirasi, termasuk [Top 10 OWASP](https://owasp.org/www-project-top-ten/), [Katalog Ancaman HiTrust](https://hitrustalliance.net/hitrust-threat-catalogue/), dan katalog ancaman organisasi Anda sendiri. 

1.  **Apa yang akan kita lakukan tentang hal itu?** 

    Sama seperti pertanyaan sebelumnya, tidak ada daftar khusus untuk semua kemungkinan mitigasi. Input dalam langkah ini adalah ancaman yang teridentifikasi, pelaku, dan area peningkatan dari langkah sebelumnya. 

    Keamanan dan kepatuhan merupakan [tanggung jawab bersama antara Anda dan AWS](https://aws.amazon.com/compliance/shared-responsibility-model/). Perlu dipahami bahwa pertanyaan “Tindakan apa yang akan kita lakukan?” harus disertai dengan pertanyaan “Siapa yang bertanggung untuk melakukan hal ini?”. Memahami keseimbangan tanggung jawab antara Anda dan AWS membantu Anda menentukan cakupan pengujian pemodelan ancaman ke mitigasi dalam kontrol Anda, yang biasanya merupakan gabungan dari opsi konfigurasi layanan AWS dan mitigasi dari sistem Anda sendiri. 

    Untuk tanggung jawab bersama yang merupakan bagian dari AWS, Anda akan menemukan bahwa [layanan AWS berada dalam lingkup banyak program kepatuhan](https://aws.amazon.com/compliance/services-in-scope/). Program-program tersebut akan membantu Anda memahami penerapan kontrol yang andal yang diterapkan di AWS untuk menjaga keamanan dan kepatuhan cloud. Laporan audit dari program ini dapat diunduh oleh pelanggan AWS dari [AWS Artifact](https://aws.amazon.com/artifact/). 

    Apa pun layanan AWS yang Anda gunakan, selalu ada elemen yang menjadi tanggung jawab pelanggan, dan mitigasi yang diselaraskan dengan tanggung jawab ini harus disertakan dalam model ancaman Anda. Untuk mitigasi kontrol keamanan bagi layanan AWS sendiri, Anda perlu mempertimbangkan implementasi kontrol keamanan di seluruh domain, termasuk domain seperti manajemen akses dan identitas (autentikasi dan otorisasi), perlindungan data (diam dan bergerak), keamanan infrastruktur, pencatatan log, dan pemantauan. Dokumentasi untuk setiap layanan AWS memiliki [bagian keamanan khusus](https://docs.aws.amazon.com/security/) yang memberikan panduan tentang kontrol keamanan untuk dipertimbangkan sebagai mitigasi. Pertimbangkan kode yang Anda tulis dan dependensi kodenya karena hal ini sangat penting, serta tentukan kontrol yang dapat Anda terapkan untuk mengatasi ancaman. Kontrol ini bisa berupa hal-hal seperti [validasi input](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html), [penanganan sesi](https://owasp.org/www-project-mobile-top-10/2014-risks/m9-improper-session-handling), dan [penanganan batas](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow). Fokus pada kode kustom karena sebagian besar kerentanan seringnya terjadi di area ini. 

1.  **Apakah kita melakukan pekerjaan dengan baik?** 

    Tujuannya adalah agar tim dan organisasi Anda dapat meningkatkan kualitas model ancaman dan kecepatan dalam melakukan pemodelan ancaman dari waktu ke waktu. Peningkatan ini adalah hasil dari gabungan praktik, pembelajaran, pengajaran, dan peninjauan. Untuk membahas lebih dalam dan langsung, disarankan agar Anda dan tim Anda menyelesaikan [Pemodelan ancaman dengan cara yang tepat untuk kursus pelatihan pembangun](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) atau [lokakarya](https://catalog.workshops.aws/threatmodel/en-US). Selain itu, jika Anda mencari panduan tentang cara mengintegrasikan pemodelan ancaman ke dalam siklus pengembangan aplikasi organisasi Anda, lihat kiriman tentang [Cara melakukan pendekatan terhadap pemodelan ancaman](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) di Blog Keamanan AWS. 

 **Komposer Ancaman** 

 Untuk membantu dan memandu Anda dalam melakukan pemodelan ancaman, pertimbangkan menggunakan alat [Komposer Ancaman](https://github.com/awslabs/threat-composer#threat-composer), yang bertujuan untuk mengurangi waktu-ke-nilai saat pemodelan ancaman. Alat ini membantu Anda melakukan hal berikut: 
+  Tulis pernyataan ancaman yang berguna yang selaras dengan [tata bahasa ancaman](https://catalog.workshops.aws/threatmodel/en-US/what-can-go-wrong/threat-grammar) yang bekerja dalam suatu alur kerja non-linier alami 
+  Menghasilkan model ancaman yang dapat dibaca manusia 
+  Membuat model ancaman yang dapat dibaca mesin untuk memungkinkan Anda memperlakukan model ancaman sebagai kode 
+  Membantu Anda mengidentifikasi area peningkatan kualitas dan cakupan dengan cepat menggunakan Dasbor Wawasan 

 Untuk referensi lebih lanjut, silakan kunjungi Komposer Ancaman dan beralih ke **Contoh Ruang Kerja** yang ditentukan sistem. 

## Sumber daya
<a name="resources"></a>

 **Praktik-praktik terbaik terkait:** 
+  [SEC01-BP03 Identifikasikan dan validasikan tujuan kontrol](sec_securely_operate_control_objectives.md) 
+  [SEC01-BP04 Terus ikuti info terbaru tentang ancaman dan rekomendasi keamanan](sec_securely_operate_updated_threats.md) 
+  [SEC01-BP05 Kurangi cakupan manajemen keamanan](sec_securely_operate_reduce_management_scope.md) 
+  [SEC01-BP08 Evaluasi dan implementasikan fitur serta layanan keamanan baru secara rutin](sec_securely_operate_implement_services_features.md) 

 **Dokumen terkait:** 
+  [Cara melakukan pendekatan terhadap pemodelan ancaman](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (Blog Keamanan AWS) 
+ [ NIST: Panduan untuk Pemodelan Ancaman Sistem yang Terpusat pada Data ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

 **Video terkait:** 
+ [AWS Summit ANZ 2021 - Cara melakukan pendekatan terhadap pemodelan ancaman ](https://www.youtube.com/watch?v=GuhIefIGeuA)
+ [AWS Summit ANZ 2022 - Menskalakan keamanan – Optimalkan untuk pengiriman yang cepat dan aman ](https://www.youtube.com/watch?v=DjNPihdWHeA)

 **Pelatihan terkait:** 
+ [ Pemodelan ancaman dengan cara yang tepat untuk pembangun – Pelatihan mandiri virtual AWS Skill Builder ](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)
+ [ Pemodelan ancaman dengan cara yang tepat untuk pembangun – Workshop AWS](https://catalog.workshops.aws/threatmodel)

 **Alat terkait:** 
+  [Komposer Ancaman](https://github.com/awslabs/threat-composer#threat-composer) 

# SEC01-BP08 Evaluasi dan implementasikan fitur serta layanan keamanan baru secara rutin
<a name="sec_securely_operate_implement_services_features"></a>

 Evaluasi dan implementasikan fitur serta layanan keamanan dari AWS dan Partner AWS yang membantu Anda mengembangkan postur keamanan beban kerja Anda.  

 **Hasil yang diinginkan** Anda memiliki praktik standar yang memberi tahu Anda tentang fitur dan layanan baru yang dirilis oleh Partner AWS dan AWS. Anda mengevaluasi pengaruh kemampuan baru ini terhadap desain kontrol saat ini dan yang baru untuk lingkungan dan beban kerja Anda. 

 **Anti-pola umum:** 
+  Anda tidak berlangganan blog AWS dan umpan RSS untuk mempelajari fitur dan layanan baru yang relevan dengan cepat 
+  Anda mengandalkan berita dan pemberitahuan tentang layanan dan fitur keamanan dari sumber tangan kedua 
+  Anda tidak menganjurkan pengguna AWS di organisasi Anda untuk terus mengikuti informasi tentang pemberitahuan keamanan terbaru 

 **Manfaat menjalankan praktik terbaik ini:** Ketika Anda selalu menggunakan layanan dan fitur keamanan baru, Anda dapat membuat keputusan-keputusan yang tepat berdasarkan informasi tentang penerapan kontrol di lingkungan cloud dan beban kerja Anda. Sumber-sumber ini akan membantu meningkatkan kesadaran akan lanskap keamanan yang terus berubah dan cara layanan AWS dapat digunakan untuk melindungi terhadap ancaman yang baru dan berkembang.   

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>

 AWS menginformasikan pelanggan tentang layanan dan fitur keamanan baru melalui beberapa saluran: 
+  [AWS Yang Terbaru dari](https://aws.amazon.com/new) 
+  [AWS Blog Berita](https://aws.amazon.com/blogs/aws/) 
+  [AWS Blog Keamanan](https://aws.amazon.com/blogs/security/) 
+  [AWS Buletin Keamanan](https://aws.amazon.com/security/security-bulletins/) 
+  [AWS Ikhtisar dokumentasi](https://aws.amazon.com/documentation/) 

 Anda dapat berlangganan topik [Pembaruan Fitur Harian AWS](https://aws.amazon.com/blogs/aws/subscribe-to-aws-daily-feature-updates-via-amazon-sns/) menggunakan Amazon Simple Notification Service (Amazon SNS) untuk ringkasan pembaruan harian yang komprehensif. Beberapa layanan keamanan, seperti [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_sns.html) dan [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-announcements.html), menyediakan topik SNS mereka sendiri untuk tetap mendapat informasi tentang standar baru, temuan, dan pembaruan lainnya untuk layanan tertentu tersebut. 

 Layanan dan fitur baru juga diumumkan dan dijelaskan secara rinci selama [konferensi, acara, dan webinar](https://aws.amazon.com/events/) yang diselenggarakan di seluruh dunia setiap tahunnya. Catatan khusus adalah konferensi keamanan [re:Inforce AWS](https://reinforce.awsevents.com/) tahunan dan konferensi [re:Invent AWS](https://reinvent.awsevents.com/) yang lebih umum. Saluran berita AWS yang disebutkan sebelumnya membagikan pengumuman konferensi ini tentang keamanan dan layanan lainnya, dan Anda dapat melihat sesi diskusi edukasional secara mendalam secara online di [Saluran acara AWS](https://www.youtube.com/c/AWSEventsChannel) di YouTube. 

 Anda juga dapat bertanya kepada [tim Akun AWS](https://aws.amazon.com/startups/learn/meet-your-aws-account-team) Anda tentang pembaruan dan rekomendasi layanan keamanan terbaru. Anda dapat menghubungi tim Anda melalui [formulir Dukungan Penjualan](https://aws.amazon.com/contact-us/sales-support/) jika Anda tidak memiliki informasi kontak langsung mereka. Demikian pula, jika Anda berlangganan [AWS Enterprise Support, ](https://aws.amazon.com/premiumsupport/plans/enterprise/)Anda akan menerima pembaruan mingguan dari Manajer Akun Teknis (TAM) dan dapat menjadwalkan pertemuan tinjauan rutin dengan mereka. 

### Langkah-langkah implementasi
<a name="implementation-steps"></a>

1.  Berlanggananlah berbagai blog dan buletin menggunakan pembaca RSS favorit Anda atau berlanggananlah topik SNS Daily Features Updates. 

1.  Evaluasi acara AWS mana yang perlu dihadiri untuk mempelajari secara langsung tentang fitur dan layanan baru. 

1.  Jadwalkan rapat dengan tim Akun AWS Anda untuk mengajukan pertanyaan apa pun tentang pembaruan layanan dan fitur keamanan. 

1.  Pertimbangkan untuk berlangganan Enterprise Support agar dapat melakukan konsultasi rutin dengan Manajer Akun Teknis (TAM). 

## Sumber daya
<a name="resources"></a>

 **Praktik-praktik terbaik terkait:** 
+  [PERF01-BP01 Mempelajari dan memahami layanan serta fitur cloud yang tersedia](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_understand_cloud_services_and_features.html) 
+  [COST01-BP07 Mengikuti perkembangan rilisan layanan baru](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_cloud_financial_management_scheduled.html)