Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS CloudTrail menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.
CloudTrail praktik terbaik keamanan detektif
Buat jejak
Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, Anda harus membuat jejak. Meskipun CloudTrail menyediakan 90 hari informasi riwayat acara untuk acara manajemen di CloudTrail konsol tanpa membuat jejak, itu bukan catatan permanen, dan tidak memberikan informasi tentang semua jenis peristiwa yang mungkin. Untuk catatan yang sedang berlangsung, dan untuk catatan yang berisi semua jenis peristiwa yang Anda tentukan, Anda harus membuat jejak, yang mengirimkan file log ke bucket Amazon S3 yang Anda tentukan.
Untuk membantu mengelola CloudTrail data Anda, pertimbangkan untuk membuat satu jejak yang mencatat peristiwa manajemen di semua Wilayah AWS, lalu membuat jejak tambahan yang mencatat jenis peristiwa tertentu untuk sumber daya, seperti aktivitas AWS Lambda atau fungsi bucket Amazon S3.
Berikut ini adalah beberapa langkah yang dapat Anda ambil:
Buat jejak Multi-wilayah
Untuk mendapatkan catatan lengkap peristiwa yang diambil oleh identitas IAM, atau layanan di AWS akun Anda, buat jejak Multi-wilayah. Multi-Region melacak peristiwa log di semua Wilayah AWS yang diaktifkan di Anda. Akun AWS Dengan mencatat peristiwa di semua yang diaktifkan Wilayah AWS, Anda memastikan bahwa Anda menangkap aktivitas di semua Wilayah yang diaktifkan di wilayah Anda Akun AWS. Ini termasuk mencatat peristiwa layanan global, yang dicatat ke layanan Wilayah AWS tertentu. Semua jalur yang dibuat menggunakan CloudTrail konsol adalah jalur Multi-wilayah.
Berikut ini adalah beberapa langkah yang dapat Anda ambil:
-
Ubah jejak wilayah Tunggal yang ada menjadi jejak Multi-wilayah.
-
Menerapkan kontrol detektif yang sedang berlangsung untuk membantu memastikan semua jejak yang dibuat mencatat peristiwa di semua Wilayah AWS dengan menggunakan aturan multi-region-cloud-trail-enabled di. AWS Config
Aktifkan integritas file CloudTrail log
File log yang divalidasi sangat berharga dalam penyelidikan keamanan dan forensik. Misalnya, file log yang divalidasi memungkinkan Anda untuk menegaskan secara positif bahwa file log itu sendiri tidak berubah, atau bahwa kredenal identitas IAM tertentu melakukan aktivitas API tertentu. Proses validasi integritas file CloudTrail log juga memungkinkan Anda mengetahui apakah file log telah dihapus atau diubah, atau menegaskan secara positif bahwa tidak ada file log yang dikirim ke akun Anda selama periode waktu tertentu. CloudTrail validasi integritas file log menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus, atau memalsukan CloudTrail file log tanpa deteksi. Untuk informasi selengkapnya, lihat Mengaktifkan validasi dan memvalidasi file.
Integrasikan dengan Amazon CloudWatch Logs
CloudWatch Log memungkinkan Anda untuk memantau dan menerima peringatan untuk peristiwa tertentu yang ditangkap oleh CloudTrail. Peristiwa yang dikirim ke CloudWatch Log adalah peristiwa yang dikonfigurasi untuk dicatat oleh jejak Anda, jadi pastikan Anda telah mengonfigurasi jejak atau jejak Anda untuk mencatat jenis peristiwa (peristiwa data peristiwa manajemen dan/atau peristiwa aktivitas jaringan) yang ingin Anda pantau.
Misalnya, Anda dapat memantau keamanan kunci dan peristiwa manajemen terkait jaringan, seperti peristiwa login yang gagal AWS Management Console.
Berikut ini adalah beberapa langkah yang dapat Anda ambil:
-
Tinjau contoh Integrasi CloudWatch log untuk CloudTrail.
-
Konfigurasikan jejak Anda untuk mengirim acara ke CloudWatch Log.
-
Pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung untuk membantu memastikan semua jejak mengirimkan peristiwa ke CloudWatch Log untuk dipantau dengan menggunakan aturan cloud-trail-cloud-watch-logs-enabled di. AWS Config
Gunakan Amazon GuardDuty
Amazon GuardDuty adalah layanan deteksi ancaman yang membantu Anda melindungi akun, wadah, beban kerja, dan data di AWS lingkungan Anda. Dengan menggunakan model machine learning (ML), serta kemampuan deteksi anomali dan ancaman, GuardDuty terus memantau berbagai sumber log untuk mengidentifikasi, dan memprioritaskan potensi risiko keamanan dan aktivitas berbahaya di lingkungan Anda.
Misalnya, GuardDuty akan mendeteksi potensi eksfiltrasi kredenal jika mendeteksi kredenal yang dibuat secara eksklusif untuk EC2 instans Amazon melalui peran peluncuran instance tetapi digunakan dari akun lain di dalamnya. AWS Untuk informasi selengkapnya, lihat Panduan GuardDuty Pengguna Amazon.
Gunakan AWS Security Hub
Pantau penggunaan Anda CloudTrail karena berkaitan dengan praktik terbaik keamanan dengan menggunakan AWS Security Hub. Security Hub menggunakan kontrol keamanan detektif untuk mengevaluasi konfigurasi sumber daya dan standar keamanan guna membantu Anda mematuhi berbagai kerangka kerja kepatuhan. Untuk informasi selengkapnya tentang penggunaan Security Hub guna mengevaluasi CloudTrail sumber daya, lihat AWS CloudTrail kontrol di Panduan AWS Security Hub Pengguna.
CloudTrail praktik terbaik keamanan preventif
Praktik terbaik berikut ini CloudTrail dapat membantu mencegah insiden keamanan.
Masuk ke bucket Amazon S3 yang berdedikasi dan terpusat
CloudTrail file log adalah log audit tindakan yang diambil oleh identitas IAM atau AWS layanan. Integritas, kelengkapan, dan ketersediaan log ini sangat penting untuk tujuan forensik dan audit. Dengan masuk ke bucket Amazon S3 khusus dan terpusat, Anda dapat menerapkan kontrol keamanan, akses, dan pemisahan tugas yang ketat.
Berikut ini adalah beberapa langkah yang dapat Anda ambil:
-
Buat AWS akun terpisah sebagai akun arsip log. Jika Anda menggunakan AWS Organizations, daftarkan akun ini di organisasi, dan pertimbangkan untuk membuat jejak organisasi untuk mencatat data semua AWS akun di organisasi Anda.
-
Jika Anda tidak menggunakan Organizations tetapi ingin mencatat data untuk beberapa AWS akun, buat jejak untuk mencatat aktivitas di akun arsip log ini. Batasi akses ke akun ini hanya untuk pengguna administratif tepercaya yang harus memiliki akses ke akun dan data audit.
-
Sebagai bagian dari membuat jejak, apakah itu jejak organisasi atau jejak untuk satu AWS akun, buat bucket Amazon S3 khusus untuk menyimpan file log untuk jejak ini.
-
Jika Anda ingin mencatat aktivitas untuk lebih dari satu AWS akun, ubah kebijakan bucket untuk mengizinkan pencatatan dan penyimpanan file log untuk semua AWS akun yang ingin Anda log aktivitas AWS akun.
-
Jika Anda tidak menggunakan jejak organisasi, buat jejak di semua AWS akun Anda, tentukan bucket Amazon S3 di akun arsip log.
Gunakan enkripsi sisi server dengan kunci terkelola AWS KMS
Secara default, file log yang dikirimkan CloudTrail ke bucket S3 Anda dienkripsi dengan menggunakan enkripsi sisi server dengan kunci KMS (SSE-KMS). Untuk menggunakan SSE-KMS dengan CloudTrail, Anda membuat dan mengelola AWS KMS key, juga dikenal sebagai kunci KMS.
catatan
Jika Anda menggunakan SSE-KMS dan validasi file log, dan Anda telah memodifikasi kebijakan bucket Amazon S3 agar hanya mengizinkan file terenkripsi SSE-KMS, Anda tidak akan dapat membuat jejak yang menggunakan bucket tersebut kecuali Anda mengubah kebijakan bucket untuk mengizinkan enkripsi secara khusus, seperti yang ditunjukkan pada contoh baris kebijakan berikut. AES256
"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }
Berikut ini adalah beberapa langkah yang dapat Anda ambil:
-
Tinjau keuntungan mengenkripsi file log Anda dengan SSE-KMS.
-
Buat kunci KMS yang akan digunakan untuk mengenkripsi file log.
-
Pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung untuk membantu memastikan semua jejak mengenkripsi file log dengan SSE-KMS dengan menggunakan aturan di. cloud-trail-encryption-enabled AWS Config
Menambahkan kunci kondisi ke kebijakan topik Amazon SNS default
Saat Anda mengonfigurasi jejak untuk mengirim notifikasi ke Amazon SNS, CloudTrail tambahkan pernyataan kebijakan ke kebijakan akses topik SNS Anda yang memungkinkan CloudTrail untuk mengirim konten ke topik SNS. Sebagai praktik terbaik keamanan, sebaiknya tambahkan kunci kondisi aws:SourceArn (atau opsionalaws:SourceAccount) ke pernyataan kebijakan topik Amazon SNS. Ini membantu mencegah akses akun yang tidak sah ke topik SNS Anda. Untuk informasi selengkapnya, lihat Kebijakan topik Amazon SNS untuk CloudTrail.
Menerapkan akses hak istimewa paling sedikit ke bucket Amazon S3 tempat Anda menyimpan file log
CloudTrail melacak peristiwa log ke bucket Amazon S3 yang Anda tentukan. File log ini berisi log audit tindakan yang diambil oleh identitas dan AWS layanan IAM. Integritas dan kelengkapan file log ini sangat penting untuk tujuan audit dan forensik. Untuk membantu memastikan integritas tersebut, Anda harus mematuhi prinsip hak istimewa paling sedikit saat membuat atau memodifikasi akses ke bucket Amazon S3 apa pun yang digunakan untuk CloudTrail menyimpan file log.
Lakukan langkah berikut:
-
Tinjau kebijakan bucket Amazon S3 untuk setiap dan semua bucket tempat Anda menyimpan file log dan sesuaikan jika perlu untuk menghapus akses yang tidak perlu. Kebijakan bucket ini akan dibuat untuk Anda jika Anda membuat jejak menggunakan CloudTrail konsol, tetapi juga dapat dibuat dan dikelola secara manual.
-
Sebagai praktik keamanan terbaik, pastikan untuk menambahkan kunci
aws:SourceArnkondisi secara manual ke kebijakan bucket. Untuk informasi selengkapnya, lihat Kebijakan bucket Amazon S3 untuk CloudTrail. -
Jika Anda menggunakan bucket Amazon S3 yang sama untuk menyimpan file log untuk beberapa AWS akun, ikuti panduan untuk menerima file log untuk beberapa akun.
-
Jika Anda menggunakan jejak organisasi, pastikan Anda mengikuti panduan untuk jalur organisasi, dan tinjau kebijakan contoh untuk bucket Amazon S3 untuk jejak organisasi. Membuat jejak untuk organisasi dengan AWS CLI
-
Tinjau dokumentasi keamanan Amazon S3 dan contoh panduan untuk mengamankan bucket.
Aktifkan penghapusan MFA di bucket Amazon S3 tempat Anda menyimpan file log
Saat Anda mengonfigurasi otentikasi multi-faktor (MFA), upaya mengubah status pembuatan versi bucket, atau menghapus versi objek dalam bucket, memerlukan autentikasi tambahan. Dengan cara ini, bahkan jika pengguna memperoleh kata sandi pengguna IAM dengan izin untuk menghapus objek Amazon S3 secara permanen, Anda masih dapat mencegah operasi yang dapat membahayakan file log Anda.
Berikut ini adalah beberapa langkah yang dapat Anda ambil:
-
Tinjau panduan penghapusan MFA di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
catatan
Anda tidak dapat menggunakan penghapusan MFA dengan konfigurasi siklus hidup. Untuk informasi selengkapnya tentang konfigurasi siklus hidup dan cara berinteraksi dengan konfigurasi lain, lihat Siklus Hidup dan konfigurasi bucket lainnya di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
Konfigurasikan manajemen siklus hidup objek di bucket Amazon S3 tempat Anda menyimpan file log
Default CloudTrail jejak adalah menyimpan file log tanpa batas waktu di bucket Amazon S3 yang dikonfigurasi untuk jejak. Anda dapat menggunakan aturan manajemen siklus hidup objek Amazon S3 untuk menentukan kebijakan retensi Anda sendiri agar lebih memenuhi kebutuhan bisnis dan audit Anda. Misalnya, Anda mungkin ingin mengarsipkan file log yang berusia lebih dari satu tahun ke Amazon Glacier, atau menghapus file log setelah jangka waktu tertentu berlalu.
catatan
Konfigurasi Siklus Hidup pada bucket dengan autentikasi multi-faktor (MFA) yang diaktifkan tidak didukung.
Batasi akses ke AWSCloudTrail_FullAccess kebijakan
Pengguna dengan AWSCloudTrail_FullAccesskebijakan memiliki kemampuan untuk menonaktifkan atau mengkonfigurasi ulang fungsi audit yang paling sensitif dan penting di akun mereka AWS . Kebijakan ini tidak dimaksudkan untuk dibagikan atau diterapkan secara luas pada identitas IAM di akun Anda. AWS Batasi penerapan kebijakan ini untuk sesedikit mungkin individu, mereka yang Anda harapkan untuk bertindak sebagai administrator AWS akun.
