Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik Terbaik Operasional untuk ABS CCIG 2.0 Beban Kerja Material
Paket kesesuaian menyediakan kerangka kerja kepatuhan tujuan umum yang dirancang untuk memungkinkan Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya menggunakan aturan dan tindakan remediasi terkelola atau khusus. AWS Config AWS Config Paket Kesesuaian, sebagai contoh templat, tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan Layanan oleh Anda memenuhi persyaratan hukum dan peraturan yang berlaku.
Berikut ini menyediakan contoh pemetaan antara Panduan Implementasi ABS Cloud Computing 2.0 - Beban Kerja Material dan aturan AWS Config terkelola. Setiap aturan Config berlaku untuk AWS sumber daya tertentu, dan terkait dengan satu atau beberapa kontrol Panduan Implementasi ABS Cloud Computing. Kontrol Panduan Implementasi ABS Cloud Computing dapat dikaitkan dengan beberapa aturan Config. Lihat tabel di bawah ini untuk detail lebih lanjut dan panduan terkait pemetaan ini.
| ID Kontrol | AWS Aturan Config | Bimbingan |
|---|---|---|
| bagian4 -2-material-beban kerja a-govern-the-cloud | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| bagian4 -2-material-beban kerja a-govern-the-cloud | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| bagian4 -2-beban kerja standar a-govern-the-cloud | Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif. | |
| bagian4 -2-beban kerja standar a-govern-the-cloud | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| bagian4 -2-beban kerja standar a-govern-the-cloud | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| bagian4 -2-beban kerja standar a-govern-the-cloud | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| bagian4 -2-beban kerja standar a-govern-the-cloud | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan rincian aktivitas API panggilan dalam Anda Akun AWS. | |
| bagian4 -2-beban kerja standar a-govern-the-cloud | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (AmazonEC2) dengan AWS Systems Manager. Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| bagian4 -2-beban kerja standar a-govern-the-cloud | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| bagian4 -2-beban kerja standar a-govern-the-cloud | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| bagian4 -3-material-beban kerja a-govern-the-cloud | Aktifkan aturan ini untuk memastikan bahwa kapasitas throughput yang disediakan diperiksa di tabel Amazon DynamoDB Anda. Ini adalah jumlah aktivitas baca/tulis yang dapat didukung oleh setiap tabel. DynamoDB menggunakan informasi ini untuk mencadangkan sumber daya sistem yang memadai guna memenuhi persyaratan throughput Anda. Aturan ini menghasilkan peringatan ketika throughput mendekati batas maksimum untuk akun pelanggan. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter accountRCUThreshold Persentase (Config Default: 80) accountWCUThreshold dan Persentase (Config Default: 80). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -3-material-beban kerja a-govern-the-cloud | Aturan ini memastikan bahwa batas tinggi dan rendah konkurensi fungsi Lambda ditetapkan. Ini dapat membantu dalam menyusun dasar jumlah permintaan yang dilayani oleh fungsi Anda pada waktu tertentu. | |
| bagian4 -3-beban kerja standar a-govern-the-cloud | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (AmazonEC2) dengan AWS Systems Manager. Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| bagian4 -3-beban kerja standar a-govern-the-cloud | Aktifkan aturan ini untuk membantu konfigurasi dasar instans Amazon Elastic Compute Cloud (AmazonEC2) dengan memeriksa apakah EC2 instans Amazon telah dihentikan selama lebih dari jumlah hari yang diizinkan, sesuai dengan standar organisasi Anda. | |
| bagian4 -3-beban kerja standar a-govern-the-cloud | Aturan ini memastikan bahwa volume Amazon Elastic Block Store yang dilampirkan ke instans Amazon Elastic Compute Cloud (AmazonEC2) ditandai untuk dihapus saat instance dihentikan. Jika EBS volume Amazon tidak dihapus ketika instance yang dilampirkan dihentikan, itu mungkin melanggar konsep fungsionalitas terkecil. | |
| bagian4 -3-beban kerja standar a-govern-the-cloud | Aturan ini memastikan Elastic yang IPs dialokasikan ke Amazon Virtual Private Cloud (AmazonVPC) dilampirkan ke instans Amazon Elastic Compute Cloud (AmazonEC2) atau Antarmuka Jaringan Elastis yang sedang digunakan. Aturan ini membantu memantau yang tidak digunakan EIPs di lingkungan Anda. | |
| bagian4 -3-beban kerja standar a-govern-the-cloud | Aturan ini memastikan bahwa daftar kontrol akses jaringan Amazon Virtual Private Cloud (VPC) sedang digunakan. Pemantauan untuk daftar kontrol akses jaringan yang tidak digunakan dapat membantu inventaris dan pengelolaan lingkungan Anda yang akurat. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. EC2sumber daya tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan instance DMS replikasi tidak dapat diakses publik. DMScontoh replikasi dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan EBS snapshot tidak dapat dipulihkan secara publik. EBSsnapshot volume dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (AmazonEC2) tidak dapat diakses publik. EC2Instans Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | EC2profil instance meneruskan IAM peran ke sebuah EC2 instance. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena pelanggan telah secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan belum ikut serta dalam hak istimewa yang ditinggikan. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster Amazon. EMR Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada di dalam ranah Kerberos. Dalam dunia, server Kerberos dikenal sebagai pusat distribusi kunci ()KDC. Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDCOtentikasi dengan mengeluarkan tiket untuk otentikasi. Mereka KDC memelihara database kepala sekolah dalam wilayahnya, kata sandi mereka, dan informasi administratif lainnya tentang masing-masing kepala sekolah. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan node master EMR cluster Amazon tidak dapat diakses publik. Node master EMR cluster Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua AWS kunci Layanan Manajemen Kunci. Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: kms: Dekripsi,). kms: ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa IAM grup memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua AWS kunci Layanan Manajemen Kunci. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: kms: Dekripsi,). kms: ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi organisasiIAM. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk Anda IAMKebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Pastikan IAM Tindakan dibatasi hanya pada tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan pengguna. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) hanya dilampirkan pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa IAM kata sandi dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena hal ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai sebenarnya harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Grup Keamanan Amazon Elastic Compute Cloud (AmazonEC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Menerapkan instans Amazon Elastic Compute Cloud (AmazonEC2) dalam Amazon Virtual Private Cloud (AmazonVPC) untuk mengaktifkan komunikasi aman antara instans dan layanan lain di dalam amazonVPC, tanpa memerlukan gateway internet, NAT perangkat, atau koneksi. VPN Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam Amazon VPC memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan EC2 instans Amazon ke Amazon VPC untuk mengelola akses dengan benar. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (AmazonVPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari Amazon VPC yang berpotensi menyebabkan akses tidak sah ke sumber daya Amazon. VPC | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (VPCAmazon) untuk komunikasi yang aman antara fungsi dan layanan lain di Amazon. VPC Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, NAT perangkat, atau VPN koneksi. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam Amazon VPC memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke file. VPC | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) yang memiliki kata sandi konsol. MFAmenambahkan lapisan perlindungan ekstra di atas kredensi masuk. Dengan MFA mewajibkan pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Pastikan tabel EC2 rute Amazon tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja di Amazon VPCs dapat mengurangi akses yang tidak diinginkan di lingkungan Anda. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (RDSAmazon) tidak bersifat publik. Instans RDS database Amazon dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | VPCPerutean yang ditingkatkan memaksa semua COPY dan UNLOAD lalu lintas antara cluster dan repositori data untuk melewati Amazon Anda. VPC Anda kemudian dapat menggunakan VPC fitur seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan VPC flow log untuk memantau lalu lintas jaringan. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (AmazonEC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur blockedPort 1 - blockedPort 5 parameter (Config Defaults: 20,21,3389.3306.4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. Ini MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke SSM dokumen Anda. SSMDokumen publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Grup keamanan Amazon Elastic Compute Cloud (AmazonEC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada Grup Keamanan Amazon Elastic Compute Cloud (AmazonEC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Untuk membantu menerapkan prinsip hak istimewa paling sedikit, definisi tugas Amazon Elastic Container Service (AmazonECS) seharusnya tidak mengaktifkan hak istimewa yang ditinggikan. Ketika parameter ini benar, wadah diberikan hak istimewa yang ditinggikan pada instance wadah host (mirip dengan pengguna root). | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| bagian4 -the-cloud-1-standard-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| bagian4 -the-cloud-2-beban kerja standar b-design-and-secure | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| bagian4 -the-cloud-2-beban kerja standar b-design-and-secure | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (AmazonEC2) dengan AWS Systems Manager. Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| bagian4 -the-cloud-2-beban kerja standar b-design-and-secure | Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda. | |
| bagian4 -the-cloud-2-beban kerja standar b-design-and-secure | Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (AmazonEC2). Aturan memeriksa apakah EC2 instans Amazon menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda. | |
| bagian4 -the-cloud-2-beban kerja standar b-design-and-secure | Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-3-material-beban kerja b-design-and-secure | Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan. | |
| bagian4 -the-cloud-3-material-beban kerja b-design-and-secure | Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELBs) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance. | |
| bagian4 -the-cloud-3-material-beban kerja b-design-and-secure | Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| bagian4 -the-cloud-3-material-beban kerja b-design-and-secure | Pastikan instans Amazon Relational Database Service (RDSAmazon) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah RDS instans Amazon Anda terhapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| bagian4 -the-cloud-3-material-beban kerja b-design-and-secure | Dukungan multi-AZ di Amazon Relational Database Service (RDSAmazon) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| bagian4 -the-cloud-3-material-beban kerja b-design-and-secure | Dukungan multi-AZ di Amazon Relational Database Service (RDSAmazon) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| bagian4 -the-cloud-3-material-beban kerja b-design-and-secure | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication CRR () mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRRmemungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga. | |
| bagian4 -the-cloud-3-standard-beban kerja b-design-and-secure | Pemeriksaan kesehatan Elastic Load Balancer (ELB) untuk grup Auto EC2 Scaling Amazon Elastic Compute Cloud (Amazon) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. Penyeimbang beban secara berkala mengirimkan ping, mencoba koneksi, atau mengirim permintaan untuk menguji kesehatan EC2 instans Amazon dalam grup auto-scaling. Jika sebuah instans tidak melaporkan kembali, lalu lintas dikirim ke EC2 instans Amazon baru. | |
| bagian4 -the-cloud-3-standard-beban kerja b-design-and-secure | Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan. | |
| bagian4 -the-cloud-3-standard-beban kerja b-design-and-secure | Aktifkan aturan ini untuk membantu meningkatkan pemantauan instans Amazon Elastic Compute Cloud (AmazonEC2) di EC2 konsol Amazon, yang menampilkan grafik pemantauan dengan periode 1 menit untuk instans. | |
| bagian4 -the-cloud-3-standard-beban kerja b-design-and-secure | Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELBs) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance. | |
| bagian4 -the-cloud-3-standard-beban kerja b-design-and-secure | Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| bagian4 -the-cloud-3-standard-beban kerja b-design-and-secure | Aktifkan Amazon Relational Database Service (RDSAmazon) untuk membantu memantau ketersediaan RDS Amazon. Ini memberikan visibilitas terperinci ke dalam kesehatan instans RDS database Amazon Anda. Saat RDS penyimpanan Amazon menggunakan lebih dari satu perangkat fisik yang mendasarinya, Enhanced Monitoring mengumpulkan data untuk setiap perangkat. Selain itu, saat instans RDS database Amazon berjalan dalam penerapan Multi-AZ, data untuk setiap perangkat di host sekunder dikumpulkan, dan metrik host sekunder. | |
| bagian4 -the-cloud-3-standard-beban kerja b-design-and-secure | Dukungan multi-AZ di Amazon Relational Database Service (RDSAmazon) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| bagian4 -the-cloud-3-standard-beban kerja b-design-and-secure | Dukungan multi-AZ di Amazon Relational Database Service (RDSAmazon) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| bagian4 -the-cloud-3-standard-beban kerja b-design-and-secure | AWS Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk memungkinkan respons yang lebih cepat terhadap perubahan kesehatan infrastruktur yang mendasarinya. Perubahan ini dapat mengakibatkan kurangnya ketersediaan aplikasi. Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk menyediakan deskriptor status untuk mengukur tingkat keparahan masalah yang diidentifikasi dan mengidentifikasi kemungkinan penyebab untuk diselidiki. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. A WAF membantu melindungi aplikasi web Anda atau APIs terhadap eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | AWS WAFmemungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (webACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. EC2sumber daya tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan instance DMS replikasi tidak dapat diakses publik. DMScontoh replikasi dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (AmazonEC2) tidak dapat diakses publik. EC2Instans Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan node master EMR cluster Amazon tidak dapat diakses publik. Node master EMR cluster Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Grup Keamanan Amazon Elastic Compute Cloud (AmazonEC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Menerapkan instans Amazon Elastic Compute Cloud (AmazonEC2) dalam Amazon Virtual Private Cloud (AmazonVPC) untuk mengaktifkan komunikasi aman antara instans dan layanan lain di dalam amazonVPC, tanpa memerlukan gateway internet, NAT perangkat, atau koneksi. VPN Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam Amazon VPC memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan EC2 instans Amazon ke Amazon VPC untuk mengelola akses dengan benar. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (AmazonVPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari Amazon VPC yang berpotensi menyebabkan akses tidak sah ke sumber daya Amazon. VPC | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (VPCAmazon) untuk komunikasi yang aman antara fungsi dan layanan lain di Amazon. VPC Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, NAT perangkat, atau VPN koneksi. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam Amazon VPC memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke file. VPC | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Pastikan tabel EC2 rute Amazon tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja di Amazon VPCs dapat mengurangi akses yang tidak diinginkan di lingkungan Anda. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (AmazonVPC). Domain OpenSearch Layanan Amazon dalam Amazon VPC memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain di Amazon VPC tanpa memerlukan gateway internet, NAT perangkat, atau VPN koneksi. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (RDSAmazon) tidak bersifat publik. Instans RDS database Amazon dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (AmazonEC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur blockedPort 1 - blockedPort 5 parameter (Config Defaults: 20,21,3389.3306.4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke SSM dokumen Anda. SSMDokumen publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Grup keamanan Amazon Elastic Compute Cloud (AmazonEC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada Grup Keamanan Amazon Elastic Compute Cloud (AmazonEC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Site-to-SiteVPNTerowongan redundan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu Site-to-Site VPN koneksi menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur Site-to-Site VPN koneksi kedua ke Amazon Virtual Private Cloud (AmazonVPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| bagian4 -the-cloud-4-material-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. A WAF membantu melindungi aplikasi web Anda atau APIs terhadap eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | AWS WAFmemungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (webACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. EC2sumber daya tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (AmazonEC2) tidak dapat diakses publik. EC2Instans Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | EC2profil instance meneruskan IAM peran ke sebuah EC2 instance. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena pelanggan telah secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan belum ikut serta dalam hak istimewa yang ditinggikan. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster Amazon. EMR Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada di dalam ranah Kerberos. Dalam dunia, server Kerberos dikenal sebagai pusat distribusi kunci ()KDC. Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDCOtentikasi dengan mengeluarkan tiket untuk otentikasi. Mereka KDC memelihara database kepala sekolah dalam wilayahnya, kata sandi mereka, dan informasi administratif lainnya tentang masing-masing kepala sekolah. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan node master EMR cluster Amazon tidak dapat diakses publik. Node master EMR cluster Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua AWS kunci Layanan Manajemen Kunci. Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: kms: Dekripsi,). kms: ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa IAM grup memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua AWS kunci Layanan Manajemen Kunci. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: kms: Dekripsi,). kms: ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi organisasiIAM. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk Anda IAMKebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Pastikan IAM Tindakan dibatasi hanya pada tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan pengguna. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) hanya dilampirkan pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa IAM kata sandi dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena hal ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai sebenarnya harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Grup Keamanan Amazon Elastic Compute Cloud (AmazonEC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Menerapkan instans Amazon Elastic Compute Cloud (AmazonEC2) dalam Amazon Virtual Private Cloud (AmazonVPC) untuk mengaktifkan komunikasi aman antara instans dan layanan lain di dalam amazonVPC, tanpa memerlukan gateway internet, NAT perangkat, atau koneksi. VPN Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam Amazon VPC memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan EC2 instans Amazon ke Amazon VPC untuk mengelola akses dengan benar. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (AmazonVPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari Amazon VPC yang berpotensi menyebabkan akses tidak sah ke sumber daya Amazon. VPC | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (VPCAmazon) untuk komunikasi yang aman antara fungsi dan layanan lain di Amazon. VPC Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, NAT perangkat, atau VPN koneksi. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam Amazon VPC memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke file. VPC | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) yang memiliki kata sandi konsol. MFAmenambahkan lapisan perlindungan ekstra di atas kredensi masuk. Dengan MFA mewajibkan pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Pastikan tabel EC2 rute Amazon tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja di Amazon VPCs dapat mengurangi akses yang tidak diinginkan di lingkungan Anda. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (AmazonVPC). Domain OpenSearch Layanan Amazon dalam Amazon VPC memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain di Amazon VPC tanpa memerlukan gateway internet, NAT perangkat, atau VPN koneksi. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (RDSAmazon) tidak bersifat publik. Instans RDS database Amazon dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (AmazonEC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur blockedPort 1 - blockedPort 5 parameter (Config Defaults: 20,21,3389.3306.4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. Ini MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Grup keamanan Amazon Elastic Compute Cloud (AmazonEC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada Grup Keamanan Amazon Elastic Compute Cloud (AmazonEC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Site-to-SiteVPNTerowongan redundan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu Site-to-Site VPN koneksi menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur Site-to-Site VPN koneksi kedua ke Amazon Virtual Private Cloud (AmazonVPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| bagian4 -the-cloud-4-beban kerja standar b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| bagian4 -the-cloud-5-material-beban kerja b-design-and-secure | Aktifkan rotasi kunci untuk memastikan bahwa kunci diputar setelah mencapai akhir periode crypto mereka. | |
| bagian4 -the-cloud-5-material-beban kerja b-design-and-secure | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| bagian4 -the-cloud-5-material-beban kerja b-design-and-secure | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan pengguna. | |
| bagian4 -the-cloud-5-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) yang memiliki kata sandi konsol. MFAmenambahkan lapisan perlindungan ekstra di atas kredensi masuk. Dengan MFA mewajibkan pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| bagian4 -the-cloud-5-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. Ini MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -the-cloud-5-beban kerja standar b-design-and-secure | Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh. AWS ACM Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai sebenarnya harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-5-beban kerja standar b-design-and-secure | Aktifkan rotasi kunci untuk memastikan bahwa kunci diputar setelah mencapai akhir periode crypto mereka. | |
| bagian4 -the-cloud-5-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua AWS kunci Layanan Manajemen Kunci. Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: kms: Dekripsi,). kms: ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| bagian4 -the-cloud-5-beban kerja standar b-design-and-secure | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua AWS kunci Layanan Manajemen Kunci. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: kms: Dekripsi,). kms: ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-5-beban kerja standar b-design-and-secure | Pastikan IAM Tindakan dibatasi hanya pada tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -the-cloud-5-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan kunci master pelanggan yang diperlukan (CMKs) tidak dijadwalkan untuk dihapus di Layanan Manajemen AWS Kunci ()AWS KMS. Karena penghapusan kunci diperlukan pada waktu tertentu, aturan ini dapat membantu dalam memeriksa semua kunci yang dijadwalkan untuk dihapus, jika kunci dijadwalkan secara tidak sengaja. | |
| bagian4 -cloud-6-material-beban kerja b-design-and-secure | Aktifkan rotasi kunci untuk memastikan bahwa kunci diputar setelah mencapai akhir periode crypto mereka. | |
| bagian4 -cloud-6-material-beban kerja b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua AWS kunci Layanan Manajemen Kunci. Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: kms: Dekripsi,). kms: ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| bagian4 -cloud-6-material-beban kerja b-design-and-secure | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua AWS kunci Layanan Manajemen Kunci. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: kms: Dekripsi,). kms: ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -cloud-6-material-beban kerja b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -cloud-6-material-beban kerja b-design-and-secure | Pastikan IAM Tindakan dibatasi hanya pada tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -cloud-6-material-beban kerja b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan kunci master pelanggan yang diperlukan (CMKs) tidak dijadwalkan untuk dihapus di Layanan Manajemen AWS Kunci ()AWS KMS. Karena penghapusan kunci diperlukan pada waktu tertentu, aturan ini dapat membantu dalam memeriksa semua kunci yang dijadwalkan untuk dihapus, jika kunci dijadwalkan secara tidak sengaja. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi untuk menjatuhkan header http. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan yang tidak terenkripsi ke. HTTP HTTPS Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk API metode ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Pastikan enkripsi diaktifkan untuk tabel Amazon DynamoDB Anda. Karena data sensitif dapat ada saat diam di tabel ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Secara default, tabel DynamoDB dienkripsi dengan kunci master pelanggan AWS yang dimiliki (). CMK | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (AmazonEBS) Anda. Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon (OpenSearch Layanan) Anda. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. Node-to-nodeenkripsi memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (AmazonVPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat publik dan SSL TLS privat/sertifikat dengan AWS layanan dan sumber daya internal. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Karena data sensitif dapat ada dan untuk membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat publik dan SSL TLS privat/sertifikat dengan AWS layanan dan sumber daya internal. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Pastikan Elastic Load Balancers (ELBs) Anda dikonfigurasi dengan SSL atau HTTPS pendengar. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (AmazonEBS) Anda. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon Anda. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (RDSAmazon) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (RDSAmazon) Anda. Karena data sensitif dapat ada saat diam di RDS instans Amazon, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default:TRUE), dan ( loggingEnabled Config Default:). TRUE Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Pastikan klaster Amazon Redshift Anda TLS SSL memerlukan/enkripsi untuk terhubung ke klien. SQL Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (). SSL Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker titik akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker buku catatan Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan bahwa topik Amazon Simple Notification Service (AmazonSNS) Anda memerlukan enkripsi menggunakan AWS Key Management Service (AWS KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Pastikan REST API tahapan Amazon API Gateway dikonfigurasi dengan SSL sertifikat untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari Gateway. API | |
| bagian4 -cloud-6-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk klaster Amazon Redshift Anda. Karena data sensitif dapat ada saat diam di cluster Redshift, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-8-material-beban kerja b-design-and-secure | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| bagian4 -cloud-8-material-beban kerja b-design-and-secure | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan pengguna. | |
| bagian4 -cloud-8-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) yang memiliki kata sandi konsol. MFAmenambahkan lapisan perlindungan ekstra di atas kredensi masuk. Dengan MFA mewajibkan pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| bagian4 -cloud-8-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. Ini MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -cloud-8-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | Kredensi diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci IAM akses diputar seperti yang ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai sebenarnya harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster Amazon. EMR Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada di dalam ranah Kerberos. Dalam dunia, server Kerberos dikenal sebagai pusat distribusi kunci ()KDC. Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDCOtentikasi dengan mengeluarkan tiket untuk otentikasi. Mereka KDC memelihara database kepala sekolah dalam wilayahnya, kata sandi mereka, dan informasi administratif lainnya tentang masing-masing kepala sekolah. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua AWS kunci Layanan Manajemen Kunci. Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: kms: Dekripsi,). kms: ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa IAM grup memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua AWS kunci Layanan Manajemen Kunci. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: kms: Dekripsi,). kms: ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi organisasiIAM. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk Anda IAMKebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | Pastikan IAM Tindakan dibatasi hanya pada tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan pengguna. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) hanya dilampirkan pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa IAM kata sandi dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena hal ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai sebenarnya harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) yang memiliki kata sandi konsol. MFAmenambahkan lapisan perlindungan ekstra di atas kredensi masuk. Dengan MFA mewajibkan pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. Ini MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -cloud-8-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -cloud-9-beban kerja material b-design-and-secure | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| bagian4 -cloud-9-beban kerja material b-design-and-secure | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| bagian4 -cloud-9-beban kerja material b-design-and-secure | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| bagian4 -cloud-9-beban kerja material b-design-and-secure | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan pengguna. | |
| bagian4 -cloud-9-beban kerja material b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) yang memiliki kata sandi konsol. MFAmenambahkan lapisan perlindungan ekstra di atas kredensi masuk. Dengan MFA mewajibkan pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| bagian4 -cloud-9-beban kerja material b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. Ini MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -cloud-9-beban kerja material b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -the-cloud-9-beban kerja standar b-design-and-secure | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan dan panggilan Konsol AWS Manajemen. API Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| bagian4 -the-cloud-9-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa IAM grup memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| bagian4 -the-cloud-9-beban kerja standar b-design-and-secure | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| bagian4 -the-cloud-9-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -the-cloud-9-beban kerja standar b-design-and-secure | Pastikan IAM Tindakan dibatasi hanya pada tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -the-cloud-9-beban kerja standar b-design-and-secure | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| bagian4 -the-cloud-9-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| bagian4 -the-cloud-9-beban kerja standar b-design-and-secure | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan pengguna. | |
| bagian4 -the-cloud-9-beban kerja standar b-design-and-secure | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) hanya dilampirkan pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| bagian4 -the-cloud-9-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa IAM kata sandi dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena hal ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai sebenarnya harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-9-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) yang memiliki kata sandi konsol. MFAmenambahkan lapisan perlindungan ekstra di atas kredensi masuk. Dengan MFA mewajibkan pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| bagian4 -the-cloud-9-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. Ini MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -the-cloud-9-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -the-cloud-9-beban kerja standar b-design-and-secure | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. EC2sumber daya tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan instance DMS replikasi tidak dapat diakses publik. DMScontoh replikasi dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (AmazonEC2) dengan AWS Systems Manager. Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (AmazonEC2) tidak dapat diakses publik. EC2Instans Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan node master EMR cluster Amazon tidak dapat diakses publik. Node master EMR cluster Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi organisasiIAM. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk Anda IAMKebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan pengguna. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Grup Keamanan Amazon Elastic Compute Cloud (AmazonEC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (AmazonVPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari Amazon VPC yang berpotensi menyebabkan akses tidak sah ke sumber daya Amazon. VPC | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) yang memiliki kata sandi konsol. MFAmenambahkan lapisan perlindungan ekstra di atas kredensi masuk. Dengan MFA mewajibkan pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Pastikan tabel EC2 rute Amazon tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja di Amazon VPCs dapat mengurangi akses yang tidak diinginkan di lingkungan Anda. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (AmazonVPC). Domain OpenSearch Layanan Amazon dalam Amazon VPC memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain di Amazon VPC tanpa memerlukan gateway internet, NAT perangkat, atau VPN koneksi. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (RDSAmazon) tidak bersifat publik. Instans RDS database Amazon dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | VPCPerutean yang ditingkatkan memaksa semua COPY dan UNLOAD lalu lintas antara cluster dan repositori data untuk melewati Amazon Anda. VPC Anda kemudian dapat menggunakan VPC fitur seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan VPC flow log untuk memantau lalu lintas jaringan. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (AmazonEC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur blockedPort 1 - blockedPort 5 parameter (Config Defaults: 20,21,3389.3306.4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. Ini MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke SSM dokumen Anda. SSMDokumen publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Grup keamanan Amazon Elastic Compute Cloud (AmazonEC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada Grup Keamanan Amazon Elastic Compute Cloud (AmazonEC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Site-to-SiteVPNTerowongan redundan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu Site-to-Site VPN koneksi menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur Site-to-Site VPN koneksi kedua ke Amazon Virtual Private Cloud (AmazonVPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| bagian4 -cloud-10-material-beban kerja b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kredensi diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci IAM akses diputar seperti yang ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai sebenarnya harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. EC2sumber daya tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan node master EMR cluster Amazon tidak dapat diakses publik. Node master EMR cluster Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan pengguna. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) hanya dilampirkan pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa IAM kata sandi dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena hal ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai sebenarnya harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Grup Keamanan Amazon Elastic Compute Cloud (AmazonEC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Menerapkan instans Amazon Elastic Compute Cloud (AmazonEC2) dalam Amazon Virtual Private Cloud (AmazonVPC) untuk mengaktifkan komunikasi aman antara instans dan layanan lain di dalam amazonVPC, tanpa memerlukan gateway internet, NAT perangkat, atau koneksi. VPN Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam Amazon VPC memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan EC2 instans Amazon ke Amazon VPC untuk mengelola akses dengan benar. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (AmazonVPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari Amazon VPC yang berpotensi menyebabkan akses tidak sah ke sumber daya Amazon. VPC | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (VPCAmazon) untuk komunikasi yang aman antara fungsi dan layanan lain di Amazon. VPC Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, NAT perangkat, atau VPN koneksi. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam Amazon VPC memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke file. VPC | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) yang memiliki kata sandi konsol. MFAmenambahkan lapisan perlindungan ekstra di atas kredensi masuk. Dengan MFA mewajibkan pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Pastikan tabel EC2 rute Amazon tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja di Amazon VPCs dapat mengurangi akses yang tidak diinginkan di lingkungan Anda. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (AmazonVPC). Domain OpenSearch Layanan Amazon dalam Amazon VPC memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain di Amazon VPC tanpa memerlukan gateway internet, NAT perangkat, atau VPN koneksi. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (RDSAmazon) tidak bersifat publik. Instans RDS database Amazon dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (AmazonEC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur blockedPort 1 - blockedPort 5 parameter (Config Defaults: 20,21,3389.3306.4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. Ini MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan MFA mewajibkan pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke SSM dokumen Anda. SSMDokumen publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Grup keamanan Amazon Elastic Compute Cloud (AmazonEC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada Grup Keamanan Amazon Elastic Compute Cloud (AmazonEC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| bagian4 -the-cloud-10-beban kerja standar b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | APIGateway logging menampilkan tampilan rinci dari pengguna yang mengakses API dan cara mereka mengaksesAPI. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan rincian aktivitas API panggilan dalam Anda Akun AWS. | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan ELB pencatatan diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim keELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa IAM kata sandi dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena hal ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai sebenarnya harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (RDSAmazon) diaktifkan. Dengan RDS pencatatan Amazon, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default:TRUE), dan ( loggingEnabled Config Default:). TRUE Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | Log VPC alur menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang masuk ke dan dari antarmuka jaringan di Amazon Virtual Private Cloud (AmazonVPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| bagian4 -cloud-11-beban kerja material b-design-and-secure | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan AWS WAF (V2) logging di web regional dan globalACLs. AWS WAFlogging memberikan informasi rinci tentang lalu lintas yang dianalisis oleh web AndaACL. Log mencatat waktu yang AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk API metode ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Pastikan kredensi otentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak ada dalam lingkungan proyek AWS Codebuild. Jangan simpan variabel-variabel ini dalam teks yang jelas. Menyimpan variabel-variabel ini dalam teks yang jelas menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Pastikan repositori sumber Bitbucket GitHub atau URL tidak berisi token akses pribadi, kredenal masuk dalam lingkungan proyek Codebuild. AWS Gunakan OAuth alih-alih token akses pribadi atau kredensi masuk untuk memberikan otorisasi untuk mengakses GitHub atau repositori Bitbucket. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Pastikan enkripsi diaktifkan untuk tabel Amazon DynamoDB Anda. Karena data sensitif dapat ada saat diam di tabel ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Secara default, tabel DynamoDB dienkripsi dengan kunci master pelanggan AWS yang dimiliki (). CMK | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (AmazonEBS) Anda. Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon (OpenSearch Layanan) Anda. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (AmazonEBS) Anda. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) hanya dilampirkan pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon Anda. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (RDSAmazon) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (RDSAmazon) Anda. Karena data sensitif dapat ada saat diam di RDS instans Amazon, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default:TRUE), dan ( loggingEnabled Config Default:). TRUE Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker titik akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker buku catatan Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -the-cloud-12-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan bahwa topik Amazon Simple Notification Service (AmazonSNS) Anda memerlukan enkripsi menggunakan AWS Key Management Service (AWS KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -cloud-14-beban kerja material b-design-and-secure | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| bagian4 -cloud-14-beban kerja material b-design-and-secure | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| bagian4 -cloud-14-beban kerja material b-design-and-secure | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| bagian4 -cloud-14-beban kerja material b-design-and-secure | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan rincian aktivitas API panggilan dalam Anda Akun AWS. | |
| bagian4 -cloud-14-beban kerja material b-design-and-secure | Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya. | |
| bagian4 -cloud-14-beban kerja material b-design-and-secure | Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda. | |
| bagian4 -cloud-14-beban kerja material b-design-and-secure | Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| bagian4 -cloud-14-beban kerja material b-design-and-secure | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| bagian4 -cloud-14-beban kerja material b-design-and-secure | Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (RDSAmazon) Anda merupakan AWS bagian dari paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| bagian4 -cloud-14-beban kerja material b-design-and-secure | Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu. | |
| bagian4 -cloud-14-beban kerja material b-design-and-secure | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | APIGateway logging menampilkan tampilan rinci dari pengguna yang mengakses API dan cara mereka mengaksesAPI. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan rincian aktivitas API panggilan dalam Anda Akun AWS. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Memanfaatkan validasi file AWS CloudTrail log untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA -256 untuk hashing dan SHA -256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus atau memalsukan CloudTrail file log tanpa deteksi. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan ELB pencatatan diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim keELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) hanya dilampirkan pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | AWS CloudTrail merekam tindakan dan API panggilan AWS Management Console. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI _ REGION _ CLOUD _ TRAIL _ ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi API aktivitas untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (RDSAmazon) diaktifkan. Dengan RDS pencatatan Amazon, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default:TRUE), dan ( loggingEnabled Config Default:). TRUE Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda telah mengaktifkan kunci, secara default. Karena data sensitif dapat ada saat diam di bucket S3, terapkan kunci objek saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh salah satu AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau Amazon Virtual Private Cloud (Amazon) yang Anda berikan. VPC IDs | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Log VPC alur menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang masuk ke dan dari antarmuka jaringan di Amazon Virtual Private Cloud (AmazonVPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| bagian4 -the-cloud-14-beban kerja standar b-design-and-secure | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan AWS WAF (V2) logging di web regional dan globalACLs. AWS WAFlogging memberikan informasi rinci tentang lalu lintas yang dianalisis oleh web AndaACL. Log mencatat waktu yang AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| bagian4 -cloud-15-beban kerja material b-design-and-secure | Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda. | |
| bagian4 -cloud-15-beban kerja material b-design-and-secure | Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| bagian4 -cloud-15-beban kerja material b-design-and-secure | Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (RDSAmazon) Anda merupakan AWS bagian dari paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| bagian4 -cloud-15-beban kerja material b-design-and-secure | Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Aktifkan rotasi kunci untuk memastikan bahwa kunci diputar setelah mencapai akhir periode crypto mereka. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan instance DMS replikasi tidak dapat diakses publik. DMScontoh replikasi dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan EBS snapshot tidak dapat dipulihkan secara publik. EBSsnapshot volume dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (AmazonEBS) Anda. Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (AmazonEBS) Anda. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan kunci master pelanggan yang diperlukan (CMKs) tidak dijadwalkan untuk dihapus di Layanan Manajemen AWS Kunci ()AWS KMS. Karena penghapusan kunci diperlukan pada waktu tertentu, aturan ini dapat membantu dalam memeriksa semua kunci yang dijadwalkan untuk dihapus, jika kunci dijadwalkan secara tidak sengaja. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (AmazonVPC). Domain OpenSearch Layanan Amazon dalam Amazon VPC memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain di Amazon VPC tanpa memerlukan gateway internet, NAT perangkat, atau VPN koneksi. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (RDSAmazon) tidak bersifat publik. Instans RDS database Amazon dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (RDSAmazon) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda telah mengaktifkan kunci, secara default. Karena data sensitif dapat ada saat diam di bucket S3, terapkan kunci objek saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh salah satu AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau Amazon Virtual Private Cloud (Amazon) yang Anda berikan. VPC IDs | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi. | |
| bagian4 -the-cloud-15-beban kerja standar b-design-and-secure | Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| bagian4 -1-beban kerja standar c-run-the-cloud | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan dan panggilan Konsol AWS Manajemen. API Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| bagian4 -2-material-beban kerja c-run-the-cloud | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (AmazonEC2) dengan AWS Systems Manager. Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| bagian4 -2-material-beban kerja c-run-the-cloud | Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda. | |
| bagian4 -2-beban kerja standar c-run-the-cloud | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| bagian4 -2-beban kerja standar c-run-the-cloud | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| bagian4 -2-beban kerja standar c-run-the-cloud | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa IAM grup memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| bagian4 -2-beban kerja standar c-run-the-cloud | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| bagian4 -2-beban kerja standar c-run-the-cloud | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -2-beban kerja standar c-run-the-cloud | Pastikan IAM Tindakan dibatasi hanya pada tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| bagian4 -2-beban kerja standar c-run-the-cloud | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| bagian4 -2-beban kerja standar c-run-the-cloud | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| bagian4 -2-beban kerja standar c-run-the-cloud | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) hanya dilampirkan pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| bagian4 -2-beban kerja standar c-run-the-cloud | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| bagian4 -3-beban kerja standar c-run-the-cloud | APIGateway logging menampilkan tampilan rinci dari pengguna yang mengakses API dan cara mereka mengaksesAPI. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan rincian aktivitas API panggilan dalam Anda Akun AWS. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan dan panggilan Konsol AWS Manajemen. API Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | Memanfaatkan validasi file AWS CloudTrail log untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA -256 untuk hashing dan SHA -256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus atau memalsukan CloudTrail file log tanpa deteksi. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan ELB pencatatan diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim keELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | AWS CloudTrail merekam tindakan dan API panggilan AWS Management Console. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI _ REGION _ CLOUD _ TRAIL _ ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi API aktivitas untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (RDSAmazon) diaktifkan. Dengan RDS pencatatan Amazon, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default:TRUE), dan ( loggingEnabled Config Default:). TRUE Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| bagian4 -3-beban kerja standar c-run-the-cloud | Log VPC alur menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang masuk ke dan dari antarmuka jaringan di Amazon Virtual Private Cloud (AmazonVPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| bagian4 -3-beban kerja standar c-run-the-cloud | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan AWS WAF (V2) logging di web regional dan globalACLs. AWS WAFlogging memberikan informasi rinci tentang lalu lintas yang dianalisis oleh web AndaACL. Log mencatat waktu yang AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| bagian4 -4-beban kerja standar c-run-the-cloud | response-plan-exists-maintained (pemeriksaan proses) | Memastikan rencana respons insiden dibuat, dipelihara, dan didistribusikan kepada personel yang bertanggung jawab. |
| bagian4 -4-material-beban kerja c-run-the-cloud | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. A WAF membantu melindungi aplikasi web Anda atau APIs terhadap eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. | |
| bagian4 -4-material-beban kerja c-run-the-cloud | AWS WAFmemungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (webACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya | |
| bagian4 -4-material-beban kerja c-run-the-cloud | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| bagian4 -4-material-beban kerja c-run-the-cloud | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| bagian4 -5-beban kerja standar c-run-the-cloud | Pemeriksaan kesehatan Elastic Load Balancer (ELB) untuk grup Auto EC2 Scaling Amazon Elastic Compute Cloud (Amazon) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. Penyeimbang beban secara berkala mengirimkan ping, mencoba koneksi, atau mengirim permintaan untuk menguji kesehatan EC2 instans Amazon dalam grup auto-scaling. Jika sebuah instans tidak melaporkan kembali, lalu lintas dikirim ke EC2 instans Amazon baru. | |
| bagian4 -5-beban kerja standar c-run-the-cloud | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan rincian aktivitas API panggilan dalam Anda Akun AWS. | |
| bagian4 -5-beban kerja standar c-run-the-cloud | Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan. | |
| bagian4 -5-beban kerja standar c-run-the-cloud | Aktifkan aturan ini untuk memastikan bahwa kapasitas throughput yang disediakan diperiksa di tabel Amazon DynamoDB Anda. Ini adalah jumlah aktivitas baca/tulis yang dapat didukung oleh setiap tabel. DynamoDB menggunakan informasi ini untuk mencadangkan sumber daya sistem yang memadai guna memenuhi persyaratan throughput Anda. Aturan ini menghasilkan peringatan ketika throughput mendekati batas maksimum untuk akun pelanggan. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter accountRCUThreshold Persentase (Config Default: 80) accountWCUThreshold dan Persentase (Config Default: 80). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -5-beban kerja standar c-run-the-cloud | Aktifkan aturan ini untuk membantu meningkatkan pemantauan instans Amazon Elastic Compute Cloud (AmazonEC2) di EC2 konsol Amazon, yang menampilkan grafik pemantauan dengan periode 1 menit untuk instans. | |
| bagian4 -5-beban kerja standar c-run-the-cloud | Aturan ini memastikan bahwa batas tinggi dan rendah konkurensi fungsi Lambda ditetapkan. Ini dapat membantu dalam mendasarkan jumlah permintaan yang dilayani oleh fungsi Anda pada waktu tertentu. | |
| bagian4 -5-beban kerja standar c-run-the-cloud | Aktifkan Amazon Relational Database Service (RDSAmazon) untuk membantu memantau ketersediaan RDS Amazon. Ini memberikan visibilitas terperinci ke dalam kesehatan instans RDS database Amazon Anda. Saat RDS penyimpanan Amazon menggunakan lebih dari satu perangkat fisik yang mendasarinya, Enhanced Monitoring mengumpulkan data untuk setiap perangkat. Selain itu, saat instans RDS database Amazon berjalan dalam penerapan Multi-AZ, data untuk setiap perangkat di host sekunder dikumpulkan, dan metrik host sekunder. | |
| bagian4 -5-beban kerja standar c-run-the-cloud | AWS Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk memungkinkan respons yang lebih cepat terhadap perubahan kesehatan infrastruktur yang mendasarinya. Perubahan ini dapat mengakibatkan kurangnya ketersediaan aplikasi. Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk menyediakan deskriptor status untuk mengukur tingkat keparahan masalah yang diidentifikasi dan mengidentifikasi kemungkinan penyebab untuk diselidiki. | |
| bagian4 -6-beban kerja material c-run-the-cloud | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (AmazonEC2) dengan AWS Systems Manager. Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| bagian4 -6-beban kerja material c-run-the-cloud | Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda. | |
| bagian4 -6-beban kerja material c-run-the-cloud | Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (AmazonEC2). Aturan memeriksa apakah EC2 instans Amazon menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda. | |
| bagian4 -6-beban kerja material c-run-the-cloud | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| bagian4 -6-beban kerja material c-run-the-cloud | Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda. | |
| bagian4 -6-beban kerja standar c-run-the-cloud | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (AmazonEC2) dengan AWS Systems Manager. Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| bagian4 -6-beban kerja standar c-run-the-cloud | Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (AmazonEC2). Aturan memeriksa apakah EC2 instans Amazon menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda. | |
| bagian4 -6-beban kerja standar c-run-the-cloud | Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| bagian4 -6-beban kerja standar c-run-the-cloud | Mengaktifkan pembaruan platform terkelola untuk lingkungan Amazon Elastic Beanstalk memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah praktik terbaik dalam mengamankan sistem. |
Templat
Template tersedia di GitHub: Praktik Terbaik Operasional untuk Beban Kerja Material ABS CCIG 2.0
