Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik Terbaik Operasional untuk BNM RMiT
Paket kesesuaian menyediakan kerangka kerja kepatuhan tujuan umum yang dirancang untuk memungkinkan Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya menggunakan aturan dan tindakan remediasi terkelola atau khusus. AWS Config AWS Config Paket Kesesuaian, sebagai contoh templat, tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan Layanan oleh Anda memenuhi persyaratan hukum dan peraturan yang berlaku.
Berikut ini memberikan contoh pemetaan antara Bank Negara Malaysia (BNM) Manajemen Risiko dalam Teknologi (RMiT) dan aturan Config yang AWS dikelola. Setiap aturan Config berlaku untuk AWS sumber daya tertentu, dan berhubungan dengan satu atau beberapa kontrol. BNM RMiT BNMRMiTKontrol dapat dikaitkan dengan beberapa aturan Config. Lihat tabel di bawah ini untuk detail lebih lanjut dan panduan terkait pemetaan ini.
| ID Kontrol | Deskripsi Kontrol | AWS Aturan Config | Bimbingan |
|---|---|---|---|
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan yang tidak terenkripsi ke. HTTP HTTPS Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk API metode ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Pastikan REST API tahapan Amazon API Gateway dikonfigurasi dengan SSL sertifikat untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari Gateway. API | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Pastikan enkripsi diaktifkan untuk titik pemulihan AWS Backup Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Aktifkan rotasi kunci untuk memastikan bahwa kunci diputar setelah mencapai akhir periode crypto mereka. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Pastikan enkripsi diaktifkan untuk tabel Amazon DynamoDB Anda. Karena data sensitif dapat ada saat diam di tabel ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Secara default, tabel DynamoDB dienkripsi dengan kunci master pelanggan AWS yang dimiliki (). CMK | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (AmazonEBS) Anda. Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat publik dan SSL TLS privat/sertifikat dengan AWS layanan dan sumber daya internal. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (AmazonEBS) Anda. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Untuk membantu melindungi data saat istirahat, pastikan kunci master pelanggan yang diperlukan (CMKs) tidak dijadwalkan untuk dihapus di Layanan Manajemen AWS Kunci ()AWS KMS. Karena penghapusan kunci diperlukan pada waktu tertentu, aturan ini dapat membantu dalam memeriksa semua kunci yang dijadwalkan untuk dihapus, jika kunci dijadwalkan secara tidak sengaja. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon Anda. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Karena data sensitif dapat ada dan untuk membantu melindungi data dalam perjalanan, pastikan HTTPS diaktifkan untuk koneksi ke domain OpenSearch Layanan Amazon Anda. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. Node-to-nodeenkripsi memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (AmazonVPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (RDSAmazon) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (RDSAmazon) Anda. Karena data sensitif dapat ada saat diam di RDS instans Amazon, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default:TRUE), dan ( loggingEnabled Config Default:). TRUE Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk klaster Amazon Redshift Anda. Karena data sensitif dapat ada saat diam di cluster Redshift, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Pastikan klaster Amazon Redshift Anda TLS SSL memerlukan/enkripsi untuk terhubung ke klien. SQL Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (). SSL Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker titik akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker buku catatan Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk AWS rahasia Secrets Manager. Karena data sensitif dapat ada saat diam di rahasia Secrets Manager, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.18 | Lembaga keuangan harus melakukan uji tuntas dan mengevaluasi kontrol kriptografi yang terkait dengan teknologi yang digunakan untuk melindungi kerahasiaan, integritas, otentikasi, otorisasi, dan non-penolakan informasi. Apabila lembaga keuangan tidak menghasilkan kunci enkripsi sendiri, lembaga keuangan harus melakukan tindakan yang tepat untuk memastikan kontrol dan proses yang kuat tersedia untuk mengelola kunci enkripsi. Apabila hal ini melibatkan ketergantungan pada penilaian pihak ketiga, lembaga keuangan harus mempertimbangkan apakah ketergantungan tersebut konsisten dengan selera risiko dan toleransi lembaga keuangan. Lembaga keuangan juga harus memperhatikan sumber daya sistem yang diperlukan untuk mendukung kontrol kriptografi dan risiko pengurangan visibilitas lalu lintas jaringan data yang telah dienkripsi. | Untuk membantu melindungi data saat istirahat, pastikan bahwa topik Amazon Simple Notification Service (AmazonSNS) Anda memerlukan enkripsi menggunakan AWS Key Management Service (AWS KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.20 | Lembaga keuangan harus menyimpan kunci kriptografi publik dalam sertifikat yang dikeluarkan oleh otoritas sertifikat yang sesuai dengan tingkat risiko. Sertifikat yang terkait dengan pelanggan harus dikeluarkan oleh otoritas sertifikat yang diakui. Lembaga keuangan harus memastikan bahwa implementasi protokol otentikasi dan tanda tangan menggunakan sertifikat tersebut tunduk pada perlindungan yang kuat untuk memastikan bahwa penggunaan kunci kriptografi pribadi yang sesuai dengan sertifikat pengguna mengikat secara hukum dan tidak dapat disangkal. Penerbitan awal dan perpanjangan sertifikat tersebut harus konsisten dengan praktik terbaik industri dan spesifikasi hukum/peraturan yang berlaku. | Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh. AWS ACM Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.20 | Lembaga keuangan harus menyimpan kunci kriptografi publik dalam sertifikat yang dikeluarkan oleh otoritas sertifikat yang sesuai dengan tingkat risiko. Sertifikat yang terkait dengan pelanggan harus dikeluarkan oleh otoritas sertifikat yang diakui. Lembaga keuangan harus memastikan bahwa implementasi protokol otentikasi dan tanda tangan menggunakan sertifikat tersebut tunduk pada perlindungan yang kuat untuk memastikan bahwa penggunaan kunci kriptografi pribadi yang sesuai dengan sertifikat pengguna mengikat secara hukum dan tidak dapat disangkal. Penerbitan awal dan perpanjangan sertifikat tersebut harus konsisten dengan praktik terbaik industri dan spesifikasi hukum/peraturan yang berlaku. | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat publik dan SSL TLS privat/sertifikat dengan AWS layanan dan sumber daya internal. | |
| 10.27 | Lembaga keuangan harus menetapkan mekanisme pemantauan waktu nyata untuk melacak pemanfaatan kapasitas dan kinerja proses dan layanan utama. Mekanisme pemantauan ini harus mampu memberikan peringatan yang tepat waktu dan dapat ditindaklanjuti kepada administrator. | Pemeriksaan kesehatan Elastic Load Balancer (ELB) untuk grup Auto EC2 Scaling Amazon Elastic Compute Cloud (Amazon) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. Penyeimbang beban secara berkala mengirimkan ping, mencoba koneksi, atau mengirim permintaan untuk menguji kesehatan EC2 instans Amazon dalam grup auto-scaling. Jika sebuah instans tidak melaporkan kembali, lalu lintas dikirim ke EC2 instans Amazon baru. | |
| 10.27 | Lembaga keuangan harus menetapkan mekanisme pemantauan waktu nyata untuk melacak pemanfaatan kapasitas dan kinerja proses dan layanan utama. Mekanisme pemantauan ini harus mampu memberikan peringatan yang tepat waktu dan dapat ditindaklanjuti kepada administrator. | AWS Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk memungkinkan respons yang lebih cepat terhadap perubahan kesehatan infrastruktur yang mendasarinya. Perubahan ini dapat mengakibatkan kurangnya ketersediaan aplikasi. Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk menyediakan deskriptor status untuk mengukur tingkat keparahan masalah yang diidentifikasi dan mengidentifikasi kemungkinan penyebab untuk diselidiki. | |
| 10.27 | Lembaga keuangan harus menetapkan mekanisme pemantauan waktu nyata untuk melacak pemanfaatan kapasitas dan kinerja proses dan layanan utama. Mekanisme pemantauan ini harus mampu memberikan peringatan yang tepat waktu dan dapat ditindaklanjuti kepada administrator. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| 10.27 | Lembaga keuangan harus menetapkan mekanisme pemantauan waktu nyata untuk melacak pemanfaatan kapasitas dan kinerja proses dan layanan utama. Mekanisme pemantauan ini harus mampu memberikan peringatan yang tepat waktu dan dapat ditindaklanjuti kepada administrator. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan rincian aktivitas API panggilan di dalam Anda Akun AWS. | |
| 10.27 | Lembaga keuangan harus menetapkan mekanisme pemantauan waktu nyata untuk melacak pemanfaatan kapasitas dan kinerja proses dan layanan utama. Mekanisme pemantauan ini harus mampu memberikan peringatan yang tepat waktu dan dapat ditindaklanjuti kepada administrator. | Aktifkan aturan ini untuk memastikan bahwa kapasitas throughput yang disediakan diperiksa di tabel Amazon DynamoDB Anda. Ini adalah jumlah aktivitas baca/tulis yang dapat didukung oleh setiap tabel. DynamoDB menggunakan informasi ini untuk mencadangkan sumber daya sistem yang memadai guna memenuhi persyaratan throughput Anda. Aturan ini menghasilkan peringatan ketika throughput mendekati batas maksimum untuk akun pelanggan. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter accountRCUThreshold Persentase (Config Default: 80) accountWCUThreshold dan Persentase (Config Default: 80). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.27 | Lembaga keuangan harus menetapkan mekanisme pemantauan waktu nyata untuk melacak pemanfaatan kapasitas dan kinerja proses dan layanan utama. Mekanisme pemantauan ini harus mampu memberikan peringatan yang tepat waktu dan dapat ditindaklanjuti kepada administrator. | Aktifkan aturan ini untuk membantu meningkatkan pemantauan instans Amazon Elastic Compute Cloud (AmazonEC2) di EC2 konsol Amazon, yang menampilkan grafik pemantauan dengan periode 1 menit untuk instans. | |
| 10.27 | Lembaga keuangan harus menetapkan mekanisme pemantauan waktu nyata untuk melacak pemanfaatan kapasitas dan kinerja proses dan layanan utama. Mekanisme pemantauan ini harus mampu memberikan peringatan yang tepat waktu dan dapat ditindaklanjuti kepada administrator. | Aturan ini memastikan bahwa batas tinggi dan rendah konkurensi fungsi Lambda ditetapkan. Ini dapat membantu dalam mendasarkan jumlah permintaan yang dilayani oleh fungsi Anda pada waktu tertentu. | |
| 10.27 | Lembaga keuangan harus menetapkan mekanisme pemantauan waktu nyata untuk melacak pemanfaatan kapasitas dan kinerja proses dan layanan utama. Mekanisme pemantauan ini harus mampu memberikan peringatan yang tepat waktu dan dapat ditindaklanjuti kepada administrator. | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. OpenSearch Log kesalahan layanan dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| 10.27 | Lembaga keuangan harus menetapkan mekanisme pemantauan waktu nyata untuk melacak pemanfaatan kapasitas dan kinerja proses dan layanan utama. Mekanisme pemantauan ini harus mampu memberikan peringatan yang tepat waktu dan dapat ditindaklanjuti kepada administrator. | Aktifkan Amazon Relational Database Service (RDSAmazon) untuk membantu memantau ketersediaan RDS Amazon. Ini memberikan visibilitas terperinci ke dalam kesehatan instans RDS database Amazon Anda. Saat RDS penyimpanan Amazon menggunakan lebih dari satu perangkat fisik yang mendasarinya, Enhanced Monitoring mengumpulkan data untuk setiap perangkat. Selain itu, saat instans RDS database Amazon berjalan dalam penerapan Multi-AZ, data untuk setiap perangkat di host sekunder dikumpulkan, dan metrik host sekunder. | |
| 10.34 | Lembaga keuangan harus memastikan layanan jaringan untuk sistem kritisnya dapat diandalkan dan tidak SPOF memiliki untuk melindungi sistem kritis terhadap potensi kesalahan jaringan dan ancaman cyber. | Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| 10.34 | Lembaga keuangan harus memastikan layanan jaringan untuk sistem kritisnya dapat diandalkan dan tidak SPOF memiliki untuk melindungi sistem kritis terhadap potensi kesalahan jaringan dan ancaman cyber. | Site-to-SiteVPNTerowongan redundan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu Site-to-Site VPN koneksi menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur Site-to-Site VPN koneksi kedua ke Amazon Virtual Private Cloud (AmazonVPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua. | |
| 10.35 | Lembaga keuangan harus menetapkan proses pemantauan bandwidth jaringan real-time dan metrik ketahanan layanan jaringan yang sesuai untuk menandai pemanfaatan bandwidth dan gangguan sistem yang berlebihan karena kemacetan bandwidth dan kesalahan jaringan. Ini termasuk analisis lalu lintas untuk mendeteksi tren dan anomali. | AWS X-Ray mengumpulkan data tentang permintaan yang disajikan aplikasi Anda, dan menyediakan alat yang dapat Anda gunakan untuk melihat, memfilter, dan mendapatkan wawasan tentang data tersebut guna mengidentifikasi masalah dan peluang pengoptimalan. Pastikan X-Ray memungkinkan sehingga Anda dapat melihat informasi terperinci tidak hanya tentang permintaan dan tanggapan, tetapi juga tentang panggilan yang dilakukan aplikasi Anda ke AWS sumber daya hilir, layanan mikro, database, dan web. HTTP APIs | |
| 10.35 | Lembaga keuangan harus menetapkan proses pemantauan bandwidth jaringan real-time dan metrik ketahanan layanan jaringan yang sesuai untuk menandai pemanfaatan bandwidth dan gangguan sistem yang berlebihan karena kemacetan bandwidth dan kesalahan jaringan. Ini termasuk analisis lalu lintas untuk mendeteksi tren dan anomali. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| 10.35 | Lembaga keuangan harus menetapkan proses pemantauan bandwidth jaringan real-time dan metrik ketahanan layanan jaringan yang sesuai untuk menandai pemanfaatan bandwidth dan gangguan sistem yang berlebihan karena kemacetan bandwidth dan kesalahan jaringan. Ini termasuk analisis lalu lintas untuk mendeteksi tren dan anomali. | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan ELB logging diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim keELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| 10.35 | Lembaga keuangan harus menetapkan proses pemantauan bandwidth jaringan real-time dan metrik ketahanan layanan jaringan yang sesuai untuk menandai pemanfaatan bandwidth dan gangguan sistem yang berlebihan karena kemacetan bandwidth dan kesalahan jaringan. Ini termasuk analisis lalu lintas untuk mendeteksi tren dan anomali. | Log VPC alur menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang masuk ke dan dari antarmuka jaringan di Amazon Virtual Private Cloud (AmazonVPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| 10.36 | Lembaga keuangan harus memastikan layanan jaringan yang mendukung sistem kritis dirancang dan diimplementasikan untuk memastikan kerahasiaan, integritas, dan ketersediaan data. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan yang tidak terenkripsi ke. HTTP HTTPS Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 10.36 | Lembaga keuangan harus memastikan layanan jaringan yang mendukung sistem kritis dirancang dan diimplementasikan untuk memastikan kerahasiaan, integritas, dan ketersediaan data. | Pastikan REST API tahapan Amazon API Gateway dikonfigurasi dengan SSL sertifikat untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari Gateway. API | |
| 10.36 | Lembaga keuangan harus memastikan layanan jaringan yang mendukung sistem kritis dirancang dan diimplementasikan untuk memastikan kerahasiaan, integritas, dan ketersediaan data. | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat publik dan SSL TLS privat/sertifikat dengan AWS layanan dan sumber daya internal. | |
| 10.36 | Lembaga keuangan harus memastikan layanan jaringan yang mendukung sistem kritis dirancang dan diimplementasikan untuk memastikan kerahasiaan, integritas, dan ketersediaan data. | Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| 10.36 | Lembaga keuangan harus memastikan layanan jaringan yang mendukung sistem kritis dirancang dan diimplementasikan untuk memastikan kerahasiaan, integritas, dan ketersediaan data. | Aktifkan penyeimbangan beban lintas zona untuk Network Load Balancers (NLBs) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance. | |
| 10.38 | Lembaga keuangan harus memastikan log perangkat jaringan yang memadai dan relevan disimpan untuk penyelidikan dan tujuan forensik setidaknya selama tiga tahun. | Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kredensi diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci IAM akses diputar seperti yang ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan yang tidak terenkripsi ke. HTTP HTTPS Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk API metode ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Pastikan REST API tahapan Amazon API Gateway dikonfigurasi dengan SSL sertifikat untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari Gateway. API | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. EC2sumber daya tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Pastikan enkripsi diaktifkan untuk titik pemulihan AWS Backup Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Aktifkan rotasi kunci untuk memastikan bahwa kunci diputar setelah mencapai akhir periode crypto mereka. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke AWS Cloud dengan memastikan instance DMS replikasi tidak dapat diakses publik. DMScontoh replikasi dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Pastikan enkripsi diaktifkan untuk tabel Amazon DynamoDB Anda. Karena data sensitif dapat ada saat diam di tabel ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Secara default, tabel DynamoDB dienkripsi dengan kunci master pelanggan AWS yang dimiliki (). CMK | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke AWS Cloud dengan memastikan EBS snapshot tidak dapat dipulihkan secara publik. EBSsnapshot volume dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (AmazonEBS) Anda. Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (AmazonEC2) tidak dapat diakses publik. EC2Instans Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat publik dan SSL TLS privat/sertifikat dengan AWS layanan dan sumber daya internal. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster Amazon. EMR Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Dalam dunia, server Kerberos dikenal sebagai pusat distribusi kunci ()KDC. Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDCOtentikasi dengan mengeluarkan tiket untuk otentikasi. Mereka KDC memelihara database kepala sekolah dalam wilayahnya, kata sandi mereka, dan informasi administratif lainnya tentang masing-masing kepala sekolah. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke AWS Cloud dengan memastikan node master EMR cluster Amazon tidak dapat diakses secara publik. Node master EMR cluster Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (AmazonEBS) Anda. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua AWS kunci Layanan Manajemen Kunci. Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: kms: Dekripsi,). kms: ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi organisasiIAM. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk Anda IAMKebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan IAM pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua IAM pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan IAM pengguna. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) hanya dilampirkan pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa IAM kata sandi dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena hal ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (AmazonVPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari Amazon VPC yang berpotensi menyebabkan akses tidak sah ke sumber daya Amazon. VPC | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Untuk membantu melindungi data saat istirahat, pastikan kunci master pelanggan yang diperlukan (CMKs) tidak dijadwalkan untuk dihapus di Layanan Manajemen AWS Kunci ()AWS KMS. Karena penghapusan kunci diperlukan pada waktu tertentu, aturan ini dapat membantu dalam memeriksa semua kunci yang dijadwalkan untuk dihapus, jika kunci dijadwalkan secara tidak sengaja. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (VPCAmazon) untuk komunikasi yang aman antara fungsi dan layanan lain di Amazon. VPC Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, NAT perangkat, atau VPN koneksi. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam Amazon VPC memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke file. VPC | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Pastikan tabel EC2 rute Amazon tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja di Amazon VPCs dapat mengurangi akses yang tidak diinginkan di lingkungan Anda. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon Anda. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Karena data sensitif dapat ada dan untuk membantu melindungi data dalam perjalanan, pastikan HTTPS diaktifkan untuk koneksi ke domain OpenSearch Layanan Amazon Anda. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (AmazonVPC). Domain OpenSearch Layanan Amazon dalam Amazon VPC memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain di Amazon VPC tanpa memerlukan gateway internet, NAT perangkat, atau VPN koneksi. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. Node-to-nodeenkripsi memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (AmazonVPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (RDSAmazon) tidak bersifat publik. Instans RDS database Amazon dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (RDSAmazon) tidak bersifat publik. Instans RDS database Amazon dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (RDSAmazon) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (RDSAmazon) Anda. Karena data sensitif dapat ada saat diam di RDS instans Amazon, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default:TRUE), dan ( loggingEnabled Config Default:). TRUE Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk klaster Amazon Redshift Anda. Karena data sensitif dapat ada saat diam di cluster Redshift, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | VPCPerutean yang ditingkatkan memaksa semua COPY dan UNLOAD lalu lintas antara cluster dan repositori data untuk melewati Amazon Anda. VPC Anda kemudian dapat menggunakan VPC fitur seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan log VPC aliran untuk memantau lalu lintas jaringan. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Pastikan klaster Amazon Redshift Anda TLS SSL memerlukan/enkripsi untuk terhubung ke klien. SQL Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mengharuskan MFA pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mengharuskan MFA pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (). SSL Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker titik akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker buku catatan Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Untuk membantu melindungi data saat istirahat, pastikan bahwa topik Amazon Simple Notification Service (AmazonSNS) Anda memerlukan enkripsi menggunakan AWS Key Management Service (AWS KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke SSM dokumen Anda. SSMDokumen publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| 10.51 | Lembaga keuangan harus menerapkan perlindungan yang tepat terhadap informasi pelanggan dan pihak lawan serta data kepemilikan saat menggunakan layanan cloud untuk melindungi dari pengungkapan dan akses yang tidak sah. Ini harus mencakup mempertahankan kepemilikan, kontrol dan pengelolaan semua data yang berkaitan dengan informasi pelanggan dan rekanan, data kepemilikan dan layanan yang dihosting di cloud, termasuk manajemen kunci kriptografi yang relevan. | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus mengatasi kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | Kredensi diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci IAM akses diputar seperti yang ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus mengatasi kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif. | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus mengatasi kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | EC2profil instance meneruskan IAM peran ke sebuah EC2 instance. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit. | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus mengatasi kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster Amazon. EMR Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Dalam dunia, server Kerberos dikenal sebagai pusat distribusi kunci ()KDC. Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDCOtentikasi dengan mengeluarkan tiket untuk otentikasi. Mereka KDC memelihara database kepala sekolah dalam wilayahnya, kata sandi mereka, dan informasi administratif lainnya tentang masing-masing kepala sekolah. | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus mengatasi kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua AWS kunci Layanan Manajemen Kunci. Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: kms: Dekripsi,). kms: ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus mengatasi kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus mengatasi kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi organisasiIAM. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk Anda IAMKebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus mengatasi kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus mengatasi kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus mengatasi kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan IAM pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus mengatasi kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua IAM pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan IAM pengguna. | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus mengatasi kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) hanya dilampirkan pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus menangani kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa IAM kata sandi dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena hal ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus mengatasi kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mengharuskan MFA pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| 10.52 | Lembaga keuangan harus menerapkan kebijakan kontrol akses yang sesuai untuk identifikasi, otentikasi, dan otorisasi pengguna (pengguna internal dan eksternal seperti penyedia layanan pihak ketiga). Ini harus mengatasi kontrol akses teknologi logis dan fisik yang sepadan dengan tingkat risiko akses tidak sah ke sistem teknologinya. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mengharuskan MFA pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| 10.53 (b) (h) (i) | Dalam mengamati paragraf 10.52, lembaga keuangan harus mempertimbangkan prinsip-prinsip berikut dalam kebijakan kontrol aksesnya: (b) menggunakan hak akses “hak istimewa terkecil” atau atas dasar 'need-to-have' di mana hanya izin minimum yang cukup diberikan kepada pengguna yang sah untuk menjalankan peran mereka; (h) membatasi dan mengontrol pembagian ID pengguna dan kata sandi di beberapa pengguna; dan (i) mengontrol penggunaan konvensi penamaan ID pengguna generik demi identitas yang lebih pribadi bisa dipertanggungjawabkan. IDs | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| 10.53 (b) | Dalam mengamati paragraf 10.52, lembaga keuangan harus mempertimbangkan prinsip-prinsip berikut dalam kebijakan kontrol aksesnya: (b) menggunakan hak akses “hak istimewa terkecil” atau atas dasar 'need-to-have' di mana hanya izin minimum yang cukup diberikan kepada pengguna yang sah untuk menjalankan peran mereka; | EC2profil instance meneruskan IAM peran ke sebuah EC2 instance. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit. | |
| 10.53 (b) | Dalam mengamati paragraf 10.52, lembaga keuangan harus mempertimbangkan prinsip-prinsip berikut dalam kebijakan kontrol aksesnya: (b) menggunakan hak akses “hak istimewa terkecil” atau atas dasar 'need-to-have' di mana hanya izin minimum yang cukup diberikan kepada pengguna yang sah untuk menjalankan peran mereka; | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster Amazon. EMR Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Dalam dunia, server Kerberos dikenal sebagai pusat distribusi kunci ()KDC. Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDCOtentikasi dengan mengeluarkan tiket untuk otentikasi. Mereka KDC memelihara database kepala sekolah dalam wilayahnya, kata sandi mereka, dan informasi administratif lainnya tentang masing-masing kepala sekolah. | |
| 10.53 (b) | Dalam mengamati paragraf 10.52, lembaga keuangan harus mempertimbangkan prinsip-prinsip berikut dalam kebijakan kontrol aksesnya: (b) menggunakan hak akses “hak istimewa terkecil” atau atas dasar 'need-to-have' di mana hanya izin minimum yang cukup diberikan kepada pengguna yang sah untuk menjalankan peran mereka; | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua AWS kunci Layanan Manajemen Kunci. Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: kms: Dekripsi,). kms: ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| 10.53 (b) | Dalam mengamati paragraf 10.52, lembaga keuangan harus mempertimbangkan prinsip-prinsip berikut dalam kebijakan kontrol aksesnya: (b) menggunakan hak akses “hak istimewa terkecil” atau atas dasar 'need-to-have' di mana hanya izin minimum yang cukup diberikan kepada pengguna yang sah untuk menjalankan peran mereka; | Pastikan pengguna, IAM peran, atau IAM grup AWS Identity and Access Management (IAM) tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| 10.53 (b) | Dalam mengamati paragraf 10.52, lembaga keuangan harus mempertimbangkan prinsip-prinsip berikut dalam kebijakan kontrol aksesnya: (b) menggunakan hak akses “hak istimewa terkecil” atau atas dasar 'need-to-have' di mana hanya izin minimum yang cukup diberikan kepada pengguna yang sah untuk menjalankan peran mereka; | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| 10.53 (b) | Dalam mengamati paragraf 10.52, lembaga keuangan harus mempertimbangkan prinsip-prinsip berikut dalam kebijakan kontrol aksesnya: (b) menggunakan hak akses “hak istimewa terkecil” atau atas dasar 'need-to-have' di mana hanya izin minimum yang cukup diberikan kepada pengguna yang sah untuk menjalankan peran mereka; | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan IAM pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| 10.53 (b) | Dalam mengamati paragraf 10.52, lembaga keuangan harus mempertimbangkan prinsip-prinsip berikut dalam kebijakan kontrol aksesnya: (b) menggunakan hak akses “hak istimewa terkecil” atau atas dasar 'need-to-have' di mana hanya izin minimum yang cukup diberikan kepada pengguna yang sah untuk menjalankan peran mereka; | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) hanya dilampirkan pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| 10.53 (c) (f) | Dalam mengamati paragraf 10.52, lembaga keuangan harus mempertimbangkan prinsip-prinsip berikut dalam kebijakan kontrol aksesnya: (c) menggunakan hak akses terikat waktu yang membatasi akses ke periode tertentu termasuk hak akses yang diberikan kepada penyedia layanan; (f) mengadopsi otentikasi yang lebih kuat untuk kegiatan penting termasuk untuk akses jarak jauh | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi organisasiIAM. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk Anda IAMKebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.53 (f) (h) | Dalam mengamati paragraf 10.52, lembaga keuangan harus mempertimbangkan prinsip-prinsip berikut dalam kebijakan kontrol aksesnya: (f) mengadopsi otentikasi yang lebih kuat untuk kegiatan penting termasuk untuk akses jarak jauh; (h) membatasi dan mengontrol pembagian ID pengguna dan kata sandi di beberapa pengguna | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua IAM pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan IAM pengguna. | |
| 10.53 (f) (h) | Dalam mengamati paragraf 10.54, lembaga keuangan harus mempertimbangkan prinsip-prinsip berikut dalam kebijakan kontrol aksesnya: (f) mengadopsi otentikasi yang lebih kuat untuk kegiatan penting termasuk untuk akses jarak jauh; (h) membatasi dan mengontrol pembagian ID pengguna dan kata sandi di beberapa pengguna | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mengharuskan MFA pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| 10.53 (f) (h) | Dalam mengamati paragraf 10.54, lembaga keuangan harus mempertimbangkan prinsip-prinsip berikut dalam kebijakan kontrol aksesnya: (f) mengadopsi otentikasi yang lebih kuat untuk kegiatan penting termasuk untuk akses jarak jauh; (h) membatasi dan mengontrol pembagian ID pengguna dan kata sandi di beberapa pengguna | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mengharuskan MFA pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| 10.54 | Lembaga keuangan harus menggunakan proses otentikasi yang kuat untuk memastikan keaslian identitas yang digunakan. Mekanisme otentikasi harus sepadan dengan kekritisan fungsi dan mengadopsi setidaknya satu atau lebih dari tiga faktor otentikasi dasar ini, yaitu, sesuatu yang diketahui pengguna (misalnya kata sandi,PIN), sesuatu yang dimiliki pengguna (misalnya kartu pintar, perangkat keamanan) dan sesuatu yang pengguna (misalnya karakteristik biometrik, seperti sidik jari atau pola retina). | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua IAM pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan IAM pengguna. | |
| 10.54 | Lembaga keuangan harus menggunakan proses otentikasi yang kuat untuk memastikan keaslian identitas yang digunakan. Mekanisme otentikasi harus sepadan dengan kekritisan fungsi dan mengadopsi setidaknya satu atau lebih dari tiga faktor otentikasi dasar ini, yaitu, sesuatu yang diketahui pengguna (misalnya kata sandi,PIN), sesuatu yang dimiliki pengguna (misalnya kartu pintar, perangkat keamanan) dan sesuatu yang pengguna (misalnya karakteristik biometrik, seperti sidik jari atau pola retina). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mengharuskan MFA pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| 10.54 | Lembaga keuangan harus menggunakan proses otentikasi yang kuat untuk memastikan keaslian identitas yang digunakan. Mekanisme otentikasi harus sepadan dengan kekritisan fungsi dan mengadopsi setidaknya satu atau lebih dari tiga faktor otentikasi dasar ini, yaitu, sesuatu yang diketahui pengguna (misalnya kata sandi,PIN), sesuatu yang dimiliki pengguna (misalnya kartu pintar, perangkat keamanan) dan sesuatu yang pengguna (misalnya karakteristik biometrik, seperti sidik jari atau pola retina). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mengharuskan MFA pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| 10.55 | Lembaga keuangan harus secara berkala meninjau dan menyesuaikan praktik kata sandinya untuk meningkatkan ketahanan terhadap serangan yang terus berkembang. Ini termasuk pembuatan kata sandi yang efektif dan aman. Harus ada kontrol yang tepat untuk memeriksa kekuatan kata sandi yang dibuat. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi organisasiIAM. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk Anda IAMKebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.56 | Metode otentikasi yang bergantung pada lebih dari satu faktor biasanya lebih sulit dikompromikan daripada sistem faktor tunggal. Mengingat hal ini, lembaga keuangan didorong untuk merancang dan mengimplementasikan dengan benar (terutama dalam sistem berisiko tinggi atau 'sistem masuk tunggal') otentikasi multi-faktor (MFA) yang lebih andal dan memberikan pencegah penipuan yang lebih kuat | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua IAM pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan IAM pengguna. | |
| 10.56 | Metode otentikasi yang bergantung pada lebih dari satu faktor biasanya lebih sulit dikompromikan daripada sistem faktor tunggal. Mengingat hal ini, lembaga keuangan didorong untuk merancang dan mengimplementasikan dengan benar (terutama dalam sistem berisiko tinggi atau 'sistem masuk tunggal') otentikasi multi-faktor (MFA) yang lebih andal dan memberikan pencegah penipuan yang lebih kuat | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mengharuskan MFA pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| 10.56 | Metode otentikasi yang bergantung pada lebih dari satu faktor biasanya lebih sulit dikompromikan daripada sistem faktor tunggal. Mengingat hal ini, lembaga keuangan didorong untuk merancang dan mengimplementasikan dengan benar (terutama dalam sistem berisiko tinggi atau 'sistem masuk tunggal') otentikasi multi-faktor (MFA) yang lebih andal dan memberikan pencegah penipuan yang lebih kuat | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mengharuskan MFA pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Kredensi diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci IAM akses diputar seperti yang ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | APIGateway logging menampilkan tampilan rinci dari pengguna yang mengakses API dan cara mereka mengaksesAPI. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan rincian aktivitas API panggilan di dalam Anda Akun AWS. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | EC2profil instance meneruskan IAM peran ke sebuah EC2 instance. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan ELB logging diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim keELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua AWS kunci Layanan Manajemen Kunci. Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: kms: Dekripsi,). kms: ReEncryptFrom Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi organisasiIAM. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk Anda IAMKebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan IAM pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) hanya dilampirkan pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. OpenSearch Log kesalahan layanan dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (RDSAmazon) diaktifkan. Dengan RDS pencatatan Amazon, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default:TRUE), dan ( loggingEnabled Config Default:). TRUE Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| 10.59 | Lembaga keuangan harus memastikan (a) kontrol akses ke sistem di seluruh perusahaan dikelola dan dipantau secara efektif; dan (b) aktivitas pengguna dalam sistem kritis dicatat untuk audit dan investigasi. Log aktivitas harus dipelihara setidaknya selama tiga tahun dan ditinjau secara teratur tepat waktu. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan AWS WAF (V2) logging di web regional dan globalACLs. AWS WAFlogging memberikan informasi rinci tentang lalu lintas yang dianalisis oleh web AndaACL. Log mencatat waktu yang AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| 10.60 | Dalam memenuhi persyaratan berdasarkan paragraf 10.59, lembaga keuangan besar diharuskan untuk (a) menyebarkan sistem manajemen akses identitas untuk mengelola dan memantau akses pengguna ke sistem perusahaan secara efektif; dan (b) menyebarkan alat audit otomatis untuk menandai anomali apa pun. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan rincian aktivitas API panggilan di dalam Anda Akun AWS. | |
| 10.60 | Dalam memenuhi persyaratan berdasarkan paragraf 10.61, lembaga keuangan besar diharuskan untuk (a) menyebarkan sistem manajemen akses identitas untuk mengelola dan memantau akses pengguna ke sistem perusahaan secara efektif; dan (b) menyebarkan alat audit otomatis untuk menandai anomali apa pun. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| 10.60 | Dalam memenuhi persyaratan berdasarkan paragraf 10.61, lembaga keuangan besar diharuskan untuk (a) menyebarkan sistem manajemen akses identitas untuk mengelola dan memantau akses pengguna ke sistem perusahaan secara efektif; dan (b) menyebarkan alat audit otomatis untuk menandai anomali apa pun. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| 10.61 | Lembaga keuangan harus memastikan bahwa sistem kritis tidak berjalan pada sistem yang sudah ketinggalan zaman dengan kerentanan keamanan yang diketahui atau end-of-life (EOL) sistem teknologi. Dalam hal ini, lembaga keuangan harus secara jelas menetapkan tanggung jawab untuk fungsi yang diidentifikasi: (a) untuk terus memantau dan menerapkan rilis patch terbaru secara tepat waktu; dan (b) mengidentifikasi sistem teknologi kritis yang mendekati EOL tindakan perbaikan lebih lanjut. | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (AmazonEC2) dengan AWS Systems Manager. Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| 10.61 | Lembaga keuangan harus memastikan bahwa sistem kritis tidak berjalan pada sistem yang sudah ketinggalan zaman dengan kerentanan keamanan yang diketahui atau end-of-life (EOL) sistem teknologi. Dalam hal ini, lembaga keuangan harus secara jelas menetapkan tanggung jawab untuk fungsi yang diidentifikasi: (a) untuk terus memantau dan menerapkan rilis patch terbaru secara tepat waktu; dan (b) mengidentifikasi sistem teknologi kritis yang mendekati EOL tindakan perbaikan lebih lanjut. | Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda. | |
| 10.61 | Lembaga keuangan harus memastikan bahwa sistem kritis tidak berjalan pada sistem yang sudah ketinggalan zaman dengan kerentanan keamanan yang diketahui atau end-of-life (EOL) sistem teknologi. Dalam hal ini, lembaga keuangan harus secara jelas menetapkan tanggung jawab untuk fungsi yang diidentifikasi: (a) untuk terus memantau dan menerapkan rilis patch terbaru secara tepat waktu; dan (b) mengidentifikasi sistem teknologi kritis yang mendekati EOL tindakan perbaikan lebih lanjut. | Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (AmazonEC2). Aturan memeriksa apakah EC2 instans Amazon menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda. | |
| 10.61 | Lembaga keuangan harus memastikan bahwa sistem kritis tidak berjalan pada sistem yang sudah ketinggalan zaman dengan kerentanan keamanan yang diketahui atau end-of-life (EOL) sistem teknologi. Dalam hal ini, lembaga keuangan harus secara jelas menetapkan tanggung jawab untuk fungsi yang diidentifikasi: (a) untuk terus memantau dan menerapkan rilis patch terbaru secara tepat waktu; dan (b) mengidentifikasi sistem teknologi kritis yang mendekati EOL tindakan perbaikan lebih lanjut. | Mengaktifkan pembaruan platform terkelola untuk lingkungan Amazon Elastic Beanstalk memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah praktik terbaik dalam mengamankan sistem. | |
| 10.61 | Lembaga keuangan harus memastikan bahwa sistem kritis tidak berjalan pada sistem yang sudah ketinggalan zaman dengan kerentanan keamanan yang diketahui atau end-of-life (EOL) sistem teknologi. Dalam hal ini, lembaga keuangan harus secara jelas menetapkan tanggung jawab untuk fungsi yang diidentifikasi: (a) untuk terus memantau dan menerapkan rilis patch terbaru secara tepat waktu; dan (b) mengidentifikasi sistem teknologi kritis yang mendekati EOL tindakan perbaikan lebih lanjut. | Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan yang tidak terenkripsi ke. HTTP HTTPS Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk API metode ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Pastikan REST API tahapan Amazon API Gateway dikonfigurasi dengan SSL sertifikat untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari Gateway. API | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Pastikan enkripsi diaktifkan untuk titik pemulihan AWS Backup Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Pastikan enkripsi diaktifkan untuk tabel Amazon DynamoDB Anda. Karena data sensitif dapat ada saat diam di tabel ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Secara default, tabel DynamoDB dienkripsi dengan kunci master pelanggan AWS yang dimiliki (). CMK | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (AmazonEBS) Anda. Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat publik dan SSL TLS privat/sertifikat dengan AWS layanan dan sumber daya internal. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (AmazonEBS) Anda. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon Anda. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Karena data sensitif dapat ada dan untuk membantu melindungi data dalam perjalanan, pastikan HTTPS diaktifkan untuk koneksi ke domain OpenSearch Layanan Amazon Anda. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. Node-to-nodeenkripsi memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (AmazonVPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (RDSAmazon) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (RDSAmazon) Anda. Karena data sensitif dapat ada saat diam di RDS instans Amazon, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default:TRUE), dan ( loggingEnabled Config Default:). TRUE Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk klaster Amazon Redshift Anda. Karena data sensitif dapat ada saat diam di cluster Redshift, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Pastikan klaster Amazon Redshift Anda TLS SSL memerlukan/enkripsi untuk terhubung ke klien. SQL Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (). SSL Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker titik akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker buku catatan Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk AWS rahasia Secrets Manager. Karena data sensitif dapat ada saat diam di rahasia Secrets Manager, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.64 (a) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (a) kerahasiaan dan integritas informasi dan transaksi pelanggan dan rekanan | Untuk membantu melindungi data saat istirahat, pastikan bahwa topik Amazon Simple Notification Service (AmazonSNS) Anda memerlukan enkripsi menggunakan AWS Key Management Service (AWS KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 10.64 (b) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (b) keandalan layanan yang disampaikan dari saluran dan perangkat dengan gangguan minimum terhadap layanan | Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan. | |
| 10.64 (b) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (b) keandalan layanan yang disampaikan dari saluran dan perangkat dengan gangguan minimum terhadap layanan | Aktifkan aturan ini untuk membantu konfigurasi dasar instans Amazon Elastic Compute Cloud (AmazonEC2) dengan memeriksa apakah EC2 instans Amazon telah dihentikan selama lebih dari jumlah hari yang diizinkan, sesuai dengan standar organisasi Anda. | |
| 10.64 (b) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (b) keandalan layanan yang disampaikan dari saluran dan perangkat dengan gangguan minimum terhadap layanan | Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| 10.64 (b) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (b) keandalan layanan yang disampaikan dari saluran dan perangkat dengan gangguan minimum terhadap layanan | Aktifkan penyeimbangan beban lintas zona untuk NetworkLoad Balancer (NLBs) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance. | |
| 10.64 (b) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (b) keandalan layanan yang disampaikan dari saluran dan perangkat dengan gangguan minimum terhadap layanan | Pastikan instans Amazon Relational Database Service (RDSAmazon) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah RDS instans Amazon Anda terhapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| 10.64 (b) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (b) keandalan layanan yang disampaikan dari saluran dan perangkat dengan gangguan minimum terhadap layanan | Dukungan multi-AZ di Amazon Relational Database Service (RDSAmazon) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| 10.64 (b) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (b) keandalan layanan yang disampaikan dari saluran dan perangkat dengan gangguan minimum terhadap layanan | Dukungan multi-AZ di Amazon Relational Database Service (RDSAmazon) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| 10.64 (b) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (b) keandalan layanan yang disampaikan dari saluran dan perangkat dengan gangguan minimum terhadap layanan | Site-to-SiteVPNTerowongan redundan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu Site-to-Site VPN koneksi menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur Site-to-Site VPN koneksi kedua ke Amazon Virtual Private Cloud (AmazonVPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | APIGateway logging menampilkan tampilan rinci dari pengguna yang mengakses API dan cara mereka mengaksesAPI. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Pemeriksaan kesehatan Elastic Load Balancer (ELB) untuk grup Auto EC2 Scaling Amazon Elastic Compute Cloud (Amazon) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. Penyeimbang beban secara berkala mengirimkan ping, mencoba koneksi, atau mengirim permintaan untuk menguji kesehatan EC2 instans Amazon dalam grup auto-scaling. Jika sebuah instans tidak melaporkan kembali, lalu lintas dikirim ke EC2 instans Amazon baru. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan rincian aktivitas API panggilan di dalam Anda Akun AWS. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Aktifkan aturan ini untuk memastikan bahwa kapasitas throughput yang disediakan diperiksa di tabel Amazon DynamoDB Anda. Ini adalah jumlah aktivitas baca/tulis yang dapat didukung oleh setiap tabel. DynamoDB menggunakan informasi ini untuk mencadangkan sumber daya sistem yang memadai guna memenuhi persyaratan throughput Anda. Aturan ini menghasilkan peringatan ketika throughput mendekati batas maksimum untuk akun pelanggan. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter accountRCUThreshold Persentase (Config Default: 80) accountWCUThreshold dan Persentase (Config Default: 80). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Aktifkan aturan ini untuk membantu meningkatkan pemantauan instans Amazon Elastic Compute Cloud (AmazonEC2) di EC2 konsol Amazon, yang menampilkan grafik pemantauan dengan periode 1 menit untuk instans. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan ELB logging diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim keELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. OpenSearch Log kesalahan layanan dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Aktifkan Amazon Relational Database Service (RDSAmazon) untuk membantu memantau ketersediaan RDS Amazon. Ini memberikan visibilitas terperinci ke dalam kesehatan instans RDS database Amazon Anda. Saat RDS penyimpanan Amazon menggunakan lebih dari satu perangkat fisik yang mendasarinya, Enhanced Monitoring mengumpulkan data untuk setiap perangkat. Selain itu, saat instans RDS database Amazon berjalan dalam penerapan Multi-AZ, data untuk setiap perangkat di host sekunder dikumpulkan, dan metrik host sekunder. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (RDSAmazon) diaktifkan. Dengan RDS pencatatan Amazon, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default:TRUE), dan ( loggingEnabled Config Default:). TRUE Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Log VPC alur menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang masuk ke dan dari antarmuka jaringan di Amazon Virtual Private Cloud (AmazonVPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| 10.64 (d) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (d) jejak audit yang memadai dan pemantauan transaksi anomali | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan AWS WAF (V2) logging di web regional dan globalACLs. AWS WAFlogging memberikan informasi rinci tentang lalu lintas yang dianalisis oleh web AndaACL. Log mencatat waktu yang AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| 10.64 (e) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (e) kemampuan untuk mengidentifikasi dan kembali ke titik pemulihan sebelum insiden atau gangguan layanan | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Aurora Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| 10.64 (e) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (e) kemampuan untuk mengidentifikasi dan kembali ke titik pemulihan sebelum insiden atau gangguan layanan | Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda. | |
| 10.64 (e) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (e) kemampuan untuk mengidentifikasi dan kembali ke titik pemulihan sebelum insiden atau gangguan layanan | Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir. | |
| 10.64 (e) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (e) kemampuan untuk mengidentifikasi dan kembali ke titik pemulihan sebelum insiden atau gangguan layanan | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| 10.64 (e) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (e) kemampuan untuk mengidentifikasi dan kembali ke titik pemulihan sebelum insiden atau gangguan layanan | Instans yang dioptimalkan di Amazon Elastic Block Store (AmazonEBS) menyediakan tambahan kapasitas khusus untuk operasi Amazon EBS I/O. Pengoptimalan ini memberikan kinerja paling efisien untuk EBS volume Anda dengan meminimalkan pertentangan antara operasi Amazon EBS I/O dan lalu lintas lain dari instans Anda. | |
| 10.64 (e) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (e) kemampuan untuk mengidentifikasi dan kembali ke titik pemulihan sebelum insiden atau gangguan layanan | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Elastic Block Store (AmazonEBS) Anda merupakan bagian dari paket AWS Cadangan. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| 10.64 (e) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (e) kemampuan untuk mengidentifikasi dan kembali ke titik pemulihan sebelum insiden atau gangguan layanan | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Elastic Compute Cloud EC2 (Amazon) Anda merupakan bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| 10.64 (e) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (e) kemampuan untuk mengidentifikasi dan kembali ke titik pemulihan sebelum insiden atau gangguan layanan | Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (AmazonEFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| 10.64 (e) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (e) kemampuan untuk mengidentifikasi dan kembali ke titik pemulihan sebelum insiden atau gangguan layanan | Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru. | |
| 10.64 (e) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (e) kemampuan untuk mengidentifikasi dan kembali ke titik pemulihan sebelum insiden atau gangguan layanan | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Relational Database Service (RDSAmazon) Anda merupakan bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| 10.64 (e) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (e) kemampuan untuk mengidentifikasi dan kembali ke titik pemulihan sebelum insiden atau gangguan layanan | Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu. | |
| 10.64 (e) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (e) kemampuan untuk mengidentifikasi dan kembali ke titik pemulihan sebelum insiden atau gangguan layanan | Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi. | |
| 10.64 (e) | Lembaga keuangan harus menerapkan kontrol keamanan teknologi yang kuat dalam menyediakan layanan digital yang menjamin hal-hal berikut: (e) kemampuan untuk mengidentifikasi dan kembali ke titik pemulihan sebelum insiden atau gangguan layanan | Untuk membantu proses pencadangan data, pastikan bucket Amazon Simple Storage Service (S3) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| 11.7 | Lembaga keuangan harus menggunakan alat yang efektif untuk mendukung pemantauan berkelanjutan dan proaktif serta deteksi tepat waktu aktivitas anomali dalam infrastruktur teknologinya. Ruang lingkup pemantauan harus mencakup semua sistem kritis termasuk infrastruktur pendukung. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| 11.7 | Lembaga keuangan harus menggunakan alat yang efektif untuk mendukung pemantauan berkelanjutan dan proaktif serta deteksi tepat waktu aktivitas anomali dalam infrastruktur teknologinya. Ruang lingkup pemantauan harus mencakup semua sistem kritis termasuk infrastruktur pendukung. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| 11.8 | Lembaga keuangan harus memastikan bahwa operasi keamanan sibernya terus mencegah dan mendeteksi potensi kompromi dari kontrol keamanannya atau melemahnya postur keamanannya. Untuk lembaga keuangan besar, ini harus mencakup melakukan penilaian kerentanan triwulanan komponen jaringan eksternal dan internal yang mendukung semua sistem kritis. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| 11.8 | Lembaga keuangan harus memastikan bahwa operasi keamanan sibernya terus mencegah dan mendeteksi potensi kompromi dari kontrol keamanannya atau melemahnya postur keamanannya. Untuk lembaga keuangan besar, ini harus mencakup melakukan penilaian kerentanan triwulanan komponen jaringan eksternal dan internal yang mendukung semua sistem kritis. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| 11.18 (c) (f) | SOCHarus dapat melakukan fungsi-fungsi berikut: (c) manajemen kerentanan; (f) penyediaan kesadaran situasional untuk mendeteksi musuh dan ancaman termasuk analisis dan operasi intelijen ancaman, dan pemantauan indikator kompromi (). IOC Ini termasuk analisis perilaku tingkat lanjut untuk mendeteksi malware tanpa tanda tangan dan tanpa file dan untuk mengidentifikasi anomali yang dapat menimbulkan ancaman keamanan termasuk pada titik akhir dan lapisan jaringan. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| 11.18 (c) (f) | SOCHarus dapat melakukan fungsi-fungsi berikut: (c) manajemen kerentanan; (f) penyediaan kesadaran situasional untuk mendeteksi musuh dan ancaman termasuk analisis dan operasi intelijen ancaman, dan pemantauan indikator kompromi (). IOC Ini termasuk analisis perilaku tingkat lanjut untuk mendeteksi malware tanpa tanda tangan dan tanpa file dan untuk mengidentifikasi anomali yang dapat menimbulkan ancaman keamanan termasuk pada titik akhir dan lapisan jaringan. | Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda. | |
| 11.18 (c) (f) | SOCHarus dapat melakukan fungsi-fungsi berikut: (c) manajemen kerentanan; (f) penyediaan kesadaran situasional untuk mendeteksi musuh dan ancaman termasuk analisis dan operasi intelijen ancaman, dan pemantauan indikator kompromi (). IOC Ini termasuk analisis perilaku tingkat lanjut untuk mendeteksi malware tanpa tanda tangan dan tanpa file dan untuk mengidentifikasi anomali yang dapat menimbulkan ancaman keamanan termasuk pada titik akhir dan lapisan jaringan. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| Lampiran 5.1 | Melakukan tinjauan berkala pada pengaturan konfigurasi dan aturan untuk semua perangkat keamanan. Gunakan alat otomatis untuk meninjau dan memantau perubahan pengaturan konfigurasi dan aturan. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| Lampiran 5.1 | Melakukan tinjauan berkala pada pengaturan konfigurasi dan aturan untuk semua perangkat keamanan. Gunakan alat otomatis untuk meninjau dan memantau perubahan pengaturan konfigurasi dan aturan. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, Identity and Access Management IAM () Access Analyzer AWS , dan Firewall AWS Manager, dan solusi Partner. AWS | |
| Lampiran 5.5 (b) | Pastikan kontrol keamanan untuk koneksi jaringan server-to-server eksternal meliputi: (b) penggunaan terowongan aman seperti Transport Layer Security (TLS) dan Virtual Private Network (VPN) IPSec | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan yang tidak terenkripsi ke. HTTP HTTPS Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| Lampiran 5.5 (b) | Pastikan kontrol keamanan untuk koneksi jaringan server-to-server eksternal meliputi: (b) penggunaan terowongan aman seperti Transport Layer Security (TLS) dan Virtual Private Network (VPN) IPSec | Pastikan REST API tahapan Amazon API Gateway dikonfigurasi dengan SSL sertifikat untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari Gateway. API | |
| Lampiran 5.5 (b) | Pastikan kontrol keamanan untuk koneksi jaringan server-to-server eksternal meliputi: (b) penggunaan terowongan aman seperti Transport Layer Security (TLS) dan Virtual Private Network (VPN) IPSec | Karena data sensitif dapat ada dan untuk membantu melindungi data dalam perjalanan, pastikan HTTPS diaktifkan untuk koneksi ke domain OpenSearch Layanan Amazon Anda. | |
| Lampiran 5.5 (b) | Pastikan kontrol keamanan untuk koneksi jaringan server-to-server eksternal meliputi: (b) penggunaan terowongan aman seperti Transport Layer Security (TLS) dan Virtual Private Network (VPN) IPSec | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. Node-to-nodeenkripsi memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (AmazonVPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| Lampiran 5.5 (b) | Pastikan kontrol keamanan untuk koneksi jaringan server-to-server eksternal meliputi: (b) penggunaan terowongan aman seperti Transport Layer Security (TLS) dan Virtual Private Network (VPN) IPSec | Pastikan klaster Amazon Redshift Anda TLS SSL memerlukan/enkripsi untuk terhubung ke klien. SQL Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| Lampiran 5.5 (b) | Pastikan kontrol keamanan untuk koneksi jaringan server-to-server eksternal meliputi: (b) penggunaan terowongan aman seperti Transport Layer Security (TLS) dan Virtual Private Network (VPN) IPSec | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (). SSL Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| Lampiran 5.5 (c) | Pastikan kontrol keamanan untuk koneksi jaringan server-to-server eksternal meliputi: (c) menyebarkan server pementasan dengan pertahanan dan perlindungan perimeter yang memadai seperti firewall, IPS dan antivirus. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| Lampiran 5.5 (c) | Pastikan kontrol keamanan untuk koneksi jaringan server-to-server eksternal meliputi: (c) menyebarkan server pementasan dengan pertahanan dan perlindungan perimeter yang memadai seperti firewall, IPS dan antivirus. | Grup keamanan Amazon Elastic Compute Cloud (AmazonEC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| Lampiran 5.5 (c) | Pastikan kontrol keamanan untuk koneksi jaringan server-to-server eksternal meliputi: (c) menyebarkan server pementasan dengan pertahanan dan perlindungan perimeter yang memadai seperti firewall, IPS dan antivirus. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada Grup Keamanan Amazon Elastic Compute Cloud (AmazonEC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| Lampiran 5.6 | Pastikan kontrol keamanan untuk akses jarak jauh ke server mencakup hal-hal berikut: (a) membatasi akses hanya ke perangkat titik akhir yang diperkeras dan dikunci; (b) menggunakan terowongan aman seperti TLS dan VPNIPSec; (c) menyebarkan server 'gateway' dengan pertahanan dan perlindungan perimeter yang memadai seperti firewall, IPS dan antivirus; dan (d) menutup port yang relevan segera setelah berakhirnya akses jarak jauh. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan yang tidak terenkripsi ke. HTTP HTTPS Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| Lampiran 5.6 | Pastikan kontrol keamanan untuk akses jarak jauh ke server mencakup hal-hal berikut: (a) membatasi akses hanya ke perangkat titik akhir yang diperkeras dan dikunci; (b) menggunakan terowongan aman seperti TLS dan VPNIPSec; (c) menyebarkan server 'gateway' dengan pertahanan dan perlindungan perimeter yang memadai seperti firewall, IPS dan antivirus; dan (d) menutup port yang relevan segera setelah berakhirnya akses jarak jauh. | Pastikan REST API tahapan Amazon API Gateway dikonfigurasi dengan SSL sertifikat untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari Gateway. API | |
| Lampiran 5.6 | Pastikan kontrol keamanan untuk akses jarak jauh ke server mencakup hal-hal berikut: (a) membatasi akses hanya ke perangkat titik akhir yang diperkeras dan dikunci; (b) menggunakan terowongan aman seperti TLS dan VPNIPSec; (c) menyebarkan server 'gateway' dengan pertahanan dan perlindungan perimeter yang memadai seperti firewall, IPS dan antivirus; dan (d) menutup port yang relevan segera setelah berakhirnya akses jarak jauh. | Karena data sensitif dapat ada dan untuk membantu melindungi data dalam perjalanan, pastikan HTTPS diaktifkan untuk koneksi ke domain OpenSearch Layanan Amazon Anda. | |
| Lampiran 5.6 | Pastikan kontrol keamanan untuk akses jarak jauh ke server mencakup hal-hal berikut: (a) membatasi akses hanya ke perangkat titik akhir yang diperkeras dan dikunci; (b) menggunakan terowongan aman seperti TLS dan VPNIPSec; (c) menyebarkan server 'gateway' dengan pertahanan dan perlindungan perimeter yang memadai seperti firewall, IPS dan antivirus; dan (d) menutup port yang relevan segera setelah berakhirnya akses jarak jauh. | Pastikan klaster Amazon Redshift Anda TLS SSL memerlukan/enkripsi untuk terhubung ke klien. SQL Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| Lampiran 5.6 | Pastikan kontrol keamanan untuk akses jarak jauh ke server mencakup hal-hal berikut: (a) membatasi akses hanya ke perangkat titik akhir yang diperkeras dan dikunci; (b) menggunakan terowongan aman seperti TLS dan VPNIPSec; (c) menyebarkan server 'gateway' dengan pertahanan dan perlindungan perimeter yang memadai seperti firewall, IPS dan antivirus; dan (d) menutup port yang relevan segera setelah berakhirnya akses jarak jauh. | Grup keamanan Amazon Elastic Compute Cloud (AmazonEC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| Lampiran 5.6 | Pastikan kontrol keamanan untuk akses jarak jauh ke server mencakup hal-hal berikut: (a) membatasi akses hanya ke perangkat titik akhir yang diperkeras dan dikunci; (b) menggunakan terowongan aman seperti TLS dan VPNIPSec; (c) menyebarkan server 'gateway' dengan pertahanan dan perlindungan perimeter yang memadai seperti firewall, IPS dan antivirus; dan (d) menutup port yang relevan segera setelah berakhirnya akses jarak jauh. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada Grup Keamanan Amazon Elastic Compute Cloud (AmazonEC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| Lampiran 10 Bagian B - 1 (a) | Lembaga keuangan harus merancang arsitektur cloud yang kuat dan memastikan desain tersebut sesuai dengan standar internasional yang relevan untuk aplikasi yang dimaksud. | Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif. | |
| Lampiran 10 Bagian B - 1 (b) | Sebuah lembaga keuangan didorong untuk mengadopsi prinsip-prinsip zero-trust untuk menyediakan arsitektur tangguh cyber dengan mengadopsi pola pikir “asumsi pelanggaran”, melapisi defense-in-depth melalui segmentasi mikro, "“, hak akses deny-by-default “paling tidak istimewa”, dan melakukan inspeksi mendalam dan validasi berkelanjutan jika berlaku. | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. A WAF membantu melindungi aplikasi web Anda atau APIs terhadap eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. | |
| Lampiran 10 Bagian B - 1 (b) | Sebuah lembaga keuangan didorong untuk mengadopsi prinsip-prinsip zero-trust untuk menyediakan arsitektur tangguh cyber dengan mengadopsi pola pikir “asumsi pelanggaran”, melapisi defense-in-depth melalui segmentasi mikro, "“, hak akses deny-by-default “paling tidak istimewa”, dan melakukan inspeksi mendalam dan validasi berkelanjutan jika berlaku. | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| Lampiran 10 Bagian B - 1 (b) | Sebuah lembaga keuangan didorong untuk mengadopsi prinsip-prinsip zero-trust untuk menyediakan arsitektur tangguh cyber dengan mengadopsi pola pikir “asumsi pelanggaran”, melapisi defense-in-depth melalui segmentasi mikro, "“, hak akses deny-by-default “paling tidak istimewa”, dan melakukan inspeksi mendalam dan validasi berkelanjutan jika berlaku. | Grup keamanan Amazon Elastic Compute Cloud (AmazonEC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| Lampiran 10 Bagian B - 1 (b) | Sebuah lembaga keuangan didorong untuk mengadopsi prinsip-prinsip zero-trust untuk menyediakan arsitektur tangguh cyber dengan mengadopsi pola pikir “asumsi pelanggaran”, melapisi defense-in-depth melalui segmentasi mikro, "“, hak akses deny-by-default “paling tidak istimewa”, dan melakukan inspeksi mendalam dan validasi berkelanjutan jika berlaku. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada Grup Keamanan Amazon Elastic Compute Cloud (AmazonEC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| Lampiran 10 Bagian B - 1 (c) | Lembaga keuangan harus menggunakan pendekatan arsitektur jaringan terbaru dan konsep dan solusi desain jaringan yang sesuai untuk mengelola dan memantau keamanan jaringan granular dan penyediaan jaringan terpusat dalam mengelola kompleksitas lingkungan jaringan cloud. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| Lampiran 10 Bagian B - 1 (c) | Lembaga keuangan harus menggunakan pendekatan arsitektur jaringan terbaru dan konsep dan solusi desain jaringan yang sesuai untuk mengelola dan memantau keamanan jaringan granular dan penyediaan jaringan terpusat dalam mengelola kompleksitas lingkungan jaringan cloud. | Log VPC alur menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang masuk ke dan dari antarmuka jaringan di Amazon Virtual Private Cloud (AmazonVPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| Lampiran 10 Bagian B - 1 (d) | Lembaga keuangan harus membangun dan memanfaatkan saluran komunikasi yang aman dan terenkripsi untuk memigrasikan server fisik, aplikasi, atau data ke platform cloud. | Kelola akses ke AWS Cloud dengan memastikan instance DMS replikasi tidak dapat diakses publik. DMScontoh replikasi dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| Lampiran 10 Bagian B - 1 (d) | Lembaga keuangan harus membangun dan memanfaatkan saluran komunikasi yang aman dan terenkripsi untuk memigrasikan server fisik, aplikasi, atau data ke platform cloud. | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (). SSL Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| Lampiran 10 Bagian B - 1 (f) i) | Meningkatnya penggunaan antarmuka pemrograman aplikasi (API) oleh lembaga keuangan untuk interkoneksi dengan penyedia layanan aplikasi eksternal dapat mencapai efisiensi dalam pemberian layanan baru. Namun, ini dapat meningkatkan permukaan serangan cyber dan kesalahan manajemen apa pun dapat memperkuat dampak insiden keamanan informasi. Lembaga keuangan harus memastikan bahwa APIs mereka tunduk pada mekanisme manajemen dan kontrol yang ketat yang meliputi hal-hal berikut: i) APIs harus dirancang untuk ketahanan layanan untuk menghindari risiko satu titik kegagalan dan dikonfigurasi secara aman dengan kontrol akses yang tepat; | Pastikan API rute Amazon API Gateway v2 Anda memiliki jenis otorisasi yang disetel untuk mencegah akses tidak sah ke sumber daya backend yang mendasarinya. | |
| Lampiran 10 Bagian B - 1 (f) ii) | Meningkatnya penggunaan antarmuka pemrograman aplikasi (API) oleh lembaga keuangan untuk interkoneksi dengan penyedia layanan aplikasi eksternal dapat mencapai efisiensi dalam pemberian layanan baru. Namun, ini dapat meningkatkan permukaan serangan cyber dan kesalahan manajemen apa pun dapat memperkuat dampak insiden keamanan informasi. Lembaga keuangan harus memastikan bahwa APIs mereka tunduk pada mekanisme manajemen dan kontrol yang ketat yang meliputi hal-hal berikut: ii) APIs harus dilacak dan dipantau terhadap serangan cyber dengan langkah-langkah respons insiden yang memadai dan tidak ditugaskan secara tepat waktu ketika tidak lagi digunakan. | AWS WAFmemungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (webACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya | |
| Lampiran 10 Bagian B - 1 (f) ii) | Meningkatnya penggunaan antarmuka pemrograman aplikasi (API) oleh lembaga keuangan untuk interkoneksi dengan penyedia layanan aplikasi eksternal dapat mencapai efisiensi dalam pemberian layanan baru. Namun, ini dapat meningkatkan permukaan serangan cyber dan kesalahan manajemen apa pun dapat memperkuat dampak insiden keamanan informasi. Lembaga keuangan harus memastikan bahwa APIs mereka tunduk pada mekanisme manajemen dan kontrol yang ketat yang meliputi hal-hal berikut: ii) APIs harus dilacak dan dipantau terhadap serangan cyber dengan langkah-langkah respons insiden yang memadai dan tidak ditugaskan secara tepat waktu ketika tidak lagi digunakan. | APIGateway logging menampilkan tampilan rinci dari pengguna yang mengakses API dan cara mereka mengaksesAPI. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| Lampiran 10 Bagian B - 2 (b) ii) | Lembaga keuangan harus terus memanfaatkan kemampuan cloud yang ditingkatkan untuk meningkatkan keamanan layanan cloud dan lembaga keuangan, antara lain, didorong untuk: ii) menggunakan praktik infrastruktur yang tidak dapat diubah untuk penyebaran layanan untuk mengurangi risiko kegagalan dengan menciptakan lingkungan baru dengan versi stabil terbaru dari perangkat lunak. Pemantauan lingkungan cloud yang sedang berlangsung harus mencakup otomatisasi deteksi perubahan pada infrastruktur yang tidak dapat diubah untuk meningkatkan tinjauan kepatuhan dan memerangi serangan cyber yang berkembang | Untuk mendeteksi perubahan yang tidak diinginkan pada AWS sumber daya yang mendasarinya, pastikan CloudFormation tumpukan Anda dikonfigurasi untuk mengirim pemberitahuan peristiwa ke SNS topik Amazon. | |
| Lampiran 10 Bagian B - 3 (b) vi) | Lembaga keuangan harus memastikan mesin virtual dan gambar kontainer dikonfigurasi, dikeraskan, dan dipantau dengan tepat. Ini termasuk yang berikut: vi) gambar yang disimpan dikenakan pemantauan keamanan dari akses dan perubahan yang tidak sah. | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| Lampiran 10 Bagian B - 5 (a) i) | Sebagai bagian dari kemampuan pemulihan yang efektif, lembaga keuangan harus memastikan prosedur pencadangan dan pemulihan yang ada diperluas untuk mencakup layanan cloud, yang meliputi: i) mendefinisikan dan memformalkan strategi pencadangan dan pemulihan pada tahap perencanaan adopsi cloud; | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Aurora Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| Lampiran 10 Bagian B - 5 (a) i) | Sebagai bagian dari kemampuan pemulihan yang efektif, lembaga keuangan harus memastikan prosedur pencadangan dan pemulihan yang ada diperluas untuk mencakup layanan cloud, yang meliputi: i) mendefinisikan dan memformalkan strategi pencadangan dan pemulihan pada tahap perencanaan adopsi cloud; | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| Lampiran 10 Bagian B - 5 (a) i) | Sebagai bagian dari kemampuan pemulihan yang efektif, lembaga keuangan harus memastikan prosedur pencadangan dan pemulihan yang ada diperluas untuk mencakup layanan cloud, yang meliputi: i) mendefinisikan dan memformalkan strategi pencadangan dan pemulihan pada tahap perencanaan adopsi cloud; | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Elastic Block Store (AmazonEBS) Anda merupakan bagian dari paket AWS Cadangan. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| Lampiran 10 Bagian B - 5 (a) i) | Sebagai bagian dari kemampuan pemulihan yang efektif, lembaga keuangan harus memastikan prosedur pencadangan dan pemulihan yang ada diperluas untuk mencakup layanan cloud, yang meliputi: i) mendefinisikan dan memformalkan strategi pencadangan dan pemulihan pada tahap perencanaan adopsi cloud; | Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (AmazonEFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| Lampiran 10 Bagian B - 5 (a) i) | Sebagai bagian dari kemampuan pemulihan yang efektif, lembaga keuangan harus memastikan prosedur pencadangan dan pemulihan yang ada diperluas untuk mencakup layanan cloud, yang meliputi: i) mendefinisikan dan memformalkan strategi pencadangan dan pemulihan pada tahap perencanaan adopsi cloud; | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Relational Database Service (RDSAmazon) Anda merupakan bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| Lampiran 10 Bagian B - 5 (a) i) | Sebagai bagian dari kemampuan pemulihan yang efektif, lembaga keuangan harus memastikan prosedur pencadangan dan pemulihan yang ada diperluas untuk mencakup layanan cloud, yang meliputi: i) mendefinisikan dan memformalkan strategi pencadangan dan pemulihan pada tahap perencanaan adopsi cloud; | Untuk membantu proses pencadangan data, pastikan bucket Amazon Simple Storage Service (S3) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| Lampiran 10 Bagian B - 5 (b) | Lembaga keuangan harus memastikan prosedur pencadangan dan restorasi diuji secara berkala untuk memvalidasi kemampuan pemulihan. Frekuensi prosedur pencadangan harus sepadan dengan kekritisan sistem dan tujuan titik pemulihan (RPO) sistem. Tindakan perbaikan harus segera diambil oleh lembaga keuangan untuk pencadangan yang gagal. | Untuk membantu proses pencadangan data, pastikan paket AWS Backup diatur untuk frekuensi dan retensi minimum. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Aturan ini memungkinkan Anda untuk mengatur parameter requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) dan ( requiredFrequencyUnit Config default: days). Nilai aktual harus mencerminkan persyaratan organisasi Anda. | |
| Lampiran 10 Bagian B - 5 (c) i) | Lembaga keuangan harus memastikan pencadangan dan pemulihan mesin virtual dan wadah yang memadai termasuk pengaturan konfigurasi cadangan (untuk IaaS dan PaaS, jika relevan), yang meliputi: i) memastikan kemampuan untuk memulihkan mesin virtual dan wadah pada point-in-time sebagaimana ditentukan oleh tujuan pemulihan bisnis; | Untuk membantu proses pencadangan data, pastikan paket AWS Backup diatur untuk frekuensi dan retensi minimum. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Aturan ini memungkinkan Anda untuk mengatur parameter requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) dan ( requiredFrequencyUnit Config default: days). Nilai aktual harus mencerminkan persyaratan organisasi Anda. | |
| Lampiran 10 Bagian B - 5 (d) i) | Lembaga keuangan harus menilai persyaratan ketahanan layanan cloud dan mengidentifikasi langkah-langkah yang tepat yang sepadan dengan kekritisan sistem, untuk memastikan ketersediaan layanan dalam skenario yang sangat merugikan. Lembaga keuangan harus mempertimbangkan pendekatan berbasis risiko dan secara progresif mengadopsi kontrol mitigasi yang tepat untuk memastikan ketersediaan layanan dan mengurangi risiko konsentrasi. Di antara opsi yang layak adalah: i) memanfaatkan ketersediaan tinggi dan fitur redundansi layanan cloud untuk memastikan pusat data produksi memiliki kapasitas redundan di zona ketersediaan yang berbeda; | Untuk memastikan ketersediaan tinggi, pastikan grup Auto Scaling Anda dikonfigurasi untuk menjangkau beberapa Availability Zone. | |
| Lampiran 10 Bagian B - 5 (d) i) | Lembaga keuangan harus menilai persyaratan ketahanan layanan cloud dan mengidentifikasi langkah-langkah yang tepat yang sepadan dengan kekritisan sistem, untuk memastikan ketersediaan layanan dalam skenario yang sangat merugikan. Lembaga keuangan harus mempertimbangkan pendekatan berbasis risiko dan secara progresif mengadopsi kontrol mitigasi yang tepat untuk memastikan ketersediaan layanan dan mengurangi risiko konsentrasi. Di antara opsi yang layak adalah: i) memanfaatkan ketersediaan tinggi dan fitur redundansi layanan cloud untuk memastikan pusat data produksi memiliki kapasitas redundan di zona ketersediaan yang berbeda; | Elastic Load Balancing (ELB) secara otomatis mendistribusikan lalu lintas masuk Anda ke beberapa target, seperti EC2 instance, kontainer, dan alamat IP, di zona ketersediaan. Untuk memastikan ketersediaan tinggi, pastikan instans Anda ELB telah terdaftar dari beberapa Availability Zone. | |
| Lampiran 10 Bagian B - 5 (d) i) | Lembaga keuangan harus menilai persyaratan ketahanan layanan cloud dan mengidentifikasi langkah-langkah yang tepat yang sepadan dengan kekritisan sistem, untuk memastikan ketersediaan layanan dalam skenario yang sangat merugikan. Lembaga keuangan harus mempertimbangkan pendekatan berbasis risiko dan secara progresif mengadopsi kontrol mitigasi yang tepat untuk memastikan ketersediaan layanan dan mengurangi risiko konsentrasi. Di antara opsi yang layak adalah: i) memanfaatkan ketersediaan tinggi dan fitur redundansi layanan cloud untuk memastikan pusat data produksi memiliki kapasitas redundan di zona ketersediaan yang berbeda; | Jika fungsi AWS Lambda Anda dikonfigurasi untuk terhubung ke virtual private cloud (VPC) di akun Anda, gunakan fungsi AWS Lambda di setidaknya dua Availability Zone yang berbeda untuk memastikan bahwa fungsi Anda tersedia untuk memproses peristiwa jika terjadi gangguan layanan di satu zona. | |
| Lampiran 10 Bagian B - 5 (d) i) | Lembaga keuangan harus menilai persyaratan ketahanan layanan cloud dan mengidentifikasi langkah-langkah yang tepat yang sepadan dengan kekritisan sistem, untuk memastikan ketersediaan layanan dalam skenario yang sangat merugikan. Lembaga keuangan harus mempertimbangkan pendekatan berbasis risiko dan secara progresif mengadopsi kontrol mitigasi yang tepat untuk memastikan ketersediaan layanan dan mengurangi risiko konsentrasi. Di antara opsi yang layak adalah: i) memanfaatkan ketersediaan tinggi dan fitur redundansi layanan cloud untuk memastikan pusat data produksi memiliki kapasitas redundan di zona ketersediaan yang berbeda; | Aktifkan penyeimbangan beban lintas zona untuk NetworkLoad Balancer (NLBs) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance. | |
| Lampiran 10 Bagian B - 5 (d) i) | Lembaga keuangan harus menilai persyaratan ketahanan layanan cloud dan mengidentifikasi langkah-langkah yang tepat yang sepadan dengan kekritisan sistem, untuk memastikan ketersediaan layanan dalam skenario yang sangat merugikan. Lembaga keuangan harus mempertimbangkan pendekatan berbasis risiko dan secara progresif mengadopsi kontrol mitigasi yang tepat untuk memastikan ketersediaan layanan dan mengurangi risiko konsentrasi. Di antara opsi yang layak adalah: i) memanfaatkan ketersediaan tinggi dan fitur redundansi layanan cloud untuk memastikan pusat data produksi memiliki kapasitas redundan di zona ketersediaan yang berbeda; | Cluster Amazon Relational Database Service (RDSAmazon) harus mengaktifkan replikasi Multi-AZ untuk membantu ketersediaan data yang disimpan. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| Lampiran 10 Bagian B - 5 (d) i) | Lembaga keuangan harus menilai persyaratan ketahanan layanan cloud dan mengidentifikasi langkah-langkah yang tepat yang sepadan dengan kekritisan sistem, untuk memastikan ketersediaan layanan dalam skenario yang sangat merugikan. Lembaga keuangan harus mempertimbangkan pendekatan berbasis risiko dan secara progresif mengadopsi kontrol mitigasi yang tepat untuk memastikan ketersediaan layanan dan mengurangi risiko konsentrasi. Di antara opsi yang layak adalah: i) memanfaatkan ketersediaan tinggi dan fitur redundansi layanan cloud untuk memastikan pusat data produksi memiliki kapasitas redundan di zona ketersediaan yang berbeda; | Dukungan multi-AZ di Amazon Relational Database Service (RDSAmazon) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk API metode ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Pastikan enkripsi diaktifkan untuk titik pemulihan AWS Backup Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Pastikan enkripsi diaktifkan untuk tabel Amazon DynamoDB Anda. Karena data sensitif dapat ada saat diam di tabel ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Secara default, tabel DynamoDB dienkripsi dengan kunci master pelanggan AWS yang dimiliki (). CMK | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (AmazonEBS) Anda. Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Untuk membantu melindungi data saat istirahat, pastikan klaster Amazon Elastic Kubernetes Service EKS () Anda dikonfigurasi agar rahasia Kubernetes dienkripsi. Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (AmazonEBS) Anda. | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon Anda. | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (RDSAmazon) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk klaster Amazon Redshift Anda. Karena data sensitif dapat ada saat diam di cluster Redshift, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk AWS rahasia Secrets Manager. Karena data sensitif dapat ada saat diam di rahasia Secrets Manager, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| Lampiran 10 Bagian B - 8 (a) | Lembaga keuangan harus menerapkan teknik enkripsi yang tepat dan relevan untuk melindungi kerahasiaan dan integritas data sensitif yang disimpan di cloud. | Untuk membantu melindungi data saat istirahat, pastikan bahwa topik Amazon Simple Notification Service (AmazonSNS) Anda memerlukan enkripsi menggunakan AWS Key Management Service (AWS KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| Lampiran 10 Bagian B - 8 (d) | Ketika penggunaan adopsi cloud meningkat, mengelola banyak kunci enkripsi yang digunakan untuk melindungi data menjadi lebih kompleks dan dapat menimbulkan tantangan baru bagi lembaga keuangan. Lembaga keuangan harus mengadopsi pendekatan yang komprehensif dan terpusat untuk manajemen kunci termasuk penggunaan sistem manajemen kunci terpusat yang dapat menangani generasi, penyimpanan dan distribusi kunci dengan cara yang aman dan terukur. | Aktifkan rotasi kunci untuk memastikan bahwa kunci diputar setelah mencapai akhir periode crypto mereka. | |
| Lampiran 10 Bagian B - 8 (d) | Ketika penggunaan adopsi cloud meningkat, mengelola banyak kunci enkripsi yang digunakan untuk melindungi data menjadi lebih kompleks dan dapat menimbulkan tantangan baru bagi lembaga keuangan. Lembaga keuangan harus mengadopsi pendekatan yang komprehensif dan terpusat untuk manajemen kunci termasuk penggunaan sistem manajemen kunci terpusat yang dapat menangani generasi, penyimpanan dan distribusi kunci dengan cara yang aman dan terukur. | Untuk membantu melindungi data saat istirahat, pastikan kunci master pelanggan yang diperlukan (CMKs) tidak dijadwalkan untuk dihapus di Layanan Manajemen AWS Kunci ()AWS KMS. Karena penghapusan kunci diperlukan pada waktu tertentu, aturan ini dapat membantu dalam memeriksa semua kunci yang dijadwalkan untuk dihapus, jika kunci dijadwalkan secara tidak sengaja. | |
| Lampiran 10 Bagian B - 9 (a) ii) | Bidang manajemen adalah perbedaan keamanan utama antara infrastruktur tradisional dan komputasi awan di mana akses jarak jauh didukung secara default. Lapisan akses ini bisa rentan terhadap serangan cyber sehingga membahayakan integritas seluruh penyebaran cloud. Mengingat hal ini, Lembaga keuangan harus memastikan penggunaan kontrol yang kuat untuk mengakses bidang manajemen yang dapat mencakup hal-hal berikut: ii) menerapkan “hak istimewa paling kecil” dan otentikasi multi-faktor yang kuat (MFA) misalnya, kata sandi yang kuat, token lunak, alat manajemen akses istimewa dan fungsi pemeriksa pembuat; | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi organisasiIAM. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk Anda IAMKebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| Lampiran 10 Bagian B - 9 (a) ii) | Bidang manajemen adalah perbedaan keamanan utama antara infrastruktur tradisional dan komputasi awan di mana akses jarak jauh didukung secara default. Lapisan akses ini bisa rentan terhadap serangan cyber sehingga membahayakan integritas seluruh penyebaran cloud. Mengingat hal ini, Lembaga keuangan harus memastikan penggunaan kontrol yang kuat untuk mengakses bidang manajemen yang dapat mencakup hal-hal berikut: ii) menerapkan “hak istimewa paling kecil” dan otentikasi multi-faktor yang kuat (MFA) misalnya, kata sandi yang kuat, token lunak, alat manajemen akses istimewa dan fungsi pemeriksa pembuat; | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua IAM pengguna. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan MFA mewajibkan IAM pengguna. | |
| Lampiran 10 Bagian B - 9 (a) ii) | Bidang manajemen adalah perbedaan keamanan utama antara infrastruktur tradisional dan komputasi awan di mana akses jarak jauh didukung secara default. Lapisan akses ini bisa rentan terhadap serangan cyber sehingga membahayakan integritas seluruh penyebaran cloud. Mengingat hal ini, Lembaga keuangan harus memastikan penggunaan kontrol yang kuat untuk mengakses bidang manajemen yang dapat mencakup hal-hal berikut: ii) menerapkan “hak istimewa paling kecil” dan otentikasi multi-faktor yang kuat (MFA) misalnya, kata sandi yang kuat, token lunak, alat manajemen akses istimewa dan fungsi pemeriksa pembuat; | Kelola akses ke sumber daya di AWS Cloud dengan memastikan perangkat keras MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mengharuskan MFA pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| Lampiran 10 Bagian B - 9 (a) ii) | Bidang manajemen adalah perbedaan keamanan utama antara infrastruktur tradisional dan komputasi awan di mana akses jarak jauh didukung secara default. Lapisan akses ini bisa rentan terhadap serangan cyber sehingga membahayakan integritas seluruh penyebaran cloud. Mengingat hal ini, Lembaga keuangan harus memastikan penggunaan kontrol yang kuat untuk mengakses bidang manajemen yang dapat mencakup hal-hal berikut: ii) menerapkan “hak istimewa paling kecil” dan otentikasi multi-faktor yang kuat (MFA) misalnya, kata sandi yang kuat, token lunak, alat manajemen akses istimewa dan fungsi pemeriksa pembuat; | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFAMenambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mengharuskan MFA pengguna root, Anda dapat mengurangi insiden yang Akun AWS disusupi. | |
| Lampiran 10 Bagian B - 9 (a) iii) | Bidang manajemen adalah perbedaan keamanan utama antara infrastruktur tradisional dan komputasi awan di mana akses jarak jauh didukung secara default. Lapisan akses ini bisa rentan terhadap serangan cyber sehingga membahayakan integritas seluruh penyebaran cloud. Dalam pandangan ini, Lembaga keuangan harus memastikan penggunaan kontrol yang kuat untuk mengakses bidang manajemen yang dapat mencakup hal-hal berikut: iii) menggunakan alokasi hak granular untuk pengguna istimewa; | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| Lampiran 10 Bagian B - 9 (a) iii) | Bidang manajemen adalah perbedaan keamanan utama antara infrastruktur tradisional dan komputasi awan di mana akses jarak jauh didukung secara default. Lapisan akses ini bisa rentan terhadap serangan cyber sehingga membahayakan integritas seluruh penyebaran cloud. Dalam pandangan ini, Lembaga keuangan harus memastikan penggunaan kontrol yang kuat untuk mengakses bidang manajemen yang dapat mencakup hal-hal berikut: iii) menggunakan alokasi hak granular untuk pengguna istimewa; | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) hanya dilampirkan pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| Lampiran 10 Bagian B - 9 (a) iv) | Bidang manajemen adalah perbedaan keamanan utama antara infrastruktur tradisional dan komputasi awan di mana akses jarak jauh didukung secara default. Lapisan akses ini bisa rentan terhadap serangan cyber sehingga membahayakan integritas seluruh penyebaran cloud. Dalam pandangan ini, Lembaga keuangan harus memastikan penggunaan kontrol yang kuat untuk mengakses bidang manajemen yang dapat mencakup hal-hal berikut: iv) melakukan pemantauan terus menerus terhadap kegiatan yang dilakukan oleh pengguna istimewa; | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang AWS direkomendasikan untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| Lampiran 10 Bagian B - 9 (a) iv) | Bidang manajemen adalah perbedaan keamanan utama antara infrastruktur tradisional dan komputasi awan di mana akses jarak jauh didukung secara default. Lapisan akses ini bisa rentan terhadap serangan cyber sehingga membahayakan integritas seluruh penyebaran cloud. Dalam pandangan ini, Lembaga keuangan harus memastikan penggunaan kontrol yang kuat untuk mengakses bidang manajemen yang dapat mencakup hal-hal berikut: iv) melakukan pemantauan terus menerus terhadap kegiatan yang dilakukan oleh pengguna istimewa; | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan rincian aktivitas API panggilan di dalam Anda Akun AWS. | |
| Lampiran 10 Bagian B - 12 (a) | Lembaga keuangan harus melindungi data yang dihosting di layanan cloud sebagaimana disyaratkan dalam bagian Pencegahan Kehilangan Data (paragraf 11.14 hingga 11.16) dari dokumen kebijakan ini, termasuk perluasan jejak titik akhir jika lembaga keuangan mengizinkan stafnya menggunakan perangkat mereka sendiri untuk mengakses data sensitif. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| Lampiran 10 Bagian B - 12 (a) | Lembaga keuangan harus melindungi data yang dihosting di layanan cloud sebagaimana disyaratkan di bawah bagian Pencegahan Kehilangan Data (paragraf 11.14 hingga 11.16) dari dokumen kebijakan ini, termasuk perluasan jejak titik akhir jika lembaga keuangan mengizinkan stafnya menggunakan perangkat mereka sendiri untuk mengakses data sensitif. | Amazon Macie adalah layanan keamanan data yang menggunakan machine learning (ML) dan pencocokan pola untuk menemukan dan membantu melindungi data sensitif Anda yang tersimpan di bucket Amazon Simple Storage Service (S3). | |
| Lampiran 10 Bagian B - 14 (c) i) | Lembaga keuangan harus mempertimbangkan langkah-langkah tambahan berikut dalam pengembangannyaCIRP: i) meningkatkan kemampuannya untuk mendeteksi insiden pelanggaran keamanan untuk mencapai manajemen insiden yang efektif, termasuk kemampuan untuk mendeteksi kebocoran data di web gelap; | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| Lampiran 10 Bagian B - 14 (c) i) | Lembaga keuangan harus mempertimbangkan langkah-langkah tambahan berikut dalam pengembangannyaCIRP: i) meningkatkan kemampuannya untuk mendeteksi insiden pelanggaran keamanan untuk mencapai manajemen insiden yang efektif, termasuk kemampuan untuk mendeteksi kebocoran data di web gelap; | Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda. |
Templat
Template tersedia di GitHub: Praktik Terbaik Operasional untuk BNM RMiT
