Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kepatuhan
Kepatuhan adalah tanggung jawab bersama antara AWS dan konsumen layanannya. Secara umum, AWS bertanggung jawab atas “keamanan cloud” sedangkan penggunanya bertanggung jawab atas “keamanan di cloud.” Garis yang menggambarkan apa yang AWS dan penggunanya bertanggung jawab akan bervariasi tergantung pada layanan. Misalnya, dengan Fargate, AWS bertanggung jawab untuk mengelola keamanan fisik pusat datanya, perangkat keras, infrastruktur virtual (Amazon EC2), dan runtime kontainer (Docker). Pengguna Fargate bertanggung jawab untuk mengamankan gambar kontainer dan aplikasinya. Mengetahui siapa yang bertanggung jawab atas apa yang menjadi pertimbangan penting saat menjalankan beban kerja yang harus mematuhi standar kepatuhan.
Tabel berikut menunjukkan program kepatuhan yang sesuai dengan layanan kontainer yang berbeda.
| Program Kepatuhan | Orkestra Amazon ECS | Orkestra Amazon EKS | ECS Fargate | Amazon ECR |
|---|---|---|---|---|
|
PCI DSS Tingkat 1 |
1 |
1 |
1 |
1 |
|
Memenuhi Syarat HIPAA |
1 |
1 |
1 |
1 |
|
SOC SAYA |
1 |
1 |
1 |
1 |
|
SOC II |
1 |
1 |
1 |
1 |
|
SOC III |
1 |
1 |
1 |
1 |
|
ISO 27001:2013 |
1 |
1 |
1 |
1 |
|
ISO 9001:2015 |
1 |
1 |
1 |
1 |
|
ISO 27017:2015 |
1 |
1 |
1 |
1 |
|
ISO 27018:2019 |
1 |
1 |
1 |
1 |
|
IRAP |
1 |
1 |
1 |
1 |
|
FedRAMP Moderat (Timur/Barat) |
1 |
1 |
0 |
1 |
|
FedRAMP Tinggi () GovCloud |
1 |
1 |
0 |
1 |
|
DOD CC SRG |
1 |
Ulasan DISA () IL5 |
0 |
1 |
|
HIPAA BAA |
1 |
1 |
1 |
1 |
|
MTCS |
1 |
1 |
0 |
1 |
|
C5 |
1 |
1 |
0 |
1 |
|
K-ISMS |
1 |
1 |
0 |
1 |
|
ENS High |
1 |
1 |
0 |
1 |
|
OSPAR |
1 |
1 |
0 |
1 |
|
HITRUST CSF |
1 |
1 |
1 |
1 |
Status kepatuhan berubah seiring waktu. Untuk status terbaru, selalu lihat https://aws.amazon.com/compliance/services-in-scope/
Untuk informasi lebih lanjut tentang model akreditasi cloud dan praktik terbaik, lihat whitepaper AWS, Model Akreditasi
Bergeser Kiri
Konsep pergeseran ke kiri melibatkan penangkapan pelanggaran kebijakan dan kesalahan sebelumnya dalam siklus hidup pengembangan perangkat lunak. Dari perspektif keamanan, ini bisa sangat bermanfaat. Pengembang, misalnya, dapat memperbaiki masalah dengan konfigurasi mereka sebelum aplikasi mereka diterapkan ke cluster. Menangkap kesalahan seperti ini sebelumnya akan membantu mencegah konfigurasi yang melanggar kebijakan Anda diterapkan.
Kebijakan sebagai Kode
Kebijakan dapat dianggap sebagai seperangkat aturan untuk mengatur perilaku, yaitu perilaku yang diizinkan atau yang dilarang. Misalnya, Anda mungkin memiliki kebijakan yang mengatakan bahwa semua Dockerfiles harus menyertakan direktif USER yang menyebabkan container berjalan sebagai pengguna non-root. Sebagai dokumen, kebijakan seperti ini bisa sulit ditemukan dan ditegakkan. Ini juga bisa menjadi usang karena kebutuhan Anda berubah. Dengan solusi Policy as Code (PAC), Anda dapat mengotomatiskan kontrol keamanan, kepatuhan, dan privasi yang mendeteksi, mencegah, mengurangi, dan menangkal ancaman yang diketahui dan terus-menerus. Selain itu, mereka memberi Anda mekanisme untuk mengkodifikasi kebijakan Anda dan mengelolanya saat Anda melakukan artefak kode lainnya. Manfaat dari pendekatan ini adalah Anda dapat menggunakan kembali GitOps strategi Anda untuk mengelola DevOps dan menerapkan kebijakan secara konsisten di seluruh armada klaster Kubernetes. Silakan merujuk ke Pod Security
Gunakan policy-as-code alat di saluran pipa untuk mendeteksi pelanggaran sebelum penerapan
-
OPA adalah
mesin kebijakan open source yang merupakan bagian dari CNCF. Ini digunakan untuk membuat keputusan kebijakan dan dapat dijalankan dengan berbagai cara yang berbeda, misalnya sebagai perpustakaan bahasa atau layanan. Kebijakan OPA ditulis dalam Domain Specific Language (DSL) yang disebut Rego. Meskipun sering dijalankan sebagai bagian dari Kubernetes Dynamic Admission Controller sebagai proyek Gatekeeper , OPA juga dapat dimasukkan ke dalam pipeline CI/CD Anda. Hal ini memungkinkan pengembang untuk mendapatkan umpan balik tentang konfigurasi mereka di awal siklus rilis yang selanjutnya dapat membantu mereka menyelesaikan masalah sebelum mereka sampai ke produksi. Kumpulan kebijakan OPA umum dapat ditemukan di GitHub repositori untuk proyek ini. -
Conftest
dibangun di atas OPA dan memberikan pengalaman yang berfokus pada pengembang untuk menguji konfigurasi Kubernetes. -
Kyverno
adalah mesin kebijakan yang dirancang untuk Kubernetes. Dengan Kyverno, kebijakan dikelola sebagai sumber daya Kubernetes dan tidak diperlukan bahasa baru untuk menulis kebijakan. Ini memungkinkan penggunaan alat yang sudah dikenal seperti kubectl, git, dan kustomize untuk mengelola kebijakan. Kebijakan Kyverno dapat memvalidasi, mengubah, dan menghasilkan sumber daya Kubernetes plus memastikan keamanan rantai pasokan gambar OCI. Kyverno CLI dapat digunakan untuk menguji kebijakan dan memvalidasi sumber daya sebagai bagian dari pipa CI/CD. Semua kebijakan komunitas Kyverno dapat ditemukan di situs web Kyverno , dan untuk contoh menggunakan CLI Kyverno untuk menulis tes di pipeline, lihat repositori kebijakan.
Alat dan sumber daya
-
Lokakarya Perendaman Keamanan Amazon EKS - Kepatuhan Peraturan
-
Tinjauan Keamanan Kubernetes Penilaian keamanan
pihak ketiga Kubernetes 1.13.4 (2019) -
NeuVector oleh SUSE
open source, platform keamanan wadah tanpa kepercayaan, menyediakan pelaporan kepatuhan dan pemeriksaan kepatuhan khusus
