Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membangun arsitektur keamanan Anda — Pendekatan bertahap

Arsitektur keamanan multi-akun yang direkomendasikan oleh AWS SRA adalah arsitektur dasar untuk membantu Anda menyuntikkan keamanan lebih awal ke dalam proses desain Anda. Perjalanan cloud setiap organisasi adalah unik. Agar berhasil mengembangkan arsitektur keamanan cloud Anda, Anda perlu membayangkan status target yang Anda inginkan, memahami kesiapan cloud Anda saat ini, dan mengadopsi pendekatan tangkas untuk menutup celah apa pun. AWS SRA menyediakan status target referensi untuk arsitektur keamanan Anda. Transformasi secara bertahap memungkinkan Anda untuk menunjukkan nilai dengan cepat sambil meminimalkan kebutuhan untuk membuat prediksi yang luas.

AWS Cloud Adoption Framework (AWS CAF) merekomendasikan empat fase transformasi cloud berulang dan bertahap: Envision, Align, Launch, dan Scale. Saat Anda memasuki fase Peluncuran dan fokus pada penyampaian inisiatif percontohan dalam produksi, Anda harus fokus pada membangun arsitektur keamanan yang kuat sebagai dasar untuk fase Skala sehingga Anda memiliki kemampuan teknis untuk bermigrasi dan mengoperasikan beban kerja Anda yang paling penting bagi bisnis dengan percaya diri. Pendekatan bertahap ini berlaku jika Anda seorang startup, perusahaan kecil atau menengah yang ingin memperluas bisnis mereka, atau perusahaan yang mengakuisisi unit bisnis baru atau menjalani merger dan akuisisi. AWS SRA membantu Anda mencapai arsitektur dasar keamanan tersebut sehingga Anda dapat menerapkan kontrol keamanan secara seragam di seluruh organisasi Anda yang sedang berkembang di AWS Organizations. Arsitektur dasar terdiri dari beberapa akun dan layanan AWS. Perencanaan dan implementasi harus menjadi proses multi-fase sehingga Anda dapat mengulangi tonggak yang lebih kecil untuk mencapai tujuan yang lebih besar dalam menyiapkan arsitektur keamanan dasar Anda. Bagian ini menjelaskan fase khas perjalanan cloud Anda berdasarkan pendekatan terstruktur. Fase ini selaras dengan prinsip desain keamanan AWS Well-Architected Framework.

Fase 1: Bangun struktur OU dan akun Anda

Prasyarat untuk fondasi keamanan yang kuat adalah organisasi AWS yang dirancang dengan baik dan struktur akun. Seperti yang dijelaskan sebelumnya di bagian blok bangunan SRA dari panduan ini, memiliki beberapa akun AWS membantu Anda mengisolasi fungsi bisnis dan keamanan yang berbeda berdasarkan desain. Ini mungkin tampak seperti pekerjaan yang tidak perlu pada awalnya, tetapi ini adalah investasi untuk membantu Anda meningkatkan skala dengan cepat dan aman. Bagian itu juga menjelaskan bagaimana Anda dapat menggunakan AWS Organizations untuk mengelola beberapa akun AWS, dan cara menggunakan akses tepercaya dan fitur administrator yang didelegasikan untuk mengelola layanan AWS secara terpusat di beberapa akun ini.

Anda dapat menggunakan AWS Control Tower seperti yang diuraikan sebelumnya dalam panduan ini untuk mengatur landing zone Anda. Jika saat ini Anda menggunakan satu akun AWS, lihat panduan Transisi ke beberapa akun AWS untuk bermigrasi ke beberapa akun sedini mungkin. Misalnya, jika perusahaan startup Anda saat ini sedang merancang dan membuat prototipe produk Anda dalam satu akun AWS, Anda harus mempertimbangkan untuk mengadopsi strategi multi-akun sebelum meluncurkan produk Anda di pasar. Demikian pula, organisasi kecil, menengah, dan perusahaan harus mulai membangun strategi multi-akun mereka segera setelah mereka merencanakan beban kerja produksi awal mereka. Mulailah dengan akun OU dan AWS dasar Anda, lalu tambahkan OU dan akun terkait beban kerja Anda.

Untuk rekomendasi akun AWS dan struktur OU di luar apa yang disediakan di AWS SRA, lihat strategi Multi-akun untuk posting blog usaha kecil dan menengah. Saat Anda menyelesaikan OU dan struktur akun Anda, pertimbangkan kontrol keamanan tingkat tinggi di seluruh organisasi yang ingin Anda terapkan dengan menggunakan kebijakan kontrol layanan (SCP).

Tahap 2: Menerapkan fondasi identitas yang kuat

Segera setelah Anda membuat beberapa akun AWS, Anda harus memberi tim Anda akses ke sumber daya AWS dalam akun tersebut. Ada dua kategori umum manajemen identitas: identitas tenaga kerja dan manajemen akses dan identitas pelanggan dan manajemen akses (CIAM). Workforce IAM adalah untuk organisasi di mana karyawan dan beban kerja otomatis perlu masuk ke AWS untuk melakukan pekerjaan mereka. CIAM digunakan ketika sebuah organisasi membutuhkan cara untuk mengautentikasi pengguna untuk menyediakan akses ke aplikasi organisasi. Anda memerlukan strategi IAM tenaga kerja terlebih dahulu, sehingga tim Anda dapat membangun dan memigrasi aplikasi. Anda harus selalu menggunakan peran IAM alih-alih pengguna IAM untuk menyediakan akses ke pengguna manusia atau mesin. Ikuti panduan AWS SRA tentang cara menggunakan AWS IAM Identity Center dalam akun Manajemen Org dan Layanan Bersama untuk mengelola akses masuk tunggal (SSO) secara terpusat ke akun AWS Anda. Panduan ini juga memberikan pertimbangan desain untuk menggunakan federasi IAM ketika Anda tidak dapat menggunakan IAM Identity Center.

Saat Anda bekerja dengan peran IAM untuk menyediakan akses pengguna ke sumber daya AWS, Anda harus menggunakan AWS IAM Access Analyzer dan penasihat akses IAM sebagaimana diuraikan dalam bagian Perkakas Keamanan dan Manajemen Org dalam panduan ini. Layanan ini membantu Anda mencapai hak istimewa paling sedikit, yang merupakan kontrol pencegahan penting yang membantu Anda membangun postur keamanan yang baik.

Fase 3: Pertahankan ketertelusuran

Ketika pengguna Anda memiliki akses ke AWS dan mulai membangun, Anda akan ingin tahu siapa yang melakukan apa, kapan, dan dari mana. Anda juga akan menginginkan visibilitas ke potensi kesalahan konfigurasi keamanan, ancaman, atau perilaku tak terduga. Pemahaman yang lebih baik tentang ancaman keamanan memungkinkan Anda memprioritaskan kontrol keamanan yang sesuai. Untuk memantau aktivitas AWS, ikuti rekomendasi AWS SRA untuk menyiapkan jejak organisasi dengan menggunakan AWS CloudTrail dan memusatkan log Anda dalam akun Arsip Log. Untuk pemantauan peristiwa keamanan, gunakan AWS Security Hub, Amazon, AWS Config GuardDuty, dan AWS Security Lake sebagaimana diuraikan di bagian akun Security Tooling.

Fase 4: Terapkan keamanan di semua lapisan

Pada titik ini, Anda harus memiliki:

Pada fase ini, rencanakan untuk menerapkan keamanan di lapisan lain dari organisasi AWS Anda, seperti yang dijelaskan di bagian, Terapkan layanan keamanan di seluruh organisasi AWS Anda. Anda dapat membuat kontrol keamanan untuk lapisan jaringan Anda dengan menggunakan layanan seperti AWS WAF, AWS Shield, AWS Firewall Manager, AWS Network Firewall, AWS Certificate Manager (ACM), Amazon, Amazon CloudFront Route 53, dan Amazon VPC, sebagaimana diuraikan di bagian akun Jaringan. Saat Anda memindahkan tumpukan teknologi Anda, terapkan kontrol keamanan yang spesifik untuk beban kerja atau tumpukan aplikasi Anda. Gunakan titik akhir VPC, Amazon Inspector, Amazon Systems Manager, AWS Secrets Manager, dan Amazon Cognito sebagaimana diuraikan di bagian Akun aplikasi.

Tahap 5: Lindungi data dalam perjalanan dan saat istirahat

Data bisnis dan pelanggan Anda adalah aset berharga yang perlu Anda lindungi. AWS menyediakan berbagai layanan dan fitur keamanan untuk melindungi data saat bergerak dan saat istirahat. Gunakan AWS CloudFront dengan AWS Certificate Manager, seperti yang diuraikan di bagian akun Jaringan, untuk melindungi data yang sedang bergerak yang dikumpulkan melalui internet. Untuk data yang bergerak dalam jaringan internal, gunakan Application Load Balancer dengan AWS Private Certificate Authority, seperti yang dijelaskan di bagian Akun aplikasi. AWS KMS dan AWS CloudHSM membantu Anda menyediakan manajemen kunci kriptografi untuk melindungi data saat istirahat.

Tahap 6: Mempersiapkan acara keamanan

Saat Anda mengoperasikan lingkungan TI Anda, Anda akan menghadapi peristiwa keamanan, yang merupakan perubahan dalam operasi sehari-hari lingkungan TI Anda yang menunjukkan kemungkinan pelanggaran kebijakan keamanan atau kegagalan kontrol keamanan. Keterlacakan yang tepat sangat penting sehingga Anda mengetahui peristiwa keamanan secepat mungkin. Sama pentingnya untuk bersiap melakukan triase dan menanggapi peristiwa keamanan semacam itu sehingga Anda dapat mengambil tindakan yang tepat sebelum acara keamanan meningkat. Persiapan membantu Anda melakukan triase acara keamanan dengan cepat untuk memahami potensi dampaknya.

AWS SRA, melalui desain akun Security Tooling dan penerapan layanan keamanan umum di semua akun AWS, memberi Anda kemampuan untuk mendeteksi peristiwa keamanan di seluruh organisasi AWS Anda. AWS Detective dalam akun Security Tooling membantu Anda melakukan triase peristiwa keamanan dan mengidentifikasi akar penyebabnya. Selama penyelidikan keamanan, Anda harus dapat meninjau log yang relevan untuk mencatat dan memahami ruang lingkup dan garis waktu penuh insiden tersebut. Log juga diperlukan untuk pembuatan peringatan ketika tindakan tertentu yang menarik terjadi.

AWS SRA merekomendasikan akun Arsip Log pusat untuk penyimpanan yang tidak dapat diubah dari semua log keamanan dan operasional. Anda dapat melakukan kueri log dengan menggunakan Wawasan CloudWatch Log untuk data yang disimpan di grup CloudWatch log, serta Amazon Athena dan OpenSearch Amazon Service untuk data yang disimpan di Amazon S3. Gunakan Amazon Security Lake untuk secara otomatis memusatkan data keamanan dari lingkungan AWS, penyedia perangkat lunak sebagai layanan (SaaS), di tempat, dan penyedia cloud lainnya. Siapkan pelanggan di akun Security Tooling atau akun khusus apa pun, sebagaimana diuraikan oleh AWS SRA, untuk menanyakan log tersebut untuk diselidiki.