Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh tim aplikasi: Membuat AWS Config aturan
Berikut ini adalah beberapa kontrol dari standar keamanan Security Hub Foundational Security Best Practices (FSBP) Security Hub yang mungkin bertanggung jawab atas aplikasi atau tim pengembangan:
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[EC2.19] Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi
-
[CodeBuild.1] CodeBuild GitHub atau URL repositori sumber Bitbucket harus menggunakan OAuth
-
[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa
Untuk contoh ini, tim aplikasi menangani temuan untuk kontrol FSBP EC2.19. Kontrol ini memeriksa apakah lalu lintas masuk yang tidak terbatas untuk grup keamanan dapat diakses ke port tertentu yang memiliki risiko tertinggi. Kontrol ini gagal jika ada aturan dalam grup keamanan yang mengizinkan lalu lintas masuk dari 0.0.0.0/0 atau ::/0 untuk port tersebut. Dokumentasi untuk kontrol ini merekomendasikan untuk menghapus aturan yang memungkinkan lalu lintas ini.
Selain menangani aturan kelompok keamanan individu, ini adalah contoh bagus dari temuan yang seharusnya menghasilkan AWS Config aturan baru. Dengan menggunakan mode evaluasi proaktif, Anda dapat membantu mencegah penerapan aturan grup keamanan berisiko di masa mendatang. Mode proaktif mengevaluasi sumber daya sebelum digunakan sehingga Anda dapat mencegah sumber daya yang salah konfigurasi dan temuan keamanan terkait. Saat menerapkan layanan baru atau fungsionalitas baru, tim aplikasi dapat menjalankan aturan dalam mode proaktif sebagai bagian dari pipeline continuous integration and continuous delivery (CI/CD) untuk mengidentifikasi sumber daya yang tidak sesuai. Gambar berikut menunjukkan bagaimana Anda dapat menggunakan AWS Config aturan proaktif untuk mengonfirmasi bahwa infrastruktur yang ditentukan dalam AWS CloudFormation template sesuai.
Efisiensi penting lainnya dapat diperoleh dalam contoh ini. Ketika tim aplikasi membuat AWS Config aturan proaktif, mereka dapat membagikannya dalam repositori kode umum sehingga tim aplikasi lain dapat menggunakannya.
Setiap temuan yang terkait dengan kontrol Security Hub berisi detail tentang temuan dan tautan ke instruksi untuk memulihkan masalah. Meskipun tim cloud mungkin menemukan temuan yang memerlukan remediasi manual satu kali, bila perlu, kami merekomendasikan untuk membuat pemeriksaan proaktif yang mengidentifikasi masalah sedini mungkin dalam proses pengembangan.
