SEC08-BP04 Menegakkan kontrol akses - AWS Kerangka Well-Architected
Panduan implementasiSumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SEC08-BP04 Menegakkan kontrol akses

Untuk membantu melindungi data diam, terapkan kontrol akses menggunakan mekanisme, seperti isolasi dan penentuan versi, serta terapkan prinsip hak akses paling rendah. Cegah pemberian akses publik ke data Anda.

Hasil yang diinginkan: Verifikasi bahwa hanya pengguna yang berwenang yang dapat mengakses data need-to-know berdasarkan. Melindungi data Anda dengan pencadangan dan penentuan versi rutin untuk mencegah pengubahan atau penghapusan data yang disengaja atau tidak disengaja. Mengisolasi data penting dari data lain untuk melindungi kerahasiaan dan integritas data tersebut.

Anti-pola umum:

  • Menyimpan data dengan kebutuhan atau klasifikasi sensitivitas yang berbeda secara bersamaan.

  • Menggunakan izin yang terlalu permisif pada kunci dekripsi.

  • Salah mengklasifikasi data.

  • Tidak menyimpan pencadangan terperinci untuk data penting.

  • Memberikan akses terus-menerus ke data produksi.

  • Tidak mengaudit akses data atau meninjau izin secara rutin.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Rendah

Panduan implementasi

Beberapa kontrol dapat membantu melindungi data diam, termasuk akses (menggunakan hak akses paling rendah), isolasi, dan penentuan versi. Akses ke data Anda harus diaudit menggunakan mekanisme detektif, seperti, dan log tingkat layanan AWS CloudTrail, seperti log akses Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3). Anda harus membuat inventaris tentang data mana yang dapat diakses publik, dan menyusun rencana untuk mengurangi jumlah data yang tersedia untuk publik dari waktu ke waktu.

Kunci Vault Amazon S3 dan Kunci Objek Amazon S3 memberikan kontrol akses wajib untuk objek yang ada di Amazon S3—begitu kebijakan vault dikunci dengan opsi kepatuhan, kebijakan tersebut tidak akan dapat diubah hingga kedaluwarsa, bahkan oleh pengguna root sekalipun.

Langkah-langkah implementasi

  • Terapkan akses kontrol: Terapkan akses kontrol dengan hak akses paling rendah, termasuk akses ke kunci enkripsi.

  • Pisahkan data berdasarkan tingkat klasifikasi yang berbeda: Gunakan berbagai Akun AWS untuk tingkat klasifikasi data, dan kelola akun-akun tersebut dengan menggunakan AWS Organizations.

  • Kebijakan review AWS Key Management Service (AWS KMS): Meninjau tingkat akses yang diberikan dalam AWS KMS kebijakan.

  • Tinjau izin objek dan bucket Amazon S3: Tinjau tingkat akses yang diberikan dalam kebijakan bucket S3 secara rutin. Praktik terbaiknya adalah menghindari penggunaan bucket yang dapat dibaca atau ditulis oleh publik. Pertimbangkan AWS Configuntuk menggunakan untuk mendeteksi bucket yang tersedia untuk umum, dan Amazon CloudFront untuk menayangkan konten dari Amazon S3. Pastikan bucket yang seharusnya tidak mengizinkan akses publik telah dikonfigurasi dengan benar untuk mencegah akses publik. Secara default, semua bucket S3 bersifat privat, dan hanya dapat diakses oleh pengguna yang telah diberi akses secara eksplisit.

  • Gunakan AWS IAMAccess Analyzer: IAM Access Analyzer menganalisis bucket Amazon S3 dan menghasilkan temuan saat kebijakan S3 memberikan akses ke entitas eksternal.

  • Gunakan penentuan versi Amazon S3 dan kunci objek bila perlu.

  • Gunakan Inventaris Amazon S3: Inventaris Amazon S3 dapat digunakan untuk mengaudit dan melaporkan replikasi dan status enkripsi objek S3.

  • Tinjau Amazon EBS dan izin AMIberbagi: Izin berbagi dapat memungkinkan gambar dan volume dibagikan dengan Akun AWS yang berada di luar beban kerja Anda.

  • Tinjau AWS Resource Access Manager Share secara berkala untuk menentukan apakah sumber daya harus terus dibagikan atau tidak. Resource Access Manager memungkinkan Anda berbagi sumber daya, seperti kebijakan AWS Network Firewall, aturan penyelesai Amazon Route 53, dan subnet, di Amazon Anda. VPCs Lakukan audit sumber daya yang dibagikan secara rutin dan hentikan pembagian sumber daya yang sudah tidak perlu dibagikan.

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait:

Video terkait: