SEC09-BP03 Mengautentikasi komunikasi jaringan

Verifikasi identitas komunikasi dengan menggunakan protokol yang mendukung otentikasi, seperti Transport Layer Security () TLS atau. IPsec

Rancang beban kerja Anda untuk menggunakan protokol jaringan yang aman dan terautentikasi setiap kali berkomunikasi antara layanan, aplikasi, atau ke pengguna. Menggunakan protokol jaringan yang mendukung autentikasi dan otorisasi memberikan kontrol yang lebih kuat atas alur jaringan dan mengurangi dampak akses yang tidak sah.

Hasil yang diinginkan: Beban kerja dengan bidang data yang terdefinisi dengan baik dan arus lalu lintas bidang kontrol antar layanan. Arus lalu lintas menggunakan protokol jaringan yang diautentikasi dan dienkripsi jika memungkinkan secara teknis.

Anti-pola umum:

Arus lalu lintas yang tidak dienkripsi atau tidak diautentikasi dalam beban kerja Anda.
Penggunaan kembali kredensial autentikasi oleh beberapa pengguna atau entitas.
Hanya mengandalkan kontrol jaringan sebagai mekanisme kontrol akses.
Membuat mekanisme autentikasi kustom, bukan mengandalkan mekanisme autentikasi standar industri.
Arus lalu lintas yang terlalu permisif antara komponen layanan atau sumber daya lain di. VPC

Manfaat menjalankan praktik terbaik ini:

Membatasi cakupan dampak untuk akses tidak sah ke satu bagian dari beban kerja.
Memberikan tingkat jaminan yang lebih tinggi bahwa tindakan hanya dilakukan oleh entitas-entitas yang diautentikasi.
Meningkatkan pemisahan layanan dengan menentukan dan menerapkan antarmuka transfer data yang diinginkan secara jelas.
Meningkatkan pemantauan, pembuatan log, dan respons insiden melalui atribusi permintaan dan antarmuka komunikasi yang ditentukan dengan jelas.
defense-in-depthMenyediakan beban kerja Anda dengan menggabungkan kontrol jaringan dengan kontrol otentikasi dan otorisasi.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Rendah

Panduan implementasi

Pola lalu lintas jaringan beban kerja Anda dapat dikelompokkan ke dalam dua kategori:

Lalu lintas timur-barat mewakili arus lalu lintas yang terjadi antara layanan-layanan yang membentuk sebuah beban kerja.
Lalu lintas utara-selatan mewakili arus lalu lintas yang terjadi antara beban kerja Anda dan konsumen.

Mengenkripsi lalu lintas utara-selatan adalah praktik yang umum, sedangkan pengamanan lalu lintas timur-barat menggunakan protokol yang diautentikasi merupakan hal yang kurang umum. Praktik keamanan modern menyebutkan bahwa desain jaringan saja tidak cukup untuk memberikan hubungan yang dapat dipercaya antara dua entitas. Ketika dua layanan dapat berada dalam batasan jaringan yang sama, sebaiknya enkripsi, autentikasi, dan otorisasi komunikasi di antara layanan-layanan tersebut tetap dilakukan, itulah praktik terbaiknya.

Sebagai contoh, AWS layanan APIs menggunakan protokol AWS tanda tangan Signature Version 4 (SigV4) untuk mengautentikasi pemanggil, tidak peduli dari jaringan mana permintaan berasal. Otentikasi ini memastikan bahwa AWS APIs dapat memverifikasi identitas yang meminta tindakan, dan identitas tersebut kemudian dapat digabungkan dengan kebijakan untuk membuat keputusan otorisasi untuk menentukan apakah tindakan tersebut harus diizinkan atau tidak.

Layanan seperti Amazon VPC Lattice dan Amazon API Gateway memungkinkan Anda menggunakan protokol tanda tangan SiGv4 yang sama untuk menambahkan otentikasi dan otorisasi ke lalu lintas timur-barat di beban kerja Anda sendiri. Jika sumber daya di luar AWS lingkungan Anda perlu berkomunikasi dengan layanan yang memerlukan otentikasi dan otorisasi berbasis SIGV4, Anda dapat menggunakan AWS Identity and Access Management (IAM) Roles Anywhere pada AWS non-sumber daya untuk memperoleh kredensi sementara. AWS Kredensial ini dapat digunakan untuk menandatangani permintaan ke layanan dengan menggunakan SigV4 untuk memberi otorisasi akses.

Mekanisme umum lainnya untuk mengautentikasi lalu lintas timur-barat adalah otentikasi TLS timur-barat (m). TLS Banyak Internet of Things (IoT), business-to-business aplikasi, dan layanan mikro menggunakan m TLS untuk memvalidasi identitas kedua sisi TLS komunikasi melalui penggunaan sertifikat X.509 klien dan sisi server. Sertifikat ini dapat diterbitkan oleh AWS Private Certificate Authority (AWS Private CA). Anda dapat menggunakan layanan seperti Amazon API Gateway dan AWS App Meshmenyediakan TLS otentikasi m untuk komunikasi antar atau intra-beban kerja. Sementara m TLS menyediakan informasi otentikasi untuk kedua sisi TLS komunikasi, itu tidak menyediakan mekanisme untuk otorisasi.

Akhirnya, OAuth 2.0 dan OpenID Connect (OIDC) adalah dua protokol yang biasanya digunakan untuk mengendalikan akses ke layanan oleh pengguna, tetapi sekarang menjadi populer untuk service-to-service lalu lintas juga. APIGateway menyediakan otorisasi Token JSON Web (JWT), yang memungkinkan beban kerja membatasi akses ke API rute menggunakan penyedia identitas yang JWTs dikeluarkan dari OIDC atau OAuth 2.0. OAuth2cakupan dapat digunakan sebagai sumber untuk keputusan otorisasi dasar, tetapi pemeriksaan otorisasi masih perlu diimplementasikan di lapisan aplikasi, dan OAuth2 cakupan saja tidak dapat mendukung kebutuhan otorisasi yang lebih kompleks.

Langkah-langkah implementasi

Tentukan dan dokumentasikan alur jaringan beban kerja Anda: Langkah pertama dalam menerapkan defense-in-depth strategi adalah menentukan arus lalu lintas beban kerja Anda.
- Buatlah sebuah diagram alur data yang secara jelas menentukan bagaimana data ditransmisikan antara berbagai layanan yang membentuk beban kerja Anda. Diagram ini merupakan langkah pertama untuk menerapkan alur-alur tersebut melalui saluran jaringan yang diautentikasi.
- Instrumentasikan beban kerja Anda dalam fase pengembangan dan pengujian untuk memvalidasi bahwa diagram alur data mencerminkan perilaku beban kerja secara akurat pada saat runtime.
- Diagram alir data juga dapat berguna saat melakukan latihan pemodelan ancaman, seperti yang dijelaskan dalam SEC01-BP07 Identifikasi ancaman dan prioritaskan mitigasi menggunakan model ancaman.
Tetapkan kontrol jaringan: Pertimbangkan AWS kemampuan untuk membuat kontrol jaringan yang selaras dengan aliran data Anda. Meskipun batas jaringan seharusnya tidak menjadi satu-satunya kontrol keamanan, mereka menyediakan lapisan dalam defense-in-depth strategi untuk melindungi beban kerja Anda.
- Gunakan grup keamanan untuk menetapkan definisi dan membatasi aliran data antar sumber daya.
- Pertimbangkan AWS PrivateLinkuntuk menggunakan untuk berkomunikasi dengan kedua AWS dan layanan pihak ketiga yang mendukung AWS PrivateLink. Data yang dikirim melalui titik akhir AWS PrivateLink antarmuka tetap berada dalam tulang punggung AWS jaringan dan tidak melintasi Internet publik.
Menerapkan otentikasi dan otorisasi di seluruh layanan dalam beban kerja Anda: Pilih rangkaian AWS layanan yang paling tepat untuk menyediakan arus lalu lintas terautentikasi dan terenkripsi dalam beban kerja Anda.
- Pertimbangkan Amazon VPC Lattice untuk mengamankan service-to-service komunikasi. VPCLattice dapat menggunakan otentikasi SiGv4 yang dikombinasikan dengan kebijakan autentikasi untuk mengontrol akses. service-to-service
- Untuk service-to-service komunikasi menggunakan mTLS, pertimbangkan APIGateway atau App Mesh. AWS Private CAdapat digunakan untuk menetapkan hierarki CA pribadi yang mampu mengeluarkan sertifikat untuk digunakan dengan m. TLS
- Saat mengintegrasikan dengan layanan menggunakan OAuth 2.0 atauOIDC, pertimbangkan APIGateway menggunakan JWT otorisasi.
- Untuk komunikasi antara beban kerja Anda dan perangkat IoT, pertimbangkan untuk menggunakan AWS IoT Core, yang menyediakan beberapa opsi untuk enkripsi dan autentikasi lalu lintas jaringan.
Memantau akses yang tidak sah: Lakukan pemantauan secara terus-menerus terhadap saluran komunikasi yang tidak diinginkan, pengguna utama yang tidak sah yang mencoba mengakses sumber daya yang dilindungi, dan pola akses yang tidak tepat lainnya.
- Jika menggunakan VPC Lattice untuk mengelola akses ke layanan Anda, pertimbangkan untuk mengaktifkan dan memantau log akses VPCLattice. Log akses ini mencakup informasi tentang entitas yang meminta, informasi jaringan termasuk sumber dan tujuanVPC, dan metadata permintaan.
- Pertimbangkan untuk mengaktifkan log VPC aliran untuk menangkap metadata pada alur jaringan dan meninjau anomali secara berkala.
- Lihat Panduan Respons Insiden AWS Keamanan dan bagian Respons Insiden dari pilar keamanan AWS Well-Architected Framework untuk panduan lebih lanjut tentang perencanaan, simulasi, dan penanggulangan insiden keamanan.

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait:

Video terkait:

Contoh terkait:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC09-BP02 Menerapkan enkripsi dalam perjalanan

Respons insiden