SEC09-BP02 Menerapkan enkripsi data bergerak - Pilar Keamanan
Panduan implementasiSumber daya

SEC09-BP02 Menerapkan enkripsi data bergerak

Terapkan persyaratan enkripsi yang Anda tentukan berdasarkan kebijakan, kewajiban regulasi, dan standar organisasi Anda untuk membantu memenuhi persyaratan organisasi, hukum, dan kepatuhan. Hanya gunakan protokol yang dienkripsi ketika mengirimkan data sensitif di luar cloud privat virtual (VPC) Anda. Enkripsi membantu menjaga kerahasiaan data, bahkan ketika data berada di jaringan tidak tepercaya.

Hasil yang diinginkan: Semua data harus dienkripsi saat bergerak menggunakan protokol TLS dan rangkaian sandi yang aman. Lalu lintas jaringan antara sumber daya Anda dan internet harus dienkripsi untuk mengurangi akses tidak sah ke data. Lalu lintas jaringan yang hanya berada dalam lingkungan AWS internal Anda harus sebisa mungkin dienkripsi menggunakan TLS. Jaringan internal AWS dienkripsi secara default dan lalu lintas jaringan di dalam VPC tidak dapat dipalsukan atau dilacak kecuali pihak yang tidak sah telah memperoleh akses ke sumber daya yang menghasilkan lalu lintas (seperti instans Amazon EC2 dan kontainer Amazon ECS). Pertimbangkan untuk melindungi lalu lintas antarjaringan dengan jaringan privat virtual (VPN) IPsec.

Antipola umum:

  • Menggunakan versi komponen SSL, TLS, rangkaian sandi yang tidak digunakan lagi (misalnya, SSL v3.0, kunci RSA 1024-bit, dan sandi RC4).

  • Mengizinkan lalu lintas (HTTP) tidak terenkripsi ke atau dari sumber daya yang dapat diakses publik.

  • Tidak memantau dan tidak mengganti sertifikat X.509 sebelum kedaluwarsa.

  • Menggunakan sertifikat X.509 yang Anda buat sendiri untuk TLS.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Layanan AWS menyediakan titik akhir HTTPS menggunakan TLS untuk komunikasi, memberikan enkripsi data bergerak saat berkomunikasi dengan API AWS. Protokol yang tidak aman, seperti HTTP, dapat diaudit dan diblokir di VPC melalui penggunaan grup keamanan. Permintaan HTTP juga dapat secara otomatis diarahkan ke HTTPS di Amazon CloudFront atau pada Application Load Balancer. Anda memiliki kendali penuh atas sumber daya komputasi Anda untuk mengimplementasikan enkripsi data bergerak di seluruh layanan Anda. Selain itu, Anda dapat menggunakan sambungan VPN ke dalam VPC Anda dari jaringan eksternal atau AWS Direct Connect untuk mendukung enkripsi lalu lintas. Pastikan klien Anda melakukan panggilan ke API AWS menggunakan minimal TLS 1.2, karena AWS menghentikan penggunaan TLS 1.0 dan 1.1 pada Juni 2023. Jika Anda memiliki persyaratan khusus, tersedia solusi pihak ketiga di AWS Marketplace.

Langkah implementasi

  • Terapkan enkripsi data bergerak: Persyaratan enkripsi yang Anda tetapkan harus didasarkan pada standar dan praktik terbaik terbaru dan hanya mengizinkan protokol yang aman. Misalnya, konfigurasikan grup keamanan untuk hanya mengizinkan protokol HTTPS ke penyeimbang beban aplikasi atau instans Amazon EC2.

  • Konfigurasikan protokol yang aman di layanan edge: Konfigurasikan HTTPS dengan Amazon CloudFront dan gunakan profil keamanan yang sesuai dengan postur keamanan dan kasus penggunaan Anda.

  • Gunakan VPN untuk koneksi eksternal: Pertimbangkan penggunaan VPN IPsec untuk mengamankan koneksi antartitik atau antarjaringan untuk membantu memberikan integritas dan privasi data.

  • Konfigurasikan protokol yang aman di penyeimbang beban: Pilih kebijakan keamanan yang menyediakan rangkaian sandi terkuat yang didukung oleh klien yang akan terhubung ke pendengar. Membuat pendengar HTTPS untuk Application Load Balancer Anda.

  • Konfigurasikan protokol yang aman di Amazon Redshift: Konfigurasikan klaster Anda untuk meminta koneksi lapisan soket aman (SSL) atau keamanan lapisan pengangkutan (TLS).

  • Konfigurasikan protokol yang aman: Baca dokumentasi layanan AWS untuk menentukan kemampuan enkripsi data bergerak.

  • Konfigurasikan akses yang aman saat melakukan pengunggahan ke bucket Amazon S3: Gunakan kontrol kebijakan bucket Amazon S3 untuk menerapkan akses aman ke data.

  • Pertimbangkan penggunaan AWS Certificate Manager: ACM memungkinkan Anda untuk menyediakan, mengelola, dan melakukan deployment sertifikat TLS publik untuk digunakan dengan layanan AWS.

  • Pertimbangkan penggunaan AWS Private Certificate Authority untuk kebutuhan PKI privat: AWS Private CA memungkinkan Anda membuat hierarki otoritas sertifikat (CA) pribadi untuk menerbitkan sertifikat X.509 entitas akhir yang dapat digunakan untuk membuat saluran TLS terenkripsi.

Sumber daya

Dokumen terkait: