SEC01-BP01 Memisahkan beban kerja menggunakan akun
Terapkan pagar pembatas umum dan isolasi di antara lingkungan (seperti produksi, pengembangan, dan pengujian) dan beban kerja melalui strategi multi-akun. Pemisahan di tingkat akun sangat disarankan karena hal ini dapat memberikan batasan isolasi yang kuat untuk keamanan, tagihan, dan akses.
Hasil yang diinginkan: Struktur akun yang mengisolasi operasi cloud, beban kerja yang tidak terkait, dan lingkungan ke dalam akun terpisah, meningkatkan keamanan di seluruh infrastruktur cloud.
Anti-pola umum:
-
Menempatkan beberapa beban kerja yang tidak saling berkaitan dengan berbagai tingkat sensitivitas data ke dalam akun yang sama.
-
Struktur unit organisasi (OU) yang tidak ditentukan dengan baik.
Manfaat menjalankan praktik terbaik ini:
-
Mengurangi cakupan dampak jika beban kerja tidak sengaja diakses.
-
Tata kelola akses secara terpusat ke layanan, sumber daya, dan Wilayah AWS.
-
Keamanan infrastruktur cloud terjaga dengan kebijakan dan administrasi tersentralisasi pada layanan keamanan.
-
Pembuatan akun dan proses pemeliharaan otomatis.
-
Audit infrastruktur terpusat untuk persyaratan kepatuhan dan peraturan.
Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi
Panduan implementasi
Akun AWS memberikan suatu batasan isolasi keamanan di antara beban kerja atau sumber daya yang beroperasi pada tingkat sensitivitas yang berbeda. AWS menyediakan alat-alat untuk mengelola beban kerja cloud Anda dalam skala yang sesuai melalui strategi multi-akun untuk memanfaatkan batasan isolasi ini. Untuk panduan tentang konsep, pola, dan implementasi strategi multi-akun pada AWS, lihat Mengatur Lingkungan AWS Anda dengan Menggunakan Beberapa Akun.
Ketika Anda memiliki beberapa Akun AWS di bawah manajemen pusat, akun Anda harus dikelola dalam hierarki yang ditentukan oleh lapisan unit organisasi (OU). Kontrol keamanan kemudian dapat diatur dan diterapkan ke OU dan akun anggota, yang menciptakan kontrol pencegahan yang konsisten pada akun anggota di organisasi. Kontrol keamanan diwariskan, memungkinkan Anda memfilter izin yang tersedia untuk akun anggota yang berada di tingkat yang lebih rendah dalam hierarki OU. Untuk membuat desain yang baik, memanfaatkan pewarisan ini untuk mengurangi jumlah dan kerumitan kebijakan keamanan yang diperlukan untuk mencapai kontrol keamanan yang diinginkan untuk setiap akun anggota.
AWS Organizations dan AWS Control Tower merupakan dua layanan yang dapat Anda gunakan untuk menerapkan dan mengelola struktur multi-akun ini di lingkungan AWS Anda. AWS Organizations memungkinkan Anda untuk mengatur akun ke dalam hierarki yang ditentukan oleh satu atau beberapa lapisan OU, dengan setiap OU yang berisi beberapa akun anggota. Kebijakan kontrol layanan (SCP) memungkinkan administrator organisasi untuk membuat kontrol pencegahan terperinci pada akun anggota, dan AWS Config dapat digunakan untuk membuat kontrol-kontrol proaktif dan detektif pada akun anggota. Banyak layanan AWS terintegrasi dengan AWS Organizations untuk menyediakan kontrol administratif yang didelegasikan dan melakukan tugas khusus layanan di semua akun anggota dalam organisasi.
Berlapis di atas AWS Organizations, AWS Control Tower menyediakan pengaturan praktik terbaik satu kali klik untuk lingkungan AWS banyak akun dengan zona landasan. Zona landasan adalah titik masuk ke lingkungan multi-akun yang dibuat oleh Control Tower. Control Tower memberikan beberapa manfaat
-
Kontrol keamanan wajib terintegrasi yang diterapkan secara otomatis ke akun yang diterima di organisasi.
-
Kontrol opsional yang dapat diaktifkan atau dinonaktifkan untuk serangkaian OU tertentu.
-
AWS Control Tower Account Factory menyediakan deployment otomatis akun yang berisi baseline yang telah disetujui sebelumnya dan opsi konfigurasi di dalam organisasi Anda.
Langkah-langkah implementasi
-
Merancang struktur unit organisasi: Struktur unit organisasi yang dirancang dengan baik mengurangi beban manajemen yang diperlukan untuk membuat dan memelihara kebijakan kontrol layanan dan kontrol keamanan lainnya. Struktur unit organisasi Anda harus selaras dengan kebutuhan bisnis Anda, sensitivitas data, dan struktur beban kerja
. -
Buat zona landasan untuk lingkungan multi-akun Anda: zona landasan menyediakan fondasi keamanan dan infrastruktur yang konsisten dari mana organisasi Anda dapat dengan cepat mengembangkan, meluncurkan, dan menerapkan beban kerja. Anda dapat menggunakan zona landasan atau AWS Control Tower yang dibuat khusus untuk mengatur lingkungan Anda.
-
Tetapkan pagar pembatas: Terapkan pagar pembatas keamanan yang konsisten untuk lingkungan Anda melalui zona landasan Anda. AWS Control Tower menyediakan daftar kontrol wajib dan opsional yang dapat digunakan. Deployment kontrol wajib dilakukan secara otomatis saat mengimplementasikan Control Tower. Lihat daftar kontrol yang sangat direkomendasikan dan opsional, kemudian implementasikan kontrol yang sesuai dengan kebutuhan Anda.
-
Batasi akses ke Wilayah yang baru ditambahkan: Untuk Wilayah AWS baru, sumber daya IAM, seperti pengguna dan peran, hanya akan disebarkan ke Wilayah yang Anda aktifkan. Tindakan ini dapat dilakukan melalui konsol saat menggunakan Control Tower, atau dengan menyesuaikan kebijakan izin IAM di AWS Organizations
. -
Pertimbangkan AWS CloudFormation StackSets: StackSets membantu Anda melakukan deploy sumber daya termasuk kebijakan, peran dand grup IAM ke dalam Akun AWS and Wilayah yang berbeda dari templat yang disetujui.
Sumber daya
Praktik-praktik terbaik terkait:
Dokumen terkait:
Video terkait:
Lokakarya terkait: