AWS Security, Identity, and Compliance category icon Keamanan, identitas, dan kepatuhan - Sekilas tentang Amazon Web Services

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Security, Identity, and Compliance category icon Keamanan, identitas, dan kepatuhan

AWS dirancang untuk menjadi infrastruktur cloud global paling aman untuk membangun, bermigrasi, dan mengelola aplikasi dan beban kerja.

Setiap layanan dijelaskan setelah diagram. Untuk membantu Anda memutuskan layanan mana yang paling sesuai dengan kebutuhan Anda, lihat Memilih layanan AWS keamanan, identitas, dan tata kelola. Untuk informasi umum, lihat Keamanan, Identitas, dan Kepatuhan di AWS.

Diagram yang menunjukkan AWS layanan keamanan, identitas, dan tata kelola

Kembali keAWS layanan.

Amazon Cognito

Amazon Cognito memungkinkan Anda menambahkan pendaftaran pengguna, masuk, dan kontrol akses ke web dan aplikasi seluler Anda dengan cepat dan mudah. Dengan Amazon Cognito, Anda dapat meningkatkan skala ke jutaan pengguna dan mendukung login dengan penyedia identitas sosial seperti Apple, Facebook, Twitter, atau Amazon, dengan solusi identitas SAML 2.0, atau dengan menggunakan sistem identitas Anda sendiri.

Selain itu, Amazon Cognito memungkinkan Anda menyimpan data secara lokal di perangkat pengguna, memungkinkan aplikasi Anda berfungsi bahkan saat perangkat sedang offline. Anda kemudian dapat menyinkronkan data di seluruh perangkat pengguna sehingga pengalaman aplikasi mereka tetap konsisten terlepas dari perangkat yang mereka gunakan.

Dengan Amazon Cognito, Anda dapat fokus untuk menciptakan pengalaman aplikasi yang luar biasa daripada khawatir tentang membangun, mengamankan, dan menskalakan solusi untuk menangani manajemen, otentikasi, dan sinkronisasi pengguna di seluruh perangkat.

Amazon Detective

Amazon Detective memudahkan untuk menganalisis, menyelidiki, dan dengan cepat mengidentifikasi akar penyebab potensi masalah keamanan atau aktivitas yang mencurigakan. Amazon Detective secara otomatis mengumpulkan data log dari AWS sumber daya Anda dan menggunakan pembelajaran mesin, analisis statistik, dan teori grafik untuk membangun kumpulan data tertaut yang memungkinkan Anda melakukan investigasi keamanan yang lebih cepat dan efisien dengan mudah. Amazon Detective lebih lanjut menyederhanakan manajemen akun untuk operasi keamanan dan investigasi di semua akun yang ada dan yang akan datang dalam organisasi yang menggunakan AWS Organizations hingga 1.200 akun. AWS

AWS Layanan keamanan seperti Amazon GuardDuty, Amazon Macie, dan AWS Security Hub, serta produk keamanan mitra, dapat digunakan untuk mengidentifikasi potensi masalah keamanan, atau temuan. Layanan ini sangat membantu dalam memberi tahu Anda kapan dan di mana ada kemungkinan akses tidak sah atau perilaku mencurigakan dalam penerapan Anda. AWS Namun, terkadang ada temuan keamanan bahwa Anda ingin melakukan penyelidikan lebih dalam tentang peristiwa yang mengarah pada temuan untuk memulihkan akar penyebabnya. Menentukan akar penyebab temuan keamanan dapat menjadi proses yang kompleks bagi analis keamanan yang sering melibatkan pengumpulan dan penggabungan log dari banyak sumber data, menggunakan alat ekstrak, transformasi, dan pemuatan (ETL), dan skrip khusus untuk mengatur data.

Amazon Detective menyederhanakan proses ini dengan memungkinkan tim keamanan Anda untuk dengan mudah menyelidiki dan dengan cepat sampai ke akar penyebab temuan. Detective dapat menganalisis triliunan peristiwa dari berbagai sumber data seperti Amazon Virtual Private Cloud (VPC) Flow Logs, AWS CloudTrail dan Amazon. GuardDuty Detective menggunakan peristiwa ini untuk secara otomatis membuat tampilan interaktif terpadu dari sumber daya Anda, pengguna, dan interaksi di antara mereka dari waktu ke waktu. Dengan pandangan terpadu ini, Anda dapat memvisualisasikan semua detail dan konteks di satu tempat untuk mengidentifikasi alasan yang mendasari temuan, menggali aktivitas historis yang relevan, dan menentukan akar penyebabnya dengan cepat.

Anda dapat memulai dengan Amazon Detective hanya dengan beberapa klik di. AWS Management Console Tidak ada perangkat lunak untuk menyebarkan, atau sumber data untuk mengaktifkan dan memelihara. Anda dapat mencoba Detective tanpa biaya tambahan dengan uji coba gratis 30 hari yang tersedia untuk akun baru.

Amazon GuardDuty

Amazon GuardDuty adalah layanan deteksi ancaman yang terus memantau aktivitas berbahaya dan perilaku anomali untuk melindungi Anda Akun AWS, beban kerja, klaster Kubernetes, dan data yang disimpan di Amazon Simple Storage Service (Amazon S3). GuardDutyLayanan memantau aktivitas seperti API panggilan yang tidak biasa, penyebaran yang tidak sah, dan kredensi yang diekstraksi yang menunjukkan kemungkinan pengintaian atau kompromi akun.

Diaktifkan dengan beberapa klik di seluruh organisasi yang AWS Management Console dikelola dengan mudah dengan dukungannya, AWS Organizations Amazon GuardDuty dapat segera mulai menganalisis miliaran peristiwa di seluruh AWS akun Anda untuk tanda-tanda penggunaan yang tidak sah. GuardDuty mengidentifikasi tersangka penyerang melalui umpan intelijen ancaman terintegrasi dan deteksi anomali pembelajaran mesin untuk mendeteksi anomali dalam aktivitas akun dan beban kerja. Ketika potensi penggunaan tidak sah terdeteksi, layanan memberikan temuan terperinci ke GuardDuty konsol, Amazon CloudWatch Events, dan. AWS Security Hub Hal ini membuat temuan dapat ditindaklanjuti dan mudah diintegrasikan ke dalam manajemen acara dan sistem alur kerja yang ada. Penyelidikan lebih lanjut untuk menentukan akar penyebab temuan mudah dilakukan dengan menggunakan Amazon Detective langsung dari GuardDuty konsol.

Amazon GuardDuty hemat biaya dan mudah dioperasikan. Ini tidak mengharuskan Anda untuk menyebarkan dan memelihara perangkat lunak atau infrastruktur keamanan, yang berarti dapat diaktifkan dengan cepat tanpa risiko berdampak negatif terhadap aplikasi dan beban kerja kontainer yang ada. Tidak ada biaya di muka, tidak ada perangkat lunak untuk digunakan GuardDuty, dan tidak ada umpan intelijen ancaman untuk diaktifkan. Selain itu, GuardDuty mengoptimalkan biaya dengan menerapkan filter pintar dan hanya menganalisis sebagian log yang relevan dengan deteksi ancaman, dan GuardDuty akun Amazon baru gratis selama 30 hari.

Amazon Inspector

Amazon Inspector adalah layanan manajemen kerentanan otomatis baru yang terus memindai AWS beban kerja untuk kerentanan perangkat lunak dan paparan jaringan yang tidak diinginkan. Dengan beberapa klik di AWS Management Console dan AWS Organizations, Amazon Inspector dapat digunakan di semua akun di organisasi Anda. Setelah dimulai, Amazon Inspector secara otomatis menemukan instans Amazon Elastic Compute Cloud (AmazonEC2) yang sedang berjalan dan image kontainer yang berada di Amazon Elastic Container Registry (AmazonECR), dalam skala apa pun, dan segera mulai menilai kerentanan yang diketahui.

Amazon Inspector memiliki banyak perbaikan dibandingkan Amazon Inspector Classic. Misalnya, Amazon Inspector baru menghitung skor risiko yang sangat kontekstual untuk setiap temuan dengan mengkorelasikan kerentanan umum dan eksposur (CVE) informasi dengan faktor-faktor seperti akses jaringan dan eksploitasi. Skor ini digunakan untuk memprioritaskan kerentanan paling kritis untuk meningkatkan efisiensi respons remediasi. Selain itu, Amazon Inspector sekarang menggunakan AWS Systems Manager Agen (SSMAgen) yang digunakan secara luas untuk menghilangkan kebutuhan Anda untuk menerapkan dan memelihara agen mandiri untuk menjalankan penilaian instans Amazon. EC2 Untuk beban kerja kontainer, Amazon Inspector sekarang terintegrasi dengan Amazon Elastic Container Registry (ECRAmazon) untuk mendukung penilaian kerentanan gambar kontainer yang cerdas, hemat biaya, dan berkelanjutan. Semua temuan dikumpulkan di konsol Amazon Inspector, diarahkan AWS Security Hub ke, dan didorong melalui EventBridge Amazon untuk mengotomatiskan alur kerja seperti tiket.

Semua akun baru Amazon Inspector memenuhi syarat untuk uji coba gratis 15 hari untuk mengevaluasi layanan dan memperkirakan biayanya. Selama uji coba, semua EC2 instans Amazon yang memenuhi syarat dan gambar kontainer yang didorong ke Amazon ECR terus dipindai tanpa biaya.

Amazon Macie

Amazon Macie adalah layanan keamanan data dan privasi data yang dikelola sepenuhnya yang menggunakan evaluasi inventaris, pembelajaran mesin, dan pencocokan pola untuk menemukan data sensitif dan aksesibilitas di lingkungan Amazon S3 Anda. Macie mendukung pekerjaan penemuan data sensitif berdasarkan permintaan dan otomatis yang dapat diskalakan yang secara otomatis melacak perubahan pada bucket dan hanya mengevaluasi objek baru atau yang dimodifikasi dari waktu ke waktu. Dengan menggunakan Macie, Anda dapat mendeteksi daftar tipe data sensitif yang besar dan terus bertambah untuk banyak negara dan Wilayah, termasuk beberapa jenis data keuangan, informasi kesehatan pribadi (PHI), dan informasi yang dapat diidentifikasi secara pribadi (PII), serta jenis kustom. Macie juga terus mengevaluasi lingkungan Amazon S3 Anda untuk memberikan ringkasan sumber daya S3 dan evaluasi keamanan di semua akun Anda. Anda dapat mencari, memfilter, dan mengurutkan bucket S3 berdasarkan variabel metadata, seperti nama bucket, tag, dan kontrol keamanan seperti status enkripsi atau aksesibilitas publik. Untuk bucket yang tidak terenkripsi, bucket yang dapat diakses publik, atau bucket yang dibagikan dengan bucket Akun AWS luar yang telah Anda tentukan AWS Organizations, Anda dapat diperingatkan untuk bertindak.

Dalam konfigurasi multi-akun, satu akun administrator Macie dapat mengelola semua akun anggota, termasuk pembuatan dan administrasi pekerjaan penemuan data sensitif di seluruh akun dengan. AWS Organizations Temuan keamanan dan penemuan data sensitif dikumpulkan di akun administrator Macie dan dikirim ke Amazon CloudWatch Events dan. AWS Security Hub Sekarang menggunakan satu akun, Anda dapat berintegrasi dengan manajemen acara, alur kerja, dan sistem tiket atau menggunakan temuan Macie AWS Step Functions untuk mengotomatiskan tindakan remediasi. Anda dapat dengan cepat memulai dengan Macie menggunakan uji coba 30 hari yang tersedia untuk akun baru untuk inventaris bucket S3 dan evaluasi tingkat ember tanpa biaya. Penemuan data sensitif tidak termasuk dalam uji coba 30 hari untuk evaluasi bucket.

Amazon Security Lake

Amazon Security Lake memusatkan data keamanan dari AWS lingkungan, penyedia SaaS, di tempat, dan sumber cloud, ke dalam data lake yang dibuat khusus yang disimpan di tempat Anda. Akun AWS Security Lake mengotomatiskan pengumpulan dan pengelolaan data keamanan di seluruh akun Wilayah AWS sehingga Anda dapat menggunakan alat analisis pilihan Anda sambil mempertahankan kontrol dan kepemilikan atas data keamanan Anda. Dengan Security Lake, Anda juga dapat meningkatkan perlindungan beban kerja, aplikasi, dan data Anda.

Security Lake mengotomatiskan pengumpulan data log dan peristiwa terkait keamanan dari AWS layanan terintegrasi dan layanan pihak ketiga. Ini juga membantu Anda mengelola siklus hidup data dengan pengaturan retensi yang dapat disesuaikan. Data lake didukung oleh bucket Amazon S3, dan Anda mempertahankan kepemilikan atas data Anda. Security Lake mengubah data yang dicerna ke dalam format Apache Parquet dan skema open-source standar yang disebut Open Cybersecurity Schema Framework (). OCSF Dengan OCSF dukungan, Security Lake menormalkan dan menggabungkan data keamanan dari AWS dan berbagai sumber data keamanan perusahaan.

AWS Layanan lain dan layanan pihak ketiga dapat berlangganan data yang disimpan di Security Lake untuk respons insiden dan analisis data keamanan.

Izin Terverifikasi Amazon

Izin Terverifikasi Amazon adalah layanan pengelolaan dan otorisasi izin yang dapat diskalakan dan berbutir halus untuk aplikasi khusus yang telah Anda buat. Izin Terverifikasi memungkinkan pengembang Anda membangun aplikasi aman lebih cepat dengan mengeksternalisasi otorisasi dan memusatkan manajemen dan administrasi kebijakan.

Izin Terverifikasi menggunakan Cedar, bahasa kebijakan sumber terbuka danSDK, untuk menentukan izin berbutir halus bagi pengguna aplikasi. Model otorisasi Anda didefinisikan menggunakan tipe utama, tipe sumber daya, dan tindakan yang valid, untuk mengontrol siapa yang dapat mengambil tindakan apa pada sumber daya mana dalam konteks aplikasi tertentu. Perubahan kebijakan diaudit sehingga Anda dapat melihat siapa yang membuat perubahan dan kapan.

AWS Artifact

AWS Artifactadalah sumber daya utama Anda untuk informasi terkait kepatuhan yang penting bagi Anda. Ini menyediakan akses sesuai permintaan ke laporan AWS keamanan dan kepatuhan dan memilih perjanjian online. Laporan yang tersedia AWS Artifact termasuk laporan Service Organization Control (SOC) kami, laporan Industri Kartu Pembayaran (PCI), dan sertifikasi dari badan akreditasi di seluruh wilayah geografi dan vertikal kepatuhan yang memvalidasi implementasi dan efektivitas pengoperasian kontrol keamanan. AWS Perjanjian yang tersedia AWS Artifact termasuk Adendum Rekanan Bisnis (BAA) dan Perjanjian Kerahasiaan (). NDA

AWS Audit Manager

AWS Audit Managermembantu Anda terus mengaudit AWS penggunaan Anda untuk menyederhanakan cara Anda menilai risiko dan kepatuhan terhadap peraturan dan standar industri. Audit Manager mengotomatiskan pengumpulan bukti untuk mengurangi upaya manual “all hands on deck” yang sering terjadi untuk audit dan memungkinkan Anda untuk meningkatkan kemampuan audit Anda di cloud seiring pertumbuhan bisnis Anda. Dengan Audit Manager, mudah untuk menilai apakah kebijakan, prosedur, dan aktivitas Anda — juga dikenal sebagai kontrol — beroperasi secara efektif. Ketika tiba waktunya untuk audit, AWS Audit Manager membantu Anda mengelola tinjauan pemangku kepentingan atas kontrol Anda dan memungkinkan Anda untuk membuat laporan siap audit dengan upaya manual yang jauh lebih sedikit.

Kerangka kerja AWS Audit Manager bawaan membantu menerjemahkan bukti dari layanan cloud ke dalam laporan yang ramah auditor dengan memetakan AWS sumber daya Anda ke persyaratan dalam standar atau peraturan industri, seperti Tolok Ukur CIS AWS Yayasan, Peraturan Perlindungan Data Umum (GDPR), dan Standar Keamanan Data Industri Kartu Pembayaran (). PCI DSS Anda juga dapat sepenuhnya menyesuaikan kerangka kerja dan kontrolnya untuk kebutuhan bisnis unik Anda. Berdasarkan kerangka kerja yang Anda pilih, Audit Manager meluncurkan penilaian yang terus mengumpulkan dan mengatur bukti yang relevan dari AWS akun dan sumber daya Anda, seperti snapshot konfigurasi sumber daya, aktivitas pengguna, dan hasil pemeriksaan kepatuhan.

Anda dapat memulai dengan cepat di AWS Management Console. Cukup pilih kerangka kerja bawaan untuk meluncurkan penilaian dan mulai mengumpulkan dan mengatur bukti secara otomatis.

AWS Certificate Manager

AWS Certificate Manageradalah layanan yang memungkinkan Anda menyediakan, mengelola, dan menerapkan Secure Sockets dengan mudahLayer/Transport Layer Security (SSL/TLS) sertifikasi untuk digunakan dengan AWS layanan dan sumber daya internal Anda yang terhubung. SSLTLSSertifikat digunakan untuk mengamankan komunikasi jaringan dan menetapkan identitas situs web melalui Internet serta sumber daya di jaringan pribadi. AWS Certificate Manager menghapus proses manual pembelian, pengunggahan, dan pembaruan/sertifikasi manual yang memakan waktu. SSL TLS

Dengan AWS Certificate Manager, Anda dapat dengan cepat meminta sertifikat, menerapkannya pada AWS sumber daya ACM terintegrasi, seperti Elastic Load Balancing, distribusi CloudFront Amazon, API dan di GatewayAPIs, AWS Certificate Manager dan membiarkan menangani perpanjangan sertifikat. Ini juga memungkinkan Anda untuk membuat sertifikat pribadi untuk sumber daya internal Anda dan mengelola siklus hidup sertifikat secara terpusat. Sertifikat publik dan swasta yang disediakan AWS Certificate Manager untuk digunakan dengan layanan ACM -terintegrasi gratis. Anda hanya membayar untuk AWS sumber daya yang Anda buat untuk menjalankan aplikasi Anda.

Dengan AWS Private Certificate Authority, Anda membayar setiap bulan untuk pengoperasian otoritas sertifikat swasta (CA) dan untuk sertifikat pribadi yang Anda terbitkan. Anda memiliki layanan CA pribadi yang sangat tersedia tanpa investasi di muka dan biaya pemeliharaan berkelanjutan untuk mengoperasikan CA pribadi Anda sendiri.

AWS CloudHSM

AWS CloudHSMIni adalah modul keamanan perangkat keras berbasis cloud (HSM) yang memungkinkan Anda untuk dengan mudah membuat dan menggunakan kunci enkripsi Anda sendiri di file. AWS Cloud Dengan AWS CloudHSM, Anda dapat mengelola kunci enkripsi Anda sendiri menggunakan FIPS 140-2 Level 3 khusus yang divalidasi. HSMs AWS CloudHSM menawarkan Anda fleksibilitas untuk berintegrasi dengan aplikasi Anda menggunakan standar industriAPIs, seperti PKCS #11, Java Cryptography Extensions (JCE), dan Microsoft CrypTong () pustaka. CNG

AWS CloudHSM sesuai standar dan memungkinkan Anda untuk mengekspor semua kunci Anda ke sebagian besar lainnya yang tersedia secara komersialHSMs, tergantung pada konfigurasi Anda. Ini adalah layanan yang dikelola sepenuhnya yang mengotomatiskan tugas administratif yang memakan waktu untuk Anda, seperti penyediaan perangkat keras, penambalan perangkat lunak, ketersediaan tinggi, dan pencadangan. AWS CloudHSM juga memungkinkan Anda untuk menskalakan dengan cepat dengan menambah dan menghapus HSM kapasitas sesuai permintaan, tanpa biaya di muka.

AWS Directory Service

AWS Directory Serviceuntuk Microsoft Active Directory, juga dikenal sebagai AWS Managed Microsoft AD, memungkinkan beban kerja dan AWS sumber daya yang sadar direktori Anda untuk menggunakan Direktori Aktif terkelola di direktori. AWS Cloud AWS Managed Microsoft AD dibangun di atas Microsoft Active Directory yang sebenarnya dan tidak mengharuskan Anda untuk menyinkronkan atau mereplikasi data dari Active Directory yang ada ke cloud. Anda dapat menggunakan alat administrasi Active Directory standar dan memanfaatkan fitur Active Directory bawaan seperti Kebijakan Grup dan single sign-on ()SSO. Dengan AWS Managed Microsoft AD, Anda dapat dengan mudah bergabung dengan Amazon EC2 dan Amazon RDS untuk instance SQL Server ke domain, dan menggunakan aplikasi TI AWS Enterprise seperti Amazon WorkSpaces dengan pengguna dan grup Active Directory.

AWS Firewall Manager

AWS Firewall Manageradalah layanan manajemen keamanan yang memungkinkan Anda untuk mengonfigurasi dan mengelola aturan firewall secara terpusat di seluruh akun dan aplikasi Anda. AWS Organizations Ketika aplikasi baru dibuat, Firewall Manager memudahkan untuk membawa aplikasi dan sumber daya baru ke dalam kepatuhan dengan menegakkan seperangkat aturan keamanan umum. Sekarang Anda memiliki satu layanan untuk membangun aturan firewall, membuat kebijakan keamanan, dan menegakkannya secara konsisten, hierarkis di seluruh infrastruktur Anda, dari akun administrator pusat.

AWS Identity and Access Management

AWS Identity and Access Management(IAM) memungkinkan Anda mengontrol akses ke AWS layanan dan sumber daya secara aman untuk AWS pengguna, grup, dan peran Anda. Dengan menggunakanIAM, Anda dapat membuat dan mengelola kontrol akses berbutir halus dengan izin, menentukan siapa yang dapat mengakses layanan dan sumber daya mana, dan dalam kondisi apa. IAMmemungkinkan Anda melakukan hal berikut:

  • Anda mengelola AWS izin untuk pengguna dan beban kerja tenaga kerja Anda di AWS IAM Identity Center(Pusat IAM Identitas). IAM Pusat Identitas memungkinkan Anda mengelola akses pengguna di beberapa AWS akun. Hanya dengan beberapa klik, Anda dapat mengaktifkan layanan yang sangat tersedia, mengelola akses multi-akun dengan mudah, dan izin ke semua akun Anda secara terpusat. AWS Organizations IAM Identity Center mencakup SAML integrasi bawaan ke banyak aplikasi bisnis, seperti Salesforce, Box, dan Microsoft Office 365. Selanjutnya, Anda dapat membuat integrasi Security Assertion Markup Language (SAML) 2.0 dan memperluas akses masuk tunggal ke salah satu aplikasi yang diaktifkan. SAML Pengguna Anda cukup masuk ke portal pengguna dengan kredensi yang mereka konfigurasikan atau menggunakan kredensi perusahaan yang ada untuk mengakses semua akun dan aplikasi yang ditugaskan dari satu tempat.

  • Mengelola IAM izin akun tunggal: Anda dapat menentukan akses ke AWS sumber daya menggunakan izin. IAMEntitas Anda (pengguna, grup, dan peran) secara default dimulai tanpa izin. Identitas ini dapat diberikan izin dengan melampirkan IAM kebijakan yang menentukan jenis akses, tindakan yang dapat dilakukan, dan sumber daya tempat tindakan dapat dilakukan. Anda juga dapat menentukan kondisi yang harus diatur agar akses diizinkan atau ditolak.

  • Kelola IAM peran akun tunggal: IAM peran memungkinkan Anda mendelegasikan akses ke pengguna atau layanan yang biasanya tidak memiliki akses ke sumber daya organisasi AWS Anda. IAMPengguna atau AWS layanan dapat mengambil peran untuk mendapatkan kredensi keamanan sementara yang digunakan untuk melakukan AWS API panggilan. Anda tidak perlu membagikan kredensi jangka panjang atau menentukan izin untuk setiap identitas.

AWS Key Management Service

AWS Key Management Service(AWS KMS) memudahkan Anda untuk membuat dan mengelola kunci kriptografi dan mengontrol penggunaannya di berbagai AWS layanan dan dalam aplikasi Anda. AWS KMS menggunakan modul keamanan perangkat keras (HSM) untuk melindungi dan memvalidasi AWS KMS kunci Anda di bawah Program Validasi Modul Kriptografi FIPS 140-2. AWS KMS terintegrasi dengan AWS CloudTrail untuk memberi Anda log dari semua penggunaan utama untuk membantu memenuhi kebutuhan peraturan dan kepatuhan Anda.

AWS Network Firewall

AWS Network Firewalladalah layanan terkelola yang memudahkan penerapan perlindungan jaringan penting untuk semua Amazon Virtual Private Clouds () VPCs Anda. Layanan ini dapat diatur hanya dengan beberapa klik dan skala secara otomatis dengan lalu lintas jaringan Anda, sehingga Anda tidak perlu khawatir tentang menyebarkan dan mengelola infrastruktur apa pun. Mesin aturan fleksibel AWS Network Firewall memungkinkan Anda menentukan aturan firewall yang memberi Anda kontrol halus atas lalu lintas jaringan, seperti memblokir permintaan Blok Pesan Server (SMB) keluar untuk mencegah penyebaran aktivitas berbahaya. Anda juga dapat mengimpor aturan yang telah Anda tulis dalam format aturan open source umum serta mengaktifkan integrasi dengan feed intelijen terkelola yang bersumber dari Mitra. AWS AWS Network Firewall bekerja sama dengan AWS Firewall Manager sehingga Anda dapat membuat kebijakan berdasarkan AWS Network Firewall aturan dan kemudian menerapkan kebijakan tersebut secara terpusat di seluruh akun VPCs dan akun Anda.

AWS Network Firewall termasuk fitur yang memberikan perlindungan dari ancaman jaringan umum. Firewall AWS Network Firewall stateful dapat menggabungkan konteks dari arus lalu lintas, seperti melacak koneksi dan identifikasi protokol, untuk menegakkan kebijakan seperti VPCs mencegah Anda mengakses domain menggunakan protokol yang tidak sah. Sistem pencegahan AWS Network Firewall intrusi (IPS) menyediakan inspeksi arus lalu lintas aktif sehingga Anda dapat mengidentifikasi dan memblokir eksploitasi kerentanan menggunakan deteksi berbasis tanda tangan. AWS Network Firewall juga menawarkan pemfilteran web yang dapat menghentikan lalu lintas ke yang diketahui buruk URLs dan memantau nama domain yang sepenuhnya memenuhi syarat.

Sangat mudah untuk memulai AWS Network Firewall dengan mengunjungi VPCKonsol Amazon untuk membuat atau mengimpor aturan firewall Anda, mengelompokkannya ke dalam kebijakan, dan menerapkannya pada yang ingin VPCs Anda lindungi. AWS Network Firewall Penetapan harga didasarkan pada jumlah firewall yang digunakan dan jumlah lalu lintas yang diperiksa. Tidak ada komitmen di muka dan Anda hanya membayar untuk apa yang Anda gunakan.

AWS Resource Access Manager

AWS Resource Access Manager(AWS RAM) membantu Anda berbagi sumber daya secara aman di seluruh AWS akun, dalam organisasi atau unit organisasi (OUs) Anda di AWS Organizations, dan dengan IAM peran dan IAM pengguna untuk jenis sumber daya yang didukung. Anda dapat menggunakan AWS RAM untuk berbagi gateway transit, subnet, konfigurasi AWS License Manager lisensi, aturan Amazon Route 53 Resolver, dan jenis sumber daya lainnya.

Banyak organisasi menggunakan beberapa akun untuk membuat isolasi administratif atau penagihan, dan untuk membatasi dampak kesalahan. Dengan AWS RAM, Anda tidak perlu membuat sumber daya duplikat di beberapa AWS akun. Ini mengurangi overhead operasional mengelola sumber daya di setiap akun yang Anda miliki. Sebagai gantinya, di lingkungan multi-akun, Anda dapat membuat sumber daya sekali, dan menggunakannya AWS RAM untuk membagikan sumber daya tersebut di seluruh akun dengan membuat pembagian sumber daya. Saat membuat pembagian sumber daya, Anda memilih sumber daya yang akan dibagikan, memilih izin AWS RAM terkelola per jenis sumber daya, dan menentukan siapa yang ingin Anda akses ke sumber daya tersebut. AWS RAM tersedia untuk Anda tanpa biaya tambahan.

AWS Secrets Manager

AWS Secrets Managermembantu Anda melindungi rahasia yang diperlukan untuk mengakses aplikasi, layanan, dan sumber daya TI Anda. Layanan ini memungkinkan Anda untuk dengan mudah memutar, mengelola, dan mengambil kredensi database, API kunci, dan rahasia lainnya sepanjang siklus hidupnya. Pengguna dan aplikasi mengambil rahasia dengan toSecrets manajer panggilanAPIs, menghilangkan kebutuhan untuk hardcode informasi sensitif dalam teks biasa. Secrets Manager menawarkan rotasi rahasia dengan integrasi bawaan untuk AmazonRDS, Amazon Redshift, dan Amazon DocumentDB. Layanan ini juga dapat diperluas ke jenis rahasia lainnya, termasuk API kunci dan OAuth token. Selain itu, Secrets Manager memungkinkan Anda mengontrol akses ke rahasia menggunakan izin halus dan mengaudit rotasi rahasia secara terpusat untuk sumber daya di, layanan pihak ketiga AWS Cloud, dan lokal.

AWS Security Hub

AWS Security Hubadalah layanan manajemen postur keamanan cloud yang melakukan pemeriksaan praktik terbaik keamanan otomatis dan berkelanjutan terhadap AWS sumber daya Anda. Security Hub mengumpulkan peringatan keamanan Anda (yaitu temuan) dari berbagai AWS layanan dan produk mitra dalam format standar sehingga Anda dapat lebih mudah mengambil tindakan terhadapnya. Untuk mempertahankan tampilan lengkap tentang postur keamanan Anda AWS, Anda perlu mengintegrasikan beberapa alat dan layanan termasuk deteksi ancaman dari Amazon GuardDuty, kerentanan dari Amazon Inspector, klasifikasi data sensitif dari Amazon Macie, masalah konfigurasi sumber daya dari, dan produk. AWS Config AWS Partner Network Security Hub menyederhanakan cara Anda memahami dan meningkatkan postur keamanan Anda dengan pemeriksaan praktik terbaik keamanan otomatis yang didukung oleh AWS Config aturan dan integrasi otomatis dengan lusinan AWS layanan dan produk mitra.

Security Hub memungkinkan Anda memahami postur keamanan Anda secara keseluruhan melalui skor keamanan terkonsolidasi di semua AWS akun Anda, secara otomatis menilai keamanan sumber daya AWS akun Anda melalui standar Praktik Terbaik Keamanan AWS Dasar (FSBP) dan kerangka kerja kepatuhan lainnya. Ini juga mengumpulkan semua temuan keamanan Anda dari lusinan layanan dan APN produk AWS keamanan di satu tempat dan format melalui AWS Security Finding Format (ASFF), dan mengurangi Mean Time To Remediation (MTTR) Anda dengan respons otomatis dan dukungan remediasi. Security Hub memiliki out-of-the-box integrasi dengan tiket, obrolan, Informasi Keamanan dan Manajemen Acara (SIEM), Otomatisasi dan Respons Orkestrasi Keamanan (SOAR), investigasi ancaman, Risiko dan Kepatuhan Tata Kelola (GRC), dan alat manajemen insiden untuk menyediakan alur kerja operasi keamanan yang lengkap kepada pengguna Anda.

Memulai Security Hub hanya memerlukan beberapa klik AWS Management Console untuk mulai mengumpulkan temuan dan melakukan pemeriksaan keamanan menggunakan uji coba gratis 30 hari kami. Anda dapat mengintegrasikan Security Hub AWS Organizations untuk mengaktifkan layanan secara otomatis di semua akun di organisasi Anda.

AWS Shield

AWS Shieldadalah layanan perlindungan Distributed Denial of Service (DDoS) terkelola yang melindungi aplikasi web yang berjalan. AWS AWS Shield memberi Anda deteksi selalu aktif dan mitigasi inline otomatis yang meminimalkan waktu henti dan latensi aplikasi, sehingga tidak perlu terlibat untuk mendapatkan manfaat dari perlindungan. Dukungan DDoS Ada dua tingkatan AWS Shield: Standar dan Lanjutan.

Semua AWS pelanggan mendapat manfaat dari perlindungan otomatis AWS Shield Standar, tanpa biaya tambahan. AWS Shield Standard bertahan terhadap DDoS serangan lapisan jaringan dan transport yang paling umum dan sering terjadi yang menargetkan situs web atau aplikasi Anda. Saat Anda menggunakan AWS Shield Standard Amazon CloudFront dan Amazon Route 53, Anda menerima perlindungan ketersediaan komprehensif terhadap semua serangan infrastruktur yang diketahui (Layer 3 dan 4).

Untuk tingkat perlindungan yang lebih tinggi terhadap serangan yang menargetkan aplikasi Anda yang berjalan di Amazon Elastic Compute Cloud EC2 (Amazon), Elastic Load Balancing ELB (), Amazon CloudFront, dan Amazon Route 53 resource, Anda dapat berlangganan. AWS Shield Advanced Selain perlindungan lapisan jaringan dan transport yang disertakan dengan Standard, AWS Shield Advanced menyediakan deteksi dan mitigasi tambahan terhadap DDoS serangan besar dan canggih, visibilitas mendekati real-time ke dalam serangan, dan integrasi dengan AWS WAF, firewall aplikasi web. AWS Shield Advanced juga memberi Anda akses 24x7 ke Tim AWS DDoS Response (DRT) dan perlindungan terhadap lonjakan DDoS terkait di Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing ()ELB, Amazon, dan Amazon CloudFront Route 53.

AWS Shield Advanced tersedia secara global di semua lokasi tepi Amazon CloudFront dan Amazon Route 53. Anda dapat melindungi aplikasi web Anda yang dihosting di mana saja di dunia dengan menggunakan Amazon CloudFront di depan aplikasi Anda. Server asal Anda dapat berupa Amazon S3, Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing ELB (), atau server khusus di luar. AWS Anda juga dapat mengaktifkan AWS Shield Advanced langsung pada IP Elastis atau Elastic Load Balancing (ELB) sebagai berikut Wilayah AWS: Virginia Utara, Ohio, Oregon, California Utara, Montreal, São Paulo, Irlandia, Frankfurt, London, Paris, Stockholm, Singapura, Tokyo, Sydney, Seoul, Mumbai, Milan, dan Cape Town.

AWS IAM Identity Center

AWS IAM Identity Center(SSO) adalah SSO layanan cloud yang memudahkan untuk mengelola SSO akses ke beberapa AWS akun dan aplikasi bisnis secara terpusat. Hanya dengan beberapa klik, Anda dapat mengaktifkan SSO layanan yang sangat tersedia tanpa investasi di muka dan biaya pemeliharaan berkelanjutan untuk mengoperasikan infrastruktur Anda sendiri. SSO Dengan IAM Identity Center, Anda dapat dengan mudah mengelola SSO akses dan izin pengguna ke semua akun Anda secara AWS Organizationsterpusat. IAM Identity Center juga mencakup SAML integrasi bawaan ke banyak aplikasi bisnis, seperti Salesforce, Box, dan Microsoft Office 365. Selanjutnya, dengan menggunakan wizard konfigurasi aplikasi IAM Identity Center, Anda dapat membuat integrasi Security Assertion Markup Language (SAML) 2.0 dan memperluas SSO akses ke salah satu aplikasi yang diaktifkan. SAML Pengguna Anda cukup masuk ke portal pengguna dengan kredensi yang mereka konfigurasikan di Pusat IAM Identitas atau menggunakan kredensil perusahaan yang ada untuk mengakses semua akun dan aplikasi yang ditetapkan dari satu tempat.

AWS WAF

AWS WAFadalah firewall aplikasi web yang membantu melindungi aplikasi web Anda atau APIs terhadap eksploitasi web umum dan bot yang dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan. AWS WAF memberi Anda kendali atas bagaimana lalu lintas mencapai aplikasi Anda dengan memungkinkan Anda membuat aturan keamanan yang mengontrol lalu lintas bot dan memblokir pola serangan umum, seperti SQL injeksi atau skrip lintas situs. Anda juga dapat menyesuaikan aturan yang menyaring pola lalu lintas tertentu. Anda dapat memulai dengan cepat menggunakan Aturan Terkelola untuk AWS WAF, seperangkat aturan pra-konfigurasi yang dikelola oleh AWS atau AWS Marketplace penjual untuk mengatasi masalah seperti 10 risiko keamanan OWASP teratas dan bot otomatis yang menggunakan sumber daya berlebih, metrik miring, atau dapat menyebabkan waktu henti. Aturan-aturan ini diperbarui secara berkala saat masalah baru muncul. AWS WAF menyertakan fitur lengkap API yang dapat Anda gunakan untuk mengotomatiskan pembuatan, penyebaran, dan pemeliharaan aturan keamanan.

AWS WAF Captcha

AWSWAFCaptcha membantu memblokir lalu lintas bot yang tidak diinginkan dengan mengharuskan pengguna untuk berhasil menyelesaikan tantangan sebelum permintaan web mereka diizinkan untuk mencapai sumber daya yang AWS WAF dilindungi. Anda dapat mengonfigurasi AWS WAF aturan agar tantangan WAF Captcha diselesaikan untuk sumber daya tertentu yang sering ditargetkan oleh bot seperti login, pencarian, dan pengiriman formulir. Anda juga dapat meminta tantangan WAF Captcha untuk permintaan mencurigakan berdasarkan tarif, atribut, atau label yang dihasilkan Peraturan yang Dikelola AWS, seperti Kontrol AWS WAF Bot atau daftar Reputasi IP Amazon. WAF Tantangan captcha sederhana bagi manusia sambil tetap efektif melawan bot. WAF Captcha menyertakan versi audio dan dirancang untuk memenuhi persyaratan aksesibilitas Pedoman Akses Konten Web (WCAG).

Kembali keAWS layanan.