Perlindungan data dalam Pengujian Aplikasi Modernisasi AWS Mainframe

Model tanggung jawab AWS bersama model tanggung berlaku untuk perlindungan data dalam Pengujian Aplikasi Modernisasi AWS Mainframe. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam Pertanyaan Umum Privasi Data. Lihat informasi tentang perlindungan data di Eropa di pos blog Model Tanggung Jawab Bersama dan GDPR AWS di Blog Keamanan AWS .

Kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Akibatnya, setiap pengguna hanya diberikan izin yang diperlukan untuk memenuhi tugas pekerjaan mereka. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

• Gunakan autentikasi multi-faktor (MFA) pada setiap akun.

• Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.

• Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail.

• Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.

• Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.

• Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di Standar Pemrosesan Informasi Federal (FIPS) 140-2.

Kami menyarankan Anda menghindari penggunaan informasi rahasia atau sensitif apa pun, seperti alamat email pelanggan Anda, ke dalam tag atau bidang teks bentuk bebas (misalnya, bidang Nama). Ini termasuk saat Anda bekerja dengan Pengujian Aplikasi Modernisasi AWS Mainframe atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau SDK. AWS Data apa pun yang Anda masukkan ke dalam tag atau bidang teks bentuk bebas yang digunakan untuk nama dapat digunakan untuk penagihan atau log diagnostik. Jika Anda memberikan URL ke server eksternal, hindari menggunakan informasi kredensyal di URL untuk memvalidasi permintaan Anda ke server tersebut.

Data yang dikumpulkan oleh Pengujian Aplikasi Modernisasi AWS Mainframe

AWS Pengujian Aplikasi Modernisasi Mainframe mengumpulkan beberapa jenis data dari Anda:

• Resource definition: Definisi sumber daya menunjukkan data yang diteruskan ke Pengujian Aplikasi saat Anda membuat atau memperbarui sumber daya tipe kasus uji, rangkaian pengujian, atau konfigurasi pengujian.

• Scripts for replay: Ini adalah skrip yang diteruskan ke Pengujian Aplikasi terhadap aplikasi Modernisasi AWS Mainframe Anda.

• Data for comparison: Ini adalah kumpulan data atau file Database Change Data Capture (CDC) yang diteruskan ke Pengujian Aplikasi untuk perbandingan.

AWS Pengujian Aplikasi Modernisasi Mainframe menyimpan data ini secara asli di. AWS Data yang kami kumpulkan dari Anda disimpan dalam bucket Amazon S3 yang dikelola Pengujian Aplikasi Modernisasi AWS Mainframe. Saat Anda menghapus sumber daya, data terkait akan dihapus dari bucket Amazon S3.

Saat Anda memulai uji coba untuk melakukan pemutaran ulang untuk menguji beban kerja interaktif, Pengujian Aplikasi Modernisasi AWS Mainframe mengunduh skrip ke penyimpanan sementara yang didukung - wadah Fargate yang dikelola Amazon ECS yang dikelola Amazon untuk melakukan pemutaran ulang. File skrip dihapus setelah pemutaran ulang selesai dan file keluaran yang dihasilkan skrip disimpan di bucket Amazon S3 yang dikelola Pengujian Aplikasi di akun Anda. File keluaran replay dihapus dari bucket Amazon S3 saat Anda menghapus uji coba.

Demikian pula, ketika Anda memulai uji coba untuk membandingkan file (kumpulan data atau perubahan basis data), Pengujian Aplikasi Modernisasi AWS Mainframe mengunduh file ke penyimpanan sementara yang didukung oleh wadah Fargate Amazon ECS-Managed untuk melakukan perbandingan. File yang diunduh dihapus segera setelah operasi perbandingan selesai. Data keluaran perbandingan disimpan dalam bucket Amazon S3 yang dikelola Pengujian Aplikasi di akun Anda. Data keluaran dihapus dari bucket S3 saat Anda menghapus uji coba.

Anda dapat menggunakan semua opsi enkripsi Amazon S3 yang tersedia untuk mengamankan data Anda saat Anda menempatkannya di bucket AWS Amazon S3 yang digunakan Pengujian Aplikasi Modernisasi Mainframe untuk membandingkan file.

Enkripsi data saat istirahat untuk Pengujian Aplikasi Modernisasi AWS Mainframe

AWS Pengujian Aplikasi Modernisasi Mainframe terintegrasi dengan AWS Key Management Service (KMS) untuk menyediakan enkripsi sisi server transparan (SSE) pada semua sumber daya dependen yang menyimpan data secara permanen. Contoh sumber daya termasuk Amazon Simple Storage Service, Amazon DynamoDB, dan Amazon Elastic Block Store. AWS Pengujian Aplikasi Modernisasi Mainframe membuat dan mengelola AWS KMS kunci enkripsi simetris untuk Anda. AWS KMS

Enkripsi data saat istirahat secara default membantu mengurangi overhead operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Pada saat yang sama, ini memungkinkan Anda untuk menguji aplikasi yang memerlukan kepatuhan enkripsi yang ketat dan persyaratan peraturan.

Anda tidak dapat menonaktifkan lapisan enkripsi ini atau memilih jenis enkripsi alternatif saat membuat kasus pengujian, rangkaian pengujian, atau konfigurasi pengujian.

Anda dapat menggunakan kunci yang dikelola pelanggan Anda sendiri untuk file perbandingan dan AWS CloudFormation templat untuk mengenkripsi Amazon S3. Anda dapat menggunakan kunci ini untuk mengenkripsi semua sumber daya yang dibuat untuk uji coba di Pengujian Aplikasi.

catatan

Sumber daya DynamoDB selalu dienkripsi menggunakan Kunci yang dikelola AWS akun layanan Pengujian Aplikasi. Anda tidak dapat mengenkripsi sumber daya DynamoDB menggunakan kunci yang dikelola pelanggan.

AWS Pengujian Aplikasi Modernisasi Mainframe menggunakan kunci terkelola pelanggan Anda untuk tugas-tugas berikut:

• Mengekspor kumpulan data dari Pengujian Aplikasi ke Amazon S3.

• Mengunggah file output perbandingan ke Amazon S3.

Untuk informasi selengkapnya, lihat Kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.

Buat kunci terkelola pelanggan

Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan AWS Management Console atau AWS KMS API.

Untuk membuat kunci terkelola pelanggan simetris

Ikuti langkah-langkah untuk Membuat kunci terkelola pelanggan simetris di Panduan AWS Key Management Service Pengembang.

Kebijakan utama

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci.

Berikut ini adalah contoh kebijakan kunci yang mencakup akses bawah ViaService yang memungkinkan Pengujian Aplikasi untuk menulis pemutaran ulang dan data yang dihasilkan perbandingan di akun Anda. Anda harus melampirkan kebijakan ini ke peran IAM saat Anda menjalankan APIStartTestRun.

{
    "Sid": "TestRunKmsPolicy",
    "Action": ["kms:Decrypt", "kms:GenerateDataKey"],
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/TestRunRole"
    },
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": ["s3.amazonaws.com"]
        },
        "ForAnyValue:StringEquals": {
            "kms:EncryptionContextKeys": "aws:apptest:testrun"
        }
    }
}

Untuk informasi selengkapnya, lihat Mengelola akses ke kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.

Untuk informasi selengkapnya tentang akses kunci pemecahan masalah, lihat Panduan AWS Key Management Service Pengembang.

Menentukan kunci yang dikelola pelanggan untuk Pengujian Aplikasi Modernisasi AWS Mainframe

Saat membuat konfigurasi pengujian, Anda dapat menentukan kunci yang dikelola pelanggan dengan memasukkan ID KUNCI. Pengujian Aplikasi digunakan untuk mengenkripsi data yang diunggah ke bucket Amazon S3 selama pengujian dijalankan.

• ID KUNCI — Pengidentifikasi kunci untuk kunci yang dikelola pelanggan. Masukkan ID kunci, ARN kunci, nama alias, atau ARN alias.

Untuk menambahkan kunci terkelola pelanggan saat membuat konfigurasi pengujian dengan AWS CLI, tentukan kmsKeyId parameternya, sebagai berikut:

create-test-configuration --name test \
--resources '[{
    "name": "TestApplication",
    "type": {
        "m2ManagedApplication": {
            "applicationId": "wqju4m2dcz3rhny5fpdozrsdd4",
            "runtime": "MicroFocus"
        }
    }
}]' \
--service-settings '{
    "kmsKeyId": "arn:aws:kms:us-west-2:111122223333:key/05d467z6-c42d-40ad-b4b7-274e68b14013"
}'

AWS Modernisasi Mainframe Pengujian Aplikasi konteks enkripsi

Konteks enkripsi adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data.

AWS KMS menggunakan konteks enkripsi sebagai data otentikasi tambahan untuk mendukung enkripsi yang diautentikasi. Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan.

AWS Modernisasi Mainframe Pengujian Aplikasi konteks enkripsi

AWS Pengujian Aplikasi Modernisasi Mainframe menggunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi yang terkait dengan uji coba, di mana kuncinya aws:apptest:testrun dan nilainya adalah pengidentifikasi unik dari uji coba.

"encryptionContext": {
        "aws:apptest:testrun": "u3qd7uhdandgdkhhi44qv77iwq"
}

Menggunakan konteks enkripsi untuk pemantauan

Saat Anda menggunakan kunci terkelola pelanggan simetris untuk mengenkripsi uji coba, Anda juga dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci terkelola pelanggan digunakan saat mengunggah data ke Amazon S3.

Memantau kunci enkripsi Anda untuk Pengujian Aplikasi Modernisasi AWS Mainframe

Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan dengan sumber daya Pengujian Aplikasi Modernisasi AWS Mainframe, Anda dapat menggunakannya AWS CloudTrailuntuk melacak permintaan yang dikirim oleh Pengujian Aplikasi Modernisasi AWS Mainframe ke Amazon S3 saat mengunggah objek.

Enkripsi bergerak

Untuk kasus pengujian yang menentukan langkah-langkah untuk menguji beban kerja transaksional, pertukaran data antara emulator terminal terkelola Pengujian Aplikasi yang menjalankan skrip selenium Anda dan titik akhir aplikasi Modernisasi AWS Mainframe tidak dienkripsi saat transit. AWS Pengujian Aplikasi Modernisasi Mainframe digunakan AWS PrivateLink untuk terhubung ke titik akhir aplikasi Anda untuk bertukar data secara pribadi tanpa mengekspos lalu lintas melalui internet publik.

AWS Pengujian Aplikasi Modernisasi Mainframe menggunakan HTTPS untuk mengenkripsi API layanan. Semua komunikasi lain dalam Pengujian Aplikasi Modernisasi AWS Mainframe dilindungi oleh VPC layanan atau grup keamanan, serta HTTPS.

Enkripsi dasar dalam perjalanan dikonfigurasi secara default, tetapi tidak berlaku untuk tes beban kerja interaktif berbasis TN3270 protokol.