Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Rekayasa platform
Bangun lingkungan cloud multi-akun yang aman dan sesuai dengan produk cloud yang dikemas dan dapat digunakan kembali.
Untuk mendukung inovasi dengan memungkinkan tim pengembangan, platform perlu beradaptasi dengan cepat untuk memenuhi tuntutan bisnis. (Lihat perspektif Bisnis AWS CAF.) Ini harus dilakukan sementara cukup fleksibel untuk beradaptasi dengan tuntutan manajemen produk, cukup kaku untuk mematuhi kendala keamanan, dan cukup cepat untuk memungkinkan kebutuhan operasional. Proses ini membutuhkan pembangunan lingkungan cloud multi-akun yang sesuai dengan fitur keamanan yang disempurnakan, dan produk cloud yang dikemas dan dapat digunakan kembali.
Lingkungan cloud yang efektif memungkinkan tim Anda menyediakan akun baru dengan mudah sambil memastikan bahwa akun tersebut sesuai dengan kebijakan organisasi. Serangkaian produk cloud yang dikuratori memungkinkan Anda untuk mengkodifikasi praktik terbaik, membantu Anda dalam tata kelola, dan membantu meningkatkan kecepatan dan konsistensi penerapan cloud Anda. Terapkan cetak biru praktik terbaik Anda, dan pagar pembatas detektif dan pencegahan. Integrasikan lingkungan cloud Anda dengan lanskap yang ada untuk mengaktifkan kasus penggunaan cloud hybrid yang diinginkan.
Otomatiskan alur kerja penyediaan akun dan gunakan beberapa akun untuk mendukung tujuan keamanan dan tata kelola Anda. Siapkan konektivitas antara lingkungan lokal dan cloud serta antar akun cloud yang berbeda. Terapkan federasi
Mengevaluasi dan mensertifikasi layanan cloud untuk konsumsi sesuai dengan standar perusahaan dan manajemen konfigurasi. Package dan terus meningkatkan standar perusahaan sebagai produk self-service deployable dan layanan habis pakai. Manfaatkan infrastruktur sebagai kode (IAc)
Menyelesaikan tugas yang dibahas di bagian berikut mengharuskan Anda untuk membangun kemampuan dan tim untuk mengembangkan organisasi Anda menuju rekayasa platform modern. Untuk detail teknis, lihat Membangun Cloud Foundation Anda di AWS whitepaper.
Mulai
Bangun landing zone dan gunakan pagar pembatas
Saat Anda memulai perjalanan menuju rekayasa platform yang matang, Anda harus terlebih dahulu menerapkan landing zone Anda dengan pagar pembatas detektif dan preventif sebagaimana didefinisikan dalam kemampuan arsitektur platform. Guardrails memastikan bahwa standar organisasi tidak dilanggar karena pemilik aplikasi menggunakan sumber daya cloud. Dengan mekanisme ini, Anda mengotomatiskan alur kerja penyediaan akun untuk menggunakan beberapa akun yang mendukung tujuan keamanan dan tata kelola Anda.
Menetapkan otentikasi
Menerapkan manajemen identitas dan kontrol akses
Menyebarkan jaringan Anda
Sesuai dengan desain arsitektur platform Anda, buat akun jaringan terpusat untuk mengontrol lalu lintas masuk dan keluar ke dan dari lingkungan Anda. Kami menyarankan Anda merancang jaringan Anda untuk konektivitas yang disediakan dengan cepat antara jaringan lokal dan AWS lingkungan Anda, ke dan dari internet, dan di seluruh lingkungan Anda. AWS Memusatkan manajemen jaringan Anda memungkinkan Anda untuk menyebarkan kontrol jaringan untuk mengisolasi jaringan dan konektivitas di seluruh lingkungan Anda dengan menggunakan kontrol preventif dan reaktif.
Kumpulkan, agregat, dan lindungi data peristiwa dan log
Gunakan observabilitas CloudWatch lintas akun Amazon. Ini menyediakan antarmuka terpadu untuk mencari, memvisualisasikan, dan menganalisis metrik, log, dan jejak di seluruh akun tertaut Anda, dan menghilangkan batasan akun.
Jika organisasi Anda memiliki persyaratan kepatuhan khusus untuk kontrol log terpusat dan keamanan, pertimbangkan untuk menyiapkan akun arsip log khusus. Ini menawarkan repositori terpusat dan terenkripsi khusus untuk data log. Tingkatkan keamanan arsip ini dengan memutar kunci enkripsi secara teratur.
Menerapkan kebijakan yang kuat untuk melindungi data log sensitif, menggunakan teknik masking seperlunya. Gunakan agregasi log untuk kepatuhan, keamanan, dan log audit, dan pastikan penggunaan pagar pembatas dan konstruksi identitas yang ketat untuk mencegah perubahan yang tidak sah pada konfigurasi log.
Tetapkan kontrol
Sesuai dengan definisi dari perspektif Keamanan AWS CAF, gunakan kemampuan keamanan
Menerapkan manajemen keuangan cloud
Sesuai dengan perspektif Tata Kelola AWS CAF, terapkan tag alokasi biaya, dan Cost Categories AWS yang menyelaraskan strategi penandaan organisasi Anda dengan akuntabilitas keuangan untuk konsumsi cloud. AWS Cost Categories memungkinkan Anda menagih atau menampilkan biaya cloud kembali ke pusat biaya internal dengan menggunakan alat seperti AWS Cost Explorer
Maju
Bangun otomatisasi infrastruktur
Sebelum Anda melanjutkan, evaluasi dan sertifikasi layanan cloud untuk konsumsi sesuai dengan arsitektur platform Anda. Kemudian, paket dan terus meningkatkan standar perusahaan sebagai produk yang dapat digunakan dan layanan habis pakai, dan gunakan infrastruktur sebagai kode (IAc) untuk mendefinisikan konfigurasi dengan cara deklaratif. Otomatisasi infrastruktur meniru siklus pengembangan perangkat lunak dengan memungkinkan akses ke layanan tertentu di setiap akun dengan kontrol akses berbasis peran (RBAC) atau kontrol akses berbasis atribut (ABAC). Terapkan metode untuk menyediakan akun baru dengan cepat dan menyelaraskannya dengan kemampuan layanan dan manajemen insiden Anda dengan menggunakan APIs, atau mengembangkan kemampuan swalayan. Otomatiskan integrasi jaringan dan alokasi IP saat akun dibuat untuk memastikan kepatuhan dan keamanan jaringan. Integrasikan akun baru dengan solusi manajemen layanan TI (ITSM) Anda dengan menggunakan konektor asli yang dikonfigurasikan untuk dioperasikan. AWS Perbarui buku pedoman dan runbook Anda sebagaimana mestinya.
Menyediakan layanan observabilitas terpusat
Untuk mencapai observabilitas cloud yang efektif, platform Anda harus mendukung pencarian dan analisis real-time dari data log lokal dan terpusat. Saat skala operasi Anda, kemampuan platform Anda untuk mengindeks, memvisualisasikan, dan menafsirkan log, metrik, dan jejak adalah kunci untuk mengubah data mentah menjadi wawasan yang dapat ditindaklanjuti.
Dengan mengkorelasikan log, metrik, dan jejak, Anda dapat mengekstrak kesimpulan yang dapat ditindaklanjuti dan mengembangkan tanggapan yang ditargetkan dan terinformasi. Tetapkan aturan yang memungkinkan respons proaktif terhadap peristiwa atau pola keamanan yang diidentifikasi dalam log, metrik, atau jejak Anda. Saat AWS solusi Anda berkembang, pastikan bahwa strategi pemantauan Anda berskala bersama-sama untuk mempertahankan dan meningkatkan kemampuan observabilitas Anda.
Menerapkan manajemen sistem dan tata kelola AMI
Organizations yang menggunakan instans Amazon Elastic Compute Cloud (Amazon EC2) secara ekstensif memerlukan perkakas operasional untuk mengelola instans dalam skala besar. Manajemen aset perangkat lunak, deteksi dan respons titik akhir, manajemen inventaris, manajemen kerentanan, dan manajemen akses adalah kemampuan dasar bagi banyak organisasi. Kemampuan ini sering disampaikan melalui agen perangkat lunak yang diinstal pada instance. Kembangkan kemampuan untuk mengemas agen dan konfigurasi khusus lainnya ke Amazon Machine Images (AMIs), dan buat ini AMIs tersedia bagi konsumen platform cloud. Gunakan kontrol pencegahan dan detektif yang mengatur penggunaan ini. AMIs AMIs harus berisi perkakas yang memungkinkan pengelolaan EC2 instans yang berjalan lama dalam skala besar, terutama untuk EC2 beban kerja Amazon yang dapat berubah yang tidak mengkonsumsi yang baru AMIs secara teratur. Anda dapat menggunakan AWS Systems Managerskala besar untuk mengotomatiskan peningkatan agen, mengumpulkan inventaris sistem, mengakses EC2 instans dari jarak jauh, dan menambal kerentanan sistem operasi.
Mengelola penggunaan kredensi
Sesuai dengan perspektif Keamanan AWS CAF, implementasikan peran dan kredensi sementara. Gunakan perkakas untuk mengelola akses jarak jauh ke instans atau sistem lokal dengan menggunakan agen pra-instal tanpa menyimpan rahasia. Kurangi ketergantungan pada kredensil jangka panjang, dan pindai kredensi hardcode di templat IAc Anda. Jika Anda tidak dapat menggunakan kredensil sementara, gunakan alat terprogram seperti token aplikasi dan kata sandi basis data untuk mengotomatiskan rotasi dan manajemen kredensi. Kodifikasi pengguna, grup, dan peran dengan menggunakan prinsip hak istimewa paling rendah dengan IAc, dan mencegah pembuatan akun identitas secara manual dengan menggunakan pagar pembatas.
Membangun perkakas keamanan
Alat pemantauan keamanan harus mendukung pemantauan keamanan terperinci di seluruh infrastruktur, aplikasi, dan beban kerja dan memberikan tampilan agregat untuk analisis pola. Seperti semua alat manajemen keamanan lainnya, Anda harus memperluas alat deteksi dan respons (XDR) yang diperluas untuk menyediakan fungsi untuk menilai, mendeteksi, merespons, dan memulihkan keamanan aplikasi, sumber daya, dan lingkungan Anda sesuai dengan persyaratan yang ditentukan dalam perspektif Keamanan AWS CAF. AWS
Unggul
Sumber dan distribusikan konstruksi identitas dengan otomatisasi
Kodifikasi dan konstruksi identitas versi seperti peran, kebijakan, dan templat dengan alat IAc. Gunakan alat validasi kebijakan untuk memeriksa peringatan keamanan, kesalahan, peringatan umum, perubahan yang disarankan pada kebijakan IAM Anda, dan temuan lainnya. Jika perlu, terapkan dan hapus konstruksi identitas yang menyediakan akses sementara ke lingkungan secara otomatis, dan melarang penerapan oleh individu yang menggunakan konsol.
Tambahkan deteksi dan peringatan untuk pola anomali di seluruh lingkungan
Secara proaktif menilai lingkungan untuk kerentanan yang diketahui dan menambahkan deteksi untuk peristiwa dan pola aktivitas yang tidak biasa. Tinjau temuan dan buat rekomendasi kepada tim arsitektur platform untuk perubahan yang mendorong efisiensi dan inovasi lebih lanjut.
Menganalisis dan memodelkan ancaman
Menerapkan pemantauan dan pengukuran berkelanjutan terhadap tolok ukur industri dan keamanan sesuai dengan persyaratan dari perspektif Keamanan AWS CAF. Saat Anda menerapkan pendekatan instrumentasi Anda, tentukan jenis data dan informasi peristiwa mana yang paling baik menginformasikan fungsi manajemen keamanan Anda. Pemantauan ini mencakup beberapa vektor serangan, termasuk penggunaan layanan. Fondasi keamanan Anda harus mencakup kemampuan komprehensif untuk pencatatan dan analitik yang aman di seluruh lingkungan multi-akun Anda yang mencakup kemampuan untuk mengkorelasikan peristiwa dari berbagai sumber. Cegah perubahan pada konfigurasi ini dengan kontrol dan pagar pembatas tertentu.
Terus mengumpulkan, meninjau, dan mengisi kembali izin
Rekam perubahan pada peran dan izin identitas dan terapkan peringatan saat pagar pembatas detektif mendeteksi penyimpangan dari status konfigurasi yang diharapkan. Gunakan alat pengenal gabungan dan pola untuk meninjau koleksi acara terpusat Anda dan menentukan izin sesuai kebutuhan.
Pilih, ukur, dan terus tingkatkan metrik platform Anda
Untuk memungkinkan operasi platform yang sukses, buat dan tinjau metrik komprehensif secara rutin. Pastikan bahwa mereka selaras dengan tujuan organisasi dan kebutuhan pemangku kepentingan. Lacak kinerja platform dan metrik peningkatan, dan gabungkan parameter operasional seperti tambalan, cadangan, dan kepatuhan dengan menggunakan pemberdayaan tim dan indikator adopsi alat.
Gunakan observabilitas CloudWatch lintas akun untuk manajemen metrik yang efisien. Layanan ini merampingkan agregasi dan visualisasi data untuk memungkinkan keputusan berdasarkan informasi dan peningkatan yang ditargetkan. Gunakan metrik ini sebagai indikator keberhasilan dan pendorong perubahan untuk menumbuhkan lingkungan perbaikan berkelanjutan.
