Kontrol pencegahan - AWSPanduan Preskriptif
TujuanProsesKasus penggunaanTeknologiHasil bisnis

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol pencegahan

Kontrol pencegahan adalah kontrol keamanan yang dirancang untuk mencegah terjadinya peristiwa. Pagar pembatas ini adalah garis pertahanan pertama untuk membantu mencegah akses yang tidak sah atau perubahan yang tidak diinginkan ke jaringan Anda. Contoh kontrol pencegahan adalah peranAWS Identity and Access Management (IAM) yang memiliki akses hanya-baca karena membantu mencegah tindakan penulisan yang tidak diinginkan dari pengguna yang tidak sah.

Tujuan

Tujuan utama dari kontrol pencegahan adalah untuk meminimalkan atau menghindari kemungkinan terjadinya peristiwa ancaman. Kontrol harus membantu mencegah akses yang tidak sah ke sistem dan membantu mencegah perubahan yang tidak disengaja mempengaruhi sistem. Berikut ini adalah tujuan dari kontrol pencegahan:

  • Pemisahan tugas - Kontrol pencegahan dapat menetapkan batas-batas logis yang membatasi hak istimewa, memungkinkan izin untuk hanya melakukan tugas tertentu di akun atau lingkungan yang ditunjuk. Contohnya termasuk:

    • Segmentasi beban kerja ke akun yang berbeda untuk layanan tertentu

    • Memisahkan dan memperhitungkan lingkungan produksi, pengembangan, dan pengujian yang terisolasi

    • Mendelegasikan akses dan tanggung jawab ke beberapa entitas untuk menjalankan fungsi tertentu, seperti menggunakan peran IAM atau peran yang diasumsikan untuk mengizinkan hanya fungsi pekerjaan tertentu untuk melakukan tindakan tertentu

  • Kontrol akses - Kontrol pencegahan dapat secara konsisten memberikan atau menolak akses ke sumber daya dan data di lingkungan. Contohnya termasuk:

    • Mencegah pengguna melebihi izin yang dimaksudkan, yang dikenal sebagai eskalasi hak istimewa

    • Membatasi akses ke aplikasi dan data hanya untuk pengguna dan layanan yang berwenang

    • Menjaga agar grup administrator tetap kecil dan menghindari penggunaan kredensi pengguna root

  • Penegakan - Kontrol pencegahan dapat membantu perusahaan Anda mematuhi kebijakan, pedoman, dan standarnya. Contohnya termasuk:

    • Mengunci konfigurasi yang berfungsi sebagai dasar keamanan minimum

    • Menerapkan langkah-langkah keamanan tambahan, seperti otentikasi multi-faktor

    • Menghindari tugas dan tindakan tidak standar yang dilakukan oleh peran yang tidak disetujui

Proses

Pemetaan kontrol preventif adalah proses pemetaan kontrol untuk persyaratan dan menggunakan kebijakan untuk menerapkan kontrol tersebut dengan membatasi, menonaktifkan, atau memblokir. Saat memetakan kontrol, pertimbangkan efek proaktif yang mereka miliki terhadap lingkungan, sumber daya, dan pengguna. Berikut ini adalah praktik terbaik untuk kontrol pemetaan:

  • Kontrol ketat yang melarang aktivitas harus dipetakan ke lingkungan produksi di mana tindakan memerlukan proses peninjauan, persetujuan, dan perubahan.

  • Pengembangan atau lingkungan yang terkandung mungkin memiliki kontrol pencegahan yang lebih sedikit untuk memberikan kelincahan untuk membangun dan menguji.

  • Klasifikasi data, tingkat risiko suatu aset, dan kebijakan manajemen risiko menentukan kontrol pencegahan.

  • Peta ke kerangka kerja yang ada sebagai bukti kepatuhan terhadap standar dan peraturan.

  • Menerapkan kontrol pencegahan oleh lokasi geografis, lingkungan, account, jaringan, pengguna, peran, atau sumber daya.

Kasus penggunaan

Penanganan data

Peran dibuat yang dapat mengakses semua data dalam akun. Jika ada data sensitif dan terenkripsi, hak istimewa yang terlalu permisif mungkin menimbulkan risiko, tergantung pada pengguna atau grup yang dapat mengambil peran tersebut. Dengan menggunakan kebijakan kunci diAWS Key Management Service (AWS KMS), Anda dapat mengontrol siapa yang memiliki akses ke kunci dan dapat mendekripsi data.

Eskalasi hak istimewa

Jika izin administratif dan tulis ditetapkan terlalu luas, pengguna dapat menghindari batas izin yang dimaksudkan dan memberikan hak istimewa tambahan kepada diri mereka sendiri. Pengguna yang membuat dan mengelola peran dapat menetapkan batas izin, yang menentukan hak istimewa maksimum yang diizinkan untuk peran tersebut.

Penguncian beban kerja

Jika bisnis Anda tidak memiliki kebutuhan untuk menggunakan layanan tertentu, aktifkan kebijakan kontrol layanan yang membatasi layanan mana yang dapat beroperasi di akun anggota organisasi atau membatasi layanan berdasarkanWilayah AWS. Kontrol pencegahan ini dapat mengurangi radius ledakan jika aktor ancaman berhasil berkompromi dan mengakses akun di organisasi Anda. Untuk informasi selengkapnya, lihat Kebijakan kontrol layanan.

Dampak terhadap aplikasi lain

Kontrol pencegahan dapat menerapkan penggunaan layanan dan fitur, seperti IAM, enkripsi, dan pencatatan, untuk memenuhi persyaratan keamanan aplikasi Anda. Anda juga dapat menggunakan kontrol ini untuk membantu melindungi dari kerentanan dengan membatasi tindakan yang dapat dieksploitasi oleh aktor ancaman karena kesalahan atau kesalahan konfigurasi yang tidak disengaja.

Teknologi

Kebijakan kontrol layanan

DiAWS Organizations, kebijakan kontrol layanan (SCP) menentukan izin maksimum yang tersedia untuk akun anggota dalam suatu organisasi. Kebijakan ini membantu akun tetap berada dalam pedoman kontrol akses organisasi. Perhatikan hal berikut saat merancang SCP untuk organisasi Anda:

  • SCP adalah kontrol pencegahan karena mereka menentukan dan menegakkan izin maksimum yang diizinkan untuk pengguna IAM atau peran dalam akun anggota organisasi.

  • SCP hanya memengaruhi pengguna IAM atau peran dalam akun anggota organisasi. Ini tidak mempengaruhi pengguna dan peran dalam akun pengelolaan organisasi.

  • Anda dapat membuat SCP lebih terperinci dengan menentukan izin maksimum untuk masing-masingWilayah AWS.

Batas izin IAM

DiAWS Identity and Access Management (IAM), Batas izin adalah menyetel izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM (pengguna atau peran). Batas izin entitas mengizinkannya untuk melakukan hanya tindakan yang diizinkan oleh kebijakan berbasis identitas dan batas izinnya. Perhatikan hal berikut saat batas izin:

  • Anda dapat menggunakan kebijakanAWS terkelola atau kebijakan yang dikelola pelanggan untuk menyetel batas bagi entitas IAM.

  • Batas izin tidak memberikan izin sendiri. Kebijakan batas izin membatasi izin yang diberikan kepada entitas IAM.

Hasil bisnis

Penghematan waktu

  • Dengan menambahkan otomatisasi setelah Anda mengatur kontrol pencegahan, Anda dapat mengurangi kebutuhan untuk intervensi dan mengurangi frekuensi kesalahan.

  • Menggunakan batas izin sebagai kontrol pencegahan membantu tim keamanan dan IAM untuk fokus pada tugas-tugas penting, seperti tata kelola dan dukungan.

kepatuhan terhadap peraturan

  • Perusahaan mungkin perlu mematuhi peraturan internal atau industri. Ini bisa berupa pembatasan Wilayah, pembatasan pengguna dan peran, atau batasan layanan. SCP dapat membantu Anda tetap patuh dan menghindari hukuman pelanggaran.

Pengurangan Risiko

  • Dengan pertumbuhan, jumlah permintaan untuk membuat dan mengelola peran dan kebijakan baru meningkat. Menjadi lebih menantang untuk memahami konteks apa yang diperlukan untuk membuat izin secara manual untuk setiap aplikasi. Menetapkan kontrol pencegahan bertindak sebagai dasar dan membantu mencegah pengguna melakukan tindakan yang tidak diinginkan, bahkan jika mereka secara tidak sengaja diberi akses.

  • Menerapkan kontrol pencegahan untuk mengakses kebijakan menyediakan lapisan tambahan untuk membantu melindungi data dan aset.