Kontrol pencegahan - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol pencegahan

Kontrol pencegahan adalah kontrol keamanan yang dirancang untuk mencegah suatu peristiwa terjadi. Pagar pembatas ini adalah garis pertahanan pertama untuk membantu mencegah akses tidak sah atau perubahan yang tidak diinginkan ke jaringan Anda. Contoh kontrol preventif adalah peran AWS Identity and Access Management (IAM) yang memiliki akses hanya-baca karena membantu mencegah tindakan penulisan yang tidak diinginkan dari pengguna yang tidak sah.

Tinjau hal-hal berikut tentang jenis kontrol ini:

Tujuan

Tujuan utama dari pengendalian pencegahan adalah untuk meminimalkan atau menghindari kemungkinan terjadinya peristiwa ancaman. Kontrol harus membantu mencegah akses tidak sah ke sistem dan membantu mencegah perubahan yang tidak disengaja mempengaruhi sistem. Berikut ini adalah tujuan dari pengendalian pencegahan:

  • Pemisahan tugas — Kontrol pencegahan dapat menetapkan batasan logis yang membatasi hak istimewa, memungkinkan izin untuk hanya melakukan tugas tertentu di akun atau lingkungan yang ditunjuk. Contohnya termasuk:

    • Mensegmentasi beban kerja ke akun yang berbeda untuk layanan tertentu

    • Memisahkan dan memperhitungkan ke dalam lingkungan produksi, pengembangan, dan pengujian yang terisolasi

    • Mendelegasikan akses dan tanggung jawab ke beberapa entitas untuk melakukan fungsi tertentu, seperti menggunakan peran IAM atau peran yang diasumsikan untuk memungkinkan hanya fungsi pekerjaan tertentu untuk melakukan tindakan tertentu

  • Kontrol akses — Kontrol pencegahan dapat secara konsisten memberikan atau menolak akses ke sumber daya dan data di lingkungan. Contohnya termasuk:

    • Mencegah pengguna melebihi izin yang dimaksudkan, yang dikenal sebagai eskalasi hak istimewa

    • Membatasi akses ke aplikasi dan data hanya untuk pengguna dan layanan yang berwenang

    • Menjaga grup administrator tetap kecil

    • Menghindari penggunaan kredensi pengguna root

  • Penegakan — Kontrol pencegahan dapat membantu perusahaan Anda mematuhi kebijakan, pedoman, dan standarnya. Contohnya termasuk:

    • Konfigurasi penguncian yang berfungsi sebagai dasar keamanan minimum

    • Menerapkan langkah-langkah keamanan tambahan, seperti otentikasi multi-faktor

    • Menghindari tugas dan tindakan yang tidak standar yang dilakukan oleh peran yang tidak disetujui

Proses

Pemetaan kontrol preventif adalah proses pemetaan kontrol terhadap persyaratan dan menggunakan kebijakan untuk mengimplementasikan kontrol tersebut dengan membatasi, menonaktifkan, atau memblokir. Saat memetakan kontrol, pertimbangkan efek proaktif yang mereka miliki terhadap lingkungan, sumber daya, dan pengguna. Berikut ini adalah praktik terbaik untuk kontrol pemetaan:

  • Kontrol ketat yang melarang suatu aktivitas harus dipetakan ke lingkungan produksi di mana tindakan tersebut memerlukan proses peninjauan, persetujuan, dan perubahan.

  • Pengembangan atau lingkungan yang terkandung mungkin memiliki kontrol pencegahan yang lebih sedikit untuk memberikan kelincahan untuk membangun dan menguji.

  • Klasifikasi data, tingkat risiko aset, dan kebijakan manajemen risiko menentukan kontrol preventif.

  • Memetakan kerangka kerja yang ada sebagai bukti kepatuhan terhadap standar dan peraturan.

  • Menerapkan kontrol pencegahan berdasarkan lokasi geografis, lingkungan, akun, jaringan, pengguna, peran, atau sumber daya.

Kasus penggunaan

Penanganan data

Peran dibuat yang dapat mengakses semua data dalam akun. Jika ada data sensitif dan terenkripsi, hak istimewa yang terlalu permisif mungkin menimbulkan risiko, tergantung pada pengguna atau grup yang dapat mengambil peran tersebut. Dengan menggunakan kebijakan kunci di AWS Key Management Service (AWS KMS), Anda dapat mengontrol siapa yang memiliki akses ke kunci dan dapat mendekripsi data.

Eskalasi hak istimewa

Jika izin administratif dan tulis diberikan terlalu luas, pengguna dapat menghindari batas izin yang dimaksudkan dan memberikan hak istimewa tambahan kepada diri mereka sendiri. Pengguna yang membuat dan mengelola peran dapat menetapkan batas izin, yang menentukan hak istimewa maksimum yang diizinkan untuk peran tersebut.

Penguncian beban kerja

Jika bisnis Anda tidak memiliki kebutuhan yang dapat diperkirakan untuk menggunakan layanan tertentu, aktifkan kebijakan kontrol layanan yang membatasi layanan mana yang dapat beroperasi di akun anggota organisasi atau membatasi layanan berdasarkan layanan. Wilayah AWS Kontrol pencegahan ini dapat mengurangi cakupan dampak jika pelaku ancaman berhasil berkompromi dan mengakses akun di organisasi Anda. Untuk informasi selengkapnya, lihat Kebijakan kontrol layanan dalam panduan ini.

Dampak terhadap aplikasi lain

Kontrol pencegahan dapat menegakkan penggunaan layanan dan fitur, seperti IAM, enkripsi, dan pencatatan, untuk memenuhi persyaratan keamanan aplikasi Anda. Anda juga dapat menggunakan kontrol ini untuk membantu melindungi terhadap kerentanan dengan membatasi tindakan yang dapat dieksploitasi oleh aktor ancaman karena kesalahan atau kesalahan konfigurasi yang tidak disengaja.

Teknologi

Kebijakan kontrol layanan

Dalam AWS Organizations, kebijakan kontrol layanan (SCP) menentukan izin maksimum yang tersedia untuk akun anggota dalam suatu organisasi. Kebijakan ini membantu akun tetap berada dalam pedoman kontrol akses organisasi. Perhatikan hal berikut saat mendesain SCP untuk organisasi Anda:

  • SCP adalah kontrol pencegahan karena mereka menentukan dan menegakkan izin maksimum yang diizinkan untuk peran IAM dan pengguna di akun anggota organisasi.

  • SCP hanya memengaruhi peran IAM dan pengguna di akun anggota organisasi. Itu tidak mempengaruhi pengguna dan peran dalam akun manajemen organisasi.

Anda dapat membuat SCP lebih terperinci dengan menentukan izin maksimum untuk masing-masing. Wilayah AWS

Batas izin IAM

Dalam AWS Identity and Access Management (IAM), batas izin digunakan untuk menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM (pengguna atau peran). Batas izin entitas memungkinkannya untuk melakukan hanya tindakan yang diizinkan oleh kebijakan berbasis identitas dan batas izinnya. Perhatikan hal berikut saat menggunakan batas izin:

  • Anda dapat menggunakan kebijakan AWS terkelola atau kebijakan yang dikelola pelanggan untuk menetapkan batas entitas IAM.

  • Batas izin tidak memberikan izin sendiri. Kebijakan batas izin membatasi izin yang diberikan kepada entitas IAM.

Hasil bisnis

Penghematan waktu

  • Dengan menambahkan otomatisasi setelah Anda mengatur kontrol pencegahan, Anda dapat mengurangi kebutuhan akan intervensi manual dan mengurangi frekuensi kesalahan.

  • Menggunakan batas izin sebagai kontrol pencegahan membantu tim keamanan dan IAM fokus pada tugas-tugas penting, seperti tata kelola dan dukungan.

Kepatuhan terhadap peraturan

  • Perusahaan mungkin perlu mematuhi peraturan internal atau industri. Ini mungkin pembatasan regional, pembatasan pengguna dan peran, atau pembatasan layanan. SCP dapat membantu Anda tetap patuh dan menghindari hukuman pelanggaran.

Pengurangan risiko

  • Dengan pertumbuhan, jumlah permintaan untuk membuat dan mengelola peran dan kebijakan baru meningkat. Menjadi lebih menantang untuk memahami konteks apa yang diperlukan untuk membuat izin secara manual untuk setiap aplikasi. Menetapkan kontrol pencegahan bertindak sebagai dasar dan membantu mencegah pengguna melakukan tindakan yang tidak diinginkan, bahkan jika mereka secara tidak sengaja diberi akses.

  • Menerapkan kontrol pencegahan untuk mengakses kebijakan menyediakan lapisan tambahan untuk membantu melindungi data dan aset.