Menafsirkan kembali strategi Esential Eight untuk cloud

Berikut ini adalah strategi mitigasi Essential Eight asli yang dirancang untuk jaringan Microsoft berbasis internet yang terhubung:

• Kontrol aplikasi

• Aplikasi tambalan

• Konfigurasikan Microsoft Office pengaturan makro

• Pengerasan aplikasi pengguna

• Batasi hak administratif

• Sistem operasi patch

• Autentikasi multi-faktor

• Pencadangan reguler

Penting untuk ditegaskan kembali bahwa kerangka Essential Eight tidak dirancang untuk lingkungan cloud. Namun, prinsip-prinsip yang mendasarinya berlaku, dan ada tumpang tindih antara strategi Esential Eight dan praktik terbaik AWS Well-Architected Framework.

Berbagai pendekatan cloud-native dapat meningkatkan keamanan dan secara dramatis mengurangi beban kepatuhan Anda. Di lingkungan lokal, Anda bertanggung jawab atas semua aspek keamanan, dan tidak ada kontrol yang diwariskan. Saat menjalankan beban kerja di cloud, AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan layanan kami. Anda juga dapat mengurangi beban kepatuhan Anda dengan menggunakan otomatisasi dan layanan terkelola. Layanan terkelola, juga dikenal sebagai layanan abstrak, yang Layanan AWS AWS mengoperasikan lapisan infrastruktur, sistem operasi, dan platform, dan Anda mengakses titik akhir untuk menyimpan dan mengambil data. Amazon Simple Storage Service (Amazon S3) dan Amazon DynamoDB adalah contoh layanan terkelola. Untuk informasi lebih lanjut, lihat Tema 1: Gunakan layanan terkelola bagian dalam panduan ini.

Oleh karena itu, beberapa reinterpretasi diperlukan untuk membuat strategi Esential Eight sesuai untuk beban kerja. AWS Panduan ini mengubah strategi Esential Eight menjadi AWS tema.

Menggunakan tema

Panduan ini dibagi menjadi delapan tema. Setiap strategi Essential Eight dipetakan ke satu atau lebih tema berikut, dan setiap tema dipetakan ke satu atau lebih praktik terbaik dalam Kerangka Well-Architected AWS :

• Tema 1: Gunakan layanan terkelola

• Tema 2: Mengelola infrastruktur yang tidak dapat diubah melalui jaringan pipa yang aman

• Tema 3: Kelola infrastruktur yang bisa berubah dengan otomatisasi

• Tema 4: Mengelola identitas

• Tema 5: Menetapkan perimeter data

• Tema 6: Mengotomatiskan cadangan

• Tema 7: Memusatkan pencatatan dan pemantauan

• Tema 8: Menerapkan mekanisme untuk proses manual

Setiap tema mencakup ikhtisar topik, praktik terbaik Kerangka Kerja AWS Well-Architected terkait, dan instruksi tentang cara mencapai kematangan Esential Eight dan memantau kepatuhan. Instruksi memberikan langkah-langkah manual atau membantu Anda mengonfigurasi otomatisasi dengan menggunakan AWS Config aturan. Langkah-langkah manual memerlukan mekanisme untuk memastikan bahwa temuan ditangani. Untuk informasi lebih lanjut, lihatTema 8: Menerapkan mekanisme untuk proses manual. AWS Config aturan memerlukan pengawasan atau otomatisasi serupa untuk memulihkan sumber daya yang tidak patuh. Dengan mengikuti panduan yang selaras dengan tema-tema ini, Anda dapat mencapai kematangan Esential Eight dengan pendekatan yang juga memaksimalkan manfaat cloud.

Menafsirkan kembali strategi Esential Eight untuk cloud

Karena kerangka Essential Eight tidak dirancang untuk lingkungan cloud, penting untuk mengambil pendekatan cloud-native saat menangani prinsip-prinsip dasar dari setiap strategi Essential Eight. Pendekatannya bervariasi tergantung pada dua pertanyaan kunci.

Layanan apa yang Anda gunakan?

AWS model tanggung jawab bersamaDapat membantu meringankan kepatuhan dan beban operasional Anda. Layanan terkelola mengalihkan lebih banyak tanggung jawab AWS untuk menjaga ketersediaan, kinerja, dan pengoptimalan keamanan layanan yang diterapkan. Layanan yang dikelola juga menghilangkan beban operasional dan administrasi dalam mempertahankan layanan, memberikan lebih banyak waktu untuk fokus pada inovasi.

Layanan terkelola mencakup layanan tanpa server, seperti Amazon API Gateway AWS Lambda, dan DynamoDB. Database di Amazon Relational Database Service (Amazon RDS) memerlukan tanggung jawab operasional yang lebih sedikit daripada database di Amazon Elastic Compute Cloud (Amazon). EC2

Misalnya, jika Anda mengadaptasi strategi sistem operasi Patch Essential Eight untuk cloud, Anda perlu mempertimbangkan layanan mana yang Anda gunakan dan apakah Anda bertanggung jawab untuk menambal sumber daya tersebut. AWS bertanggung jawab untuk menambal layanan yang dikelola sepenuhnya, seperti Lambda dan DynamoDB. Untuk layanan lain, seperti Amazon RDS atau Amazon Redshift, Anda mungkin perlu mengelola tambalan selama jendela pemeliharaan.

Model penerapan apa yang Anda gunakan?

Apakah organisasi Anda menggunakan pendekatan infrastruktur yang dapat berubah atau tidak dapat diubah?

Model infrastruktur yang dapat berubah memperbarui dan memodifikasi infrastruktur yang ada untuk beban kerja produksi. Ini adalah metode penerapan standar sebelum cloud, ketika mengganti infrastruktur server sangat mahal dan memakan waktu sehingga pendekatan yang paling praktis adalah menerapkan perubahan pada server yang sudah dalam produksi. Contoh pendekatan yang bisa berubah di cloud adalah menyebarkan perubahan aplikasi secara langsung ke EC2 instance yang berjalan, baik secara manual atau dengan menggunakan layanan penyebaran perangkat lunak, seperti AWS Systems Manager Run Command atau. AWS CodeDeploy

Model infrastruktur yang tidak dapat diubah menyebarkan infrastruktur baru untuk beban kerja produksi alih-alih memperbarui, menambal, atau memodifikasi infrastruktur yang ada. Contoh pendekatan yang tidak dapat diubah adalah mendefinisikan tumpukan aplikasi di atau. AWS CloudFormationAWS Cloud Development Kit (AWS CDK) Anda dapat menggunakan layanan ini untuk menyebarkan tumpukan aplikasi melalui pipeline continuous integration dan continuous delivery (CI/CD). Pendekatan ini menggunakan metode penerapan seperti rolling atau biru/hijau. Untuk informasi lebih lanjut tentang pendekatan ini, lihat praktik terbaik Deploy using immutable infrastructure in the AWS Well-Architected Framework.

Misalnya, jika Anda mengadaptasi strategi sistem operasi Patch Essential Eight untuk cloud, Anda perlu mempertimbangkan bagaimana patching berlaku untuk model penerapan. Untuk infrastruktur yang dapat berubah, Anda dapat menambal sumber daya secara manual atau dapat meningkatkan efisiensi operasional melalui otomatisasi. Jika Anda menggunakan infrastruktur yang tidak dapat diubah, maka Anda akan menggunakan CI/CD pipeline untuk menyebarkan infrastruktur baru dengan versi terbaru dari sistem operasi. Bahkan, istilah patching adalah keliru di bawah model ini karena infrastruktur akan diganti daripada ditambal.