Batasi hak administratif

Kontrol Esential Delapan	Panduan implementasi	AWS sumber daya	AWS Panduan Well-Architected
Permintaan untuk akses istimewa ke sistem dan aplikasi divalidasi saat pertama kali diminta.	Tema 4: Mengelola identitas: Menerapkan federasi identitas	Mewajibkan pengguna manusia untuk berfederasi dengan penyedia identitas untuk mengakses AWS dengan menggunakan kredensi sementara	SEC02-BP04 Mengandalkan penyedia identitas tersentralisasi SEC03-BP01 Menetapkan persyaratan akses
Akses istimewa ke sistem dan aplikasi dinonaktifkan secara otomatis setelah 12 bulan kecuali divalidasi ulang.	Tema 4: Mengelola identitas: Menerapkan federasi identitas	Mewajibkan pengguna manusia untuk berfederasi dengan penyedia identitas untuk mengakses AWS dengan menggunakan kredensi sementara	SEC02-BP04 Mengandalkan penyedia identitas tersentralisasi
	Tema 4: Mengelola identitas: Putar kredensi	Memerlukan beban kerja untuk menggunakan peran IAM untuk mengakses AWS Mengotomatiskan penghapusan peran IAM yang tidak digunakan Putar kunci akses secara teratur untuk kasus penggunaan yang memerlukan kredensil jangka panjang AWS Summit ANZ 2023: Perjalanan Anda menuju kredensil sementara di cloud (YouTube video)	SEC02-BP05 Melakukan audit dan rotasi kredensial secara berkala
Akses istimewa ke sistem dan aplikasi dinonaktifkan secara otomatis setelah 45 hari tidak aktif.	Tema 4: Mengelola identitas: Menerapkan federasi identitas Tema 4: Mengelola identitas: Putar kredensi	Mewajibkan pengguna manusia untuk berfederasi dengan penyedia identitas untuk mengakses AWS dengan menggunakan kredensi sementara Memerlukan beban kerja untuk menggunakan peran IAM untuk mengakses AWS Mengotomatiskan penghapusan peran IAM yang tidak digunakan Putar kunci akses secara teratur untuk kasus penggunaan yang memerlukan kredensil jangka panjang AWS Summit ANZ 2023: Perjalanan Anda menuju kredensil sementara di cloud (YouTube video)	SEC02-BP04 Mengandalkan penyedia identitas tersentralisasi SEC02-BP05 Melakukan audit dan rotasi kredensial secara berkala
Akses istimewa ke sistem dan aplikasi terbatas hanya pada apa yang diperlukan bagi pengguna dan layanan untuk menjalankan tugas mereka.	Tema 4: Mengelola identitas: Terapkan izin hak istimewa paling sedikit	Lindungi kredensil pengguna root Anda dan jangan menggunakannya untuk tugas sehari-hari Gunakan IAM Access Analyzer untuk menghasilkan kebijakan hak istimewa paling sedikit berdasarkan aktivitas akses Verifikasi akses publik dan lintas akun ke sumber daya dengan IAM Access Analyzer Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk izin yang aman dan fungsional Menetapkan pagar pembatas izin di beberapa akun Gunakan batas izin untuk menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas Gunakan ketentuan dalam kebijakan IAM untuk membatasi akses lebih lanjut Secara teratur meninjau dan menghapus pengguna, peran, izin, kebijakan, dan kredensil yang tidak digunakan Memulai kebijakan AWS terkelola dan beralih ke izin dengan hak istimewa paling sedikit Gunakan fitur set izin di IAM Identity Center	SEC01-BP02 Pengguna root akun aman dan properti SEC03-BP02 Memberikan hak akses paling rendah
Akun istimewa dicegah mengakses internet, email, dan layanan web.	Lihat Contoh teknis: Batasi hak administratif (situs web ACSC)	Pertimbangkan untuk menerapkan SCP yang mencegah VPC apa pun yang belum memiliki akses internet mendapatkannya	Tidak berlaku
Pengguna istimewa menggunakan lingkungan operasi istimewa dan tidak memiliki hak istimewa yang terpisah.	Tema 5: Menetapkan perimeter data	Membuat perimeter data. Pertimbangkan untuk menerapkan batas data antara lingkungan dengan klasifikasi data yang berbeda, seperti OFFICIAL:SENSITIVE atauPROTECTED, atau tingkat risiko yang berbeda, seperti pengembangan, pengujian, atau produksi.	SEC06-BP03 Kurangi manajemen manual dan akses interaktif
Lingkungan operasi istimewa tidak tervirtualisasi dalam lingkungan operasi yang tidak memiliki hak istimewa.
Akun yang tidak memiliki hak istimewa tidak dapat masuk ke lingkungan operasi yang memiliki hak istimewa.
Akun istimewa (tidak termasuk akun administrator lokal) tidak dapat masuk ke lingkungan operasi yang tidak memiliki hak istimewa.
Just-in-time administrasi digunakan untuk mengelola sistem dan aplikasi.	Tema 4: Mengelola identitas: Menerapkan federasi identitas	Mewajibkan pengguna manusia untuk berfederasi dengan penyedia identitas untuk mengakses AWS dengan menggunakan kredensi sementara Menerapkan akses sementara yang ditinggikan ke AWS lingkungan Anda (posting AWS blog)	SEC02-BP04 Mengandalkan penyedia identitas tersentralisasi
Kegiatan administratif dilakukan melalui server lompat.	Tema 1: Gunakan layanan terkelola Tema 3: Kelola infrastruktur yang bisa berubah dengan otomatisasi: Gunakan otomatisasi daripada proses manual	Gunakan Session Manager atau Run Command alih-alih akses SSH atau RDP langsung	SEC01-BP05 Mengurangi ruang lingkup manajemen keamanan SEC06-BP03 Kurangi manajemen manual dan akses interaktif
Kredensi untuk akun administrator lokal dan akun layanan unik, tidak dapat diprediksi, dan dikelola.	Lihat Contoh teknis: Batasi hak administratif (situs web ACSC)	Tidak berlaku	Tidak berlaku
Windows Defender Credential Guard and Windows Defender Remote Credential Guard diaktifkan.
Penggunaan akses istimewa dicatat secara terpusat dan dilindungi dari modifikasi dan penghapusan yang tidak sah, dipantau untuk tanda-tanda kompromi, dan ditindaklanjuti ketika peristiwa keamanan cyber terdeteksi.	Tema 7: Memusatkan logging dan monitoring: Aktifkan pencatatan Tema 7: Memusatkan logging dan monitoring: Memusatkan log	Gunakan CloudWatch Agen untuk mempublikasikan log tingkat OS ke Log CloudWatch Aktifkan CloudTrail untuk organisasi Anda Sentralisasi CloudWatch Log dalam akun untuk audit dan analisis (AWS posting blog) Memusatkan manajemen Amazon Inspector Memusatkan manajemen Security Hub Buat agregator seluruh organisasi di AWS Config(posting blog)AWS Memusatkan manajemen GuardDuty Pertimbangkan untuk menggunakan Amazon Security Lake Menerima CloudTrail log dari beberapa akun Kirim log ke akun arsip log	SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi SEC04-BP02 Tangkap log, temuan, dan metrik di lokasi standar
Perubahan pada akun dan grup istimewa dicatat secara terpusat dan dilindungi dari modifikasi dan penghapusan yang tidak sah, dipantau untuk tanda-tanda kompromi, dan ditindaklanjuti ketika peristiwa keamanan cyber terdeteksi.