Pilar keamanan - AWS Bimbingan Preskriptif
Menerapkan keamanan dataAmankan jaringan AndaMenerapkan otentikasi dan otorisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pilar keamanan

Keamanan cloud adalah prioritas tertinggi di AWS. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan. Keamanan adalah tanggung jawab bersama antara Anda dan AWS. Model tanggung jawab bersama menggambarkan hal ini sebagai keamanan dari cloud dan keamanan di cloud:

  • Keamanan cloud — AWS bertanggung jawab untuk melindungi infrastruktur yang berjalan Layanan AWS di dalamnya AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas AWS keamanan sebagai bagian dari program AWS kepatuhan. Untuk mempelajari tentang program kepatuhan yang berlaku untuk Neptunus, AWS lihat Layanan dalam Lingkup berdasarkan Program Kepatuhan.

  • Keamanan di cloud — Tanggung jawab Anda ditentukan oleh Layanan AWS yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, termasuk sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku. Untuk informasi selengkapnya tentang privasi data, lihat Privasi Data FAQs. Untuk informasi tentang perlindungan data di Eropa, lihat Model Tanggung Jawab AWS Bersama dan posting blog GDPR.

Pilar keamanan dari AWS Well-Architected Framework membantu Anda memahami cara menerapkan model tanggung jawab bersama saat Anda menggunakan Neptunus Analytics. Topik berikut menjelaskan cara mengonfigurasi Neptunus Analytics untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan yang lain Layanan AWS yang membantu Anda memantau dan mengamankan sumber daya Neptunus Analytics Anda. Pilar keamanan mencakup area fokus utama berikut:

  • Keamanan data

  • Keamanan jaringan

  • Autentikasi dan otorisasi

Menerapkan keamanan data

Kebocoran data dan pelanggaran menempatkan pelanggan Anda pada risiko dan dapat menyebabkan dampak negatif yang besar pada perusahaan Anda. Praktik terbaik berikut membantu melindungi data pelanggan Anda dari paparan yang tidak disengaja dan berbahaya:

  • Nama grafik, tag, peran IAM, dan metadata lainnya tidak boleh berisi informasi rahasia atau sensitif, karena data tersebut mungkin muncul di log penagihan atau diagnostik.

  • URIs atau tautan ke server eksternal yang disimpan sebagai data di Neptunus tidak boleh berisi informasi kredensi untuk memvalidasi permintaan.

  • Grafik Neptunus Analytics dienkripsi saat istirahat. Anda dapat menggunakan kunci default atau kunci AWS Key Management Service (AWS KMS) yang Anda pilih untuk mengenkripsi grafik. Anda juga dapat mengenkripsi snapshot dan data yang diekspor ke Amazon S3 selama impor massal. Anda dapat menghapus enkripsi saat impor selesai.

  • Saat Anda menggunakan bahasa OpenCypher, praktikkan validasi input dan teknik parameterisasi yang tepat untuk mencegah injeksi SQL dan bentuk serangan lainnya. Hindari membuat kueri yang menggunakan penggabungan string dengan input yang disediakan pengguna. Gunakan kueri berparameter atau pernyataan yang disiapkan untuk meneruskan parameter input dengan aman ke database grafik. Untuk informasi selengkapnya, lihat Contoh kueri parameter OpenCypher dalam dokumentasi Neptunus.

Amankan jaringan Anda

Anda dapat mengaktifkan grafik Neptunus Analytics untuk konektivitas publik sehingga dapat dijangkau dari luar virtual private cloud (VPC). Konektivitas ini dinonaktifkan secara default. Grafik membutuhkan otentikasi IAM. Penelepon harus mendapatkan identitas dan memiliki izin untuk menggunakan grafik. Misalnya, untuk menjalankan kueri OpenCypher, penelepon harus membaca, menulis, atau menghapus izin pada grafik tertentu.

Anda juga dapat membuat titik akhir pribadi untuk grafik untuk mengakses grafik dari dalam VPC. Saat Anda membuat titik akhir, Anda menentukan VPC, subnet, dan grup keamanan untuk membatasi akses untuk memanggil grafik.

Untuk melindungi data Anda dalam perjalanan, Neptune Analytics memberlakukan koneksi SSL melalui HTTPS ke grafik. Untuk informasi selengkapnya, lihat Perlindungan data di Neptunus Analytics dalam dokumentasi Neptunus Analytics.

Menerapkan otentikasi dan otorisasi

Panggilan ke grafik Neptunus Analytics memerlukan otentikasi IAM. Penelepon harus mendapatkan identitas dan memiliki izin yang cukup untuk melakukan tindakan pada grafik. Untuk deskripsi tindakan API dan izin yang diperlukan, lihat dokumentasi Neptune Analytics API. Anda dapat menerapkan pemeriksaan kondisi untuk membatasi akses berdasarkan tag.

Autentikasi IAM menggunakan protokol AWS Signature Version 4 (SiGv4). Untuk menyederhanakan penggunaan dari aplikasi Anda, kami sarankan Anda menggunakan AWS SDK. Misalnya, dengan Python, gunakan klien Boto3 untuk Grafik Neptunus, yang mengabstraksi SigV4.

Saat Anda memuat data ke dalam grafik, pemuatan batch menggunakan kredenal IAM pemanggil. Penelepon harus memiliki izin untuk mengunduh data dari Amazon S3 dengan hubungan kepercayaan yang diatur sehingga Neptunus Analytics dapat mengambil peran untuk memuat data ke dalam grafik dari file Amazon S3.

Impor massal dapat dilakukan baik selama pembuatan grafik (oleh tim infrastruktur) atau pada grafik kosong yang ada (oleh tim rekayasa data yang memiliki izin untuk memulai tugas impor). Dalam kedua kasus tersebut, Neptune Analytics mengasumsikan peran IAM yang diberikan penelepon sebagai input. Peran ini memberikan izin untuk membaca dan mencantumkan konten folder Amazon S3 tempat data input dipentaskan.