Rekomendasi kontrol keamanan untuk melindungi data

AWS Well-Architected Framework mengelompokkan praktik terbaik untuk melindungi data ke dalam tiga kategori: klasifikasi data, melindungi data saat istirahat, dan melindungi data saat transit. Kontrol keamanan di bagian ini dapat membantu Anda menerapkan praktik terbaik untuk perlindungan data. Praktik terbaik dasar ini harus ada sebelum Anda merancang beban kerja apa pun di cloud. Mereka mencegah kesalahan penanganan data, dan membantu Anda memenuhi kewajiban organisasi, peraturan, dan kepatuhan. Gunakan kontrol keamanan di bagian ini untuk menerapkan praktik terbaik untuk perlindungan data.

Mengidentifikasi dan mengklasifikasikan data pada tingkat beban kerja

Klasifikasi data adalah proses untuk mengidentifikasi dan mengkategorikan data dalam jaringan Anda berdasarkan kekritisan dan sensitivitasnya. Ini adalah komponen penting dari setiap strategi manajemen risiko keamanan siber karena membantu Anda menentukan perlindungan dan kontrol retensi yang tepat untuk data. Klasifikasi data sering mengurangi frekuensi duplikasi data. Ini dapat mengurangi biaya penyimpanan dan cadangan dan mempercepat pencarian.

Kami menyarankan Anda memahami jenis dan klasifikasi data yang diproses oleh beban kerja Anda, proses bisnis terkait, tempat data disimpan, dan siapa yang memiliki data tersebut. Klasifikasi data membantu pemilik beban kerja untuk mengidentifikasi lokasi yang menyimpan data sensitif dan menentukan bagaimana data tersebut harus diakses dan dibagikan. Tag adalah pasangan nilai kunci yang bertindak sebagai metadata untuk mengatur sumber daya. AWS Tag dapat membantu mengelola, mengidentifikasi, mengatur, mencari, dan memfilter sumber daya.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Klasifikasi data dalam AWS Whitepaper

• Identifikasi data dalam beban kerja Anda di AWS Well-Architected Framework

Menetapkan kontrol untuk setiap tingkat klasifikasi data

Tentukan kontrol perlindungan data untuk setiap tingkat klasifikasi. Misalnya, gunakan kontrol yang disarankan untuk mengamankan data yang diklasifikasikan sebagai publik, dan melindungi data sensitif dengan kontrol tambahan. Gunakan mekanisme dan alat yang mengurangi atau menghilangkan kebutuhan untuk langsung mengakses atau memproses data secara manual. Otomatisasi identifikasi dan klasifikasi data mengurangi risiko kesalahan klasifikasi, kesalahan penanganan, modifikasi, atau kesalahan manusia.

Misalnya, pertimbangkan untuk menggunakan Amazon Macie untuk memindai bucket Amazon Simple Storage Service (Amazon S3) untuk mencari data sensitif, seperti informasi identitas pribadi (PII). Selain itu, Anda dapat mengotomatiskan deteksi akses data yang tidak diinginkan dengan menggunakan VPC Flow Logs di Amazon Virtual Private Cloud (Amazon VPC).

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Tentukan kontrol perlindungan data dalam AWS Well-Architected Framework

• Mengotomatiskan identifikasi dan klasifikasi dalam AWS Well-Architected Framework

• AWS Arsitektur Referensi Privasi (AWS PRA) dalam Panduan AWS Preskriptif

• Menemukan data sensitif dengan Amazon Macie dalam dokumentasi Macie

• Mencatat lalu lintas IP menggunakan VPC Flow Logs dalam dokumentasi Amazon VPC

• Teknik umum untuk mendeteksi data PHI dan PII yang digunakan Layanan AWS di blog AWS for Industries

Enkripsi data saat istirahat

Data saat istirahat adalah data yang stasioner di jaringan Anda, seperti data yang ada di penyimpanan. Menerapkan enkripsi dan kontrol akses yang tepat untuk data saat istirahat membantu mengurangi risiko akses yang tidak sah. Enkripsi adalah proses komputasi yang mengubah data plaintext, yang dapat dibaca manusia, menjadi ciphertext. Anda memerlukan kunci enkripsi untuk mendekripsi konten kembali ke teks biasa sehingga dapat digunakan. Di dalam AWS Cloud, Anda dapat menggunakan AWS Key Management Service (AWS KMS) untuk membuat dan mengontrol kunci kriptografi yang membantu melindungi data Anda.

Sebagaimana dibahas dalamMenetapkan kontrol untuk setiap tingkat klasifikasi data, kami menyarankan untuk membuat kebijakan yang menentukan jenis data apa yang memerlukan enkripsi. Sertakan kriteria bagaimana menentukan data mana yang harus dienkripsi dan data mana yang harus dilindungi dengan teknik lain, seperti tokenisasi atau hashing.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Mengkonfigurasi enkripsi default dalam dokumentasi Amazon S3

• Enkripsi secara default untuk volume EBS baru dan salinan snapshot dalam dokumentasi Amazon EC2

• Mengenkripsi sumber daya Amazon Aurora dalam dokumentasi Amazon Aurora

• Pengantar rincian kriptografi AWS KMS dalam dokumentasi AWS KMS

• Membuat strategi enkripsi perusahaan untuk data saat istirahat di Panduan AWS Preskriptif

• Menerapkan enkripsi saat istirahat di AWS Well-Architected Framework

• Untuk informasi selengkapnya tentang enkripsi secara spesifik Layanan AWS, lihat AWS dokumentasi untuk layanan tersebut

Enkripsi data dalam perjalanan

Data dalam transit adalah data yang secara aktif bergerak melalui jaringan Anda, seperti antar sumber daya jaringan. Enkripsi semua data dalam perjalanan dengan menggunakan protokol TLS aman dan cipher suite. Lalu lintas jaringan antara sumber daya dan internet harus dienkripsi untuk membantu mencegah akses tidak sah ke data. Jika memungkinkan, gunakan TLS untuk mengenkripsi lalu lintas jaringan dalam lingkungan internal AWS Anda.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Memerlukan HTTPS untuk komunikasi antara CloudFront pemirsa dan dalam CloudFront dokumentasi Amazon

• Dokumentasi AWS PrivateLink

• Menerapkan enkripsi dalam perjalanan di Kerangka AWS Well-Architected

• Untuk informasi selengkapnya tentang enkripsi secara spesifik Layanan AWS, lihat AWS dokumentasi untuk layanan tersebut

Blokir akses publik ke snapshot Amazon EBS

Amazon Elastic Block Store (Amazon EBS) menyediakan volume penyimpanan tingkat blok untuk digunakan dengan instans Amazon Elastic Compute Cloud (Amazon). EC2 Anda dapat mencadangkan data pada volume Amazon EBS Anda ke Amazon S3 dengan point-in-time mengambil snapshot. Anda dapat berbagi snapshot secara publik dengan semua yang lain Akun AWS, atau Anda dapat membagikannya secara pribadi dengan individu Akun AWS yang Anda tentukan.

Kami menyarankan Anda untuk tidak membagikan snapshot Amazon EBS secara publik. Ini mungkin secara tidak sengaja mengekspos data sensitif. Saat Anda membagikan snapshot, Anda memberi orang lain akses ke data dalam snapshot. Bagikan snapshot hanya dengan orang yang Anda percayai dengan semua data ini.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Bagikan snapshot di dokumentasi Amazon EC2

• Snapshot Amazon EBS tidak boleh dipulihkan secara publik dalam dokumentasi AWS Security Hub

• ebs-snapshot-public-restorable-periksa di dokumentasi AWS Config

Blokir akses publik ke snapshot Amazon RDS

Amazon Relational Database Service (Amazon RDS) membantu Anda menyiapkan, mengoperasikan, dan menskalakan database relasional di. AWS Cloud Amazon RDS membuat dan menyimpan pencadangan otomatis instans database (DB) atau cluster DB multi-AZ selama jendela pencadangan instans DB Anda. Amazon RDS membuat cuplikan volume penyimpanan instans basis data Anda, sehingga mencadangkan seluruh instans basis data dan bukan hanya masing-masing basis data. Anda dapat membagikan snapshot manual untuk tujuan menyalin snapshot atau memulihkan instans DB darinya.

Jika Anda membagikan snapshot sebagai publik, pastikan tidak ada data dalam snapshot yang bersifat pribadi atau sensitif. Ketika snapshot dibagikan secara publik, itu memberikan semua Akun AWS izin untuk mengakses data. Hal ini dapat mengakibatkan eksposur data yang tidak diinginkan dalam instans Amazon RDS Anda.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Berbagi snapshot DB dalam dokumentasi Amazon RDS

• rds-snapshots-public-prohibiteddalam AWS Config dokumentasi

• Snapshot RDS harus bersifat pribadi dalam dokumentasi Security Hub

Blokir akses publik ke Amazon RDS, Amazon Redshift, dan sumber daya AWS DMS

Anda dapat mengonfigurasi instans Amazon RDS DB, kluster Amazon Redshift, AWS Database Migration Service dan instans replikasi AWS DMS() agar dapat diakses publik. Jika nilai publiclyAccessible bidangnyatrue, maka sumber daya ini dapat diakses publik. Memungkinkan akses publik dapat mengakibatkan lalu lintas, paparan, atau kebocoran data yang tidak perlu. Kami menyarankan Anda untuk tidak mengizinkan akses publik ke sumber daya ini.

Sebaiknya aktifkan AWS Config aturan atau kontrol Security Hub untuk mendeteksi apakah instans Amazon RDS DB, instans AWS DMS replikasi, atau kluster Amazon Redshift mengizinkan akses publik.

catatan

Pengaturan akses publik untuk instance AWS DMS replikasi tidak dapat dimodifikasi setelah instance disediakan. Untuk mengubah pengaturan akses publik, hapus instance saat ini dan kemudian buat ulang. Saat Anda membuatnya ulang, jangan pilih opsi yang dapat diakses publik.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• AWS DMS instance replikasi tidak boleh bersifat publik dalam dokumentasi Security Hub

• Instans RDS DB harus melarang akses publik dalam dokumentasi Security Hub

• Cluster Amazon Redshift harus melarang akses publik dalam dokumentasi Security Hub

• rds-instance-public-access-periksa di dokumentasi AWS Config

• dms-replication-not-publicdalam AWS Config dokumentasi

• redshift-cluster-public-access-periksa di dokumentasi AWS Config

• Memodifikasi instans Amazon RDS DB dalam dokumentasi Amazon RDS

• Memodifikasi cluster dalam dokumentasi Amazon Redshift

Blokir akses publik ke bucket Amazon S3

Ini adalah praktik terbaik keamanan Amazon S3 untuk memastikan bahwa bucket Anda tidak dapat diakses publik. Kecuali Anda secara eksplisit mengharuskan siapa pun di internet untuk dapat membaca atau menulis ke ember Anda, pastikan ember Anda tidak publik. Ini membantu melindungi integritas dan keamanan data. Anda dapat menggunakan AWS Config aturan dan kontrol Security Hub untuk mengonfirmasi bahwa bucket Amazon S3 Anda sesuai dengan praktik terbaik ini.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Praktik terbaik keamanan Amazon S3 dalam dokumentasi Amazon S3

• Pengaturan Akses Publik Blok S3 harus diaktifkan dalam dokumentasi Security Hub

• Bucket S3 harus melarang akses baca publik dalam dokumentasi Security Hub

• Bucket S3 harus melarang akses tulis publik dalam dokumentasi Security Hub

• s3- bucket-public-read-prohibited aturan dalam dokumentasi AWS Config

• s3- bucket-public-write-prohibited dalam dokumentasi AWS Config

Memerlukan MFA untuk menghapus data di bucket Amazon S3 yang penting

Saat bekerja dengan Penentuan Versi S3 di bucket Amazon S3, Anda dapat secara opsional menambahkan lapisan keamanan lainnya dengan mengonfigurasi bucket untuk mengaktifkan Penghapusan MFA (autentikasi multi-faktor). Saat melakukannya, pemilik bucket harus menyertakan dua bentuk autentikasi dalam setiap permintaan untuk menghapus sebuah versi atau mengubah status Penentuan Versi bucket. Kami menyarankan Anda mengaktifkan fitur ini untuk bucket yang berisi data yang penting bagi organisasi Anda. Ini dapat mencegah penghapusan bucket dan data yang tidak disengaja.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Mengkonfigurasi penghapusan MFA dalam dokumentasi Amazon S3

Konfigurasikan domain OpenSearch Layanan Amazon di VPC

Amazon OpenSearch Service adalah layanan terkelola yang membantu Anda menerapkan, mengoperasikan, dan menskalakan OpenSearch cluster di. AWS Cloud OpenSearch Layanan Amazon mendukung OpenSearch dan warisan Elasticsearch perangkat lunak sumber terbuka (OSS). Domain OpenSearch Layanan Amazon yang digunakan dalam VPC dapat berkomunikasi dengan sumber daya VPC melalui AWS jaringan pribadi, tanpa perlu melintasi internet publik. Konfigurasi ini meningkatkan postur keamanan Anda dengan membatasi akses ke data dalam perjalanan. Kami menyarankan agar Anda tidak melampirkan domain OpenSearch Layanan Amazon ke subnet publik dan VPC dikonfigurasi sesuai dengan praktik terbaik.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Meluncurkan domain OpenSearch Layanan Amazon Anda dalam VPC di dokumentasi Layanan Amazon OpenSearch

• opensearch-in-vpc-onlydalam AWS Config dokumentasi

• OpenSearch domain harus dalam VPC dalam dokumentasi Security Hub

Konfigurasikan peringatan untuk penghapusan AWS KMS key

AWS Key Management Service (AWS KMS) kunci tidak dapat dipulihkan setelah dihapus. Jika kunci KMS dihapus, data yang masih dienkripsi di bawah kunci itu tidak dapat dipulihkan secara permanen. Jika Anda perlu mempertahankan akses ke data, sebelum Anda menghapus kunci, Anda harus mendekripsi data atau mengenkripsi ulang dengan kunci KMS baru. Anda harus menghapus kunci KMS hanya ketika Anda yakin bahwa Anda tidak perlu menggunakannya lagi.

Kami menyarankan Anda mengonfigurasi CloudWatch alarm Amazon yang memberi tahu Anda jika seseorang memulai penghapusan kunci KMS. Karena merusak dan berpotensi berbahaya untuk menghapus kunci KMS, AWS KMS mengharuskan Anda menetapkan masa tunggu dan menjadwalkan penghapusan dalam 7-30 hari. Ini memberikan kesempatan untuk meninjau penghapusan yang dijadwalkan dan membatalkannya, jika perlu.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Menjadwalkan dan membatalkan penghapusan kunci dalam dokumentasi AWS KMS

• Membuat alarm yang mendeteksi penggunaan kunci KMS tertunda penghapusan dalam dokumentasi AWS KMS

• AWS KMS keys tidak boleh dihapus secara tidak sengaja dalam dokumentasi Security Hub

Blokir akses publik ke AWS KMS keys

Kebijakan utama adalah cara utama untuk mengontrol akses ke AWS KMS keys. Setiap kunci KMS memiliki persis satu kebijakan utama. Mengizinkan akses anonim ke kunci KMS dapat menyebabkan kebocoran data sensitif. Kami menyarankan Anda mengidentifikasi kunci KMS yang dapat diakses publik dan memperbarui kebijakan aksesnya untuk mencegah permintaan yang tidak ditandatangani yang dibuat untuk sumber daya ini.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Praktik terbaik keamanan untuk AWS Key Management Service dalam AWS KMS dokumentasi

• Mengubah kebijakan utama dalam AWS KMS dokumentasi

• Menentukan akses ke AWS KMS keys dalam AWS KMS dokumentasi

Konfigurasikan pendengar penyeimbang beban untuk menggunakan protokol aman

Elastic Load Balancing secara otomatis mendistribusikan lalu lintas aplikasi yang masuk ke beberapa target. Anda mengkonfigurasi load balncer Anda untuk menerima lalu lintas masuk dengan menentukan satu atau lebihpendengar. Listener adalah proses yang memeriksa permintaan koneksi, menggunakan protokol dan port yang Anda konfigurasikan. Setiap jenis load balancer mendukung protokol dan port yang berbeda:

• Application Load Balancers membuat keputusan routing di lapisan aplikasi dan menggunakan protokol HTTP atau HTTPS.

• Network Load Balancers membuat keputusan routing di lapisan transport dan menggunakan protokol TCP, TLS, UDP, atau TCP_UDP.

• Classic Load Balancer membuat keputusan routing baik pada lapisan transport (dengan menggunakan protokol TCP atau SSL) atau pada lapisan aplikasi (dengan menggunakan protokol HTTP atau HTTPS).

Kami menyarankan Anda selalu menggunakan protokol HTTPS atau TLS. Protokol ini memastikan bahwa penyeimbang beban bertanggung jawab untuk mengenkripsi dan mendekripsi lalu lintas antara klien dan target.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Listener untuk Application Load Balancers Anda dalam dokumentasi Elastic Load Balancing

• Pendengar untuk Classic Load Balancer Anda dalam dokumentasi Elastic Load Balancing

• Pendengar untuk Network Load Balancer Anda dalam dokumentasi Elastic Load Balancing

• Pastikan penyeimbang AWS beban menggunakan protokol pendengar yang aman di Panduan Preskriptif AWS

• elb-tls-https-listeners-hanya dalam dokumentasi AWS Config

• Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS dalam dokumentasi Security Hub

• Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS dalam dokumentasi Security Hub