Rekomendasi kontrol keamanan untuk melindungi infrastruktur

Perlindungan infrastruktur adalah bagian penting dari program keamanan apa pun. Ini mencakup metodologi kontrol yang membantu Anda melindungi jaringan dan menghitung sumber daya. Contoh perlindungan infrastruktur termasuk batas kepercayaan, defense-in-depth pendekatan, pengerasan keamanan, manajemen patch, dan otentikasi dan otorisasi sistem operasi. Untuk informasi lebih lanjut, lihat Perlindungan infrastruktur di AWS Well-Architected Framework. Kontrol keamanan di bagian ini dapat membantu Anda menerapkan praktik terbaik untuk perlindungan infrastruktur.

Tentukan objek root default untuk CloudFront distribusi

Amazon CloudFront mempercepat distribusi konten web Anda dengan mengirimkannya melalui jaringan pusat data di seluruh dunia, yang menurunkan latensi dan meningkatkan kinerja. Jika Anda tidak menentukan objek akar default, mintalah akar pas distribusi Anda ke server asal Anda. Jika Anda menggunakan asal Amazon Simple Storage Service (Amazon S3), permintaan tersebut dapat menampilkan daftar konten di bucket S3 atau daftar konten pribadi asal Anda. Menentukan objek root default membantu Anda menghindari mengekspos konten distribusi Anda.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Menentukan objek root default dalam dokumentasi CloudFront

Pindai kode aplikasi untuk mengidentifikasi masalah keamanan umum

The AWS Well-Architected Framework merekomendasikan agar Anda memindai pustaka dan dependensi untuk masalah dan cacat. Ada banyak alat analisis kode sumber yang dapat Anda gunakan untuk memindai kode sumber. Misalnya, Amazon CodeGuru dapat memindai masalah keamanan umum di Java atau Python aplikasi dan memberikan rekomendasi untuk remediasi.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• CodeGuru dokumentasi

• Alat analisis kode sumber di OWASP Foundation situs web

• Lakukan manajemen kerentanan dalam AWS Well-Architected Framework

Buat layer jaringan dengan menggunakan dedicated VPCs dan subnet

AWS Well-Architected Framework merekomendasikan agar Anda mengelompokkan komponen yang berbagi persyaratan sensitivitas ke dalam lapisan. Ini meminimalkan potensi ruang lingkup dampak akses yang tidak sah. Misalnya, cluster database yang tidak memerlukan akses internet harus ditempatkan di subnet pribadi VPC-nya untuk memastikan bahwa tidak ada rute ke atau dari internet.

AWS menawarkan banyak layanan yang dapat membantu Anda menguji dan mengidentifikasi jangkauan publik. Misalnya, Reachability Analyzer adalah alat analisis konfigurasi yang membantu Anda menguji konektivitas antara sumber dan sumber daya tujuan di situs Anda. VPCs Selain itu, Network Access Analyzer dapat membantu Anda mengidentifikasi akses jaringan yang tidak diinginkan ke sumber daya.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Buat layer jaringan di AWS Well-Architected Framework

• Dokumentasi Reachability Analyzer

• Dokumentasi Network Access Analyzer

• Buat subnet di dokumentasi Amazon Virtual Private Cloud (Amazon VPC)

Batasi lalu lintas masuk hanya ke port resmi

Akses tidak terbatas, seperti lalu lintas dari alamat IP 0.0.0.0/0 sumber, meningkatkan risiko aktivitas berbahaya, seperti peretasan, serangan ( denial-of-serviceDoS), dan hilangnya data. Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port terkenal, seperti SSH dan Windows protokol desktop jarak jauh (RDP). Untuk lalu lintas masuk, di grup keamanan Anda, izinkan hanya koneksi TCP atau UDP pada port resmi. Untuk menghubungkan ke instans Amazon Elastic Compute Cloud (Amazon EC2), gunakan Session Manager atau Run Command alih-alih akses SSH atau RDP langsung.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Bekerja dengan grup keamanan dalam EC2 dokumentasi Amazon

• Kontrol lalu lintas ke AWS sumber daya Anda menggunakan grup keamanan dalam dokumentasi Amazon VPC

Blokir akses publik ke dokumen Systems Manager

Kecuali kasus penggunaan Anda mengharuskan berbagi publik diaktifkan, praktik AWS Systems Manager terbaik menyarankan Anda memblokir berbagi publik untuk dokumen Systems Manager. Berbagi publik dapat memberikan akses yang tidak diinginkan ke dokumen. Dokumen Systems Manager publik dapat mengekspos informasi berharga dan sensitif tentang akun, sumber daya, dan proses internal Anda.

 Untuk informasi selengkapnya, lihat sumber daya berikut:

• Praktik terbaik untuk dokumen Systems Manager bersama dalam dokumentasi Systems Manager

• Memodifikasi izin untuk dokumen Systems Manager bersama dalam dokumentasi Systems Manager

Blokir akses publik ke fungsi Lambda

AWS Lambdaadalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Fungsi Lambda tidak boleh diakses publik karena ini memungkinkan akses yang tidak diinginkan ke kode fungsi.

Kami menyarankan Anda mengonfigurasi kebijakan berbasis sumber daya untuk fungsi Lambda untuk menolak akses dari luar akun Anda. Anda dapat mencapai ini dengan menghapus izin atau dengan menambahkan AWS:SourceAccount kondisi ke pernyataan yang memungkinkan akses. Anda dapat memperbarui kebijakan berbasis sumber daya untuk fungsi Lambda melalui API Lambda atau (). AWS Command Line Interface AWS CLI

Kami juga menyarankan agar Anda mengaktifkan kebijakan fungsi Lambda [Lambda.1] harus melarang kontrol akses publik. AWS Security Hub Kontrol ini memvalidasi bahwa kebijakan berbasis sumber daya untuk fungsi Lambda melarang akses publik.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• AWS Lambda kontrol dalam dokumentasi Security Hub

• Menggunakan kebijakan berbasis sumber daya untuk Lambda dalam dokumentasi Lambda

• Sumber daya dan kondisi untuk tindakan Lambda dalam dokumentasi Lambda

Batasi lalu lintas masuk dan keluar di grup keamanan default

Jika Anda tidak mengaitkan grup keamanan khusus saat menyediakan AWS sumber daya, sumber daya tersebut dikaitkan dengan grup keamanan default VPC. Aturan default untuk grup keamanan ini memungkinkan semua lalu lintas masuk dari semua sumber daya yang ditetapkan ke grup keamanan ini, dan mereka mengizinkan semua keluar IPv4 dan IPv6 lalu lintas. Ini mungkin memungkinkan lalu lintas yang tidak diinginkan ke sumber daya.

AWS merekomendasikan agar Anda tidak menggunakan grup keamanan default. Sebagai gantinya, buat grup keamanan khusus untuk sumber daya atau grup sumber daya tertentu.

Karena grup keamanan default tidak dapat dihapus, sebaiknya Anda mengubah aturan grup keamanan default untuk membatasi lalu lintas masuk dan keluar. Saat mengonfigurasi aturan grup keamanan, ikuti prinsip hak istimewa paling sedikit.

Kami juga menyarankan agar Anda mengaktifkan grup keamanan default VPC [EC2.2] tidak boleh mengizinkan kontrol lalu lintas masuk atau keluar di Security Hub. Kontrol ini memvalidasi bahwa grup keamanan default VPC menolak lalu lintas masuk dan keluar.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Kontrol lalu lintas ke AWS sumber daya Anda menggunakan grup keamanan dalam dokumentasi Amazon VPC

• Grup keamanan default untuk VPCs dokumentasi Amazon VPC Anda

• EC2Kontrol Amazon dalam dokumentasi Security Hub

Memindai kerentanan perangkat lunak dan paparan jaringan yang tidak diinginkan

Kami menyarankan Anda mengaktifkan Amazon Inspector di semua akun Anda. Amazon Inspector adalah layanan manajemen kerentanan yang terus-menerus memindai instans Amazon Anda, gambar wadah Amazon Elastic Container Registry (Amazon ECR) Registry (Amazon ECR) EC2 , dan fungsi Lambda untuk mencari kerentanan perangkat lunak dan paparan jaringan yang tidak diinginkan. Ini juga mendukung inspeksi mendalam dari EC2 instans Amazon. Ketika Amazon Inspector mengidentifikasi kerentanan atau jalur jaringan terbuka, Amazon Inspector menghasilkan temuan yang dapat Anda selidiki. Jika Amazon Inspector dan Security Hub disiapkan di akun Anda, Amazon Inspector secara otomatis mengirimkan temuan keamanan ke Security Hub untuk pengelolaan terpusat.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Memindai sumber daya dengan Amazon Inspector dalam dokumentasi Amazon Inspector

• Inspektur Amazon Inspeksi mendalam untuk Amazon EC2 dalam dokumentasi Amazon Inspector

• Pindai EC2 AMIs menggunakan Amazon Inspector di Blog Keamanan AWS

• Membangun program manajemen kerentanan yang dapat diskalakan di AWS dalam AWS Panduan Preskriptif

• Mengotomatiskan perlindungan jaringan di AWS Well-Architected Framework

• Mengotomatiskan perlindungan komputasi di AWS Well-Architected Framework

Mengatur AWS WAF

AWS WAFadalah firewall aplikasi web yang membantu Anda memantau dan memblokir permintaan HTTP atau HTTPS yang diteruskan ke sumber daya aplikasi web Anda yang dilindungi, seperti Amazon API Gateway, CloudFront distribusi APIs Amazon, atau Application Load Balancers. Berdasarkan kriteria yang Anda tentukan, layanan merespons permintaan baik dengan konten yang diminta, dengan kode status HTTP 403 (Terlarang), atau dengan respons khusus. AWS WAF dapat membantu melindungi aplikasi web atau APIs terhadap eksploitasi web umum yang dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan. Pertimbangkan untuk menyiapkan AWS WAF Akun AWS dan menggunakan kombinasi aturan AWS terkelola, aturan khusus, dan integrasi mitra untuk membantu melindungi aplikasi Anda dari serangan lapisan aplikasi (lapisan 7).

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Memulai dengan AWS WAF dalam AWS WAF dokumentasi

• AWS WAF mitra pengiriman di situs AWS web

• Otomatisasi keamanan untuk AWS WAF di Perpustakaan AWS Solusi

• Menerapkan inspeksi dan perlindungan dalam Kerangka AWS Well-Architected

Konfigurasikan perlindungan lanjutan terhadap serangan DDo S

AWS Shieldmemberikan perlindungan terhadap serangan penolakan layanan terdistribusi (DDoS) untuk AWS sumber daya di jaringan dan lapisan transport (lapisan 3 dan 4) dan lapisan aplikasi (lapisan 7). Layanan ini tersedia dalam dua opsi: AWS Shield Standard dan AWS Shield Advanced. Shield Standard secara otomatis melindungi AWS sumber daya yang didukung, tanpa biaya tambahan.

Kami menyarankan Anda berlangganan Shield Advanced, yang menyediakan perlindungan serangan DDo S yang diperluas untuk sumber daya yang dilindungi. Perlindungan yang Anda terima dari Shield Advanced bervariasi tergantung pada pilihan arsitektur dan konfigurasi Anda. Pertimbangkan untuk menerapkan perlindungan Shield Advanced untuk aplikasi di mana Anda memerlukan salah satu dari berikut ini:

• Ketersediaan terjamin untuk pengguna aplikasi.

• Akses cepat ke ahli mitigasi DDo S jika aplikasi dipengaruhi oleh serangan DDo S.

• Kesadaran AWS bahwa aplikasi mungkin terpengaruh oleh serangan DDo S dan pemberitahuan serangan dari AWS dan eskalasi ke tim keamanan atau operasi Anda.

• Prediktabilitas dalam biaya cloud Anda, termasuk ketika serangan DDo S memengaruhi penggunaan Anda. Layanan AWS

Untuk informasi selengkapnya, lihat sumber daya berikut:

• AWS Shield Advanced ikhtisar dalam dokumentasi Shield

• AWS Shield Advanced sumber daya yang dilindungi dalam dokumentasi Shield

• AWS Shield Advanced kemampuan dan opsi dalam dokumentasi Shield

• Menanggapi peristiwa DDo S dalam dokumentasi Shield

• Menerapkan inspeksi dan perlindungan dalam Kerangka AWS Well-Architected

Gunakan defense-in-depth pendekatan untuk mengontrol lalu lintas jaringan

AWS Network Firewall adalah firewall jaringan stateful, dikelola, dan layanan deteksi dan pencegahan intrusi untuk cloud pribadi virtual () VPCs di. AWS Cloud Ini membantu Anda menerapkan perlindungan jaringan penting di perimeter VPC. Ini termasuk memfilter lalu lintas yang pergi dan datang dari gateway internet, gateway NAT, atau melalui VPN atau. AWS Direct Connect Network Firewall mencakup fitur yang membantu melindungi terhadap ancaman jaringan umum. Firewall stateful di Network Firewall dapat menggabungkan konteks dari arus lalu lintas, seperti koneksi dan protokol, untuk menegakkan kebijakan.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• AWS Network Firewall dokumentasi

• Kontrol lalu lintas di semua lapisan dalam Kerangka AWS Well-Architected