AWS Organizations AWS CloudTrail AWS Security Hub CSPM AWS Config Amazon GuardDuty IAM IAM Access Analyzer Amazon Detective AWS Firewall Manager Amazon Inspector Amazon Macie Amazon Security Lake AWS WAF AWS Shield Advanced AWS Respon Insiden Keamanan AWS Audit Manager

AWS Daftar periksa praktik terbaik SRA

Mempengaruhi masa depan AWS Security Reference Architecture (AWS SRA) dengan mengambil survei singkat

Bagian ini menyaring praktik terbaik AWS SRA yang dirinci di seluruh panduan ini ke dalam daftar periksa yang dapat Anda ikuti saat Anda membangun versi arsitektur keamanan Anda. AWS Gunakan daftar ini sebagai titik referensi dan bukan sebagai pengganti untuk meninjau panduan. Daftar periksa dikelompokkan berdasarkan. Layanan AWSJika Anda ingin memvalidasi AWS lingkungan yang ada secara terprogram terhadap daftar periksa praktik terbaik AWS SRA, Anda dapat menggunakan Verifikasi SRA.

SRA Verify adalah alat penilaian keamanan yang membantu Anda menilai keselarasan organisasi Anda dengan AWS SRA di beberapa Akun AWS dan Wilayah. Ini langsung memetakan ke rekomendasi AWS SRA dengan memberikan pemeriksaan otomatis yang memvalidasi implementasi Anda terhadap panduan AWS SRA. Alat ini membantu Anda memverifikasi bahwa layanan keamanan Anda dikonfigurasi dengan benar sesuai dengan arsitektur referensi. Ini memberikan temuan terperinci dan langkah-langkah perbaikan yang dapat ditindaklanjuti untuk membantu memastikan bahwa AWS lingkungan Anda mengikuti praktik terbaik keamanan. Verifikasi SRA dirancang untuk berjalan AWS CodeBuild di akun audit organisasi (Security Tooling). Anda juga dapat menjalankannya secara lokal atau memperluasnya dengan menggunakan pustaka Verifikasi SRA.

catatan

Verifikasi SRA berisi pemeriksaan untuk beberapa layanan, tetapi mungkin tidak berisi cek untuk setiap pertimbangan AWS SRA. Untuk informasi lebih lanjut, tinjau panduan di perpustakaan AWS SRA.

AWS Organizations

AWS Organizations diaktifkan dengan semua fitur.
Kebijakan kontrol layanan (SCPs) digunakan untuk menentukan pedoman kontrol akses untuk prinsipal IAM.
Kebijakan kontrol sumber daya (RCPs) digunakan untuk menentukan pedoman kontrol akses untuk AWS sumber daya.
Kebijakan deklaratif digunakan untuk mendeklarasikan dan menerapkan konfigurasi yang Anda inginkan secara terpusat pada skala tertentu Layanan AWS di seluruh organisasi Anda.
Tiga dasar OUs dibuat (Keamanan, Infrastruktur, dan Beban Kerja) ke akun anggota grup yang menyediakan layanan dasar.
Akun Security Tooling dibuat di bawah Security OU. Akun ini menyediakan manajemen terpusat layanan AWS keamanan dan alat keamanan pihak ketiga lainnya.
Akun Arsip Log dibuat di bawah Keamanan OU. Akun ini menyediakan repositori log pusat Layanan AWS dan log aplikasi yang dikontrol ketat.
Akun Jaringan dibuat di bawah Infrastruktur OU. Akun ini mengelola gateway antara aplikasi Anda dan internet yang lebih luas. Ini mengisolasi layanan jaringan, konfigurasi, dan operasi dari beban kerja aplikasi individu, keamanan, dan infrastruktur lainnya.
Akun Layanan Bersama dibuat di bawah Infrastruktur OU. Akun ini mendukung layanan yang digunakan beberapa aplikasi dan tim untuk memberikan hasil mereka.
Akun Aplikasi dibuat di bawah Workloads OU. Akun ini menampung infrastruktur dan layanan utama untuk menjalankan dan memelihara aplikasi perusahaan. Panduan ini memberikan representasi, tetapi di dunia nyata akan ada beberapa akun OUs dan anggota yang dipisahkan oleh aplikasi, lingkungan pengembangan, dan pertimbangan keamanan lainnya.
Informasi kontak alternatif untuk penagihan, operasi, dan keamanan untuk semua akun anggota dikonfigurasi.

AWS CloudTrail

Jejak organisasi dikonfigurasi yang memungkinkan pengiriman acara CloudTrail manajemen di akun manajemen dan semua akun anggota dalam suatu AWS organisasi.
Jejak organisasi dikonfigurasi sebagai jejak Multi-wilayah.
Jejak organisasi dikonfigurasi untuk menangkap peristiwa dari sumber daya global.
Jalur tambahan untuk menangkap peristiwa data tertentu dikonfigurasi seperlunya untuk memantau aktivitas AWS sumber daya yang sensitif.
Akun Security Tooling ditetapkan sebagai administrator yang didelegasikan dari jejak organisasi.
Jejak organisasi dikonfigurasi agar diaktifkan secara otomatis untuk semua akun anggota baru.
Jejak organisasi dikonfigurasi untuk mempublikasikan log ke bucket S3 terpusat yang di-host di akun Arsip Log.
Jejak organisasi memiliki validasi file log yang diaktifkan untuk memverifikasi integritas file log.
Jejak organisasi terintegrasi dengan CloudWatch Log untuk penyimpanan log.
Jejak organisasi dienkripsi dengan menggunakan kunci yang dikelola pelanggan.
Bucket S3 pusat yang digunakan untuk repositori log di akun Arsip Log dienkripsi dengan kunci yang dikelola pelanggan.
Bucket S3 pusat yang digunakan untuk repositori log di akun Log Archive dikonfigurasi dengan S3 Object Lock untuk kekekalan.
Pembuatan versi diaktifkan untuk bucket S3 pusat yang digunakan untuk repositori log di akun Arsip Log.
Bucket S3 pusat yang digunakan untuk repositori log di akun Arsip Log memiliki kebijakan sumber daya yang ditetapkan yang membatasi unggahan objek hanya berdasarkan jejak organisasi melalui sumber daya Amazon Resource Name (ARN).

AWS Security Hub CSPM

Security Hub CSPM diaktifkan untuk semua akun anggota dan akun manajemen.
AWS Config diaktifkan untuk semua akun anggota sebagai prasyarat untuk Security Hub CSPM.
Akun Security Tooling ditetapkan sebagai administrator yang didelegasikan dari Security Hub CSPM.
Amazon GuardDuty dan Amazon Detective memiliki akun administrator yang didelegasikan sama dengan Security Hub CSPM untuk integrasi layanan yang lancar.
Konfigurasi pusat digunakan untuk mengatur dan mengelola CSPM Security Hub di beberapa Akun AWS dan. Wilayah AWS
Semua akun OU dan anggota ditetapkan sebagai dikelola secara terpusat oleh administrator yang didelegasikan dari Security Hub CSPM.
Security Hub CSPM diaktifkan secara otomatis untuk semua akun anggota baru.
Security Hub CSPM secara otomatis diaktifkan untuk konfigurasi standar baru.
Temuan CSPM Security Hub dari semua Wilayah dikumpulkan ke satu Wilayah asal.
Temuan CSPM Security Hub dari semua akun anggota dikumpulkan dalam akun Security Tooling.
Standar AWS Foundational Best Practices (FSBP) di Security Hub CSPM diaktifkan untuk semua akun anggota.
Standar CIS AWS Foundation Benchmark di Security Hub CSPM diaktifkan untuk semua akun anggota.
Standar CSPM Security Hub lainnya diaktifkan sebagaimana berlaku.
Aturan otomatisasi CSPM Security Hub digunakan untuk memperkaya temuan dengan konteks sumber daya.
Fitur respons dan remediasi otomatis Security Hub CSPM digunakan untuk membuat EventBridge aturan khusus untuk mengambil tindakan otomatis terhadap temuan tertentu.

AWS Config

AWS Config Perekam diaktifkan untuk semua akun anggota dan akun manajemen.
AWS Config Perekam diaktifkan untuk semua Wilayah.
Bucket saluran AWS Config pengiriman S3 terpusat di akun Arsip Log.
Akun administrator AWS Config yang didelegasikan diatur ke akun Security Tooling.
AWS Config memiliki agregator organisasi yang disiapkan. Agregator mencakup semua Wilayah.
AWS Config paket kesesuaian disebarkan secara seragam ke semua akun anggota dari akun administrator yang didelegasikan.
AWS Config Temuan aturan secara otomatis dikirim ke Security Hub CSPM.

Amazon GuardDuty

GuardDuty detektor diaktifkan untuk semua akun anggota dan akun manajemen.
GuardDuty detektor diaktifkan untuk semua Wilayah.
GuardDuty detektor diaktifkan secara otomatis untuk semua akun anggota baru.
GuardDuty administrasi yang didelegasikan diatur ke akun Security Tooling.
GuardDuty Sumber data dasar seperti peristiwa CloudTrail manajemen, log aliran VPC, dan log kueri DNS Route 53 Resolver diaktifkan.
GuardDuty Perlindungan S3 diaktifkan.
GuardDuty Perlindungan Malware untuk volume EBS diaktifkan.
GuardDuty Perlindungan Malware untuk S3 diaktifkan.
GuardDuty Perlindungan RDS diaktifkan.
GuardDuty Perlindungan Lambda diaktifkan.
GuardDuty Perlindungan EKS diaktifkan.
GuardDuty EKS Runtime Monitoring diaktifkan.
GuardDuty Deteksi Ancaman Diperpanjang diaktifkan.
GuardDuty temuan diekspor ke bucket S3 pusat di akun Log Archive untuk retensi.

IAM

Pengguna IAM tidak digunakan.
Manajemen terpusat akses root untuk akun anggota diberlakukan.
Tugas pengguna root istimewa terpusat untuk akun manajemen diberlakukan dari administrator yang didelegasikan.
Manajemen akses root terpusat didelegasikan ke akun Security Tooling.
Semua kredensi root akun anggota dihapus.
Semua kebijakan Akun AWS kata sandi anggota dan manajemen ditetapkan sesuai dengan standar keamanan organisasi.
Penasihat akses IAM digunakan untuk meninjau informasi yang terakhir digunakan untuk grup, pengguna, peran, dan kebijakan IAM.
Batas izin digunakan untuk membatasi izin maksimum yang mungkin untuk peran IAM.

IAM Access Analyzer

IAM Access Analyzer diaktifkan untuk semua akun anggota dan akun manajemen.
Administrator yang didelegasikan IAM Access Analyzer diatur ke akun Security Tooling.
Penganalisis akses eksternal IAM Access Analyzer dikonfigurasi dengan zona kepercayaan organisasi di setiap Wilayah.
Penganalisis akses eksternal IAM Access Analyzer dikonfigurasi dengan zona kepercayaan akun di setiap Wilayah.
Penganalisis akses internal IAM Access Analyzer dikonfigurasi dengan zona kepercayaan organisasi di setiap Wilayah.
Penganalisis akses internal IAM Access Analyzer dikonfigurasi dengan zona kepercayaan akun di setiap Wilayah.
IAM Access Analyzer penganalisis akses yang tidak digunakan untuk akun saat ini dibuat.
IAM Access Analyzer penganalisis akses yang tidak digunakan untuk organisasi saat ini dibuat.

Amazon Detective

Detektif diaktifkan untuk semua akun anggota.
Detektif diaktifkan secara otomatis untuk semua akun anggota baru.
Detektif diaktifkan untuk semua Wilayah.
Administrator yang didelegasikan Detektif diatur ke akun Security Tooling.
Administrator delegasi Detektif GuardDuty, dan Security Hub CSPM diatur ke akun Security Tooling yang sama.
Detective terintegrasi dengan Security Lake untuk penyimpanan dan analisis log mentah.
Detektif terintegrasi dengan GuardDuty untuk menelan temuan.
Detective menelan log audit Amazon EKS untuk analisis.
Detective menelan log CSPM Security Hub untuk analisis.

AWS Firewall Manager

Kebijakan keamanan Firewall Manager ditetapkan.
Administrator yang didelegasikan oleh Firewall Manager diatur ke akun Security Tooling.
AWS Config diaktifkan sebagai prasyarat.
Beberapa administrator Firewall Manager diatur dengan cakupan terbatas per OU, akun, dan Wilayah.
Kebijakan AWS WAF keamanan Firewall Manager didefinisikan.
Kebijakan logging AWS WAF terpusat Firewall Manager didefinisikan.
Kebijakan keamanan lanjutan Firewall Manager Shield ditentukan.
Kebijakan keamanan grup keamanan Firewall Manager didefinisikan.

Amazon Inspector

Amazon Inspector diaktifkan untuk semua akun anggota.
Amazon Inspector diaktifkan secara otomatis untuk setiap akun anggota baru.
Administrator yang didelegasikan Amazon Inspector disetel ke akun Security Tooling.
Pemindaian EC2 kerentanan Amazon Inspector diaktifkan.
Pemindaian kerentanan gambar Amazon Inspector ECR diaktifkan.
Fungsi Amazon Inspector Lambda dan pemindaian kerentanan lapisan diaktifkan.
Pemindaian kode Amazon Inspector Lambda diaktifkan.
Pemindaian keamanan kode Amazon Inspector diaktifkan.

Amazon Macie

Macie diaktifkan untuk akun anggota yang berlaku.
Macie diaktifkan secara otomatis untuk akun anggota baru yang berlaku.
Administrator yang didelegasikan Macie diatur ke akun Security Tooling.
Temuan Macie diekspor ke bucket S3 pusat di akun Arsip log.
Bucket S3 yang menyimpan temuan Macie dienkripsi dengan kunci yang dikelola pelanggan.
Kebijakan dan kebijakan klasifikasi Macie dipublikasikan ke Security Hub CSPM.

Amazon Security Lake

Konfigurasi organisasi Security Lake diaktifkan.
Administrator yang didelegasikan Security Lake diatur ke akun Security Tooling.
Konfigurasi organisasi Security Lake diaktifkan untuk akun anggota baru.
Akun Security Tooling diatur sebagai pelanggan akses data untuk melakukan analisis log.
Akun Security Tooling diatur sebagai pelanggan kueri data untuk melakukan analisis log.
Sumber log CloudTrail manajemen diaktifkan untuk Security Lake di semua atau akun anggota aktif tertentu.
Sumber log aliran VPC diaktifkan untuk Security Lake di semua atau akun anggota aktif yang ditentukan.
Sumber log Route 53 diaktifkan untuk Security Lake di semua atau akun anggota aktif yang ditentukan.
CloudTrail peristiwa data untuk sumber log S3 diaktifkan untuk Security Lake di semua atau akun anggota aktif tertentu.
Sumber log eksekusi Lambda diaktifkan untuk Security Lake di semua atau akun anggota aktif tertentu.
Sumber log audit Amazon EKS diaktifkan untuk Security Lake di semua atau akun anggota aktif yang ditentukan.
Sumber log temuan Security Hub diaktifkan untuk Security Lake di semua atau akun anggota aktif yang ditentukan.
Sumber AWS WAF log diaktifkan untuk Security Lake di semua atau akun anggota aktif yang ditentukan.
Antrian Security Lake SQS di akun administrator yang didelegasikan dienkripsi dengan kunci yang dikelola pelanggan.
Antrian surat mati Security Lake SQS di akun administrator yang didelegasikan dienkripsi dengan kunci yang dikelola pelanggan.
Bucket Security Lake S3 dienkripsi dengan kunci yang dikelola pelanggan.
Bucket Security Lake S3 memiliki kebijakan sumber daya yang membatasi akses langsung hanya oleh Security Lake.

AWS WAF

Semua CloudFront distribusi terkait dengan AWS WAF.
Semua Amazon API Gateway REST APIs dikaitkan dengan AWS WAF.
Semua Application Load Balancers terkait dengan. AWS WAF
Semua AWS AppSync APIs GraphQL terkait dengan. AWS WAF
Semua kumpulan pengguna Amazon Cognito dikaitkan dengan. AWS WAF
Semua AWS App Runner layanan terkait dengan AWS WAF.
Semua Akses Terverifikasi AWS contoh terkait dengan AWS WAF.
Semua AWS Amplify aplikasi terkait dengan AWS WAF.
AWS WAF logging diaktifkan.
AWS WAF log dipusatkan dalam bucket S3 di akun Arsip Log.

AWS Shield Advanced

Langganan Shield Advanced diaktifkan dan diatur untuk perpanjangan otomatis untuk semua akun aplikasi yang memiliki sumber daya yang menghadap publik.
Shield Advanced dikonfigurasi untuk semua CloudFront distribusi.
Shield Advanced dikonfigurasi untuk semua Application Load Balancer.
Shield Advanced dikonfigurasi untuk semua Network Load Balancer.
Shield Advanced dikonfigurasi untuk semua zona yang dihosting Route 53.
Shield Advanced dikonfigurasi untuk semua alamat IP Elastis.
Shield Advanced dikonfigurasi untuk semua Akselerator Global.
CloudWatch alarm dikonfigurasi untuk CloudFront dan sumber daya Route 53 yang dilindungi oleh Shield Advanced.
Akses Shield Response Team (SRT) dikonfigurasi.
Keterlibatan proaktif Shield Advanced diaktifkan.
Kontak keterlibatan proaktif Shield Advanced dikonfigurasi.
Sumber daya yang dilindungi Shield Advanced memiliki AWS WAF aturan khusus yang dikonfigurasi.
Sumber daya yang dilindungi Shield Advanced mengaktifkan mitigasi lapisan aplikasi DDo S otomatis.

AWS Respon Insiden Keamanan

AWS Security Incident Response diaktifkan untuk seluruh AWS organisasi.
Administrator yang didelegasikan AWS Security Incident Response disetel ke akun Security Tooling.
Respons proaktif dan alur kerja triaging peringatan diaktifkan.
AWS Tindakan penahanan Customer Incident Response Team (CIRT) diotorisasi.

AWS Audit Manager

Audit Manager diaktifkan untuk semua akun anggota.
Audit Manager diaktifkan secara otomatis untuk akun anggota baru.
Administrator yang didelegasikan Audit Manager diatur ke akun Security Tooling.
AWS Config diaktifkan sebagai prasyarat untuk Audit Manager.
Kunci yang dikelola pelanggan digunakan untuk data yang disimpan di Audit Manager.
Tujuan laporan penilaian default dikonfigurasi.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Membangun arsitektur keamanan Anda — pendekatan bertahap

Sumber daya IAM