Yayasan keamanan

Mempengaruhi masa depan AWS Security Reference Architecture (AWS SRA) dengan mengambil survei singkat.

Arsitektur Referensi Keamanan AWS selaras dengan tiga fondasi keamanan AWS: AWS Cloud Adoption Framework (AWS CAF), AWS Well-Architected Framework, dan AWS Shared Responsibility Model.

AWS Professional Services menciptakan AWS CAF untuk membantu perusahaan merancang dan mengikuti jalur yang dipercepat menuju adopsi cloud yang sukses. Panduan dan praktik terbaik yang disediakan oleh kerangka kerja membantu Anda membangun pendekatan komprehensif untuk komputasi awan di seluruh perusahaan Anda dan di seluruh siklus hidup TI Anda. AWS CAF mengatur panduan ke dalam enam bidang fokus, yang disebut perspektif. Setiap perspektif mencakup tanggung jawab berbeda yang dimiliki atau dikelola oleh pemangku kepentingan yang terkait secara fungsional. Secara umum, perspektif bisnis, orang, dan tata kelola fokus pada kemampuan bisnis; sedangkan perspektif platform, keamanan, dan operasi fokus pada kemampuan teknis.

• Perspektif keamanan AWS CAF membantu Anda menyusun pemilihan dan implementasi kontrol di seluruh bisnis Anda. Mengikuti rekomendasi AWS saat ini di pilar keamanan dapat membantu Anda memenuhi persyaratan bisnis dan peraturan Anda. 

AWS Well-Architected Framework membantu arsitek cloud membangun infrastruktur yang aman, berkinerja tinggi, tangguh, dan efisien untuk aplikasi dan beban kerja mereka. Kerangka kerja ini didasarkan pada enam pilar—keunggulan operasional, keamanan, keandalan, efisiensi kinerja, optimalisasi biaya, dan keberlanjutan—dan memberikan pendekatan yang konsisten bagi pelanggan dan Mitra AWS untuk mengevaluasi arsitektur dan menerapkan desain yang dapat disesuaikan dari waktu ke waktu. Kami percaya bahwa memiliki beban kerja yang dirancang dengan baik sangat meningkatkan kemungkinan keberhasilan bisnis.

• Pilar keamanan Well-Architected Framework menjelaskan cara memanfaatkan teknologi cloud untuk membantu melindungi data, sistem, dan aset dengan cara yang dapat meningkatkan postur keamanan Anda. Ini akan membantu Anda memenuhi persyaratan bisnis dan peraturan Anda dengan mengikuti rekomendasi AWS saat ini. Ada area fokus Well-Architected Framework tambahan yang menyediakan lebih banyak konteks untuk domain tertentu seperti tata kelola, tanpa server, AI/ML, dan game. Ini dikenal sebagai lensa AWS Well-Architected. 

Keamanan dan kepatuhan adalah tanggung jawab bersama antara AWS dan pelanggan. Model bersama ini dapat membantu meringankan beban operasional Anda saat AWS mengoperasikan, mengelola, dan mengontrol komponen dari sistem operasi host dan lapisan virtualisasi hingga keamanan fisik fasilitas tempat layanan beroperasi. Misalnya, Anda bertanggung jawab dan mengelola sistem operasi tamu (termasuk pembaruan dan patch keamanan), perangkat lunak aplikasi, enkripsi data sisi server, tabel rute lalu lintas jaringan, dan konfigurasi firewall grup keamanan yang disediakan AWS. Untuk layanan abstrak seperti Amazon Simple Storage Service (Amazon S3) dan Amazon DynamoDB, AWS mengoperasikan lapisan infrastruktur, sistem operasi, dan platform, dan Anda mengakses titik akhir untuk menyimpan dan mengambil data. Anda bertanggung jawab untuk mengelola data Anda (termasuk opsi enkripsi), mengklasifikasikan aset Anda, dan menggunakan alat AWS Identity and Access Management (IAM) untuk menerapkan izin yang sesuai. Model bersama ini sering dijelaskan dengan mengatakan bahwa AWS bertanggung jawab atas keamanan cloud (yaitu, untuk melindungi infrastruktur yang menjalankan semua layanan yang ditawarkan di AWS Cloud), dan Anda bertanggung jawab atas keamanan di cloud (sebagaimana ditentukan oleh layanan AWS Cloud yang Anda pilih). 

Dalam panduan yang diberikan oleh dokumen dasar ini, dua set konsep sangat relevan dengan desain dan pemahaman AWS SRA: kemampuan keamanan dan prinsip desain keamanan.

Kemampuan keamanan

Perspektif keamanan AWS CAF menguraikan sembilan kemampuan yang membantu Anda mencapai kerahasiaan, integritas, dan ketersediaan data dan beban kerja cloud Anda.

• Tata kelola keamanan untuk mengembangkan dan mengkomunikasikan peran, tanggung jawab, kebijakan, proses, dan prosedur keamanan di seluruh lingkungan AWS organisasi Anda.

• Jaminan keamanan untuk memantau, mengevaluasi, mengelola, dan meningkatkan efektivitas program keamanan dan privasi Anda.

• Manajemen identitas dan akses untuk mengelola identitas dan izin dalam skala besar.

• Deteksi ancaman untuk memahami dan mengidentifikasi potensi kesalahan konfigurasi keamanan, ancaman, atau perilaku tak terduga.

• Manajemen kerentanan untuk terus mengidentifikasi, mengklasifikasikan, memulihkan, dan mengurangi kerentanan keamanan.

• Perlindungan infrastruktur untuk membantu memvalidasi bahwa sistem dan layanan dalam beban kerja Anda dilindungi.

• Perlindungan data untuk menjaga visibilitas dan kontrol atas data, dan bagaimana data diakses dan digunakan di organisasi Anda.

• Keamanan aplikasi untuk membantu mendeteksi dan mengatasi kerentanan keamanan selama proses pengembangan perangkat lunak.

• Respon insiden untuk mengurangi potensi bahaya dengan secara efektif menanggapi insiden keamanan.

Prinsip desain keamanan

Pilar keamanan dari Well-Architected Framework menangkap seperangkat tujuh prinsip desain yang mengubah area keamanan tertentu menjadi panduan praktis yang dapat membantu Anda memperkuat keamanan beban kerja Anda. Di mana kemampuan keamanan membingkai strategi keamanan secara keseluruhan, prinsip-prinsip Well-Architected Framework ini menjelaskan apa yang dapat Anda mulai lakukan. Mereka tercermin dengan sangat sengaja dalam AWS SRA ini dan terdiri dari yang berikut:

• Menerapkan fondasi identitas yang kuat — Terapkan prinsip hak istimewa paling sedikit, dan terapkan pemisahan tugas dengan otorisasi yang sesuai untuk setiap interaksi dengan sumber daya AWS Anda. Memusatkan manajemen identitas, dan bertujuan untuk menghilangkan ketergantungan pada kredenal statis jangka panjang.

• Aktifkan ketertelusuran — Pantau, buat peringatan, dan audit tindakan serta perubahan lingkungan Anda secara real time. Integrasikan pengumpulan log dan metrik dengan sistem untuk menyelidiki dan mengambil tindakan secara otomatis.

• Terapkan keamanan di semua lapisan — Terapkan defense-in-depth pendekatan dengan beberapa kontrol keamanan. Terapkan beberapa jenis kontrol (misalnya, kontrol preventif dan detektif) ke semua lapisan, termasuk edge of network, virtual private cloud (VPC), load balancing, layanan instance dan komputasi, sistem operasi, konfigurasi aplikasi, dan kode.

• Mengotomatiskan praktik terbaik keamanan — Mekanisme keamanan berbasis perangkat lunak otomatis meningkatkan kemampuan Anda untuk menskalakan secara aman lebih cepat dan hemat biaya. Buat arsitektur yang aman, dan terapkan kontrol yang didefinisikan dan dikelola sebagai kode dalam templat yang dikendalikan versi.

• Lindungi data dalam perjalanan dan saat istirahat — Klasifikasi data Anda ke dalam tingkat sensitivitas dan gunakan mekanisme seperti enkripsi, tokenisasi, dan kontrol akses jika sesuai.

• Jauhkan orang dari data — Gunakan mekanisme dan alat untuk mengurangi atau menghilangkan kebutuhan untuk langsung mengakses atau memproses data secara manual. Ini mengurangi risiko kesalahan penanganan atau modifikasi dan kesalahan manusia saat menangani data sensitif.

• Bersiaplah untuk acara keamanan — Bersiaplah untuk insiden dengan memiliki manajemen insiden dan kebijakan investigasi dan proses yang sesuai dengan kebutuhan organisasi Anda. Jalankan simulasi respons insiden dan gunakan alat dengan otomatisasi untuk meningkatkan kecepatan deteksi, investigasi, dan pemulihan.

Cara menggunakan AWS SRA dengan AWS CAF dan AWS Well-Architected Framework

AWS CAF, AWS Well-Architected Framework, dan AWS SRA adalah kerangka kerja pelengkap yang bekerja sama untuk mendukung upaya migrasi dan modernisasi cloud Anda.

• AWS CAF memanfaatkan pengalaman AWS dan praktik terbaik untuk membantu Anda menyelaraskan nilai adopsi cloud dengan hasil bisnis yang Anda inginkan. Gunakan AWS CAF untuk mengidentifikasi dan memprioritaskan peluang transformasi, mengevaluasi dan meningkatkan kesiapan cloud, dan mengembangkan peta jalan transformasi Anda secara berulang.

• AWS Well-Architected Framework memberikan rekomendasi AWS untuk membangun infrastruktur yang aman, berkinerja tinggi, tangguh, dan efisien untuk berbagai aplikasi dan beban kerja yang memenuhi hasil bisnis Anda.

• AWS SRA membantu Anda memahami cara menerapkan dan mengatur layanan keamanan dengan cara yang selaras dengan rekomendasi AWS CAF dan AWS Well-Architected Framework.

Misalnya, perspektif keamanan AWS CAF menyarankan agar Anda mengevaluasi cara mengelola identitas tenaga kerja Anda secara terpusat dan otentikasi mereka di AWS. Berdasarkan informasi ini, Anda dapat memutuskan untuk menggunakan solusi penyedia identitas perusahaan (iDP) baru atau yang sudah ada seperti Okta, Active Directory, atau Ping Identity untuk tujuan ini. Anda mengikuti panduan dalam AWS Well-Architected Framework dan memutuskan untuk mengintegrasikan idP Anda dengan AWS IAM Identity Center untuk memberi karyawan Anda pengalaman masuk tunggal yang dapat menyinkronkan keanggotaan dan izin grup mereka. Anda meninjau rekomendasi AWS SRA untuk mengaktifkan Pusat Identitas IAM di akun manajemen organisasi AWS Anda dan mengelolanya melalui akun alat keamanan yang digunakan oleh tim operasi keamanan Anda. Contoh ini menggambarkan bagaimana AWS CAF membantu Anda membuat keputusan awal tentang postur keamanan yang Anda inginkan, AWS Well-Architected Framework memberikan panduan tentang cara mengevaluasi layanan AWS yang tersedia untuk memenuhi tujuan tersebut, dan AWS SRA kemudian memberikan rekomendasi tentang cara menerapkan dan mengatur layanan keamanan yang Anda pilih.