Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Terapkan layanan keamanan di seluruh AWS organisasi Anda
| Mempengaruhi masa depan Arsitektur Referensi AWS Keamanan (AWS SRA) dengan mengambil survei singkat |
Seperti yang dijelaskan di bagian sebelumnya, pelanggan mencari cara tambahan untuk memikirkan dan secara strategis mengatur set lengkap layanan AWS keamanan. Pendekatan organisasi yang paling umum saat ini adalah mengelompokkan layanan keamanan berdasarkan fungsi utama — sesuai dengan apa yang dilakukan masing-masing layanan. Perspektif keamanan dari AWS CAF daftar sembilan kemampuan fungsional, termasuk identitas dan manajemen akses, perlindungan infrastruktur, perlindungan data, dan deteksi ancaman. Mencocokkan AWS layanan dengan kemampuan fungsional ini adalah cara praktis untuk membuat keputusan implementasi di setiap area. Misalnya, ketika melihat identitas dan manajemen akses, IAM dan Pusat IAM Identitas adalah layanan yang perlu dipertimbangkan. Saat merancang pendekatan deteksi ancaman Anda, Amazon GuardDuty mungkin menjadi pertimbangan pertama Anda.
Sebagai pelengkap tampilan fungsional ini, Anda juga dapat melihat keamanan Anda dengan tampilan struktural lintas sektoral. Artinya, selain bertanya, “AWSLayanan mana yang harus saya gunakan untuk mengontrol dan melindungi identitas saya, akses logis, atau mekanisme deteksi ancaman?” , Anda juga dapat bertanya, “AWSLayanan mana yang harus saya terapkan di seluruh AWS organisasi saya? Apa lapisan pertahanan yang harus saya lakukan untuk melindungi EC2 instans Amazon di inti aplikasi saya?” Dalam tampilan ini, Anda memetakan AWS layanan dan fitur ke lapisan di AWS lingkungan Anda. Beberapa layanan dan fitur sangat cocok untuk menerapkan kontrol di seluruh AWS organisasi Anda. Misalnya, memblokir akses publik ke bucket Amazon S3 adalah kontrol khusus pada lapisan ini. Ini sebaiknya dilakukan di organisasi root daripada menjadi bagian dari pengaturan akun individu. Layanan dan fitur lain paling baik digunakan untuk membantu melindungi sumber daya individu dalam AWS akun. Menerapkan otoritas sertifikat bawahan (CA) dalam akun yang memerlukan TLS sertifikat pribadi adalah contoh dari kategori ini. Pengelompokan lain yang sama pentingnya terdiri dari layanan yang memiliki efek pada lapisan jaringan virtual AWS infrastruktur Anda. Diagram berikut menunjukkan enam lapisan dalam AWS lingkungan yang khas: AWS organisasi, unit organisasi (OU), akun, infrastruktur jaringan, prinsip, dan sumber daya.
Memahami layanan dalam konteks struktural ini, termasuk kontrol dan perlindungan di setiap lapisan, membantu Anda merencanakan dan menerapkan defense-in-depth strategi di seluruh AWS lingkungan Anda. Dengan perspektif ini, Anda dapat menjawab pertanyaan baik dari atas ke bawah (misalnya, “Layanan mana yang saya gunakan untuk menerapkan kontrol keamanan di seluruh AWS organisasi saya?”) dan dari bawah ke atas (misalnya, “Layanan mana yang mengelola kontrol pada EC2 instance ini?”). Di bagian ini, kami menelusuri elemen AWS lingkungan dan mengidentifikasi layanan dan fitur keamanan terkait. Tentu saja, beberapa AWS layanan memiliki set fitur yang luas dan mendukung beberapa tujuan keamanan. Layanan ini mungkin mendukung beberapa elemen AWS lingkungan Anda.
Untuk kejelasan, kami memberikan deskripsi singkat tentang bagaimana beberapa layanan sesuai dengan tujuan yang dinyatakan. Bagian selanjutnya memberikan diskusi lebih lanjut tentang layanan individu dalam setiap AWS akun.
Seluruh organisasi atau beberapa akun
Di tingkat atas, ada AWS layanan dan fitur yang dirancang untuk menerapkan kemampuan tata kelola dan kontrol atau pagar pembatas di beberapa akun dalam suatu AWS organisasi (termasuk seluruh organisasi atau spesifik). OUs Kebijakan kontrol layanan (SCPs) adalah contoh yang baik dari IAM fitur yang menyediakan pagar pembatas seluruh AWS organisasi pencegahan. Contoh lain adalah AWS CloudTrail, yang menyediakan pemantauan melalui jejak organisasi yang mencatat semua peristiwa untuk semua AWS akun di AWS organisasi itu. Jejak komprehensif ini berbeda dari jalur individu yang dapat dibuat di setiap akun. Contoh ketiga adalah AWS Firewall Manager, yang dapat Anda gunakan untuk mengonfigurasi, menerapkan, dan mengelola beberapa sumber daya di semua akun di AWS organisasi Anda: AWS WAF aturan, aturan AWS WAF Klasik, perlindungan AWS Shield Advanced, grup keamanan Amazon Virtual Private Cloud (AmazonVPC), kebijakan Firewall AWS Jaringan, dan kebijakan Firewall Amazon Route DNS 53 Resolver.
Layanan yang ditandai dengan tanda bintang* dalam diagram berikut beroperasi dengan lingkup ganda: seluruh organisasi dan berfokus pada akun. Layanan ini secara fundamental memantau atau membantu mengontrol keamanan dalam akun individu. Namun, mereka juga mendukung kemampuan untuk mengumpulkan hasil mereka dari beberapa akun ke dalam akun di seluruh organisasi untuk visibilitas dan manajemen terpusat. Untuk kejelasan, pertimbangkan SCPs yang berlaku di seluruh OU, AWS akun, atau AWS organisasi. Sebaliknya, Anda dapat mengonfigurasi dan mengelola Amazon GuardDuty baik di tingkat akun (di mana temuan individu dihasilkan) dan di tingkat AWS organisasi (dengan menggunakan fitur administrator yang didelegasikan) di mana temuan dapat dilihat dan dikelola secara agregat.
AWSakun
Di dalamnyaOUs, ada layanan yang membantu melindungi berbagai jenis elemen dalam AWS akun. Misalnya, AWS Secrets Manager biasanya dikelola dari akun tertentu dan melindungi sumber daya (seperti kredensi database atau informasi otentikasi), aplikasi, dan AWS layanan di akun tersebut. AWSIAM Access Analyzer dapat dikonfigurasi untuk menghasilkan temuan ketika sumber daya tertentu dapat diakses oleh prinsipal di luar akun. AWS Seperti disebutkan di bagian sebelumnya, banyak dari layanan ini juga dapat dikonfigurasi dan dikelola dalam AWS Organizations, sehingga dapat dikelola di beberapa akun. Layanan ini ditandai dengan tanda bintang (*) dalam diagram. Mereka juga mempermudah untuk mengumpulkan hasil dari beberapa akun dan mengirimkannya ke satu akun. Ini memberi tim aplikasi individu fleksibilitas dan visibilitas untuk mengelola kebutuhan keamanan yang spesifik untuk beban kerja mereka sementara juga memungkinkan tata kelola dan visibilitas ke tim keamanan terpusat. Amazon GuardDuty adalah contoh dari layanan semacam itu. GuardDutymemantau sumber daya dan aktivitas yang terkait dengan satu akun, dan GuardDuty temuan dari beberapa akun anggota (seperti semua akun dalam AWS organisasi) dapat dikumpulkan, dilihat, dan dikelola dari akun administrator yang didelegasikan.
Jaringan virtual, komputasi, dan pengiriman konten
Karena akses jaringan sangat penting dalam keamanan, dan infrastruktur komputasi adalah komponen mendasar dari banyak AWS beban kerja, ada banyak layanan AWS keamanan dan fitur yang didedikasikan untuk sumber daya ini. Misalnya, Amazon Inspector adalah layanan manajemen kerentanan yang terus memindai beban kerja Anda AWS untuk mencari kerentanan. Pemindaian ini mencakup pemeriksaan jangkauan jaringan yang menunjukkan bahwa ada jalur jaringan yang diizinkan ke EC2 instans Amazon di lingkungan Anda. Amazon Virtual Private Cloud
Prinsip dan sumber daya
AWSprinsip dan AWS sumber daya (bersama dengan IAM kebijakan) adalah elemen mendasar dalam identitas dan manajemen akses pada. AWS Prinsipal yang diautentikasi AWS dapat melakukan tindakan dan mengakses AWS sumber daya. Prinsipal dapat diautentikasi sebagai pengguna root AWS akun, atau IAM pengguna, atau dengan mengambil peran.
catatan
Jangan membuat API kunci persisten yang terkait dengan pengguna AWS root. Akses ke pengguna root harus dibatasi hanya pada tugas-tugas yang membutuhkan pengguna root, dan kemudian hanya melalui proses pengecualian dan persetujuan yang ketat. Untuk praktik terbaik untuk melindungi pengguna root akun Anda, lihat AWSdokumentasinya.
AWSSumber daya adalah objek yang ada dalam AWS layanan yang dapat Anda gunakan. Contohnya termasuk EC2 instance, AWS CloudFormation tumpukan, topik Amazon Simple Notification Service (AmazonSNS), dan bucket S3. IAMkebijakan adalah objek yang menentukan izin saat dikaitkan dengan IAM identitas (pengguna, grup, atau peran) atau AWS sumber daya. Kebijakan berbasis identitas adalah dokumen kebijakan yang Anda lampirkan ke prinsipal (peran, pengguna, dan grup pengguna) untuk mengontrol tindakan mana yang dapat dilakukan oleh prinsipal, sumber daya mana, dan dalam kondisi apa. Kebijakan berbasis sumber daya adalah dokumen kebijakan yang Anda lampirkan ke sumber daya seperti bucket S3. Kebijakan ini memberikan izin utama yang ditentukan untuk melakukan tindakan spesifik pada sumber daya tersebut dan menentukan kondisi untuk izin tersebut. Kebijakan berbasis sumber daya adalah kebijakan in-line. Bagian IAMsumber daya menyelami lebih dalam jenis IAM kebijakan dan bagaimana mereka digunakan.
Untuk menjaga hal-hal sederhana dalam diskusi ini, kami mencantumkan layanan AWS keamanan dan fitur untuk IAM entitas yang memiliki tujuan utama untuk mengoperasikan, atau menerapkan ke, prinsipal akun. Kami menjaga kesederhanaan itu sambil mengakui fleksibilitas dan luasnya efek kebijakan izin. IAM Sebuah pernyataan tunggal dalam kebijakan dapat memiliki efek pada beberapa jenis AWS entitas. Misalnya, meskipun kebijakan IAM berbasis identitas dikaitkan dengan entitas dan mendefinisikan izin (izinkan, tolak) untuk IAM entitas tersebut, kebijakan tersebut juga secara implisit mendefinisikan izin untuk tindakan, sumber daya, dan kondisi yang ditentukan. Dengan cara ini, kebijakan berbasis identitas dapat menjadi elemen penting dalam menentukan izin untuk sumber daya.
Diagram berikut menggambarkan layanan AWS keamanan dan fitur untuk AWS kepala sekolah. Kebijakan berbasis identitas dilampirkan ke objek IAM sumber daya yang digunakan untuk identifikasi dan pengelompokan, seperti pengguna, grup, dan peran. Kebijakan ini memungkinkan Anda menentukan apa yang dapat dilakukan oleh identitas (izinnya). Kebijakan IAM sesi adalah kebijakan izin sebaris yang diteruskan pengguna dalam sesi saat mereka mengambil peran. Anda dapat meneruskan kebijakan sendiri, atau Anda dapat mengonfigurasi pialang identitas Anda untuk memasukkan kebijakan saat identitas Anda bergabung. AWS Ini memungkinkan administrator Anda mengurangi jumlah peran yang harus mereka buat, karena beberapa pengguna dapat mengambil peran yang sama namun memiliki izin sesi yang unik. Layanan Pusat IAM Identitas terintegrasi dengan AWS AWS API Organizations dan operasi, dan membantu Anda mengelola SSO akses dan izin pengguna di seluruh AWS akun Anda di AWS Organizations.
Diagram berikut menggambarkan layanan dan fitur untuk sumber daya akun. Kebijakan berbasis sumber daya dilampirkan pada sumber daya. Misalnya, Anda dapat melampirkan kebijakan berbasis sumber daya ke bucket S3, antrian Amazon Simple Queue Service (SQSAmazon), titik akhir, dan kunci enkripsi. VPC AWS KMS Anda dapat menggunakan kebijakan berbasis sumber daya untuk menentukan siapa yang memiliki akses ke sumber daya dan tindakan apa yang dapat mereka lakukan terhadapnya. Kebijakan bucket S3, kebijakan AWS KMS utama, dan kebijakan VPC endpoint adalah jenis kebijakan berbasis sumber daya. AWSIAM Access Analyzer membantu Anda mengidentifikasi sumber daya di organisasi dan akun Anda, seperti bucket atau IAM peran S3, yang dibagikan dengan entitas eksternal. Ini memungkinkan Anda mengidentifikasi akses yang tidak diinginkan ke sumber daya dan data Anda, yang merupakan risiko keamanan. AWS Config memungkinkan Anda menilai, mengaudit, dan mengevaluasi konfigurasi AWS sumber daya yang didukung di akun Anda. AWS AWS Config terus memantau dan merekam konfigurasi AWS sumber daya, dan secara otomatis mengevaluasi konfigurasi yang direkam terhadap konfigurasi yang diinginkan.
