Nilai AWS SRA - AWS Bimbingan Preskriptif
Cara menggunakan AWS SRAPedoman implementasi utama AWS SRA

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Nilai AWS SRA

Mempengaruhi masa depan AWS Security Reference Architecture (AWSSRA) dengan mengambil survei singkat.

AWS memiliki serangkaian layanan keamanan dan keamanan yang besar (dan terus berkembang). Pelanggan telah menyatakan penghargaan atas informasi terperinci yang tersedia melalui dokumentasi layanan kami, posting blog, tutorial, pertemuan puncak, dan konferensi. Mereka juga memberi tahu kami bahwa mereka ingin lebih memahami gambaran besar dan mendapatkan pandangan strategis tentang layanan keamanan AWS. Ketika kami bekerja dengan pelanggan untuk mendapatkan apresiasi yang lebih dalam atas apa yang mereka butuhkan, tiga prioritas muncul:

  • Pelanggan menginginkan informasi lebih lanjut dan pola yang direkomendasikan tentang bagaimana mereka dapat menerapkan, mengonfigurasi, dan mengoperasikan layanan keamanan AWS secara holistik. Di akun mana dan ke arah tujuan keamanan mana layanan harus digunakan dan dikelola?  Apakah ada satu akun keamanan di mana semua atau sebagian besar layanan harus beroperasi?  Bagaimana pilihan lokasi (unit organisasi atau akun AWS) menginformasikan tujuan keamanan? Trade-off (pertimbangan desain) mana yang harus diperhatikan pelanggan?

  • Pelanggan tertarik untuk melihat perspektif yang berbeda untuk secara logis mengatur banyak layanan keamanan AWS. Di luar fungsi utama setiap layanan (misalnya, layanan identitas atau layanan logging), sudut pandang alternatif ini membantu pelanggan merencanakan, merancang, dan mengimplementasikan arsitektur keamanan mereka. Contoh yang dibagikan nanti dalam panduan ini mengelompokkan layanan berdasarkan lapisan perlindungan yang disejajarkan dengan struktur lingkungan AWS yang direkomendasikan.

  • Pelanggan mencari panduan dan contoh untuk mengintegrasikan layanan keamanan dengan cara yang paling efektif. Misalnya, bagaimana cara terbaik mereka menyelaraskan dan menghubungkan AWS Config dengan layanan lain untuk melakukan pekerjaan berat dalam jalur audit dan pemantauan otomatis?  Pelanggan meminta panduan tentang bagaimana setiap layanan keamanan AWS mengandalkan, atau mendukung, layanan keamanan lainnya.

Kami membahas masing-masing ini di AWS SRA. Prioritas pertama dalam daftar (ke mana perginya) adalah fokus diagram arsitektur utama dan diskusi yang menyertainya dalam dokumen ini. Kami menyediakan arsitektur AWS Organizations yang direkomendasikan dan account-by-account deskripsi layanan mana yang digunakan.  Untuk memulai dengan prioritas kedua dalam daftar (cara memikirkan rangkaian lengkap layanan keamanan), baca bagian, Terapkan layanan keamanan di seluruh organisasi AWS Anda. Bagian ini menjelaskan cara mengelompokkan layanan keamanan sesuai dengan struktur elemen di organisasi AWS Anda. Selain itu, ide-ide yang sama tercermin dalam diskusi akun Aplikasi, yang menyoroti bagaimana layanan keamanan dapat dioperasikan untuk fokus pada lapisan akun tertentu: instans Amazon Elastic Compute Cloud (Amazon EC2), Amazon Virtual Private Cloud (Amazon VPC) jaringan, dan akun yang lebih luas. Terakhir, prioritas ketiga (integrasi layanan) tercermin di seluruh panduan—khususnya dalam diskusi layanan individual di bagian mendalam akun dokumentasi ini dan kode di repositori kode AWS SRA.

Cara menggunakan AWS SRA

Ada berbagai cara untuk menggunakan AWS SRA tergantung di mana Anda berada dalam perjalanan adopsi cloud Anda. Berikut adalah daftar cara untuk mendapatkan wawasan paling banyak dari aset AWS SRA (diagram arsitektur, panduan tertulis, dan contoh kode).

  • Tentukan status target untuk arsitektur keamanan Anda sendiri.

Baik Anda baru memulai perjalanan AWS Cloud Anda—menyiapkan kumpulan akun pertama Anda—atau berencana untuk meningkatkan lingkungan AWS yang sudah mapan, AWS SRA adalah tempat untuk mulai membangun arsitektur keamanan Anda. Mulailah dengan fondasi komprehensif struktur akun dan layanan keamanan, dan kemudian sesuaikan berdasarkan tumpukan teknologi, keterampilan, tujuan keamanan, dan persyaratan kepatuhan khusus Anda. Jika Anda tahu bahwa Anda akan membangun dan meluncurkan lebih banyak beban kerja, Anda dapat mengambil versi AWS SRA yang disesuaikan dan menggunakannya sebagai dasar untuk arsitektur referensi keamanan organisasi Anda. Untuk mengetahui bagaimana Anda dapat mencapai status target yang dijelaskan oleh AWS SRA, lihat bagian Membangun arsitektur keamanan Anda — Pendekatan bertahap.

  • Tinjau (dan revisi) desain dan kemampuan yang telah Anda terapkan.

Jika Anda sudah memiliki desain dan implementasi keamanan, ada baiknya meluangkan waktu untuk membandingkan apa yang Anda miliki dengan AWS SRA. AWS SRA dirancang untuk menjadi komprehensif dan menyediakan dasar diagnostik untuk meninjau keamanan Anda sendiri. Jika desain keamanan Anda selaras dengan AWS SRA, Anda dapat merasa lebih yakin bahwa Anda mengikuti praktik terbaik saat menggunakan layanan AWS. Jika desain keamanan Anda berbeda atau bahkan tidak setuju dengan panduan di AWS SRA, ini belum tentu merupakan tanda bahwa Anda melakukan sesuatu yang salah. Sebaliknya, pengamatan ini memberi Anda kesempatan untuk meninjau proses keputusan Anda. Ada alasan bisnis dan teknologi yang sah mengapa Anda mungkin menyimpang dari praktik terbaik AWS SRA. Mungkin kepatuhan khusus, peraturan, atau persyaratan keamanan organisasi Anda memerlukan konfigurasi layanan tertentu. Atau, alih-alih menggunakan layanan AWS, Anda mungkin memiliki preferensi fitur untuk produk dari AWS Partner Network atau aplikasi khusus yang Anda buat dan kelola. Terkadang, selama peninjauan ini, Anda mungkin menemukan bahwa keputusan Anda sebelumnya dibuat berdasarkan teknologi lama, fitur AWS, atau kendala bisnis yang tidak lagi berlaku. Ini adalah kesempatan yang baik untuk meninjau, memprioritaskan pembaruan apa pun, dan menambahkannya ke tempat yang sesuai dari backlog teknik Anda. Apa pun yang Anda temukan saat menilai arsitektur keamanan Anda berdasarkan AWS SRA, Anda akan merasa berharga untuk mendokumentasikan analisis tersebut. Memiliki catatan sejarah keputusan dan pembenarannya dapat membantu menginformasikan dan memprioritaskan keputusan masa depan.

  • Bootstrap implementasi arsitektur keamanan Anda sendiri.

Modul AWS SRA Infrastructure as code (IAc) menyediakan cara yang cepat dan andal untuk mulai membangun dan mengimplementasikan arsitektur keamanan Anda. Modul-modul ini dijelaskan lebih dalam di bagian repositori kode dan di repositori publik GitHub . Mereka tidak hanya memungkinkan para insinyur untuk membangun contoh pola berkualitas tinggi dalam panduan AWS SRA, tetapi mereka juga menggabungkan kontrol keamanan yang direkomendasikan seperti kebijakan kata sandi AWS Identity and Access Management (IAM), Amazon Simple Storage Service (Amazon S3) memblokir akses publik akun, enkripsi Amazon EC2 default Amazon Elastic Block Store (Amazon EBS), dan integrasi dengan AWS Control Tower sehingga kontrol diterapkan atau dihapus saat akun AWS baru di-onboard atau dinonaktifkan.

  • Pelajari lebih lanjut tentang layanan dan kapabilitas keamanan AWS.

Panduan dan diskusi di AWS SRA mencakup fitur-fitur penting serta pertimbangan penerapan dan manajemen untuk keamanan AWS individual dan layanan terkait keamanan. Salah satu fitur AWS SRA adalah menyediakan pengenalan tingkat tinggi tentang luasnya layanan keamanan AWS dan bagaimana mereka bekerja sama dalam lingkungan multi-akun. Ini melengkapi penyelaman mendalam ke dalam fitur dan konfigurasi untuk setiap layanan yang ditemukan di sumber lain. Salah satu contohnya adalah diskusi tentang bagaimana AWS Security Hub menyerap temuan keamanan dari berbagai layanan AWS, produk AWS Partner, dan bahkan aplikasi Anda sendiri.

  • Mendorong diskusi tentang tata kelola organisasi dan tanggung jawab untuk keamanan.

Elemen penting dalam merancang dan menerapkan arsitektur atau strategi keamanan apa pun adalah memahami siapa di organisasi Anda yang memiliki tanggung jawab terkait keamanan. Misalnya, pertanyaan tentang di mana mengumpulkan dan memantau temuan keamanan terkait dengan pertanyaan tim mana yang akan bertanggung jawab atas aktivitas tersebut. Apakah semua temuan di seluruh organisasi dipantau oleh tim pusat yang membutuhkan akses ke akun Security Tooling khusus? Atau apakah tim aplikasi individu (atau unit bisnis) bertanggung jawab atas kegiatan pemantauan tertentu dan oleh karena itu memerlukan akses ke alat peringatan dan pemantauan tertentu? Sebagai contoh lain, jika organisasi Anda memiliki grup yang mengelola semua kunci enkripsi secara terpusat, hal itu akan memengaruhi siapa yang memiliki izin untuk membuat kunci AWS Key Management Service (AWS KMS) dan akun mana kunci tersebut akan dikelola. Memahami karakteristik organisasi Anda—berbagai tim dan tanggung jawab—akan membantu Anda menyesuaikan AWS SRA agar sesuai dengan kebutuhan Anda. Sebaliknya, terkadang diskusi tentang arsitektur keamanan menjadi dorongan untuk membahas tanggung jawab organisasi yang ada dan mempertimbangkan potensi perubahan. AWS merekomendasikan proses pengambilan keputusan terdesentralisasi di mana tim beban kerja bertanggung jawab untuk menentukan kontrol keamanan berdasarkan fungsi dan persyaratan beban kerja mereka. Tujuan dari tim keamanan dan tata kelola terpusat adalah untuk membangun sistem yang memungkinkan pemilik beban kerja untuk membuat keputusan berdasarkan informasi dan bagi semua pihak untuk mendapatkan visibilitas konfigurasi, temuan, dan peristiwa. AWS SRA dapat menjadi wahana untuk mengidentifikasi dan menginformasikan diskusi ini.

Pedoman implementasi utama AWS SRA

Berikut adalah delapan takeaway utama dari AWS SRA yang perlu diingat saat Anda merancang dan menerapkan keamanan Anda.   

  • AWS Organizations dan strategi multi-akun yang sesuai adalah elemen penting dari arsitektur keamanan Anda. Memisahkan beban kerja, tim, dan fungsi dengan benar memberikan dasar untuk pemisahan tugas dan defense-in-depth strategi. Panduan ini mencakup ini lebih lanjut di bagian selanjutnya.

  • D efense-in-depth adalah pertimbangan desain penting untuk memilih kontrol keamanan untuk organisasi Anda. Ini membantu Anda menyuntikkan kontrol keamanan yang sesuai di berbagai lapisan struktur AWS Organizations, yang membantu meminimalkan dampak masalah: Jika ada masalah dengan satu lapisan, ada kontrol yang mengisolasi sumber daya TI berharga lainnya. AWS SRA menunjukkan bagaimana layanan AWS yang berbeda berfungsi pada lapisan tumpukan teknologi AWS yang berbeda, dan bagaimana menggunakan layanan tersebut dalam kombinasi membantu Anda mencapainya. defense-in-depth defense-in-depth Konsep tentang AWS ini dibahas lebih lanjut di bagian selanjutnya dengan contoh desain yang ditunjukkan di bawah Akun aplikasi.

  • Gunakan berbagai macam blok bangunan keamanan di beberapa layanan dan fitur AWS untuk membangun infrastruktur cloud yang kuat dan tangguh. Saat menyesuaikan AWS SRA dengan kebutuhan khusus Anda, pertimbangkan tidak hanya fungsi utama layanan dan fitur AWS (misalnya, otentikasi, enkripsi, pemantauan, kebijakan izin) tetapi juga bagaimana mereka cocok dengan struktur arsitektur Anda. Bagian selanjutnya dalam panduan menjelaskan cara beberapa layanan beroperasi di seluruh organisasi AWS Anda. Layanan lain beroperasi paling baik dalam satu akun, dan beberapa dirancang untuk memberikan atau menolak izin kepada kepala sekolah individu. Mempertimbangkan kedua perspektif ini membantu Anda membangun pendekatan keamanan yang lebih fleksibel dan berlapis.

  • Jika memungkinkan (seperti yang dijelaskan di bagian selanjutnya), gunakan layanan AWS yang dapat digunakan di setiap akun (didistribusikan, bukan terpusat) dan buat serangkaian pagar pembatas bersama yang konsisten yang dapat membantu melindungi beban kerja Anda dari penyalahgunaan dan membantu mengurangi dampak peristiwa keamanan. AWS SRA menggunakan AWS Security Hub (pemantauan pencarian terpusat dan pemeriksaan kepatuhan), Amazon GuardDuty (deteksi ancaman dan deteksi anomali), AWS Config (pemantauan sumber daya dan deteksi perubahan), IAM Access Analyzer (pemantauan akses sumber daya, CloudTrail AWS (aktivitas API layanan pencatatan di seluruh lingkungan Anda) dan Amazon Macie (klasifikasi data) sebagai kumpulan dasar layanan AWS yang akan digunakan di setiap AWS Akun AWS.

  • Manfaatkan fitur administrasi yang didelegasikan dari AWS Organizations, yang didukung, seperti yang dijelaskan nanti di bagian administrasi yang didelegasikan pada panduan ini. Ini memungkinkan Anda mendaftarkan akun anggota AWS sebagai administrator untuk layanan yang didukung. Administrasi yang didelegasikan memberikan fleksibilitas bagi tim yang berbeda dalam perusahaan Anda untuk menggunakan akun terpisah, yang sesuai dengan tanggung jawab mereka, untuk mengelola layanan AWS di seluruh lingkungan. Selain itu, menggunakan administrator yang didelegasikan membantu Anda membatasi akses ke, dan mengelola overhead izin, akun manajemen AWS Organizations.

  • Menerapkan pemantauan, manajemen, dan tata kelola terpusat di seluruh organisasi AWS Anda. Dengan menggunakan layanan AWS yang mendukung agregasi multi-akun (dan terkadang Multi-wilayah), bersama dengan fitur administrasi yang didelegasikan, Anda memberdayakan tim keamanan pusat, jaringan, dan rekayasa cloud Anda untuk memiliki visibilitas dan kontrol yang luas atas konfigurasi keamanan dan pengumpulan data yang sesuai. Selain itu, data dapat diberikan kembali ke tim beban kerja untuk memberdayakan mereka membuat keputusan keamanan yang efektif sebelumnya dalam siklus hidup pengembangan perangkat lunak (SDLC).

  • Gunakan AWS Control Tower untuk menyiapkan dan mengatur lingkungan AWS multi-akun Anda dengan penerapan kontrol keamanan pra-bangun untuk mem-bootstrap build arsitektur referensi keamanan Anda. AWS Control Tower menyediakan cetak biru untuk menyediakan manajemen identitas, akses gabungan ke akun, pencatatan terpusat, dan alur kerja yang ditentukan untuk menyediakan akun tambahan. Anda kemudian dapat menggunakan solusi Kustomisasi untuk AWS Control Tower (CFCT) untuk membuat baseline akun yang dikelola oleh AWS Control Tower dengan kontrol keamanan tambahan, konfigurasi layanan, dan tata kelola, seperti yang ditunjukkan oleh repositori kode AWS SRA. Fitur pabrik akun secara otomatis menyediakan akun baru dengan templat yang dapat dikonfigurasi berdasarkan konfigurasi akun yang disetujui untuk menstandarisasi akun dalam AWS Organizations Anda. Anda juga dapat memperluas tata kelola ke akun AWS individual yang ada dengan mendaftarkannya ke unit organisasi (OU) yang sudah diatur oleh AWS Control Tower.

  • Contoh kode AWS SRA menunjukkan bagaimana Anda dapat mengotomatiskan implementasi pola dalam panduan AWS SRA dengan menggunakan infrastruktur sebagai kode (IAc). Dengan mengkodifikasi pola, Anda dapat memperlakukan IAc seperti aplikasi lain di organisasi Anda, dan mengotomatiskan pengujian sebelum Anda menerapkan kode. IAc juga membantu memastikan konsistensi dan pengulangan dengan menerapkan pagar pembatas di beberapa lingkungan (misalnya, SDLC atau khusus Wilayah). Contoh kode SRA dapat diterapkan di lingkungan multi-akun AWS Organizations dengan atau tanpa AWS Control Tower. Solusi dalam repositori ini yang memerlukan AWS Control Tower telah diterapkan dan diuji di lingkungan AWS Control Tower dengan menggunakan AWS CloudFormation dan Kustomisasi untuk AWS Control Tower (CFCT). Solusi yang tidak memerlukan AWS Control Tower telah diuji di lingkungan AWS Organizations dengan menggunakan AWS CloudFormation. Jika Anda tidak menggunakan AWS Control Tower, Anda dapat menggunakan solusi penerapan berbasis AWS Organizations.