Mencegah akses dan eksfiltrasi data yang tidak sah

Menurut Laporan Biaya Pelanggaran Data 2022 (laporan Institut Ponemon), biaya rata-rata pelanggaran data pada tahun 2022 adalah 0,3 juta. USD4 Untuk perusahaan semikonduktor, melindungi kekayaan intelektual (IP) sangat penting. Kehilangan IP karena akses yang tidak sah dapat mengakibatkan kerugian finansial, kerusakan reputasi, atau bahkan konsekuensi peraturan. Konsekuensi potensial ini membuat pengendalian akses ke data dan aliran data aspek penting dari desain yang dirancang dengan baik.

Pertimbangan utama untuk mengamankan data Anda meliputi:

• Otentikasi pengguna untuk akses ke lingkungan pengembangan yang aman

• Otorisasi pengguna untuk akses ke data dalam lingkungan pengembangan yang aman

• Mencatat semua transfer masuk dan keluar dari lingkungan pengembangan yang aman

• Merancang aliran data yang aman antar lingkungan

• Enkripsi data dalam perjalanan dan istirahat

• Membatasi dan mencatat lalu lintas jaringan keluar

Mengonfigurasi izin

AWS Identity and Access Management (IAM) membantu Anda mengelola akses ke AWS sumber daya dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya. Secara default, tindakan apa pun AWS secara implisit ditolak kecuali diizinkan secara eksplisit. Anda mengelola akses AWS dengan membuat kebijakan. Anda dapat menggunakan kebijakan untuk menentukan, pada tingkat terperinci, pengguna mana yang dapat mengakses sumber daya dan tindakan apa yang dapat mereka lakukan pada sumber daya tersebut. Praktik AWS terbaik adalah menerapkan izin hak istimewa paling sedikit, yang berarti Anda hanya memberi pengguna izin yang mereka perlukan untuk melakukan tugas mereka. Untuk informasi selengkapnya, lihat berikut ini dalam dokumentasi IAM:

• Kebijakan dan izin di IAM

• Logika evaluasi kebijakan

• Praktik terbaik keamanan di IAM

Mengautentikasi pengguna

Ini adalah praktik AWS terbaik untuk meminta pengguna manusia menggunakan federasi dengan penyedia identitas untuk mengakses AWS dengan menggunakan kredensi sementara. Layanan yang direkomendasikan untuk memusatkan akses tenaga kerja pengguna Anda adalah. AWS IAM Identity Center Layanan ini membantu Anda membuat atau menghubungkan identitas tenaga kerja Anda dengan aman dan mengelola akses mereka secara terpusat di seluruh dan aplikasi. Akun AWS IAM Identity Center dapat bergabung dengan penyedia identitas eksternal (IdPs) dengan menggunakan SAFL 2.0, Open ID Connect (OIDC), atau OAuth 2.0 untuk memberikan integrasi dan manajemen pengguna yang mulus. Untuk informasi lebih lanjut, lihat Federasi identitas di AWS (AWS pemasaran) dan penyedia identitas dan federasi (dokumentasi IAM).

Anda juga dapat mengautentikasi dan mengotorisasi pengguna dengan menggunakan AWS Directory Serviceuntuk mengelola pengguna dan grup yang ditentukan dalam direktori, seperti Active Directory. Dalam lingkungan pengembangan yang aman, Anda dapat menggunakan izin file Linux untuk mengotorisasi dan membatasi akses data dalam virtual private cloud (VPC). Gunakan titik akhir VPC untuk menyediakan akses Layanan AWS tanpa melintasi internet publik. Gunakan kebijakan titik akhir untuk membatasi AWS prinsipal mana yang dapat menggunakan titik akhir, dan gunakan kebijakan berbasis identitas untuk membatasi akses ke. Layanan AWS

Mentransfer data

AWS menyediakan beberapa cara untuk memigrasikan data lokal ke cloud. Ini umum untuk awalnya menyimpan data di Amazon Simple Storage Service (Amazon S3). Amazon S3 adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data. Ini menyediakan bandwidth hingga 25 Gbps saat mentransfer data ke atau dari instans Amazon Elastic Compute Cloud (Amazon EC2). Ini juga menawarkan replikasi data lintas wilayah dan tiering data. Data yang disimpan di Amazon S3 dapat berfungsi sebagai sumber replikasi. Anda dapat menggunakannya untuk membuat sistem file baru atau untuk mentransfer data ke EC2 instance. Anda dapat menggunakan Amazon S3 sebagai backend sistem file yang sesuai dengan Antarmuka Sistem Operasi Portabel (POSIX) yang AWS dikelola untuk alat dan aliran semikonduktor.

Layanan AWS penyimpanan lainnya adalah Amazon FSx, yang menyediakan sistem file yang mendukung protokol konektivitas standar industri dan menawarkan ketersediaan dan replikasi yang tinggi. Wilayah AWSPilihan umum untuk industri semikonduktor termasuk Amazon FSx untuk NetApp ONTAP, Amazon untuk Lustre, dan Amazon FSx untuk OpenZFS. FSx Sistem file berkinerja tinggi yang dapat diskalakan di Amazon FSx sangat cocok untuk menyimpan data secara lokal dalam lingkungan pengembangan yang aman.

AWS merekomendasikan agar Anda menentukan persyaratan penyimpanan untuk beban kerja semikonduktor Anda AWS terlebih dahulu dan kemudian mengidentifikasi mekanisme transfer data yang sesuai. AWS merekomendasikan penggunaan AWS DataSyncuntuk mentransfer data dari tempat ke AWS. DataSync adalah layanan transfer dan penemuan data online yang membantu Anda memindahkan file atau data objek ke, dari, dan di antara layanan AWS penyimpanan. Bergantung pada apakah Anda menggunakan sistem penyimpanan yang dikelola sendiri atau penyedia penyimpanan seperti NetApp, Anda dapat mengonfigurasi DataSync untuk mempercepat pemindahan dan replikasi data ke lingkungan pengembangan aman Anda melalui internet atau melalui. AWS Direct Connect DataSync dapat mentransfer data dan metadata sistem file Anda, seperti kepemilikan, stempel waktu, dan izin akses. Jika Anda mentransfer file antara ONTAP dan NetApp ONTAP, AWS rekomendasikan FSx untuk menggunakan. NetApp SnapMirror Amazon FSx mendukung enkripsi saat istirahat dan dalam perjalanan. Gunakan AWS CloudTraildan fitur logging khusus layanan lainnya untuk mencatat semua panggilan API dan transfer data terkait. Pusatkan log di akun khusus, dan terapkan kebijakan akses terperinci untuk riwayat yang tidak dapat diubah.

AWS menyediakan layanan tambahan untuk membantu mengontrol aliran data, termasuk firewall jaringan yang sadar aplikasi seperti AWS Network Firewall, Amazon Route 53 Resolver DNS Firewall AWS WAF, dan proxy web. Kontrol aliran data dalam lingkungan dengan menerapkan segmentasi jaringan dengan grup keamanan, daftar kontrol akses jaringan, dan titik akhir VPC di Amazon Virtual Private Cloud (Amazon VPC), Network Firewall, tabel rute gateway transit, dan kebijakan kontrol layanan () di. SCPs AWS Organizations Catat semua lalu lintas jaringan secara terpusat dengan menggunakan VPC Flow Logs dan bidang yang tersedia dari versi 2—5 dari VPC Flow Logs.

Mengenkripsi data

Enkripsi semua data saat istirahat dengan menggunakan AWS Key Management Service (AWS KMS) kunci yang dikelola pelanggan atau AWS CloudHSM. Membuat dan memelihara kebijakan sumber daya kunci granular. Untuk informasi selengkapnya, lihat Membuat strategi enkripsi perusahaan untuk data saat istirahat.

Enkripsi data dalam perjalanan dengan menerapkan minimal TLS 1.2 dengan cipher Advanced Encryption Standard (AES-256) standar industri 256-bit.

Mengelola lalu lintas jaringan keluar

Jika lingkungan pengembangan yang aman memerlukan akses internet, maka semua lalu lintas internet keluar harus dicatat dan dibatasi melalui titik penegakan tingkat jaringan, seperti melalui Network Firewall atau Squid, yang merupakan proxy open-source. Titik akhir VPC dan proxy internet membantu melindungi dari eksfiltrasi data yang tidak sah oleh pengguna. Ini sangat penting untuk memungkinkan akses ke data dalam lingkungan pengembangan yang aman dan hanya di dalam VPC.

Terakhir, Anda dapat menggunakan Network Access Analyzer, fitur Amazon VPC, untuk melakukan validasi segmentasi jaringan dan mengidentifikasi jalur jaringan potensial yang tidak memenuhi persyaratan yang Anda tentukan.

Dengan melapisi kontrol keamanan, Anda dapat membuat dan menegakkan perimeter data yang kuat. Untuk informasi selengkapnya, lihat Membangun Perimeter Data pada AWS.