Keamanan

Saat Anda membangun sistem pada infrastruktur AWS, tanggung jawab keamanan dibagi antara Anda dan AWS. Model tanggung jawab bersama ini mengurangi beban operasional Anda karena AWS mengoperasikan, mengelola, dan mengontrol komponen termasuk sistem operasi host, lapisan virtualisasi, dan keamanan fisik fasilitas tempat layanan beroperasi. Untuk informasi selengkapnya tentang keamanan AWS, kunjungi AWS Cloud Security.

Peran IAM

Peran AWS Identity and Access Management (IAM) memungkinkan pelanggan menetapkan kebijakan akses terperinci dan izin untuk layanan dan pengguna di AWS Cloud. Solusi ini menciptakan peran IAM yang memberikan akses fungsi AWS Lambda solusi untuk membuat sumber daya Regional.

Amazon CloudFront

Solusi ini menerapkan UI web yang dihosting di bucket Amazon S3, yang didistribusikan oleh Amazon. CloudFront Untuk membantu mengurangi latensi dan meningkatkan keamanan, solusi ini mencakup CloudFront distribusi dengan identitas akses asal, yaitu CloudFront pengguna yang menyediakan akses publik ke konten bucket situs web solusi. Secara default, CloudFront distribusi menggunakan TLS 1.2 untuk menegakkan protokol keamanan tingkat tertinggi. Untuk informasi selengkapnya, lihat Membatasi akses ke asal Amazon S3 di Panduan Pengembang CloudFront Amazon.

CloudFront mengaktifkan mitigasi keamanan tambahan untuk menambahkan header keamanan HTTP ke setiap respons penampil. Untuk informasi selengkapnya, lihat Menambahkan atau menghapus header HTTP dalam CloudFront tanggapan.

Solusi ini menggunakan CloudFront sertifikat default, yang memiliki protokol keamanan minimum yang didukung TLS v1.0. Untuk menegakkan penggunaan TLS v1.2 atau TLS v1.3, Anda harus menggunakan sertifikat SSL kustom alih-alih sertifikat default. CloudFront Untuk informasi selengkapnya, lihat Bagaimana cara mengonfigurasi CloudFront distribusi saya untuk menggunakan SSL/TLS sertifikat.

Grup keamanan AWS Fargate

Secara default, solusi ini membuka aturan keluar grup keamanan AWS Fargate kepada publik. Jika Anda ingin memblokir AWS Fargate agar tidak mengirim lalu lintas ke mana pun, ubah aturan keluar ke Perutean Antar-Domain Tanpa Kelas (CIDR) tertentu.

Grup keamanan ini juga menyertakan aturan masuk yang memungkinkan lalu lintas lokal di port 50.000 ke sumber apa pun yang termasuk dalam grup keamanan yang sama. Ini digunakan untuk memungkinkan wadah berkomunikasi satu sama lain.

Tes stress jaringan

Anda bertanggung jawab untuk menggunakan solusi ini di bawah kebijakan Uji Stres Jaringan. Kebijakan ini mencakup situasi seperti ketika Anda berencana untuk menjalankan pengujian jaringan volume tinggi langsung dari instans Amazon Anda ke lokasi lain seperti EC2 instans Amazon lainnya, properti/layanan AWS EC2 , atau titik akhir eksternal. Tes ini kadang-kadang disebut stress test, load test, atau gameday test. Sebagian besar pengujian pelanggan tidak akan termasuk dalam kebijakan ini; namun, lihat kebijakan ini jika Anda yakin Anda akan menghasilkan lalu lintas yang menopang, secara agregat, selama lebih dari 1 menit, lebih dari 1 Gbps (1 miliar bit per detik) atau lebih dari 1 Gpps (1 miliar paket per detik).

Membatasi akses ke antarmuka pengguna publik

Untuk membatasi akses ke antarmuka pengguna yang menghadap publik di luar mekanisme autentikasi dan otorisasi yang disediakan oleh IAM dan Amazon Cognito, gunakan solusi Otomasi Keamanan AWS WAF (firewall aplikasi web).

Solusi ini secara otomatis menerapkan seperangkat aturan AWS WAF yang memfilter serangan berbasis web umum. Pengguna dapat memilih dari fitur pelindung yang telah dikonfigurasi sebelumnya yang menentukan aturan yang disertakan dalam daftar kontrol akses web AWS WAF (web ACL).