SEC08-BP04 Menerapkan kontrol akses - AWS Well-Architected Framework
Panduan implementasiSumber daya

SEC08-BP04 Menerapkan kontrol akses

Untuk membantu melindungi data diam, terapkan kontrol akses menggunakan mekanisme, seperti isolasi dan versioning, serta terapkan prinsip hak akses paling rendah. Cegah pemberian akses publik ke data Anda.

Hasil yang diinginkan: Memastikan hanya pengguna yang sah yang dapat mengakses data sesuai kebutuhan. Melindungi data Anda dengan pencadangan dan versioning rutin untuk mencegah pengubahan atau penghapusan data yang disengaja atau tidak disengaja. Mengisolasi data penting dari data lain untuk melindungi kerahasiaan dan integritas data tersebut.

Antipola umum:

  • Menyimpan data dengan kebutuhan atau klasifikasi sensitivitas yang berbeda secara bersamaan.

  • Menggunakan izin yang terlalu permisif pada kunci dekripsi.

  • Salah mengklasifikasi data.

  • Tidak menyimpan pencadangan terperinci untuk data penting.

  • Memberikan akses terus-menerus ke data produksi.

  • Tidak mengaudit akses data atau meninjau izin secara rutin

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Rendah

Panduan implementasi

Beberapa kontrol dapat membantu melindungi data diam, termasuk akses (menggunakan hak akses paling rendah), isolasi, dan versioning. Akses ke data Anda harus diaudit menggunakan mekanisme deteksi, seperti AWS CloudTrail, dan log tingkat layanan, seperti log akses Amazon Simple Storage Service (Amazon S3). Anda harus membuat daftar data mana yang dapat diakses publik, dan menyusun rencana untuk mengurangi jumlah data yang tersedia untuk publik dari waktu ke waktu.

Kunci Vault Amazon S3 Glacier dan Kunci Objek Amazon S3 memberikan kontrol akses wajib untuk objek di Amazon S3—begitu kebijakan vault dikunci dengan opsi kepatuhan, kebijakan tersebut tidak akan dapat diubah hingga kedaluwarsa, bahkan oleh pengguna root sekalipun.

Langkah implementasi

  • Terapkan akses kontrol: Terapkan akses kontrol dengan hak akses paling rendah, termasuk akses ke kunci enkripsi.

  • Pisahkan data berdasarkan tingkat klasifikasi yang berbeda: Gunakan berbagai Akun AWS untuk tingkat klasifikasi, dan kelola akun tersebut menggunakan AWS Organizations.

  • Tinjau kebijakan AWS Key Management Service (AWS KMS): Tinjau tingkat akses yang diberikan di kebijakan AWS KMS.

  • Tinjau izin objek dan bucket Amazon S3: Tinjau tingkat akses yang diberikan dalam kebijakan bucket S3 secara rutin. Praktik terbaiknya adalah menghindari penggunaan bucket yang dapat dibaca atau ditulis oleh publik. Coba gunakan AWS Config untuk mendeteksi bucket yang tersedia untuk publik, dan Amazon CloudFront untuk menyajikan konten dari Amazon S3. Pastikan bucket yang seharusnya tidak mengizinkan akses publik telah dikonfigurasi dengan benar untuk mencegah akses publik. Secara default, semua bucket S3 bersifat privat, dan hanya dapat diakses oleh pengguna yang telah diberi akses secara eksplisit.

  • Aktifkan AWS IAM Access Analyzer: IAM Access Analyzer menganalisis bucket Amazon S3 dan menghasilkan temuan saat kebijakan S3 memberikan izin ke entitas eksternal.

  • Aktifkan versioning Amazon S3 dan kunci objek jika perlu.

  • Gunakan Inventaris Amazon S3: Inventaris Amazon S3 dapat digunakan untuk mengaudit serta melaporkan replikasi dan status enkripsi objek S3.

  • Tinjau izin Amazon EBS dan berbagi AMI: Dengan izin berbagi, Anda dapat membagikan gambar dan volume kepada Akun AWS eksternal ke beban kerja Anda.

  • Tinjau AWS Resource Access Manager: Berbagi secara berkala untuk menentukan apakah sumber daya harus terus dibagikan. Dengan Resource Access Manager, Anda dapat membagikan sumber daya seperti kebijakan AWS Network Firewall, aturan Amazon Route 53 Resolver, dan subnet dalam Amazon VPC Anda. Audit sumber daya yang dibagikan secara rutin dan hentikan pembagian sumber daya yang sudah tidak perlu dibagikan.

Sumber daya

Praktik Terbaik Terkait:

Dokumen terkait:

Video terkait: