SEC06-BP03 Kurangi manajemen manual dan akses interaktif

Gunakan otomatisasi sebisa mungkin untuk melakukan tugas deployment, konfigurasi, pemeliharaan, dan investigasi. Pertimbangkan akses manual ke sumber daya komputasi dalam kasus prosedur darurat atau di lingkungan aman (sandbox) ketika otomatisasi tidak tersedia.

Hasil yang diinginkan: Skrip programatis dan dokumen (runbook) otomatisasi mencatat tindakan yang sah pada sumber daya komputasi Anda. Runbook ini dimulai baik secara otomatis, melalui sistem deteksi perubahan, maupun secara manual, ketika penilaian oleh manusia diperlukan. Akses langsung ke sumber daya komputasi hanya tersedia dalam situasi darurat ketika otomatisasi tidak tersedia. Semua aktivitas manual dicatat lognya dan dimasukkan ke dalam proses peninjauan untuk terus meningkatkan kemampuan otomatisasi Anda.

Antipola umum:

Akses interaktif ke instans Amazon EC2 dengan protokol seperti SSH atau RDP.
Memelihara login untuk setiap pengguna seperti /etc/passwd atau pengguna lokal Windows.
Berbagi kata sandi atau kunci privat untuk mengakses instans di antara beberapa pengguna.
Menginstal perangkat lunak dan membuat atau memperbarui file konfigurasi secara manual.
Memperbarui atau melakukan patching perangkat lunak secara manual.
Masuk ke instans untuk memecahkan masalah.

Manfaat menjalankan praktik terbaik ini: Melakukan tindakan dengan otomatisasi akan membantu Anda mengurangi risiko operasional, yaitu perubahan yang tidak diinginkan dan kesalahan konfigurasi. Penghentian penggunaan Secure Shell (SSH) dan Remote Desktop Protocol (RDP) untuk akses interaktif akan mengurangi cakupan akses ke sumber daya komputasi Anda. Hal ini menghilangkan jalur umum yang memungkinkan tindakan tidak sah. Pencatatan tugas manajemen sumber daya komputasi Anda dalam dokumen otomatisasi dan skrip programatis akan menyediakan mekanisme untuk menentukan dan mengaudit cakupan penuh aktivitas yang sah secara lebih mendetail.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Masuk ke instans adalah pendekatan klasik untuk administrasi sistem. Setelah menginstal sistem operasi server, pengguna biasanya akan masuk secara manual untuk mengonfigurasi sistem dan menginstal perangkat lunak yang diinginkan. Selama masa pakai server, pengguna mungkin masuk untuk melakukan pembaruan perangkat lunak, menerapkan patch, mengubah konfigurasi, dan memecahkan masalah.

Namun, akses manual menimbulkan sejumlah risiko. Hal ini membutuhkan server yang mendengarkan permintaan, seperti layanan SSH atau RDP, yang dapat memberikan jalur potensial ke akses tidak sah. Ini juga meningkatkan risiko kesalahan manusia yang terkait dengan melakukan langkah-langkah secara manual. Hal ini dapat mengakibatkan insiden beban kerja, kerusakan atau pemusnahan data, atau masalah keamanan lainnya. Akses manusia juga memerlukan perlindungan dari pembagian kredensial, sehingga menimbulkan overhead manajemen tambahan.

Untuk mengurangi risiko ini, Anda dapat mengimplementasikan solusi akses jarak jauh berbasis agen, seperti AWS Systems Manager. Agen AWS Systems Manager (Agen SSM) memulai saluran terenkripsi, sehingga tidak perlu mendengarkan permintaan yang dimulai secara eksternal. Pertimbangkan untuk mengonfigurasi Agen SSM untuk membuat saluran ini melalui titik akhir VPC.

Systems Manager memberi Anda kontrol terperinci tentang cara berinteraksi dengan instans terkelola. Anda menentukan otomatisasi yang akan dijalankan, siapa yang dapat menjalankannya, dan kapan dapat dijalankan. Systems Manager dapat menerapkan patch, menginstal perangkat lunak, dan membuat perubahan konfigurasi tanpa akses interaktif ke instans. Systems Manager juga dapat menyediakan akses ke shell jarak jauh dan mencatat log setiap perintah yang diinvokasi, dan output-nya, selama sesi ke log dan Amazon S3. AWS CloudTrail mencatat pemanggilan API Systems Manager untuk diperiksa.

Langkah implementasi

Instal Agen AWS Systems Manager (Agen SSM) pada instans Amazon EC2 Anda. Periksa untuk melihat apakah Agen SSM disertakan dan dimulai secara otomatis sebagai bagian dari konfigurasi AMI dasar Anda.
Verifikasikan bahwa Peran IAM yang terkait dengan profil instans EC2 Anda menyertakan kebijakan IAM terkelola AmazonSSMManagedInstanceCore.
Nonaktifkan SSH, RDP, dan layanan akses jarak jauh lainnya yang berjalan di instans Anda. Anda dapat melakukannya dengan menjalankan skrip yang dikonfigurasi di bagian data pengguna untuk templat peluncuran Anda atau dengan membuat AMI yang disesuaikan dengan alat seperti EC2 Image Builder.
Pastikan aturan lalu lintas masuk grup keamanan yang berlaku untuk instans EC2 Anda tidak mengizinkan akses pada port 22/tcp (SSH) atau port 3389/tcp (RDP). Implementasikan deteksi dan peringatan terkait grup keamanan yang salah konfigurasi menggunakan layanan seperti AWS Config.
Tentukan otomatisasi dan runbook yang sesuai, lalu jalankan perintah di Systems Manager. Gunakan kebijakan IAM untuk menentukan siapa yang dapat melakukan tindakan ini dan kondisi yang akan membuat mereka diizinkan. Uji otomatisasi ini secara menyeluruh di lingkungan non-produksi. Lakukan invokasi terhadap otomatisasi ini jika diperlukan, bukan mengakses instans secara interaktif.
Gunakan AWS Systems Manager Session Manager untuk menyediakan akses interaktif ke instans jika diperlukan. Aktifkan pencatatan log aktivitas sesi untuk memelihara jejak audit di Amazon CloudWatch Logs atau Amazon S3.

Sumber daya

Praktik terbaik terkait:

REL08-BP04 Lakukan deployment menggunakan infrastruktur imutabel

Contoh terkait:

Mengganti akses SSH untuk mengurangi overhead manajemen dan keamanan dengan AWS Systems Manager

Alat terkait:

AWS Systems Manager

Video terkait:

Mengontrol Akses Sesi Pengguna ke Instans di AWS Systems Manager Session Manager

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC06-BP02 Sediakan komputasi dari image yang di-hardening

SEC06-BP04 Validasikan integritas perangkat lunak