SEC01-BP05 Mengurangi ruang lingkup manajemen keamanan

Tentukan apakah Anda dapat mengurangi cakupan keamanan dengan menggunakan AWS layanan yang mengalihkan manajemen kontrol tertentu ke AWS (layanan terkelola). Layanan ini dapat membantu mengurangi tugas pemeliharaan keamanan Anda, seperti penyediaan infrastruktur, penyiapan perangkat lunak, patching, atau pencadangan.

Hasil yang diinginkan: Anda mempertimbangkan ruang lingkup manajemen keamanan Anda saat memilih AWS layanan untuk beban kerja Anda. Biaya overhead manajemen dan tugas pemeliharaan (total biaya kepemilikan, atauTCO) ditimbang terhadap biaya layanan yang Anda pilih, di samping pertimbangan Well-Architected lainnya. Anda memasukkan dokumentasi AWS kontrol dan kepatuhan ke dalam evaluasi kontrol dan prosedur verifikasi Anda.

Anti-pola umum:

• Melakukan deployment beban kerja tanpa sepenuhnya memahami model tanggung jawab bersama untuk layanan yang Anda pilih.

• Meng-host basis data dan teknologi lainnya pada mesin virtual tanpa mengevaluasi sarana yang setara dengan layanan terkelola.

• Tidak menyertakan tugas manajemen keamanan ke dalam total biaya kepemilikan untuk meng-host teknologi pada mesin virtual jika dibandingkan dengan opsi layanan terkelola.

Manfaat menerapkan praktik terbaik ini: Menggunakan layanan terkelola akan dapat mengurangi beban keseluruhan Anda dalam mengelola kontrol keamanan operasional, hal ini dapat mengurangi risiko keamanan dan total biaya kepemilikan Anda. Waktu yang seharusnya dihabiskan untuk tugas-tugas keamanan tertentu dapat diinvestasikan kembali ke tugas-tugas yang memberikan nilai lebih bagi bisnis Anda. Layanan terkelola juga dapat mengurangi cakupan persyaratan kepatuhan Anda dengan mengalihkan sebagian persyaratan kontrol ke AWS.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Ada beberapa cara untuk mengintegrasikan komponen beban kerja Anda di AWS. Menginstal dan menjalankan teknologi di EC2 instans Amazon sering kali mengharuskan Anda untuk mengambil bagian terbesar dari tanggung jawab keamanan secara keseluruhan. Untuk membantu mengurangi beban pengoperasian kontrol tertentu, identifikasi layanan AWS terkelola yang mengurangi ruang lingkup sisi Anda dari model tanggung jawab bersama dan pahami bagaimana Anda dapat menggunakannya dalam arsitektur yang ada. Contohnya termasuk menggunakan Amazon Relational Database Service (Amazon) untuk menyebarkan database, RDS AmazonElastic Kubernetes Service (Amazon) atau Amazon Elastic Container Service EKS (Amazon) untuk mengatur kontainerECS, atau menggunakan opsi tanpa server. Saat membuat aplikasi baru, pikirkan layanan mana yang dapat membantu mengurangi waktu dan biaya dalam mengimplementasikan dan mengelola kontrol keamanan.

Persyaratan kepatuhan juga dapat menjadi faktor ketika memilih layanan. Layanan yang dikelola dapat menggeser kepatuhan beberapa persyaratan ke AWS. Diskusikan dengan tim kepatuhan Anda tentang tingkat kenyamanan mereka dengan mengaudit aspek layanan yang Anda operasikan dan mengelola serta menerima pernyataan kontrol dalam laporan AWS audit yang relevan. Anda dapat memberikan artefak audit yang ditemukan di AWS Artifactauditor atau regulator Anda sebagai bukti kontrol keamanan. AWS Anda juga dapat menggunakan panduan tanggung jawab yang disediakan oleh beberapa artefak AWS audit untuk merancang arsitektur Anda, bersama dengan Panduan Kepatuhan AWS Pelanggan. Panduan ini membantu menentukan kontrol keamanan tambahan yang harus Anda terapkan untuk mendukung kasus penggunaan spesifik di sistem Anda.

Saat menggunakan layanan terkelola, biasakan proses memperbarui sumber daya mereka ke versi yang lebih baru (misalnya, memperbarui versi database yang dikelola oleh AmazonRDS, atau runtime bahasa pemrograman untuk suatu AWS Lambda fungsi). Meskipun layanan terkelola dapat melakukan operasi ini untuk Anda, Anda tetap bertanggung jawab untuk mengonfigurasi waktu pembaruan dan memahami dampaknya pada operasi Anda. Alat seperti AWS Health dapat membantu Anda melacak dan mengelola pembaruan ini di seluruh lingkungan Anda.

Langkah-langkah implementasi

1. Evaluasi komponen beban kerja Anda yang dapat diganti dengan layanan terkelola.

   1. Jika Anda memigrasikan beban kerja ke AWS, pertimbangkan pengurangan manajemen (waktu dan biaya) dan pengurangan risiko saat Anda menilai apakah Anda harus meng-host ulang, memfaktorkan ulang, memplatform ulang, membangun kembali, atau mengganti beban kerja Anda. Terkadang, investasi tambahan pada awal migrasi dapat memiliki penghematan yang signifikan dalam jangka panjang.

2. Pertimbangkan untuk menerapkan layanan terkelolaRDS, seperti Amazon, alih-alih menginstal dan mengelola penyebaran teknologi Anda sendiri.

3. Gunakan panduan tanggung jawab AWS Artifact untuk membantu menentukan kontrol keamanan yang harus Anda lakukan untuk beban kerja Anda.

4. Simpan inventaris sumber daya yang digunakan, dan tetap up-to-date dengan layanan dan pendekatan baru untuk mengidentifikasi peluang baru untuk mengurangi ruang lingkup.

Sumber daya

Praktik-praktik terbaik terkait:

• PERF02-BP01 Pilih opsi komputasi terbaik untuk beban kerja Anda

• PERF03-BP01 Gunakan penyimpanan data yang dibuat khusus yang paling mendukung persyaratan akses dan penyimpanan data Anda

• SUS05-BP03 Gunakan layanan terkelola

Dokumen terkait:

• Acara siklus hidup yang direncanakan untuk AWS Health

Alat terkait:

• AWS Health

• AWS Artifact

• Panduan Kepatuhan Pelanggan AWS

Video terkait:

• Bagaimana cara saya bermigrasi ke instans Amazon RDS atau Aurora SQL My DB menggunakan? AWS DMS

• AWS re:invent 2023 - Kelola acara siklus hidup sumber daya dalam skala besar dengan AWS Health