Tata kelola

Tata kelola keamanan, sebagai subset pendekatan keseluruhan, dimaksudkan untuk mendukung tujuan bisnis dengan menentukan tujuan kebijakan dan kontrol untuk membantu mengelola risiko. Bentuk manajemen risiko dengan mengikuti pendekatan berlapis terhadap tujuan kontrol keamanan–setiap lapisan menutupi lapisan di bawahnya. Memahami bahwa Model Tanggung Jawab Bersama AWS adalah lapisan fondasi Anda. Pemahaman ini memberikan kejelasan atas apa yang menjadi tanggung jawab Anda dari sisi pelanggan dan apa yang Anda warisi dari AWS. Sumber daya yang bermanfaat adalah AWS Artifact, yang memberikan akses sesuai permintaan ke laporan keamanan dan kepatuhan AWS serta untuk memilih perjanjian online.

Penuhi sebagian besar tujuan kontrol Anda di lapisan berikutnya. Di lapisan inilah kemampuan tingkat platform berada. Misalnya, lapisan ini mencakup proses vending akun AWS, integrasi dengan sebuah penyedia identitas seperti AWS IAM Identity Center, dan kontrol-kontrol detektif umum. Beberapa output dari proses tata kelola platform juga ada di sini. Ketika Anda ingin mulai menggunakan layanan AWS baru, perbarui kebijakan kontrol layanan (SCP) di layanan AWS Organizations guna menyediakan pagar pembatas untuk penggunaan awal layanan tersebut. Anda dapat menggunakan SCP lainnya untuk menerapkan sasaran kontrol keamanan umum lainnya, yang sering kali disebut sebagai invarian keamanan. Ini adalah sasaran atau konfigurasi kontrol yang Anda terapkan ke banyak akun, unit organisasi, atau keseluruhan organisasi AWS. Contoh umumnya adalah membatasi Wilayah tempat infrastruktur berjalan atau mencegah penonaktifkan kontrol-kontrol detektif. Lapisan tengah ini juga berisi kebijakan terkodifikasi seperti aturan konfigurasi atau alur pemeriksaan masuk.

Lapisan teratas adalah tempat tim produk memenuhi sasaran kontrol. Ini karena implementasi dilakukan di aplikasi yang dikontrol oleh tim produk. Ini bisa berupa implementasi validasi input dalam aplikasi atau memastikan bahwa identitas diteruskan dengan benar antarlayanan mikro. Meskipun konfigurasi dimiliki oleh tim produk, mereka tetap dapat mewarisi beberapa kemampuan dari lapisan tengah.

Di mana pun Anda mengimplementasikan kontrol, tujuannya sama: mengelola risiko. Serangkaian kerangka kerja manajemen risiko berlaku pada industri, wilayah, atau teknologi tertentu. Tujuan utama Anda: menyoroti risiko berdasarkan kemungkinan dan konsekuensi. Ini adalah risiko yang melekat. Anda kemudian dapat menentukan tujuan kontrol yang mengurangi kemungkinan, konsekuensi, atau keduanya. Lalu, ketika kontrol sudah ada, Anda dapat melihat seperti apa kecenderungan risikonya. Ini adalah risiko residual. Tujuan kontrol dapat berlaku pada satu atau banyak beban kerja. Diagram berikut ini menampilkan matriks risiko tipikal. Kecenderungannya didasarkan pada frekuensi kejadian sebelumnya dan konsekuensinya didasarkan pada kerugian keuangan, reputasi, dan waktu atas peristiwa tersebut.

Risk matrix showing likelihood vs. consequence, with risk levels from low to critical.

Gambar 2: Matriks kecenderungan tingkat risiko

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Tanggung jawab bersama

Manajemen dan pemisahan akun AWS