SEC03-BP08 Membagikan sumber daya secara aman dalam organisasi Anda

Seiring dengan meningkatnya jumlah beban kerja, Anda mungkin perlu membagikan akses ke sumber daya dalam beban kerja tersebut atau berulang kali menyediakan sumber daya itu di seluruh akun. Anda mungkin memiliki konsep untuk membagi lingkungan Anda dalam beberapa kelompok, seperti lingkungan pengembangan, pengujian, dan lingkungan produksi. Namun demikian, konsep pemisahan ini tidak akan membatasi Anda untuk berbagi secara aman. Dengan membagikan komponen-komponen yang tumpang tindih, Anda dapat mengurangi overhead operasional dan memungkinkan pengalaman yang konsisten tanpa harus menebak-nebak mengenai apa yang terlewatkan sekaligus membuat sumber daya yang sama berulang kali.

Hasil yang diinginkan: Mengurangi akses yang tidak diinginkan sekecil hingga sekecil mungkin dengan menggunakan metode yang aman untuk berbagi sumber daya dalam organisasi Anda, dan membantu inisiatif pencegahan kehilangan data Anda. Mengurangi overhead operasional daripada mengelola komponen satu per satu, akan mengurangi kesalahan yang diakibatkan oleh pembuatan komponen yang sama secara manual berulang kali, serta meningkatkan skalabilitas beban kerja. Anda dapat memperoleh manfaat dari pengurangan waktu hingga resolusi di skenario kegagalan multi-titik, dan meningkatkan keyakinan Anda dalam menentukan kapan sebuah komponen tidak diperlukan lagi. Untuk panduan preskriptif tentang cara melakukan analisis sumber daya bersama secara eksternal, silakan lihat SEC03-BP07 Menganalisis akses lintas akun dan publik.

Anti-pola umum:

• Tidak ada proses untuk melakukan pemantauan secara terus-menerus dan dan memberikan peringatan otomatis mengenai pembagian secara eksternal yang tidak terduga.

• Tidak ada acuan terkait apa yang boleh dan tidak boleh dibagikan.

• Kebijakan terbuka luas secara default, bukannya berbagi secara eksplisit ketika diperlukan.

• Membuat sumber daya dasar yang tumpang tindih secara manual, saat diperlukan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Rancang arsitektur pola dan kontrol akses Anda untuk mengelola penggunaan sumber daya yang dibagikan secara aman dan hanya dengan entitas-entitas yang tepercaya. Lakukan pemantauan terhadap sumber daya yang dibagikan dan peninjauan terhadap akses sumber daya yang dibagikan secara terus-menerus serta tetap waspada terhadap adanya pembagian yang tidak terduga atau tidak tepat. Tinjau Analisis akses publik dan akses lintas akun untuk membantu Anda menetapkan tata kelola untuk mengurangi akses eksternal hanya ke sumber daya yang memerlukannya, dan untuk membuat proses untuk melakukan pemantauan secara terus menerus dan memberi peringatan secara otomatis.

Berbagi lintas akun dalam AWS Organizations didukung oleh sejumlah layanan AWS, seperti AWS Security Hub, Amazon GuardDuty, dan AWS Backup. Layanan-layanan ini akan memungkinkan data untuk dibagikan ke akun pusat, dapat diakses dari akun pusat, atau mengelola sumber daya dan data dari akun pusat. Misalnya, AWS Security Hub dapat mentransfer temuan dari akun individu ke sebuah akun pusat sehingga Anda dapat melihat semua temuan. AWS Backup dapat melakukan pencadangan untuk sumber daya dan membagikannya ke seluruh akun. Anda dapat menggunakan AWS Resource Access Manager (AWS RAM) untuk berbagi sumber daya umum lainnya, seperti subnet VPC dan lampiran Gateway Transit, AWS Network Firewall, atau Amazon SageMaker pipelines.

Untuk membatasi akun Anda agar hanya berbagi sumber daya dalam organisasi Anda, gunakan kebijakan kontrol layanan (SCP) untuk mencegah akses ke pengguna utama eksternal. Saat berbagi sumber daya, gabungkan kontrol berbasis identitas dan kontrol jaringan untuk membuat perimeter data bagi organisasi Anda guna membantu Anda melindungi dari akses yang tidak diinginkan. Perimeter data adalah kumpulan pagar pembatas preventif untuk membantu Anda memverifikasi bahwa hanya identitas yang Anda percaya saja yang mengakses sumber daya tepercaya dari jaringan yang dikenal. Kontrol ini akan menetapkan batas yang sesuai terkait sumber daya apa yang dapat dibagikan, serta mencegah dibagikannya atau bocornya sumber daya yang tidak semestinya terjadi. Misalnya, sebagai bagian dari perimeter data, Anda dapat menggunakan kebijakan titik akhir VPC dan kondisi AWS:PrincipalOrgId untuk memastikan identitas yang mengakses bucket Amazon S3 yang dimiliki organisasi Anda. Penting untuk dicatat bahwa SCP tidak berlaku untuk peran terkait layanan atau pengguna utama layanan AWS.

Saat menggunakan Amazon S3, matikan ACL untuk bucket Amazon S3 Anda dan gunakan kebijakan IAM untuk menentukan kontrol akses. Untuk membatasi akses ke asal Amazon S3 dari Amazon CloudFront, bermigrasilah dari identitas akses asal (OAI) ke kontrol akses asal (OAC) yang mendukung fitur tambahan termasuk enkripsi di sisi server dengan AWS Key Management Service.

Dalam beberapa kasus, Anda mungkin ingin mengizinkan pembagian sumber daya ke luar organisasi Anda atau memberikan pihak ketiga akses ke sumber daya Anda. Untuk panduan preskriptif tentang cara mengelola izin untuk berbagi sumber daya secara eksternal, lihat Manajemen izin.

Langkah-langkah implementasi

1. Gunakan AWS Organizations.

   AWS Organizations adalah layanan manajemen akun yang akan memungkinkan Anda untuk mengonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat. Anda dapat mengelompokkan akun ke dalam unit organisasi (OU) dan melampirkan kebijakan-kebijakan yang berbeda ke setiap OU untuk membantu Anda memenuhi kebutuhan anggaran, keamanan, dan kepatuhan. Anda juga dapat mengontrol cara layanan kecerdasan buatan (AI) dan machine learning (ML) AWS mengumpulkan dan menyimpan data, serta menggunakan manajemen multiakun layanan-layanan AWS yang terintegrasi dengan Organisasi.

2. Mengintegrasikan AWS Organizations dengan layanan AWS.

   Ketika Anda menggunakan sebuah layanan AWS untuk melakukan tugas atas nama Anda di akun anggota organisasi Anda, AWS Organizations akan menciptakan peran yang terhubung dengan layanan IAM (SLR) untuk layanan tersebut di setiap akun anggota. Anda harus mengelola akses tepercaya dengan menggunakan AWS Management Console, API AWS, atau AWS CLI. Untuk panduan preskriptif tentang cara mengaktifkan akses tepercaya, lihat Menggunakan AWS Organizations dengan layanan AWS dan layanan AWS lain yang dapat Anda gunakan dengan Organisasi.

3. Membuat perimeter data.

   Perimeter AWS biasanya direpresentasikan sebagai sebuah organisasi yang dikelola oleh AWS Organizations. Selain sistem dan jaringan on-premise, mengakses sumber daya AWS adalah hal yang banyak orang kategorikan sebagai salah satu perimeter AWS Saya. Perimeter bertujuan untuk memverifikasi bahwa akses diizinkan jika identitasnya dipercaya, sumber dayanya dipercaya, dan jaringannya dikenal.

   1. Menentukan dan mengimplementasikan perimeter.

      Ikuti langkah-langkah yang dijelaskan dalam Implementasi perimeter dalam Membangun Perimeter pada laporan resmi AWS untuk setiap kondisi otorisasi. Untuk panduan preskriptif tentang cara melindungi lapisan jaringan, lihat Melindungi jaringan.

   2. Tetap pantau dan waspada.

      AWS Identity and Access Management Access Analyzer dapat membantu Anda mengidentifikasi sumber daya di akun dan organisasi Anda yang dibagi dengan entitas eksternal. Anda dapat mengintegrasikan IAM Access Analyzer AWS Security Hub untuk mengirim dan mengumpulkan temuan untuk sebuah sumber daya dari IAM Access Analyzer ke Security Hub untuk membantu Anda melakukan analisis terhadap postur keamanan lingkungan Anda. Untuk mengintegrasikannya, aktifkan IAM Access Analyzer dan Security Hub di setiap Wilayah di setiap akun. Anda juga dapat menggunakan Aturan AWS Config untuk melakukan audit konfigurasi dan memberi peringatan kepada para pihak yang sesuai dengan menggunakan AWS Chatbot dengan AWS Security Hub. Anda kemudian dapat menggunakan dokumen Otomasi AWS Systems Manager untuk memulihkan sumber daya yang tidak sesuai.

   3. Untuk panduan preskriptif tentang pemantauan dan peringatan berkelanjutan tentang sumber daya yang dibagikan secara eksternal, lihat Menganalisis akses publik dan akses lintas akun.

4. Gunakan berbagi sumber daya dalam layanan AWS dan batasi sesuai dengan itu.

   Banyak layanan AWS memungkinkan Anda berbagi sumber daya dengan akun lain, atau menargetkan sumber daya di akun lain, seperti Amazon Machine Image (AMI) dan AWS Resource Access Manager (AWS RAM). Batasi API ModifyImageAttribute untuk menentukan akun tepercaya yang akan berbagi AMI. Tentukan kondisi ram:RequestedAllowsExternalPrincipals saat menggunakan AWS RAM untuk membatasi berbagi ke organisasi Anda saja, untuk membantu mencegah akses dari identitas yang tidak tepercaya. Untuk panduan dan pertimbangan preskriptif, lihat Berbagi sumber daya dan target eksternal.

5. Gunakan AWS RAM untuk berbagi dengan aman di akun atau dengan Akun AWS lain.

   AWS RAM akan membantu Anda secara aman membagikan sumber daya yang Anda buat kepada peran dan pengguna di akun Anda, serta dengan Akun AWS lainnya. Dalam lingkungan multiakun, AWS RAM akan memungkinkan Anda untuk membuat sumber daya satu kali dan membagikannya kepada akun lain. Pendekatan ini membantu mengurangi overhead operasional sekaligus memberikan konsistensi, visibilitas, dan auditabilitas melalui integrasi dengan Amazon CloudWatch dan AWS CloudTrail, yang tidak Anda dapatkan saat menggunakan akses lintas akun.

   Jika Anda memiliki sumber daya yang Anda bagikan sebelumnya dengan menggunakan kebijakan berbasis sumber daya, maka Anda dapat menggunakan API PromoteResourceShareCreatedFromPolicy atau yang setara untuk mempromosikan pembagian sumber daya ke pembagian sumber daya AWS RAM penuh.

   Dalam beberapa kasus, Anda mungkin memerlukan beberapa langkah tambahan yang harus dilakukan untuk berbagi sumber daya. Misalnya, untuk membagikan snapshot terenkripsi, Anda perlu membagikan kunci AWS KMS.

Sumber daya

Praktik-praktik terbaik terkait:

• SEC03-BP07 Menganalisis akses lintas akun dan publik

• SEC03-BP09 Membagikan sumber daya secara aman kepada pihak ketiga

• SEC05-BP01 Buat lapisan jaringan

Dokumen terkait:

• Pemilik bucket yang memberikan izin lintas akun untuk objek yang bukan miliknya

• Cara menggunakan Kebijakan Kepercayaan dengan IAM

• Membangun Perimeter Data di AWS

• Cara menggunakan ID eksternal saat memberikan pihak ketiga akses ke sumber daya AWS Anda

• Layanan AWS yang dapat Anda gunakan dengan AWS Organizations

• Membuat perimeter data pada AWS: Izinkan hanya identitas tepercaya saja yang bisa mengakses data perusahaan

Video terkait:

• Akses Terperinci dengan AWS Resource Access Manager

• Mengamankan perimeter data Anda dengan titik akhir VPC

• Membuat perimeter data di AWS

Alat terkait:

• Contoh Kebijakan Perimeter Data