SEC08-BP04 Menerapkan kontrol akses
Untuk membantu melindungi data diam, terapkan kontrol akses menggunakan mekanisme, seperti isolasi dan penentuan versi, serta terapkan prinsip hak akses paling rendah. Cegah pemberian akses publik ke data Anda.
Hasil yang diinginkan: Verifikasi bahwa hanya pengguna yang berwenang saja yang dapat mengakses data berdasarkan kebutuhan untuk mengetahui. Melindungi data Anda dengan pencadangan dan penentuan versi rutin untuk mencegah pengubahan atau penghapusan data yang disengaja atau tidak disengaja. Mengisolasi data penting dari data lain untuk melindungi kerahasiaan dan integritas data tersebut.
Anti-pola umum:
-
Menyimpan data dengan kebutuhan atau klasifikasi sensitivitas yang berbeda secara bersamaan.
-
Menggunakan izin yang terlalu permisif pada kunci dekripsi.
-
Salah mengklasifikasi data.
-
Tidak menyimpan pencadangan terperinci untuk data penting.
-
Memberikan akses terus-menerus ke data produksi.
-
Tidak mengaudit akses data atau meninjau izin secara rutin.
Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Rendah
Panduan implementasi
Beberapa kontrol dapat membantu melindungi data diam, termasuk akses (menggunakan hak akses paling rendah), isolasi, dan penentuan versi. Akses ke data Anda harus diaudit dengan menggunakan mekanisme deteksi, seperti AWS CloudTrail, dan log tingkat layanan, seperti log akses Amazon Simple Storage Service (Amazon S3). Anda harus membuat inventaris tentang data mana yang dapat diakses publik, dan menyusun rencana untuk mengurangi jumlah data yang tersedia untuk publik dari waktu ke waktu.
Kunci Vault Amazon S3 dan Kunci Objek Amazon S3 memberikan kontrol akses wajib untuk objek yang ada di Amazon S3—begitu kebijakan vault dikunci dengan opsi kepatuhan, kebijakan tersebut tidak akan dapat diubah hingga kedaluwarsa, bahkan oleh pengguna root sekalipun.
Langkah-langkah implementasi
-
Terapkan akses kontrol: Terapkan akses kontrol dengan hak akses paling rendah, termasuk akses ke kunci enkripsi.
-
Pisahkan data berdasarkan tingkat klasifikasi yang berbeda: Gunakan berbagai Akun AWS untuk tingkat klasifikasi data, dan kelola akun-akun tersebut dengan menggunakan AWS Organizations.
-
Tinjau kebijakan AWS Key Management Service (AWS KMS): Tinjau tingkat akses yang diberikan di kebijakan AWS KMS.
-
Tinjau izin objek dan bucket Amazon S3: Tinjau tingkat akses yang diberikan dalam kebijakan bucket S3 secara rutin. Praktik terbaiknya adalah menghindari penggunaan bucket yang dapat dibaca atau ditulis oleh publik. Pertimbangkan untuk menggunakan AWS Config untuk mendeteksi bucket yang tersedia secara publik dan Amazon CloudFront untuk menyajikan konten dari Amazon S3. Pastikan bucket yang seharusnya tidak mengizinkan akses publik telah dikonfigurasi dengan benar untuk mencegah akses publik. Secara default, semua bucket S3 bersifat privat, dan hanya dapat diakses oleh pengguna yang telah diberi akses secara eksplisit.
-
Gunakan Penganalisis Akses IAM AWS: Penganalisis Akses IAM akan menganalisis bucket Amazon S3 dan menghasilkan temuan saat terdapat sebuah kebijakan S3 yang memberikan akses ke entitas eksternal.
-
Gunakan penentuan versi Amazon S3 dan kunci objek bila perlu.
-
Gunakan Inventaris Amazon S3: Inventaris Amazon S3 dapat digunakan untuk mengaudit dan melaporkan replikasi dan status enkripsi objek S3.
-
Tinjau izin Amazon EBS dan izin berbagi AMI: Dengan izin berbagi, Anda dapat membagikan image dan volume ke Akun AWS eksternal ke beban kerja Anda.
-
Tinjau AWS Resource Access Manager Share secara berkala untuk menentukan apakah sumber daya harus terus dibagikan atau tidak. Dengan Resource Access Manager, Anda dapat membagikan sumber daya seperti kebijakan AWS Network Firewall, aturan Amazon Route 53 Resolver, dan subnet dalam Amazon VPC Anda. Lakukan audit sumber daya yang dibagikan secara rutin dan hentikan pembagian sumber daya yang sudah tidak perlu dibagikan.
Sumber daya
Praktik-praktik terbaik terkait:
Dokumen terkait:
Video terkait:
