SEC08-BP03 Otomatiskan perlindungan data diam

Gunakan otomatisasi untuk memvalidasi dan menerapkan kontrol data diam.  Gunakan pemindaian otomatis untuk mendeteksi kesalahan konfigurasi solusi penyimpanan data Anda, dan lakukan remediasi melalui respons programatis otomatis jika memungkinkan.  Terapkan otomatisasi dalam proses CI/CD Anda untuk mendeteksi kesalahan konfigurasi penyimpanan data sebelum di-deploy ke produksi.

Hasil yang diinginkan: Sistem otomatis memindai dan memantau lokasi penyimpanan data untuk menemukan kesalahan konfigurasi kontrol, akses tidak sah, dan penggunaan yang tidak terduga.  Deteksi lokasi penyimpanan yang salah konfigurasi akan memulai remediasi otomatis.  Proses otomatis membuat cadangan data dan menyimpan salinan imutabel di luar lingkungan asli.

Antipola umum:

• Tidak mempertimbangkan opsi untuk mengaktifkan enkripsi berdasarkan pengaturan default, jika didukung.

• Tidak mempertimbangkan peristiwa keamanan, selain peristiwa operasional, saat merumuskan strategi pencadangan dan pemulihan otomatis.

• Tidak menerapkan pengaturan akses publik untuk layanan penyimpanan.

• Tidak memantau dan mengaudit kontrol Anda untuk melindungi data diam.

Manfaat menjalankan praktik terbaik ini: Otomatisasi membantu mencegah risiko kesalahan konfigurasi terhadap lokasi penyimpanan data Anda. Hal ini membantu mencegah kesalahan konfigurasi memasuki lingkungan produksi Anda. Praktik terbaik ini juga membantu mendeteksi dan memperbaiki kesalahan konfigurasi jika terjadi. 

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi 

Otomatisasi adalah tema yang ada di seluruh praktik untuk melindungi data diam Anda. SEC01-BP06 Otomatiskan deployment kontrol keamanan standar menjelaskan cara Anda dapat menetapkan konfigurasi sumber daya menggunakan templat infrastruktur sebagai kode (IaC), seperti dengan AWS CloudFormation.  Templat ini di-commit ke sistem kontrol versi, dan digunakan untuk melakukan deployment sumber daya di AWS melalui pipeline CI/CD.  Teknik-teknik ini juga berlaku untuk mengotomatiskan konfigurasi solusi penyimpanan data Anda, seperti pengaturan enkripsi di bucket Amazon S3.  

Anda dapat memeriksa pengaturan yang Anda tentukan di templat IaC untuk menemukan kesalahan konfigurasi pada pipeline CI/CD Anda menggunakan aturan di AWS CloudFormation Guard.  Anda dapat memantau pengaturan yang belum tersedia di CloudFormation atau alat IaC lainnya untuk menemukan kesalahan konfigurasi dengan AWS Config.  Peringatan yang dihasilkan Config untuk kesalahan konfigurasi dapat diremediasi secara otomatis, seperti yang dijelaskan dalam SEC04-BP04 Mulai remediasi untuk sumber daya yang tidak mematuhi persyaratan.

Penggunaan otomatisasi sebagai bagian dari strategi manajemen izin Anda juga merupakan komponen integral dari perlindungan data otomatis. SEC03-BP02 Berikan hak akses paling rendah dan SEC03-BP04 Kurangi izin secara kontinu menjelaskan konfigurasi kebijakan hak akses paling rendah yang terus dipantau oleh AWS Identity and Access Management Access Analyzer untuk menghasilkan temuan ketika izin dapat dikurangi.  Selain otomatisasi untuk pemantauan izin, Anda dapat mengonfigurasi Amazon GuardDuty guna mengawasi perilaku akses data yang tidak normal untuk volume EBS Anda (melalui instans EC2), bucket S3, dan basis data Amazon Relational Database Service yang didukung.

Otomatisasi juga berperan dalam mendeteksi ketika data sensitif disimpan di lokasi yang tidak sah. SEC07-BP03 Otomatiskan identifikasi dan klasifikasi menjelaskan cara Amazon Macie dapat memantau bucket S3 Anda untuk menemukan data sensitif yang tidak terduga dan menghasilkan peringatan yang dapat memulai respons otomatis.

Ikuti praktik di REL09 Cadangkan data untuk mengembangkan strategi pencadangan dan pemulihan data otomatis. Pencadangan dan pemulihan data sama pentingnya untuk pemulihan dari peristiwa keamanan seperti halnya untuk peristiwa operasional.

Langkah implementasi

1. Tetapkan konfigurasi penyimpanan data dalam templat IaC.  Gunakan pemeriksaan otomatis di pipeline CI/CD Anda untuk mendeteksi kesalahan konfigurasi.

   1. Anda dapat menggunakan <ulink type="marketing" url="cloudformation">&CFN;</ulink> untuk templat IaC Anda, dan CloudFormation Guard untuk memeriksa templat guna menemukan kesalahan konfigurasi.

   2. Gunakan AWS Config untuk menjalankan aturan dalam mode evaluasi proaktif. Gunakan pengaturan ini untuk memeriksa kepatuhan sumber daya sebagai langkah dalam pipeline CI/CD Anda sebelum membuatnya.

2. Pantau sumber daya untuk menemukan kesalahan konfigurasi penyimpanan data.

   1. Atur AWS Config untuk memantau sumber daya penyimpanan data guna menemukan perubahan konfigurasi kontrol dan menghasilkan peringatan untuk menginvokasi tindakan remediasi saat mendeteksi kesalahan konfigurasi.

   2. Lihat SEC04-BP04 Mulai remediasi untuk sumber daya yang tidak mematuhi persyaratan untuk panduan lebih lanjut tentang remediasi otomatis.

3. Pantau dan kurangi izin akses data secara kontinu melalui otomatisasi.

   1. IAM Access Analyzer dapat terus berjalan untuk menghasilkan peringatan ketika izin memiliki potensi untuk dapat dikurangi.

4. Pantau dan peringatkan tentang perilaku akses data yang tidak normal.

   1. GuardDuty mengawasi pola ancaman yang diketahui dan penyimpangan dari perilaku akses acuan untuk sumber daya penyimpanan data, seperti volume EBS, bucket S3, dan basis data RDS.

5. Pantau dan peringatkan tentang data sensitif yang disimpan di lokasi yang tidak terduga.

   1. Gunakan Amazon Macie untuk terus memindai bucket S3 Anda guna menemukan data sensitif.

6. Otomatiskan pencadangan yang aman dan terenkripsi terhadap data Anda.

   1. AWS Backup adalah layanan terkelola yang membuat cadangan terenkripsi dan aman untuk berbagai sumber data di AWS.  Elastic Disaster Recovery memungkinkan Anda menyalin beban kerja server lengkap dan terus melindungi data secara berkelanjutan dengan sasaran titik pemulihan (RPO) yang diukur dalam detik.  Anda dapat mengonfigurasi kedua layanan tersebut untuk bekerja bersama dalam mengotomatiskan pembuatan cadangan data dan menyalinnya ke lokasi failover.  Hal ini dapat membantu menjaga data Anda tetap tersedia saat terkena dampak peristiwa operasional atau keamanan.

Sumber daya

Praktik terbaik terkait:

• SEC01-BP06 Otomatiskan deployment kontrol keamanan standar

• SEC03-BP02 Berikan hak akses paling rendah

• SEC03-BP04 Kurangi izin secara kontinu

• SEC04-BP04 Mulai remediasi untuk sumber daya yang tidak mematuhi persyaratan

• SEC07-BP03 Otomatiskan identifikasi dan klasifikasi

• REL09-BP02 Amankan dan enkripsikan cadangan

• REL09-BP03 Lakukan pencadangan data secara otomatis

Dokumen terkait:

• Panduan Preskriptif AWS: Enkripsikan volume Amazon EBS yang ada dan baru secara otomatis

• Manajemen Risiko Ransomware di AWS Menggunakan NIST Cyber Security Framework (CSF)

Contoh terkait:

• Cara menggunakan aturan proaktif AWS Config dan Hook AWS CloudFormation untuk mencegah pembuatan sumber daya cloud yang tidak mematuhi persyaratan

• Otomatiskan dan kelola perlindungan data secara terpusat untuk Amazon S3 dengan AWS Backup

• AWS re:Invent 2023 - Implementasikan perlindungan data proaktif menggunakan snapshot Amazon EBS

• AWS re:Invent 2022 - Bangun dan otomatiskan ketahanan dengan perlindungan data modern

Alat terkait:

• AWS CloudFormation Guard

• Registri Aturan AWS CloudFormation Guard

• IAM Access Analyzer

• Amazon Macie

• AWS Backup

• Elastic Disaster Recovery