SEC08-BP03 Otomatiskan perlindungan data diam
Gunakan otomatisasi untuk memvalidasi dan menerapkan kontrol data diam. Gunakan pemindaian otomatis untuk mendeteksi kesalahan konfigurasi solusi penyimpanan data Anda, dan lakukan remediasi melalui respons programatis otomatis jika memungkinkan. Terapkan otomatisasi dalam proses CI/CD Anda untuk mendeteksi kesalahan konfigurasi penyimpanan data sebelum di-deploy ke produksi.
Hasil yang diinginkan: Sistem otomatis memindai dan memantau lokasi penyimpanan data untuk menemukan kesalahan konfigurasi kontrol, akses tidak sah, dan penggunaan yang tidak terduga. Deteksi lokasi penyimpanan yang salah konfigurasi akan memulai remediasi otomatis. Proses otomatis membuat cadangan data dan menyimpan salinan imutabel di luar lingkungan asli.
Antipola umum:
-
Tidak mempertimbangkan opsi untuk mengaktifkan enkripsi berdasarkan pengaturan default, jika didukung.
-
Tidak mempertimbangkan peristiwa keamanan, selain peristiwa operasional, saat merumuskan strategi pencadangan dan pemulihan otomatis.
-
Tidak menerapkan pengaturan akses publik untuk layanan penyimpanan.
-
Tidak memantau dan mengaudit kontrol Anda untuk melindungi data diam.
Manfaat menjalankan praktik terbaik ini: Otomatisasi membantu mencegah risiko kesalahan konfigurasi terhadap lokasi penyimpanan data Anda. Hal ini membantu mencegah kesalahan konfigurasi memasuki lingkungan produksi Anda. Praktik terbaik ini juga membantu mendeteksi dan memperbaiki kesalahan konfigurasi jika terjadi.
Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang
Panduan implementasi
Otomatisasi adalah tema yang ada di seluruh praktik untuk melindungi data diam Anda. SEC01-BP06 Otomatiskan deployment kontrol keamanan standar menjelaskan cara Anda dapat menetapkan konfigurasi sumber daya menggunakan templat infrastruktur sebagai kode (IaC), seperti dengan AWS CloudFormation
Anda dapat memeriksa pengaturan yang Anda tentukan di templat IaC untuk menemukan kesalahan konfigurasi pada pipeline CI/CD Anda menggunakan aturan di AWS CloudFormation Guard. Anda dapat memantau pengaturan yang belum tersedia di CloudFormation atau alat IaC lainnya untuk menemukan kesalahan konfigurasi dengan AWS Config
Penggunaan otomatisasi sebagai bagian dari strategi manajemen izin Anda juga merupakan komponen integral dari perlindungan data otomatis. SEC03-BP02 Berikan hak akses paling rendah dan SEC03-BP04 Kurangi izin secara kontinu menjelaskan konfigurasi kebijakan hak akses paling rendah yang terus dipantau oleh AWS Identity and Access Management Access Analyzer
Otomatisasi juga berperan dalam mendeteksi ketika data sensitif disimpan di lokasi yang tidak sah. SEC07-BP03 Otomatiskan identifikasi dan klasifikasi menjelaskan cara Amazon Macie
Ikuti praktik di REL09 Cadangkan data untuk mengembangkan strategi pencadangan dan pemulihan data otomatis. Pencadangan dan pemulihan data sama pentingnya untuk pemulihan dari peristiwa keamanan seperti halnya untuk peristiwa operasional.
Langkah implementasi
-
Tetapkan konfigurasi penyimpanan data dalam templat IaC. Gunakan pemeriksaan otomatis di pipeline CI/CD Anda untuk mendeteksi kesalahan konfigurasi.
-
Anda dapat menggunakan <ulink type="marketing" url="cloudformation">&CFN;</ulink> untuk templat IaC Anda, dan CloudFormation Guard untuk memeriksa templat guna menemukan kesalahan konfigurasi.
-
Gunakan AWS Config
untuk menjalankan aturan dalam mode evaluasi proaktif. Gunakan pengaturan ini untuk memeriksa kepatuhan sumber daya sebagai langkah dalam pipeline CI/CD Anda sebelum membuatnya.
-
-
Pantau sumber daya untuk menemukan kesalahan konfigurasi penyimpanan data.
-
Atur AWS Config
untuk memantau sumber daya penyimpanan data guna menemukan perubahan konfigurasi kontrol dan menghasilkan peringatan untuk menginvokasi tindakan remediasi saat mendeteksi kesalahan konfigurasi. -
Lihat SEC04-BP04 Mulai remediasi untuk sumber daya yang tidak mematuhi persyaratan untuk panduan lebih lanjut tentang remediasi otomatis.
-
-
Pantau dan kurangi izin akses data secara kontinu melalui otomatisasi.
-
IAM Access Analyzer
dapat terus berjalan untuk menghasilkan peringatan ketika izin memiliki potensi untuk dapat dikurangi.
-
-
Pantau dan peringatkan tentang perilaku akses data yang tidak normal.
-
GuardDuty
mengawasi pola ancaman yang diketahui dan penyimpangan dari perilaku akses acuan untuk sumber daya penyimpanan data, seperti volume EBS, bucket S3, dan basis data RDS.
-
-
Pantau dan peringatkan tentang data sensitif yang disimpan di lokasi yang tidak terduga.
-
Gunakan Amazon Macie
untuk terus memindai bucket S3 Anda guna menemukan data sensitif.
-
-
Otomatiskan pencadangan yang aman dan terenkripsi terhadap data Anda.
-
AWS Backup adalah layanan terkelola yang membuat cadangan terenkripsi dan aman untuk berbagai sumber data di AWS. Elastic Disaster Recovery
memungkinkan Anda menyalin beban kerja server lengkap dan terus melindungi data secara berkelanjutan dengan sasaran titik pemulihan (RPO) yang diukur dalam detik. Anda dapat mengonfigurasi kedua layanan tersebut untuk bekerja bersama dalam mengotomatiskan pembuatan cadangan data dan menyalinnya ke lokasi failover. Hal ini dapat membantu menjaga data Anda tetap tersedia saat terkena dampak peristiwa operasional atau keamanan.
-
Sumber daya
Praktik terbaik terkait:
Dokumen terkait:
Contoh terkait:
Alat terkait: