SEC01-BP05 Kurangi cakupan manajemen keamanan

Tentukan apakah Anda dapat mengurangi cakupan keamanan Anda menggunakan layanan AWS yang mengalihkan manajemen kontrol tertentu ke AWS (layanan terkelola). Layanan ini dapat membantu mengurangi tugas pemeliharaan keamanan Anda, seperti penyediaan infrastruktur, penyiapan perangkat lunak, patching, atau pencadangan.

Hasil yang diinginkan: Anda mempertimbangkan cakupan manajemen keamanan Anda saat memilih layanan AWS untuk beban kerja Anda. Biaya overhead manajemen dan tugas pemeliharaan (total biaya kepemilikan, atau TCO) ditimbang terhadap biaya layanan yang Anda pilih, selain pertimbangan Well-Architected lainnya. Anda memasukkan dokumentasi kontrol dan kepatuhan AWS dalam prosedur evaluasi dan verifikasi kontrol Anda.

Antipola umum:

• Melakukan deployment beban kerja tanpa sepenuhnya memahami model tanggung jawab bersama untuk layanan yang Anda pilih.

• Meng-host basis data dan teknologi lainnya pada mesin virtual tanpa mengevaluasi sarana yang setara dengan layanan terkelola.

• Tidak menyertakan tugas manajemen keamanan ke dalam total biaya kepemilikan untuk meng-host teknologi pada mesin virtual jika dibandingkan dengan opsi layanan terkelola.

Manfaat menjalankan praktik terbaik ini: Penggunaan layanan terkelola dapat mengurangi beban pengelolaan kontrol keamanan operasional Anda secara keseluruhan, sehingga dapat mengurangi risiko keamanan dan total biaya kepemilikan Anda. Waktu yang seharusnya dihabiskan untuk tugas-tugas keamanan tertentu dapat diinvestasikan kembali ke tugas-tugas yang memberikan nilai lebih bagi bisnis Anda. Layanan terkelola juga dapat mengurangi cakupan persyaratan kepatuhan Anda dengan mengalihkan sebagian persyaratan kontrol ke AWS.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Ada beberapa cara untuk mengintegrasikan komponen beban kerja Anda di AWS. Untuk menginstal dan menjalankan teknologi pada instans Amazon EC2, Anda sering kali harus memikul porsi tanggung jawab keamanan terbesar secara keseluruhan. Untuk membantu mengurangi beban pengoperasian kontrol tertentu, identifikasikan layanan terkelola AWS yang mengurangi cakupan model tanggung jawab bersama Anda dan pahami cara Anda dapat menggunakannya dalam arsitektur yang ada. Contohnya termasuk menggunakan Amazon Relational Database Service (Amazon RDS) untuk melakukan deployment basis data, Amazon Elastic Kubernetes Service (Amazon EKS) atau Amazon Elastic Container Service (Amazon ECS) untuk melakukan orkestrasi kontainer, atau menggunakan opsi nirserver. Saat membuat aplikasi baru, pikirkan layanan mana yang dapat membantu mengurangi waktu dan biaya dalam mengimplementasikan dan mengelola kontrol keamanan.

Persyaratan kepatuhan juga dapat menjadi faktor ketika memilih layanan. Layanan terkelola dapat mengalihkan sebagian persyaratan yang perlu dipatuhi ke AWS. Diskusikan dengan tim kepatuhan Anda apakah mereka nyaman dengan pengauditan aspek layanan yang Anda operasikan dan kelola serta mau menerima pernyataan kontrol dalam laporan audit AWS yang relevan. Anda dapat memberikan artefak audit yang ditemukan di AWS Artifact kepada auditor Anda atau badan pengatur sebagai bukti kontrol keamanan AWS. Anda juga dapat menggunakan panduan tanggung jawab yang disediakan oleh sebagian artefak audit AWS untuk merancang arsitektur Anda, bersama dengan Panduan Kepatuhan Pelanggan AWS. Panduan ini membantu menentukan kontrol keamanan tambahan yang harus Anda terapkan untuk mendukung kasus penggunaan spesifik di sistem Anda.

Saat menggunakan layanan terkelola, pahami proses dalam memperbarui sumber dayanya ke versi yang lebih baru (misalnya, memperbarui versi basis data yang dikelola oleh Amazon RDS, atau runtime bahasa pemrograman untuk suatu fungsi AWS Lambda). Meskipun layanan terkelola dapat melakukan operasi ini untuk Anda, Anda tetap bertanggung jawab untuk mengonfigurasi waktu pembaruan dan memahami dampaknya pada operasi Anda. Alat seperti AWS Health dapat membantu Anda melacak dan mengelola pembaruan ini di seluruh lingkungan Anda.

Langkah implementasi

1. Evaluasi komponen beban kerja Anda yang dapat diganti dengan layanan terkelola.

   1. Jika Anda memigrasikan beban kerja ke AWS, pertimbangkan pengurangan manajemen (waktu dan biaya) dan pengurangan risiko ketika Anda menilai apakah Anda harus meng-host ulang, memfaktor ulang, memplatform ulang, membuat ulang, atau mengganti beban kerja Anda. Terkadang, investasi tambahan pada awal migrasi dapat memiliki penghematan yang signifikan dalam jangka panjang.

2. Pertimbangkan untuk mengimplementasikan layanan terkelola, seperti Amazon RDS, bukan menginstal dan mengelola deployment teknologi Anda sendiri.

3. Gunakan panduan tanggung jawab di AWS Artifact untuk membantu menentukan kontrol keamanan yang harus Anda terapkan untuk beban kerja Anda.

4. Pelihara inventaris terkait sumber daya yang digunakan, serta terus ikuti layanan dan pendekatan terkini untuk mengidentifikasi peluang baru dalam mengurangi cakupan.

Sumber daya

Praktik terbaik terkait:

• PERF02-BP01 Pilih opsi komputasi terbaik untuk beban kerja Anda

• PERF03-BP01 Gunakan penyimpanan data yang dibuat khusus yang paling mendukung persyaratan akses dan penyimpanan data Anda

• SUS05-BP03 Gunakan layanan terkelola

Dokumen terkait:

• Peristiwa siklus hidup yang direncanakan untuk AWS Health

Alat terkait:

• AWS Health

• AWS Artifact

• Panduan Kepatuhan Pelanggan AWS

Video terkait:

• Bagaimana cara bermigrasi ke instans DB Amazon RDS atau Aurora MySQL menggunakan AWS DMS?

• AWS re:Invent 2023 - Kelola peristiwa siklus hidup sumber daya dalam skala besar dengan AWS Health