Manajemen Keamanan yang Terpusat:

Banyak organisasi memiliki tantangan yang terkait dengan visibilitas dan manajemen terpusat untuk lingkungan mereka. Seiring pertumbuhan jejak operasional Anda, tantangan ini dapat diperparah kecuali jika Anda mempertimbangkan desain keamanan Anda dengan hati-hati. Kurangnya pengetahuan, dikombinasikan dengan pengelolaan proses tata kelola dan keamanan yang terdesentralisasi dan tidak merata, dapat membuat lingkungan Anda rentan.

AWS menyediakan alat yang membantu Anda mengatasi beberapa persyaratan yang paling menantang untuk manajemen dan tata kelola IT, serta alat untuk mendukung pendekatan perlindungan data secara desain.

AWS Control Tower menyediakan metode untuk menyiapkan dan mengatur lingkungan AWS multi akun baru yang aman. Layanan ini mengotomatisasi pengaturan zona landasan, yang merupakan lingkungan multi-akun yang didasarkan pada cetak biru praktik terbaik, dan memungkinkan tata kelola menggunakan pagar pembatas yang dapat Anda pilih dari daftar bawaan. Guardrails menerapkan aturan tata kelola untuk keamanan, kepatuhan, dan operasi. AWS Control Tower menyediakan manajemen identitas menggunakan direktori default AWS IAM Identity Center (IAM Identity Center) dan memungkinkan audit lintas akun menggunakan IAM Identity Center dan IAM. Layanan ini juga memusatkan log yang berasal dari CloudTrail dan log AWS Config, yang disimpan di Amazon S3.

AWS Security Hub adalah layanan lain yang mendukung sentralisasi dan dapat meningkatkan visibilitas terkait organisasi. Security Hub memusatkan dan memprioritaskan temuan keamanan dan kepatuhan dari seluruh akun dan layanan AWS, seperti Amazon GuardDuty dan Amazon Inspector, dan dapat diintegrasikan dengan perangkat lunak keamanan dari partner pihak ketiga untuk membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi.

Amazon GuardDuty adalah layanan deteksi ancaman cerdas yang dapat membantu pelanggan memantau dan melindungi akun AWS, beban kerja, dan data AWS mereka yang disimpan di Amazon S3. GuardDuty menganalisis miliaran peristiwa di seluruh akun AWS Anda dari beberapa sumber, termasuk Peristiwa Manajemen AWS CloudTrail, Peristiwa Data Amazon S3 CloudTrail, Amazon Virtual Cloud Flow Logs, dan log DNS. Misalnya, layanan ini mendeteksi panggilan API yang tidak biasa, komunikasi keluar yang mencurigakan ke alamat IP berbahaya yang diketahui, atau kemungkinan pencurian data dengan menggunakan kueri DNS sebagai mekanisme pengangkutan. GuardDuty mampu memberikan temuan yang lebih akurat dengan memanfaatkan intelijen ancaman yang didukung machine learning dan partner keamanan pihak ketiga.

Amazon Inspector adalah layanan penilaian keamanan otomatis yang membantu meningkatkan keamanan dan kepatuhan aplikasi yang di-deploy di instans Amazon EC2. Amazon Inspector secara otomatis menilai aplikasi untuk paparan, kelemahan, dan penyimpangan dari praktik terbaik. Setelah melakukan penilaian, Amazon Inspector membuat daftar detail temuan keamanan yang diprioritaskan berdasarkan tingkat keparahan.

Amazon CloudWatch Events memungkinkan Anda mengatur akun AWS Anda untuk mengirim peristiwa ke akun AWS lain, atau menjadi penerima peristiwa dari akun atau organisasi lain. Mekanisme ini dapat sangat berguna untuk menerapkan skenario respons insiden lintas-akun, dengan mengambil tindakan korektif yang tepat waktu (misalnya, dengan memanggil fungsi Lambda, atau menjalankan perintah pada instans Amazon EC2) sebagaimana diperlukan setiap kali terjadi peristiwa insiden keamanan.

AWS security services flow diagram showing data path from sources to target options.

Gambar 5 – Mengambil tindakan dengan AWS Security Hub dan Amazon CloudWatch Events

AWS Organizations membantu Anda mengelola dan mengatur lingkungan yang kompleks secara terpusat. Layanan ini memungkinkan Anda mengontrol akses, kepatuhan, dan keamanan di lingkungan multi-akun. AWS Organizations mendukung Kebijakan Kontrol Layanan (SCP), yang menentukan tindakan layanan AWS yang tersedia untuk digunakan dengan akun atau Unit Organisasi (OU) tertentu dalam suatu organisasi.

AWS Systems Manager memberi Anda visibilitas dan kontrol terhadap infrastruktur Anda di AWS. Anda dapat melihat data operasional dari beberapa layanan AWS dari konsol terpadu dan mengotomatiskan tugas operasional di seluruh layanan tersebut. Anda dapat memiliki informasi tentang aktivitas API terbaru, perubahan konfigurasi sumber daya, pemberitahuan operasional, inventaris perangkat lunak, dan status kepatuhan patch. Melalui integrasi dengan layanan AWS lainnya, Anda juga dapat mengambil tindakan pada sumber daya tergantung pada kebutuhan operasional Anda, untuk membantu menjadikan lingkungan Anda dalam status kepatuhan.

Misalnya, dengan mengintegrasikan Amazon Inspector dengan AWS Systems Manager, penilaian keamanan disederhanakan dan otomatis, karena Anda dapat menginstal agen Amazon Inspector secara otomatis menggunakan Amazon Elastic Compute Cloud Systems Manager saat instans Amazon EC2 diluncurkan. Anda juga dapat melakukan perbaikan otomatis untuk temuan Amazon Inspector dengan menggunakan fungsi Amazon EC2 System Manager dan Lambda.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menemukan dan Melindungi Data dalam Skala Besar

Melindungi Data Anda di AWS