Perspektif keamanan: kepatuhan dan jaminan - Gambaran Umum AWS Cloud Adoption Framework

Perspektif keamanan: kepatuhan dan jaminan

Perspektif keamanan membantu Anda mencapai kerahasiaan, integritas, dan ketersediaan data dan beban kerja cloud Anda. Perspektif ini terdiri dari sembilan kemampuan yang ditunjukkan pada gambar berikut. Pemangku kepentingan umum termasuk CISO, CCO, pemimpin audit internal, serta arsitek dan insinyur keamanan.

Diagram yang menggambarkan kemampuan perspektif Keamanan AWS CAF.

Kemampuan perspektif Keamanan AWS CAF

  • Tata kelola keamanan – Mengembangkan, memelihara, dan secara efektif mengomunikasikan peran, tanggung jawab, akuntabilitas, kebijakan, proses, dan prosedur keamanan. Memastikan garis akuntabilitas yang jelas sangat penting untuk efektivitas program keamanan Anda. Memahami aset, risiko keamanan, dan persyaratan kepatuhan yang berlaku untuk industri dan/atau organisasi Anda akan membantu Anda memprioritaskan upaya keamanan. Memberikan arahan dan saran yang berkelanjutan akan membantu mempercepat transformasi Anda dengan memungkinkan tim Anda bergerak lebih cepat.

    Pahami tanggung jawab Anda atas keamanan di cloud. Persediaan, mengategorikan, dan memprioritaskan pemangku kepentingan, aset, dan pertukaran informasi yang relevan. Identifikasi hukum, peraturan, peraturan, dan standar/kerangka kerja yang berlaku untuk industri dan/atau organisasi Anda. Lakukan penilaian risiko tahunan pada organisasi Anda. Penilaian risiko dapat membantu menentukan kemungkinan dan dampak risiko dan/atau kerentanan yang diidentifikasi yang memengaruhi organisasi Anda. Alokasikan sumber daya yang cukup untuk peran dan tanggung jawab keamanan yang teridentifikasi. Kembangkan kebijakan, proses, prosedur, dan kontrol keamanan sesuai dengan persyaratan kepatuhan dan toleransi risiko organisasi Anda; terus diperbarui berdasarkan risiko dan persyaratan yang berkembang.

  • Jaminan keamanan – Terus memantau, mengevaluasi, mengelola, dan meningkatkan efektivitas program keamanan dan privasi Anda. Organisasi Anda, dan pelanggan yang Anda layani, membutuhkan kepercayaan dan keyakinan bahwa kontrol yang telah Anda terapkan akan memungkinkan Anda memenuhi persyaratan peraturan, dan secara efektif dan efisien mengelola risiko keamanan dan privasi sesuai dengan tujuan bisnis dan toleransi risiko Anda.

    Kontrol dokumen ke dalam kerangka kontrolyang komprehensif, dan menetapkan kontrol keamanan dan privasi yang dapat dibuktikan yang memenuhi tujuan tersebut. Tinjau laporan audit, sertifikasi kepatuhan, atau pengesahan yang diperoleh oleh vendor cloud Anda untuk membantu Anda memahami kontrol yang mereka miliki, bagaimana kontrol tersebut telah divalidasi, dan kontrol di lingkungan TI yang diperluas beroperasi secara efektif.

    Terus memantau dan mengevaluasi lingkungan Anda untuk memverifikasi efektivitas operasi kontrol Anda, dan menunjukkan kepatuhan terhadap peraturan dan standar industri. Tinjau kebijakan keamanan, proses, prosedur, kontrol, dan catatan, dan mewawancarai personil kunci sesuai kebutuhan.

  • Manajemen identitas dan izin — Mengelola identitas dan izin sesuai skala. Anda dapat membuat identitas di AWS atau menghubungkan sumber identitas Anda, dan kemudian memberi pengguna izin yang diperlukan, sehingga mereka dapat masuk, mengakses, menyediakan, atau mengatur sumber daya AWS dan aplikasi terintegrasi. Manajemen identitas dan akses yang efektif membantu memvalidasi bahwa orang dan mesin yang tepat memiliki akses ke sumber daya yang tepat dalam kondisi yang tepat.

    Kerangka Kerja AWS Well Architected menjelaskan konsep, prinsip desain, dan praktik terbaik arsitektur yang relevan untuk mengelola identitas. Ini termasuk: mengandalkan penyedia identitas terpusat; memanfaatkan grup pengguna dan atribut untuk akses halus sesuai skala dan kredensial sementara; dan menggunakan mekanisme login yang kuat, seperti autentikasi multi-faktor (MFA). Untuk mengontrol akses berdasarkan identitas manusia dan alat berat ke AWS dan beban kerja Anda, tetapkan izin ke tindakan layanan tertentu pada sumber daya tertentu dalam kondisi tertentu; gunakan prinsip hak istimewa, tetapkan batasan izin, dan gunakan kebijakan kontrol layanan sehingga hak entitas dapat mengakses sumber daya yang tepat saat lingkungan dan basis pengguna Anda tumbuh; memberikan izin berdasarkan atribut (ABAC) sehingga kebijakan Anda dapat menskalakan; dan terus memvalidasi bahwa kebijakan Anda memberikan perlindungan yang Anda butuhkan.

  • Deteksi ancaman – Memahami dan mengidentifikasi kemungkinan kesalahan konfigurasi keamanan, ancaman, atau perilaku tak terduga. Pemahaman yang lebih baik tentang ancaman keamanan akan memungkinkan Anda memprioritaskan kontrol pelindung. Deteksi ancaman yang efektif akan memungkinkan Anda merespons ancaman lebih cepat dan belajar dari peristiwa keamanan. Setuju pada tujuan intelijen taktis, operasional, dan strategis dan metodologi keseluruhan. Tambang sumber data yang relevan, memproses dan menganalisis data, dan menyebarluaskan dan mengoperasionalisasi wawasan.

    Deploy pemantauan di mana-mana di lingkungan untuk mengumpulkan informasi penting dan di lokasi ad hoc untuk melacak jenis transaksi tertentu. Mengorelasikan data pemantauan dari berbagai sumber acara, termasuk lalu lintas jaringan, sistem operasi, aplikasi, database, dan perangkat titik akhir untuk memberikan postur keamanan yang kuat dan meningkatkan visibilitas. Pertimbangkan memanfaatkan teknologi penipuan (misalnya, honeypot) untuk mendapatkan pemahaman tentang pola perilaku pengguna yang tidak sah.

  • Manajemen kerentanan - Terus mengidentifikasi, mengklasifikasikan, memperbaiki, dan mengurangi kerentanan keamanan. Kerentanan juga dapat diperkenalkan dengan perubahan pada sistem yang ada atau dengan penambahan sistem baru. Secara teratur memindai kerentanan untuk membantu melindungi terhadap ancaman baru. Menerapkan pemindai kerentanan dan agen titik akhir untuk mengasosiasikan sistem dengan kerentanan yang diketahui. Prioritaskan tindakan remediasi berdasarkan risiko kerentanan. Terapkan tindakan remediasi dan laporkan kepada para pemangku kepentingan yang relevan. Manfaatkan pengujian tim dan penetrasi merah untuk mengidentifikasi kerentanan dalam arsitektur sistem Anda; mencari otorisasi sebelumnya dari penyedia cloud Anda sesuai kebutuhan.

  • Perlindungan infrastruktur – Validasi bahwa sistem dan layanan dalam beban kerja Anda dilindungi dari akses dan potensi kerentanan yang tidak diinginkan dan tidak sah. Melindungi infrastruktur Anda dari akses yang tidak diinginkan dan tidak sah serta potensi kerentanan akan membantu Anda meningkatkan postur keamanan Anda di cloud. Manfaatkan pertahanan secara mendalam untuk melapisi serangkaian mekanisme pertahanan yang bertujuan untuk melindungi data dan sistem Anda.

    Buat lapisan jaringan dan letakkan beban kerja tanpa persyaratan untuk akses internet di subnet privat. Gunakan grup keamanan, daftar kontrol akses jaringan, dan firewall jaringan untuk mengontrol lalu lintas. Terapkan Kepercayaan Nol ke sistem dan data Anda sesuai dengan nilainya. Manfaatkan titik akhir virtual private cloud (VPC) untuk koneksi privat ke sumber daya cloud. Periksa dan filter lalu lintas Anda di setiap lapisan; misalnya, melalui firewall aplikasi web dan/atau firewall jaringan. Gunakan gambar sistem operasi yang diperkeras dan amankan secara fisik infrastruktur cloud hybrid on-premise dan di edge.

  • Perlindungan data — Pertahankan visibilitas dan kontrol atas data, serta cara data diakses dan digunakan di organisasi Anda. Melindungi data Anda dari akses yang tidak diinginkan dan tidak sah, dan potensi kerentanan, adalah salah satu tujuan utama dari program keamanan Anda. Untuk membantu Anda menentukan kontrol perlindungan dan retensi yang sesuai, klasifikasikan data Anda berdasarkan kekritisan dan sensitivitas (misalnya, informasi yang dapat diidentifikasi secara pribadi). Tentukan kontrol perlindungan data dan kebijakan manajemen siklus hidup . Enkripsi semua data saat istirahat dan dalam perjalanan, dan simpan data sensitif di akun terpisah. Manfaatkan machine learning untuk secara otomatis menemukan, mengklasifikasikan, dan melindungi data sensitif.

  • Keamanan aplikasi - Mendeteksi dan mengatasi kerentanan keamanan selama proses pengembangan perangkat lunak. Anda dapat menghemat waktu, tenaga, dan biaya saat menemukan dan memperbaiki kekurangan keamanan selama fase pengodean aplikasi, dan memiliki kepercayaan pada postur keamanan saat Anda memulai produksi. Pindai dan patch kerentanan dalam kode dan dependensi Anda untuk membantu melindungi terhadap ancaman baru. Minimalkan kebutuhan akan intervensi manusia dengan mengotomatisasi tugas terkait keamanan di seluruh proses dan alat pengembangan dan operasi Anda. Gunakan alat analisis kode statis untuk mengidentifikasi masalah keamanan umum.

  • Respons insiden - Mengurangi potensi bahaya dengan merespons insiden keamanan secara efektif. Respons yang cepat, efektif, dan konsisten terhadap insiden keamanan akan membantu Anda mengurangi potensi bahaya. Edukasi operasi keamanan dan tim respons insiden Anda tentang teknologi cloud dan cara organisasi Anda ingin menggunakannya. Mengembangkan runbook dan membuat perpustakaan mekanisme respons insiden. Sertakan pemangku kepentingan utama untuk lebih memahami dampak pilihan Anda pada organisasi yang lebih luas.

    Simulasikan peristiwa keamanan dan praktikkan respons insiden Anda melalui latihan meja dan hari permainan. Iterasi pada hasil simulasi Anda untuk meningkatkan skala postur respons Anda, mengurangi waktu ke nilai, dan mengurangi risiko lebih lanjut. Melakukan analisis pasca-insiden untuk belajar dari insiden keamanan dengan memanfaatkan mekanisme standar untuk mengidentifikasi dan menyelesaikan akar penyebab.