Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# SALZ: Pengaturan default
Jaringan AWS Managed Services (AMS) Anda dikonfigurasi dengan cara standar dengan default untuk sebagian besar layanan.
Bagian ini menjelaskan pengaturan default yang digunakan AMS untuk keamanan, akses, pemantauan, pencatatan, kontinuitas, dan penambalan, manajemen.
Untuk contoh biaya infrastruktur, lihat [Komponen dasar](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html#basic-components).
Aturan firewall disediakan di [Siapkan Firewall Anda](setup-firewall.md)
# Keamanan Titik Akhir (EPS)
Sumber daya yang Anda sediakan di lingkungan AMS Advanced secara otomatis menyertakan penginstalan klien pemantauan keamanan titik akhir (EPS). Proses ini memastikan bahwa sumber daya AMS Advanced-managed dipantau dan didukung 24x7. Selain itu, AMS Advanced memantau semua aktivitas agen, dan insiden dibuat jika ada peristiwa keamanan yang terdeteksi.
**catatan**
[Insiden keamanan ditangani sebagai insiden; untuk informasi lebih lanjut, lihat Respons insiden.](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html)
Keamanan endpoint memberikan perlindungan anti-malware, khususnya, tindakan berikut didukung:
+ EC2 instans mendaftar dengan EPS
+ EC2 instance deregister dari EPS
+ EC2 contoh perlindungan anti-malware real-time
+ Detak jantung yang diprakarsai agen EPS
+ EPS mengembalikan file yang dikarantina
+ Pemberitahuan acara EPS
+ Pelaporan EPS
AMS Advanced menggunakan Trend Micro untuk keamanan endpoint (EPS). Ini adalah pengaturan EPS default. Untuk mempelajari lebih lanjut tentang Trend Micro, lihat [Pusat Bantuan Trend Micro Deep Security](https://help.deepsecurity.trendmicro.com/aws/welcome.html?redirected=true); perhatikan bahwa tautan non-Amazon dapat berubah tanpa pemberitahuan kepada kami.
Pengaturan default AMS Advanced Multi-Account Landing Zone (MALZ) dijelaskan di bagian berikut; untuk pengaturan EPS landing zone multi-akun AMS non-default, [lihat pengaturan non-default AMS Advanced Multi-Account Landing](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#malz-eps-settings) Zone EPS.
**catatan**
Anda dapat membawa EPS Anda sendiri, lihat [AMS membawa EPS Anda sendiri](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html).
## Pengaturan EPS umum
Pengaturan jaringan umum keamanan titik akhir.
**Default EPS**
| Pengaturan | *Default* |
| --- | --- |
| Port Firewall (Grup Keamanan Instans) | Agen EPS Deep Security Manager (DSMs) harus memiliki port 4120 terbuka untuk komunikasi Agent/Relay to Manager, dan port 4119 untuk Konsol Manajer. Relay EPS harus memiliki port 4122 terbuka untuk komunikasi Manager/Agent to Relay. Tidak ada port khusus yang harus terbuka untuk komunikasi inbound instance pelanggan karena agen memulai semua permintaan. |
| Arah Komunikasi | Agen/Alat Dimulai |
| Interval Detak Jantung | Sepuluh menit |
| Jumlah detak jantung yang terlewat sebelum peringatan | Dua |
| Drift maksimum yang diizinkan (perbedaan) antara waktu server | Tidak terbatas. |
| Meningkatkan kesalahan offline untuk mesin virtual yang tidak aktif (terdaftar, tetapi tidak online) | Tidak |
| Kebijakan default | Kebijakan dasar (dijelaskan selanjutnya) |
| Aktivasi beberapa komputer dengan nama host yang sama | Diijinkan |
| Peringatan untuk pembaruan yang tertunda dinaikkan | Setelah tujuh hari |
| Perbarui jadwal | AMS menargetkan siklus rilis bulanan untuk pembaruan perangkat lunak Trend Micro Deep Security Manager (DSM) /Deep Security Agent (DSA). Namun, AMS tidak mempertahankan SLA untuk pembaruan. Pembaruan dilakukan secara armada oleh tim pengembang AMS selama penerapan. Pembaruan DSA/DSA dicatat dalam peristiwa sistem Trend Micro DSM yang disimpan AMS secara lokal secara default selama 13 minggu. Untuk dokumentasi vendor, lihat [Acara sistem](https://help.deepsecurity.trendmicro.com/12_0/aws/Events-Alerts/ref-events-system.html) di Pusat Bantuan Trend Micro Deep Security. Log juga diekspor ke grup log/aws/ams/eps/var/log/DSM.log di Amazon. CloudWatch |
| Perbarui sumber | Server Pembaruan Trend Micro (https://ipv6-iaus.trendmicro.com/iau\$1server.dll/) |
| Penghapusan data peristiwa atau log | Peristiwa dan log dihapus dari database DSM setelah tujuh hari. |
| Versi perangkat lunak agen diadakan | Hingga lima |
| Pembaruan aturan terbaru diadakan | Hingga sepuluh |
| Penyimpanan log | Secara default, file log disimpan dengan aman di Amazon S3, tetapi Anda juga dapat mengarsipkannya ke Amazon Glacier untuk membantu memenuhi persyaratan audit dan kepatuhan. |
## Kebijakan dasar
Pengaturan default kebijakan basis keamanan titik akhir.
**Kebijakan dasar EPS**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/eps-defaults.html)
## Anti-malware
Pengaturan anti-malware keamanan titik akhir.
**Default anti-malware EPS**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/eps-defaults.html)
# Grup keamanan
Di AWS VPCs, AWS Security Groups bertindak sebagai firewall virtual, mengontrol lalu lintas untuk satu atau beberapa tumpukan (instance atau satu set instance). Ketika tumpukan diluncurkan, itu terkait dengan satu atau beberapa grup keamanan, yang menentukan lalu lintas apa yang diizinkan untuk mencapainya:
+ Untuk tumpukan di subnet publik Anda, grup keamanan default menerima lalu lintas dari HTTP (80) dan HTTPS (443) dari semua lokasi (internet). Tumpukan juga menerima lalu lintas SSH dan RDP internal dari jaringan perusahaan Anda, dan benteng AWS. Tumpukan tersebut kemudian dapat keluar melalui port apa pun ke Internet. Mereka juga dapat keluar ke subnet pribadi Anda dan tumpukan lain di subnet publik Anda.
+ Tumpukan di subnet pribadi Anda dapat keluar ke tumpukan lain di subnet pribadi Anda, dan instance dalam tumpukan dapat sepenuhnya berkomunikasi melalui protokol apa pun satu sama lain.
**penting**
Grup keamanan default untuk tumpukan pada subnet pribadi memungkinkan semua tumpukan di subnet pribadi Anda untuk berkomunikasi dengan tumpukan lain di subnet pribadi tersebut. Jika Anda ingin membatasi komunikasi antar tumpukan dalam subnet pribadi, Anda harus membuat grup keamanan baru yang menjelaskan pembatasan tersebut. Misalnya, jika Anda ingin membatasi komunikasi ke server database sehingga tumpukan di subnet pribadi itu hanya dapat berkomunikasi dari server aplikasi tertentu melalui port tertentu, mintalah grup keamanan khusus. Cara melakukannya dijelaskan di bagian ini.
## Grup Keamanan Default
------
#### [ MALZ ]
Tabel berikut menjelaskan pengaturan grup keamanan masuk (SG) default untuk tumpukan Anda. SG diberi nama "SentinelDefaultSecurityGroupPrivateOnly-VPC-ID” yang merupakan ID VPC di *ID* akun landing zone multi-akun AMS Anda. Semua lalu lintas diizinkan keluar ke "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" melalui grup keamanan ini (semua lalu lintas lokal dalam subnet tumpukan diizinkan).
Semua lalu lintas diizinkan keluar ke 0.0.0.0/0 oleh grup keamanan kedua "”. SentinelDefaultSecurityGroupPrivateOnly
**Tip**
Jika Anda memilih grup keamanan untuk jenis perubahan AMS, seperti EC2 membuat, atau OpenSearch membuat domain, Anda akan menggunakan salah satu grup keamanan default yang dijelaskan di sini, atau grup keamanan yang Anda buat. Anda dapat menemukan daftar grup keamanan, per VPC, di EC2 konsol AWS atau konsol VPC.
Ada grup keamanan default tambahan yang digunakan untuk keperluan AMS internal.
**Grup keamanan default AMS (lalu lintas masuk)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/about-security-groups.html)
------
#### [ SALZ ]
Tabel berikut menjelaskan pengaturan grup keamanan masuk (SG) default untuk tumpukan Anda. SG diberi nama "mc-initial-garden- SentinelDefaultSecurityGroupPrivateOnly -*ID*" di mana *ID* adalah pengenal unik. Semua lalu lintas diizinkan keluar ke "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" melalui grup keamanan ini (semua lalu lintas lokal dalam subnet tumpukan diizinkan).
Semua lalu lintas diizinkan keluar ke 0.0.0.0/0 oleh grup keamanan kedua "- -”. mc-initial-garden SentinelDefaultSecurityGroupPrivateOnlyEgressAll *ID*
**Tip**
Jika Anda memilih grup keamanan untuk jenis perubahan AMS, seperti EC2 membuat, atau OpenSearch membuat domain, Anda akan menggunakan salah satu grup keamanan default yang dijelaskan di sini, atau grup keamanan yang Anda buat. Anda dapat menemukan daftar grup keamanan, per VPC, di EC2 konsol AWS atau konsol VPC.
Ada grup keamanan default tambahan yang digunakan untuk keperluan AMS internal.
**Grup keamanan default AMS (lalu lintas masuk)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/about-security-groups.html)
------
## Membuat, Mengubah, atau Menghapus Grup Keamanan
Anda dapat meminta grup keamanan khusus. Jika grup keamanan default tidak memenuhi kebutuhan aplikasi atau organisasi Anda, Anda dapat memodifikasi atau membuat grup keamanan baru. Permintaan semacam itu akan dianggap memerlukan persetujuan dan akan ditinjau oleh tim operasi AMS.
Untuk membuat grup keamanan di luar tumpukan dan VPCs, kirimkan RFC menggunakan jenis `Deployment | Advanced stack components | Security group | Create (review required)` perubahan (ct-1oxx2g2d7hc90).
Untuk modifikasi grup keamanan Active Directory (AD), gunakan jenis perubahan berikut:
+ Untuk menambahkan pengguna: Kirim RFC menggunakan Manajemen \$1 Directory Service \$1 Pengguna dan grup \$1 Tambahkan pengguna ke grup [ct-24pi85mjtza8k]
+ Untuk menghapus pengguna: Kirim RFC menggunakan Manajemen \$1 Directory Service \$1 Pengguna dan grup \$1 Hapus pengguna dari grup [ct-2019s9y3nfml4]
**catatan**
Saat menggunakan “review required” CTs, AMS merekomendasikan agar Anda menggunakan opsi **Penjadwalan** ASAP (pilih **ASAP** di konsol, biarkan waktu mulai dan berakhir kosong di API/CLI) karena ini CTs memerlukan operator AMS untuk memeriksa RFC, dan mungkin berkomunikasi dengan Anda sebelum dapat disetujui dan dijalankan. Jika Anda menjadwalkan ini RFCs, pastikan untuk mengizinkan setidaknya 24 jam. Jika persetujuan tidak terjadi sebelum waktu mulai yang dijadwalkan, RFC ditolak secara otomatis.
## Temukan Grup Keamanan
Untuk menemukan grup keamanan yang dilampirkan ke tumpukan atau instance, gunakan EC2 konsol. Setelah menemukan tumpukan atau instance, Anda dapat melihat semua grup keamanan yang melekat padanya.
Untuk cara menemukan grup keamanan di baris perintah dan memfilter output, lihat [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html).
# EC2 Profil instans IAM
Profil instance adalah wadah untuk peran IAM yang dapat Anda gunakan untuk meneruskan informasi peran ke EC2 instance saat instance dimulai.
------
#### [ MALZ ]
Ada dua profil instance default AMS, `customer-mc-ec2-instance-profile` dan`customer-mc-ec2-instance-profile-s3`. Profil instance ini memberikan izin yang dijelaskan dalam tabel berikut.
**Deskripsi kebijakan**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/defaults-instance-profile.html)
------
#### [ SALZ ]
Ada satu profil instans default AMS,`customer-mc-ec2-instance-profile`, yang memberikan izin dari kebijakan instans IAM. `customer_ec2_instance_profile_policy` Profil instance ini memberikan izin yang dijelaskan dalam tabel berikut. Profil memberikan izin ke aplikasi yang berjalan pada instance, bukan kepada pengguna yang masuk ke instance.
Kebijakan sering menyertakan beberapa pernyataan, di mana setiap pernyataan memberikan izin ke kumpulan sumber daya yang berbeda atau memberikan izin dalam kondisi tertentu.
CW = CloudWatch. ARN = Nama Sumber Daya Amazon. \$1 = wildcard (apa saja).
**EC2 izin profil instans IAM default**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/defaults-instance-profile.html)
------
Jika Anda tidak terbiasa dengan kebijakan Amazon IAM, lihat [Ikhtisar Kebijakan IAM untuk informasi penting](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).
**catatan**
Kebijakan sering menyertakan beberapa pernyataan, di mana setiap pernyataan memberikan izin ke kumpulan sumber daya yang berbeda atau memberikan izin dalam kondisi tertentu.
# Metrik yang dipantau secara default
Tabel berikut menunjukkan apa yang dipantau dan ambang batas peringatan default. Anda dapat mengubah default dengan permintaan manajemen perubahan untuk perubahan (RFC).
**catatan**
CloudWatch meluncurkan retensi metrik yang diperpanjang pada 1 November 2016. Untuk informasi selengkapnya, lihat [CloudWatch Batasan-batasan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html).
**Peringatan dari pemantauan dasar**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/monitoring-default-metrics.html)
# Retensi log dan default rotasi
[Bagian ini menjelaskan default manajemen log AMS; untuk informasi selengkapnya, lihat Manajemen Log.](https://docs.aws.amazon.com/managedservices/latest/userguide/log-mgmt.html)
+ Rotasi = Perputaran log di dalam instance
+ Retensi = Periode waktu kami menyimpan log di Amazon Logs dan Amazon CloudWatch Simple Storage Service (S3)
Log disimpan di CloudWatch Log sesuai kebutuhan (Anda dapat mengonfigurasi ini), dan di S3. Mereka tidak kedaluwarsa atau dihapus dan tunduk pada daya tahan layanan. Untuk informasi ketahanan S3 yang mendetail, lihat [Perlindungan data di Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html) S3.
Anda dapat meminta perubahan penyimpanan log untuk semua log, kecuali AWS CloudTrail log, yang disimpan tanpa batas waktu untuk alasan audit dan keamanan.
Rotasi log dikonfigurasi di dalam instance. Secara default, sistem operasi dan log keamanan berputar setiap jam jika mencapai lebih dari 100MB, ini dilakukan untuk memastikan bahwa Anda tidak kekurangan disk dalam instance.
Agen log di dalam instance mengunggah log online ke Log, dari sana CloudWatch log diarsipkan ke S3.
Log disimpan dalam CloudWatch Log dan S3 dalam format mentah yang dihasilkan, tidak ada pra-pemrosesan.
# Default manajemen kontinuitas
Bagian ini menjelaskan default manajemen kontinuitas AMS; untuk informasi selengkapnya tentang cadangan AMS, lihat bagian Manajemen Kontinuitas Panduan Pengguna AMS.
Konfigurasi Backup dilakukan pada saat onboarding. Ini adalah pengaturan cadangan default (disarankan).
# Tag VPC dan default
Untuk informasi terbaru tentang cadangan AMS, lihat [Manajemen kontinuitas](https://docs.aws.amazon.com/managedservices/latest/userguide/continuity-mgmt.html).
**penting**
Secara default, cadangan EC2 tumpukan dinonaktifkan (Backup = False). Anda dapat mengaktifkan cadangan EC2 instance pada saat pembuatan dengan menambahkan tag `Key: Backup, Value: True` saat meminta EC2 tumpukan melalui RFC (CT ct-14027q0sjyt1h). Jika Anda ingin menambahkan tag setelah instance dibuat, kirimkan RFC dengan Management \$1 Advanced stack components \$1 EC2 instance stack \$1 Update CT (ct-38s4s4tm4ic4u).
# EC2 tag instance dan default
**Tag cadangan EC2 stack** menentukan apakah tumpukan memerlukan snapshot dari volume EBS terlampir atau tidak.
Tag ` Key: Backup`
Tag ` Value: True, False`
Secara default, nilainya adalah `False` tag cadangan tidak ada, dan tumpukan tidak memiliki cadangan terjadwal.
Ubah tag `Key: Backup` `Value: True` untuk mengaktifkan cadangan, yang kemudian dilakukan pada jadwal yang ditetapkan dengan tag cadangan VPC.
**catatan**
Casing untuk nilai tag (hanya Nilai) tidak sensitif, jadi True/true atau False/false semuanya dapat diterima.
# Pencadangan dan default instans RDS
Nilai default Amazon Relational Database Service (RDS) Amazon Relational Database Service (RDS) didefinisikan dalam template tumpukan:
` Backup: Yes`
` Backup Window: 22:00-23:00 (RDS local time zone)`
` Retention Period: 7 (7 snapshots stored)`
# Menambal default
Bagian ini menjelaskan default penambalan AMS; untuk informasi selengkapnya tentang penambalan AMS, lihat bagian Manajemen Patch Panduan Pengguna AMS.
Rilis AMS ditambal AMIs setiap bulan; semua permintaan tumpukan baru harus dikonfigurasi dengan AMS AMI terbaru.
**penting**
AMS Patch Orchestrator, penambalan berbasis tag, menggunakan fungsionalitas AWS Systems Manager (SSM) untuk memungkinkan Anda menandai, atau memiliki tag AMS untuk Anda, instance, dan menambal instance tersebut menggunakan baseline dan jendela yang Anda konfigurasikan. Untuk mempelajari lebih lanjut, lihat [Patch Orchestrator: model patching berbasis tag](https://docs.aws.amazon.com/managedservices/latest/userguide/patch-orchestrator.html).
Standar AMS, berbasis akun, patching: Untuk setiap akun dengan tumpukan yang menerima penambalan di tempat, pemberitahuan tambalan yang berlaku yang akan datang dikirim segera setelah “patch Tuesday”. Pemberitahuan berisi daftar semua tumpukan dan tambalan yang berlaku serta jendela tambalan yang disarankan. Untuk tambalan kritis, jendela diatur tidak lebih dari 10 hari sebelumnya, dan untuk penambalan standar tidak lebih dari 14 hari sebelumnya. Jika Anda tidak membalas notifikasi, penambalan tidak terjadi. Jika Anda ingin mengecualikan tambalan tertentu, balas pemberitahuan, atau kirimkan permintaan layanan. Jika Anda membalas dengan persetujuan untuk menambal, tetapi tidak secara khusus meminta jadwal yang berbeda, tambalan diterapkan seperti yang dijelaskan dalam pemberitahuan yang Anda terima.
**catatan**
Pemberitahuan layanan tambalan adalah email yang dikirim ke kontak akun dan berisi tautan ke konsol AWS Support. Anda dapat membalas melalui AWS Support console atau melalui halaman permintaan layanan AMS, di mana notifikasi muncul sebagai pemberitahuan layanan.
Pada saat proses penambalan standar AMS, AMS melakukan hal berikut:
1. Anda dikirimi pemberitahuan layanan patching empat belas hari sebelum jendela patch yang diusulkan. Pemberitahuan layanan patching dikirim melalui email ke alamat email kontak yang Anda miliki di file untuk akun Anda.
1. Mengidentifikasi semua EC2 instance yang dapat dijangkau dalam tumpukan berdasarkan daftar tumpukan yang disediakan dalam pemberitahuan penambalan. Dalam hal ini, “Dapat Dijangkau” berarti instance yang berada dalam EC2 status “Running”, dan agen EC2 Run Command beroperasi penuh.
1. AMS melakukan penambalan dengan cara yang memastikan bahwa jumlah EC2 instance yang cukup berjalan secara bersamaan (dikonfigurasi melalui `healthy-host-threshold` pengaturan) sehingga tumpukan tetap sehat.
1. Setelah operasi patching selesai untuk semua EC2 instance, AMS memperbarui RFC dengan status patching: Success, Partial Success atau Failure. Dalam hal status apa pun selain Sukses, tiket dibuat untuk operator untuk menindaklanjuti hasil penambalan dan mengambil tindakan korektif apa pun.