Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Dewasa: Proses penyetelan dan pengukuran, alat, dan risiko
<a name="mature"></a>

Pada fase matang model keamanan cloud, fokusnya adalah menyelaraskan tim keamanan dengan kemampuan keamanan AWS Cloud Adoption Framework (AWS CAF) dan melembagakan proses tangkas. Penyelarasan ini membantu tim khusus mempercepat inovasi dalam sprint pendek sambil juga menggabungkan peta jalan dan perencanaan jarak jauh. Fase matang menekankan kolaborasi dengan operasi TI dan meningkatkan keterampilan cloud khusus yang mendalam. Setiap kemampuan keamanan menerapkan alat dan proses utama untuk meningkatkan efisiensi dan dampak, disertai dengan pengembangan metrik dan mekanisme pelaporan untuk mengukur perubahan bertahap dan dampak keseluruhan.

**Topics**
+ [

# Menyetel dan mengukur proses
](tune-and-measure-processes.md)
+ [

# Menyetel dan mengukur alat
](tune-and-measure-tools.md)
+ [

# Menyetel dan mengukur risiko
](tune-and-measure-risk.md)
+ [

# Tinjau contoh kasus penggunaan pada fase matang
](review-examples.md)

# Menyetel dan mengukur proses
<a name="tune-and-measure-processes"></a>

[Pendekatan tangkas](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-program-implementation/approach.html) memberikan lebih banyak fleksibilitas dan inovasi, dan dapat membantu Anda dengan cepat menguji dan menerapkan ide-ide baru. Bagilah tim keamanan Anda menjadi peran khusus, seperti responden insiden dan manajer kerentanan. Peran harus selaras dengan kategori dalam gambar berikut, yang sesuai dengan kemampuan dalam AWS Cloud Adoption Framework (AWS CAF). Pendekatan tangkas mendorong tim untuk berpikir besar, menciptakan, menyederhanakan, dan mengidentifikasi potensi kesenjangan dalam keamanan. Ini menghasilkan pembuatan backlog cerita pengguna atau peta jalan untuk perbaikan di masa depan.

Proses tangkas memungkinkan solusi yang lebih dinamis dan adaptif, daripada hanya mengandalkan kemampuan alat tertentu. *Gagal cepat* adalah filosofi yang menggunakan pengujian yang sering dan bertahap untuk mengurangi siklus hidup pengembangan, dan ini adalah bagian penting dari pendekatan tangkas. Buat perubahan, uji, dan kemudian putuskan apakah akan melanjutkan pendekatan saat ini atau beralih ke pendekatan alternatif. Jika tim bekerja dalam siklus ini, ini membantu organisasi Anda tetap terkini dengan sifat cloud yang serba cepat. Pelatihan terfokus juga penting, dan Anda harus memberikan pelatihan yang khusus untuk domain keamanan cloud tertentu.



![\[Buat peran khusus yang sesuai dengan kemampuan AWS CAF di pilar keamanan.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-mature-processes.png)


**catatan**  
Gambar ini tidak berisi jaminan keamanan dan kemampuan tata kelola keamanan di CAF. AWS Panduan ini berfokus pada operasi keamanan, dan jaminan keamanan dan tata kelola berada di luar cakupan panduan ini. Untuk informasi selengkapnya tentang jaminan keamanan, lihat [AWS re:Inforce 2023 -](https://youtu.be/m2wjmGvY2pY?si=o_Rf9Rliu86oFkSQ) Scaling compliance with on. AWS Control Tower YouTube

Dalam organisasi Anda, gunakan pendekatan tangkas yang membantu organisasi Anda mengikuti perkembangan pesat dan perubahan di cloud. Berikut ini adalah beberapa cara untuk mulai bereksperimen dan iterasi di lingkungan cloud Anda:
+ Spesialisasi pada kategori yang ditentukan dalam AWS CAF, seperti yang ditunjukkan pada gambar sebelumnya.
+ Agar lebih dinamis, fokuslah pada inovasi daripada operasi.
+ Bergerak cepat dalam sprint dengan memungkinkan orang untuk menguji, gagal cepat, dan menerapkan dengan cepat dan melanjutkan siklus ini untuk mengikuti bisnis.
+ Untuk mendukung operasi berkelanjutan, jika memungkinkan, menyelaraskan proses untuk lingkungan berbasis Internet dan lokal.
+ Untuk membantu individu menelusuri dan fokus pada satu area, berikan pelatihan yang terfokus alih-alih pelatihan luas.
+ Dorong orang untuk berpikir besar, menyelidiki “bagaimana jika,” dan membuat backlog (seperti peta jalan atau celah).

# Menyetel dan mengukur alat
<a name="tune-and-measure-tools"></a>

Setelah Anda membentuk tim khusus untuk domain keamanan yang berbeda, selaraskan tim satu sama lain. [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)dapat membantu Anda mencapai ini. Security Hub CSPM menyediakan dasbor terpusat dan terpadu untuk memantau kemajuan terhadap kerangka kerja. Ini juga terintegrasi dengan layanan AWS keamanan banyak alat pihak ketiga.

[Kerangka Keamanan Siber](https://www.nist.gov/cyberframework) Institut Standar dan Teknologi Nasional (NIST) di situs web NIST terdiri dari lima fungsi: mengidentifikasi, melindungi, mendeteksi, merespons, dan memulihkan. Gambar berikut menunjukkan bagaimana Anda dapat menggunakan yang berbeda Layanan AWS selama setiap fungsi dan kemudian mengonfigurasi layanan tersebut untuk mengirimkan temuannya ke Security Hub CSPM untuk pelaporan terkonsolidasi. Jika Anda memilih untuk menggunakan alat lain, Anda dapat menggunakan Security Hub CSPM API, AWS Command Line Interface (AWS CLI), dan AWS Security Finding Format (ASFF) untuk membuat integrasi kustom. Untuk informasi selengkapnya tentang integrasi CSPM Security Hub dengan layanan lain, lihat [Integrasi produk dalam](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html) dokumentasi CSPM AWS Security Hub CSPM Security Hub.



![\[Alat keamanan yang terintegrasi dengan AWS Security Hub CSPM\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-and-measure-tools.png)


Security Hub CSPM terintegrasi dengan semua layanan dan alat ini dan menyediakan hal-hal berikut:
+ Menyediakan dasbor terpadu yang menampilkan pembaruan dan membantu tim untuk melakukan iterasi
+ [Terintegrasi secara otomatis dengan layanan AWS keamanan, seperti [Amazon Macie, Amazon](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html), dan [ GuardDutyAmazon](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html)
+ Mendukung integrasi dengan alat pihak ketiga, seperti [https://github.com/prowler-cloud/prowler](https://github.com/prowler-cloud/prowler)dan [https://github.com/stelligent/cfn_nag](https://github.com/stelligent/cfn_nag)
+ Mendukung integrasi kustom dengan alat, seperti Security Hub CSPM API AWS CLI, dan AWS Security Finding Format (ASFF)

# Menyetel dan mengukur risiko
<a name="tune-and-measure-risk"></a>

Selama fase matang dari tahap berjalan, Anda dapat menggunakannya AWS Security Hub CSPM untuk terus menyesuaikan dan mengukur risiko keamanan. Security Hub CSPM terus menilai postur keamanan organisasi dan mengambil tindakan untuk memulihkan masalah yang teridentifikasi. Security Hub CSPM memusatkan dan memprioritaskan temuan keamanan dari seluruh layanan Akun AWS, dan mitra pihak ketiga yang didukung. Ini membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tinggi.

Security Hub CSPM melakukan ratusan pemeriksaan keamanan dan mengklasifikasikannya berdasarkan risiko terhadap lingkungan Anda. AWS Anda dapat melihat skor Anda terhadap kontrol keamanan di dasbor terpadu di konsol CSPM Security Hub. Untuk informasi selengkapnya, lihat [Menentukan skor keamanan](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-security-score.html) dalam dokumentasi CSPM Security Hub. Melalui dasbor ini, DevSecOps fungsi dapat dengan cepat mengidentifikasi pemeriksaan apa pun yang gagal, tingkat keparahan masalah keamanan, Wilayah AWS dan sumber daya mana yang terpengaruh. Setelah diidentifikasi, DevSecOps tim dapat memprioritaskan dan memulihkan masalah. Saat masalah diperbaiki, Security Hub CSPM secara otomatis memperbarui status.

# Tinjau contoh kasus penggunaan pada fase matang
<a name="review-examples"></a>

Berikut ini adalah contoh fase matang. Contoh-contoh ini menyelam lebih dalam ke dalam model, alat, dan proses untuk tujuan bisnis yang berbeda, pada tingkat praktis.

## Dewasa: Contoh deteksi ancaman
<a name="mature-threat-detection-example"></a>

**Hasil bisnis untuk kontrol detektif:** Meningkatkan visibilitas dan kecepatan deteksi insiden cloud untuk menurunkan risiko dan memungkinkan penggunaan dan pengembangan sumber daya cloud yang dipercepat.

**Tool: [https://github.com/awslabs/assisted-log-enabler-for-aws](https://github.com/awslabs/assisted-log-enabler-for-aws)**(GitHub) adalah alat open source yang membantu Anda mengaktifkan logging di tengah insiden keamanan. Ini dapat dengan cepat meningkatkan visibilitas Anda ke dalam suatu insiden.

**Contoh kasus penggunaan:** Pertimbangkan kasus penggunaan akun tunggal yang digambarkan dalam diagram berikut. Ada peristiwa yang membutuhkan penyelidikan lebih lanjut. Anda tidak yakin apakah logging diaktifkan. Dalam hal ini, tindakan terbaik adalah melakukan dry run dengan melihat layanan mana yang diaktifkan atau dinonaktifkan. Assisted Log Enabler Assisted Log Enablermemeriksa AWS CloudTrail jejak, log kueri DNS, log aliran VPC, dan log lainnya. Jika mereka tidak diaktifkan, Assisted Log Enabler aktifkan mereka. Assisted Log Enablerdapat memeriksa dan mengaktifkan logging di semua Wilayah AWS.

Anda juga bisa melakukan throttle Assisted Log Enabler ke atas atau ke bawah. Setelah Anda menyelesaikan dry run, menutup acara, dan menyelesaikan masalah, Anda menyadari bahwa Anda tidak lagi membutuhkan tingkat logging ini. Anda dapat dengan cepat membersihkan penyebaran untuk menghentikan logging. Fitur ini memungkinkan Anda untuk digunakan Assisted Log Enabler sebagai alat triase.



![\[Gunakan Assisted Log Enabler untuk melihat layanan mana yang mengaktifkan atau menonaktifkan pencatatan\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/assisted-log-enabler.png)


Berikut ini adalah fitur utama dariAssisted Log Enabler for AWS:
+ Anda dapat menjalankannya di lingkungan satu akun atau multi-akun.
+ Anda dapat menggunakannya untuk menetapkan garis dasar untuk masuk ke lingkungan Anda.
+ Anda dapat menggunakan fitur dry run untuk memeriksa status saat ini dan menentukan layanan mana yang mengaktifkan logging.
+ Anda dapat memilih layanan mana yang ingin Anda aktifkan pencatatan.
+ Anda dapat melakukan throttle ke Assisted Log Enabler atas atau ke bawah, untuk kasus penggunaan Anda.

## Dewasa: Contoh IAM
<a name="mature-iam-example"></a>

**Hasil bisnis IAM:** Mengotomatiskan visibilitas dan pengukuran terhadap praktik terbaik untuk terus mengurangi risiko, untuk memungkinkan koneksi eksternal yang aman, dan untuk menyediakan pengguna dan lingkungan baru dengan cepat

**Alat:AWS Identity and Access Management Access Analyzer ** [(IAM Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) membantu Anda mengidentifikasi sumber daya yang dibagikan dengan entitas eksternal, memvalidasi kebijakan IAM terhadap tata bahasa kebijakan dan praktik terbaik, dan menghasilkan kebijakan IAM berdasarkan aktivitas akses historis. Kami sangat menyarankan Anda mengaktifkan IAM Access Analyzer di tingkat akun dan organisasi.

**Manfaat layanan:** IAM Access Analyzer menyediakan banyak temuan berwawasan luas. Ini dapat mengidentifikasi sumber daya dan akun organisasi Anda yang dibagikan dengan entitas eksternal. Ini dapat mendeteksi sumber daya seperti bucket S3 publik, AWS KMS key berbagi dengan akun lain, atau peran yang dibagikan dengan akun eksternal, memberi Anda visibilitas yang sangat baik untuk mengidentifikasi sumber daya yang tidak berada di bawah kendali organisasi Anda. Ini tidak hanya memvalidasi kebijakan IAM tetapi juga dapat menghasilkannya untuk Anda.