# Perlindungan infrastruktur
<a name="a-infrastructure-protection"></a>

**Topics**
+ [SEC 5 Bagaimana cara melindungi sumber daya jaringan Anda?](w2aac19b7c11b5.md)
+ [SEC 6 Bagaimana cara melindungi sumber daya komputasi Anda?](w2aac19b7c11b7.md)

# SEC 5 Bagaimana cara melindungi sumber daya jaringan Anda?
<a name="w2aac19b7c11b5"></a>

Setiap beban kerja yang memiliki suatu bentuk konektivitas jaringan, baik internet atau jaringan privat, memerlukan beberapa lapisan pertahanan untuk membantu melindungi dari ancaman eksternal dan internal berbasis jaringan.

**Topics**
+ [SEC05-BP01 Ciptakan lapisan jaringan](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Mengontrol lalu lintas di semua lapisan](sec_network_protection_layered.md)
+ [SEC05-BP03 Mengotomatiskan perlindungan jaringan](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 Mengimplementasikan inspeksi dan perlindungan](sec_network_protection_inspection.md)

# SEC05-BP01 Ciptakan lapisan jaringan
<a name="sec_network_protection_create_layers"></a>

 Kelompokkan komponen yang memiliki persyaratan keterjangkauan yang sama ke dalam sejumlah lapisan. Misalnya, sebuah klaster basis data di cloud privat virtual (VPC) yang tidak memerlukan akses internet harus ditempatkan dalam subnet yang tidak memiliki rute ke atau dari internet. Di beban kerja nirserver yang beroperasi tanpa VPC, pelapisan yang serupa dan segmentasi dengan layanan mikro dapat mencapai tujuan yang sama. 

Komponen seperti instans Amazon Elastic Compute Cloud (Amazon EC2), klaster basis data Amazon Relational Database Service (Amazon RDS), dan fungsi AWS Lambda yang memiliki persyaratan keterjangkauan yang sama dapat disegmentasikan menjadi lapisan yang dibentuk oleh subnet. Misalnya, sebuah klaster basis data Amazon RDS di VPC yang tidak memerlukan akses internet harus ditempatkan dalam subnet yang tidak memiliki rute ke atau dari internet. Pendekatan berlapis untuk kontrol ini memitigasi dampak salah konfigurasi satu lapisan, yang dapat memberikan akses yang tidak dimaksudkan. Untuk Lambda, Anda dapat menjalankan fungsi Anda di VPC Anda untuk memanfaatkan kontrol berbasis VPC.

Untuk konektivitas jaringan yang dapat mencakup ribuan VPC, akun AWS, dan jaringan on-premise, Anda harus menggunakan [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Ini berfungsi sebagai pusat yang mengontrol cara lalu lintas dirutekan di antara semua jaringan terhubung, yang berfungsi seperti jari-jari roda. Lalu lintas antara Amazon Virtual Private Cloud dan AWS Transit Gateway tetapi di jaringan privat AWS, yang mengurangi vektor ancaman eksternal seperti serangan penyangkalan layanan terdistribusi (DDoS) dan eksploitasi umum, seperti injeksi SQL, XSS, pemalsuan permintaan lintas situs, atau penyalahgunaan kode autentikasi rusak. Peering antar wilayah AWS Transit Gateway juga mengenkripsi lalu lintas antar wilayah tanpa SPOF atau hambatan bandwidth.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Ciptakan subnet di VPC: Ciptakan subnet untuk setiap lapisan (dalam grup yang mencakup beberapa Zona Ketersediaan), dan kaitkan tabel rute dengan perutean kontrol. 
  +  [VPC dan subnet ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
  +  [Tabel rute ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) 
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+  [Keamanan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Memulai dengan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Video terkait:** 
+  [Arsitektur referensi AWS Transit Gateway untuk banyak VPC ](https://youtu.be/9Nikqn_02Oc)
+  [Perlindungan dan Akselerasi Aplikasi dengan Amazon CloudFront, AWS WAF, dan AWS Shield](https://youtu.be/0xlwLEccRe0) 

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP02 Mengontrol lalu lintas di semua lapisan
<a name="sec_network_protection_layered"></a>

  Ketika merancang topologi jaringan, Anda harus memeriksa persyaratan konektivitas setiap komponen. Misalnya, periksa apakah komponen memerlukan aksesibilitas internet (masuk dan keluar), konektivitas ke VPC, layanan edge, dan pusat data eksternal. 

 Dengan VPC, Anda dapat menentukan topologi jaringan yang menjangkau Wilayah AWS dengan rentang alamat IPv4 privat yang Anda atur, atau rentang alamat IPv6 yang dipilih oleh AWS. Anda harus menerapkan beberapa kontrol dengan pendekatan pertahanan mendalam untuk lalu lintas masuk dan keluar, termasuk penggunaan grup keamanan (firewall inspeksi stateful), ACL Jaringan, subnet, dan tabel rute. Di dalam VPC, Anda dapat membuat subnet di Zona Ketersediaan. Masing-masing subnet dapat memiliki tabel rute terkait yang menentukan aturan perutean untuk mengelola jalur yang digunakan lalu lintas dalam subnet. Anda dapat menentukan subnet yang dapat dirutekan internet dengan rute yang mengarah ke gateway NAT atau internet yang terikat ke VPC, atau melalui VPC lainnya. 

 Saat diluncurkan di dalam VPC, instans, basis data Amazon Relational Database Service(Amazon RDS), atau layanan lainnya akan memiliki grup keamanannya sendiri per antarmuka jaringan. Firewall ini berada di luar lapisan sistem operasi dan dapat digunakan untuk menentukan aturan bagi lalu lintas masuk dan keluar yang diizinkan. Anda juga dapat menentukan hubungan antargrup keamanan. Misalnya, instans dalam grup keamanan tingkat basis data hanya menerima lalu lintas dari instans dalam tingkat aplikasi, dengan merujuk ke grup keamanan yang diterapkan ke instans yang terlibat. Namun jika Anda menggunakan protokol non-TCP, Anda tidak perlu memiliki instans Amazon Elastic Compute Cloud(Amazon EC2) yang dapat diakses langsung dengan internet (bahkan dengan port yang dibatasi oleh grup keamanan) tanpa penyeimbang beban, atau [CloudFront](https://aws.amazon.com/cloudfront). Hal ini akan membantu melindunginya dari akses yang tidak diharapkan melalui sistem operasi atau masalah aplikasi. Subnet juga dapat memiliki ACL jaringan yang terikat dengannya, yang berperan sebagai firewall stateless. Anda harus mengonfigurasi jaringan ACL untuk mempersempit cakupan lalu lintas yang diizinkan antarlapisan, Anda juga harus menentukan aturan masuk dan keluar. 

 Beberapa layanan AWS memerlukan komponen untuk mengakses internet guna membuat panggilan API, tempat [titik akhir API AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) berada. Layanan AWS lain menggunakan [titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) di dalam Amazon VPC Anda. Banyak layanan AWS, termasuk Amazon S3 dan Amazon DynamoDB, yang mendukung titik akhir VPC. Selain itu, teknologi ini telah digeneralisasi dalam [AWS PrivateLink](https://aws.amazon.com/privatelink/). Sebaiknya gunakan pendekatan ini untuk mengakses layanan AWS, layanan pihak ketiga, dan layanan milik Anda yang di-host di VPC lain secara aman. Semua lalu lintas jaringan di AWS PrivateLink tetap dalam jalur utama AWS global dan tidak akan melintasi internet. Konektivitas hanya dapat diinisiasi oleh konsumen layanan, bukan oleh penyedia layanan. Dengan AWS PrivateLink untuk akses layanan eksternal, Anda dapat menciptakan VPC terisolasi tanpa akses internet dan membantu melindungi VPC Anda dari vektor ancaman eksternal. Layanan pihak ketiga dapat menggunakan AWS PrivateLink agar konsumen dapat terhubung ke layanan dari VPC mereka melalui alamat IP privat. Untuk aset VPC yang perlu membuat koneksi keluar ke internet, ini dapat ditetapkan khusus keluar (satu jalur) melalui gateway NAT yang dikelola AWS, gateway internet khusus keluar, atau proksi web yang Anda buat dan kelola. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Kontrol lalu lintas jaringan di VPC: Implementasikan praktik terbaik VPC untuk mengontrol lalu lintas. 
  +  [Keamanan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) 
  +  [titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) 
  +  [Grup keamanan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) 
  +  [ACL jaringan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) 
+  Kontrol lalu lintas di edge: Implementasikan layanan edge, seperti Amazon CloudFront, untuk memberikan lapisan perlindungan tambahan dan fitur lainnya. 
  +  [Kasus penggunaan Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html) 
  +  [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html) 
  +  [Firewall Aplikasi Web AWS (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html) 
  +  [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) 
  +  [Perutean Masuk Amazon VPC](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/) 
+  Kontrol lalu lintas jaringan privat: Implementasikan layanan yang melindungi lalu lintas privat untuk beban kerja Anda. 
  +  [Peering Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) 
  +  [Layanan Titik Akhir Amazon VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html) 
  +  [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 
  +  [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 
  +  [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 
  +  [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html) 
  +  [Amazon S3 Access Points](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+  [Mulai menggunakan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Video terkait:** 
+  [Arsitektur referensi AWS Transit Gateway untuk banyak VPC](https://youtu.be/9Nikqn_02Oc) 
+  [Perlindungan dan Akselerasi Aplikasi dengan Amazon CloudFront, AWS WAF, dan AWS Shield](https://youtu.be/0xlwLEccRe0)

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP03 Mengotomatiskan perlindungan jaringan
<a name="sec_network_protection_auto_protect"></a>

 Otomatiskan mekanisme perlindungan untuk memberikan jaringan perlindungan mandiri berdasarkan deteksi anomali dan kecerdasan ancaman. Misalnya, deteksi gangguan dan alat pencegahan yang dapat beradaptasi dengan ancaman masa kini serta mengurangi dampaknya. Firewall aplikasi web adalah contoh tempat Anda mengotomatiskan perlindungan jaringan, misalnya, dengan menggunakan solusi Otomatisasi Keamanan AWS WAF ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)) untuk secara otomatis memblokir permintaan yang berasal dari alamat IP yang terkait dengan penyebab ancaman yang diketahui. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Otomatiskan perlindungan untuk lalu lintas berbasis web: AWS menawarkan solusi yang menggunakan AWS CloudFormation untuk secara otomatis melakukan deployment rangkaian aturan AWS WAF yang didesain untuk memfilter serangan berbasis web yang umum. Pengguna dapat memilih dari fitur perlindungan sebelum dikonfigurasi yang menentukan aturan yang disertakan dalam daftar kontrol akses web (web ACL) AWS WAF. 
  +  [Otomatisasi keamanan AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/) 
+  Pertimbangkan solusi AWS Partner: Partner AWS menawarkan ratusan produk industri terkemuka yang setara, serupa, atau dapat diintegrasikan dengan kontrol yang sudah ada di lingkungan on-premise Anda. Produk-produk ini melengkapi layanan AWS untuk memungkinkan Anda melakukan deployment arsitektur keamanan yang menyeluruh dan pengalaman yang lancar di seluruh lingkungan cloud dan on-premise Anda. 
  +  [Keamanan infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+ [Keamanan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+  [Mulai menggunakan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Video terkait:** 
+  [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc) 
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP04 Mengimplementasikan inspeksi dan perlindungan
<a name="sec_network_protection_inspection"></a>

 Inspeksi dan filter lalu lintas Anda di setiap lapisan. Anda dapat melakukan inspeksi terhadap konfigurasi VPC untuk potensi akses yang tidak diinginkan menggunakan [VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). Anda dapat menentukan persyaratan akses jaringan Anda serta mengidentifikasi jalur jaringan yang berpotensi tidak memenuhi syarat tersebut. Untuk komponen transaksi melalui protokol berbasis HTTP, firewall aplikasi web dapat membantu melindungi dari serangan yang umum. [AWS WAF](https://aws.amazon.com/waf) adalah firewall aplikasi web yang memungkinkan Anda untuk memantau dan memblokir permintaan HTTP sesuai dengan aturan yang dapat Anda konfigurasikan yang diteruskan ke API Amazon API Gateway, Amazon CloudFront, atau Application Load Balancer. Untuk mulai menggunakan AWS WAF, Anda dapat memulai dengan [Peraturan yang Dikelola AWS](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) yang digabungkan dengan milik Anda sendiri, atau gunakan [integrasi partner yang ada.](https://aws.amazon.com/waf/partners/). 

 Untuk mengelola AWS WAF, perlindungan AWS Shield Advanced, dan grup keamanan Amazon VPC di seluruh AWS Organizations, Anda dapat menggunakan AWS Firewall Manager. Hal ini memungkinkan Anda untuk mengonfigurasikan dan mengelola aturan firewall di seluruh akun dan aplikasi Anda secara terpusat, sehingga lebih mudah untuk menskalakan penerapan aturan umum. Penerapan ini juga memungkinkan Anda merespons serangan dengan cepat, menggunakan [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html), atau [solusi](https://aws.amazon.com/solutions/aws-waf-security-automations/) yang dapat secara otomatis memblokir permintaan yang tidak diinginkan ke aplikasi web Anda. Firewall Manager juga menerapkan [AWS Network Firewall](https://aws.amazon.com/network-firewall/). AWS Network Firewall adalah layanan terkelola yang menggunakan mesin aturan untuk memberi Anda kontrol fine-grained terhadap lalu lintas jaringan stateful dan stateless. Layanan ini mendukung [spesifikasi sistem perlindungan gangguan (IPS)](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) sumber terbuka yang sesuai dengan aturan Suricata untuk aturan yang membantu melindungi beban kerja Anda. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Konfigurasikan Amazon GuardDuty: GuardDuty adalah layanan pendeteksi ancaman yang secara terus-menerus memantau aktivitas berbahaya dan perilaku yang tidak diotorisasi untuk melindungi Akun AWS dan beban kerja Anda. Aktifkan GuardDuty dan konfigurasikan peringatan yang diotomatiskan. 
  +  [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 
  +  [Lab: Deployment Otomatis Kontrol Deteksi](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html) 
+  Konfigurasikan Log Alur cloud privat virtual (VPC): Log Alur VPC adalah fitur yang memungkinkan Anda untuk mendokumentasikan informasi tentang lalu lintas IP ke dan dari antarmuka jaringan di VPC Anda. Data log alur dapat dipublikasikan ke Amazon CloudWatch Logs dan Amazon Simple Storage Service (Amazon S3). Setelah Anda membuat log alur, Anda dapat mengambil dan melihat datanya di lokasi tujuan yang telah dipilih. 
+  Pertimbangkan traffic mirroring VPC: Traffic mirroring adalah fitur Amazon VPC yang dapat Anda gunakan untuk menyalin lalu lintas jaringan dari antarmuka jaringan elastis instans Amazon Elastic Compute Cloud (Amazon EC2) dan mengirimnya ke alat pemantauan dan keamanan luar jaringan untuk inspeksi konten, pemantauan ancaman, dan pemecahan masalah. 
  +  [Traffic mirroring VPC](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+  [Keamanan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Mulai menggunakan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Video terkait:** 
+  [Arsitektur referensi AWS Transit Gateway untuk banyak VPC](https://youtu.be/9Nikqn_02Oc) 
+  [Perlindungan dan Akselerasi Aplikasi dengan Amazon CloudFront, AWS WAF, dan AWS Shield](https://youtu.be/0xlwLEccRe0) 

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC 6 Bagaimana cara melindungi sumber daya komputasi Anda?
<a name="w2aac19b7c11b7"></a>

Sumber daya komputasi di beban kerja Anda memerlukan beberapa lapisan pertahanan untuk membantu melindungi dari ancaman eksternal dan internal. Sumber daya komputasi meliputi instans EC2, kontainer, fungsi AWS Lambda, layanan basis data, perangkat IoT, dan banyak lagi.

**Topics**
+ [SEC06-BP01 Melakukan manajemen kerentanan](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 Mengurangi permukaan serangan](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 Mengimplementasikan layanan terkelola](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 Mengotomatiskan perlindungan komputasi](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 Memberikan kemampuan melakukan tindakan dari jarak jauh](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 Memvalidasi integritas perangkat lunak](sec_protect_compute_validate_software_integrity.md)

# SEC06-BP01 Melakukan manajemen kerentanan
<a name="sec_protect_compute_vulnerability_management"></a>

 Seringlah memindai dan mem-patch kelemahan pada kode, dependensi, dan infrastruktur Anda untuk membantu mencegah ancaman baru. 

 Dimulai dengan konfigurasi infrastruktur komputasi Anda, Anda dapat membuat dan memperbarui sumber daya secara otomatis menggunakan AWS CloudFormation. CloudFormation memungkinkan Anda untuk membuat templat yang ditulis dalam YAML atau JSON, baik menggunakan contoh AWS atau dengan menulis sendiri. Ini memungkinkan Anda untuk membuat templat infrastruktur yang aman secara default yang dapat Anda verifikasi dengan [Cloudformation Guard](https://aws.amazon.com/about-aws/whats-new/2020/10/aws-cloudformation-guard-an-open-source-cli-for-infrastructure-compliance-is-now-generally-available/), untuk menghemat waktu Anda dan mengurangi risiko kesalahan konfigurasi. Anda dapat membangun infrastruktur dan men-deploy aplikasi Anda menggunakan pengiriman berkelanjutan, misalnya dengan [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html), untuk mengotomatisasi pembangunan, pengujian, dan perilisan. 

 Anda bertanggung jawab atas pengelolaan patch sumber daya AWS Anda, termasuk instans Amazon Elastic Compute Cloud(Amazon EC2), Amazon Machine Image (AMI), dan banyak sumber daya komputasi lainnya. Untuk instans Amazon EC2, AWS Systems Manager Patch Manager mengotomatisasi proses patching instans terkelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya. Anda dapat menggunakan Patch Manager guna menerapkan patch untuk sistem operasi maupun aplikasi. (Pada Windows Server, dukungan aplikasi dibatasi pada pembaruan untuk aplikasi Microsoft.) Anda dapat menggunakan Patch Manager untuk menginstal Service Packs di instans Windows dan melakukan peningkatan versi minor di instans Linux. Anda dapat mem-patch armada instans Amazon EC2 atau layanan on-premise dan mesin virtual (VM) Anda sesuai jenis sistem operasi. Versi yang didukung mencakup Windows Server, Amazon Linux, Amazon Linux 2, CentOS, Debian Server, Oracle Linux, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES), dan Ubuntu Server. Anda dapat memindai instans untuk hanya melihat laporan patch yang hilang, atau Anda dapat memindai dan secara otomatis memasang semua patch yang hilang. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Konfigurasi Amazon Inspector: Amazon Inspector menguji aksesibilitas jaringan instans Amazon Elastic Compute Cloud (Amazon EC2) Anda dan keamanan state aplikasi yang berjalan di instans tersebut. Amazon Inspector menilai aplikasi untuk paparan, kerentanan, dan penyimpangan dari praktik terbaik. 
  +  [Apa itu Amazon Inspector?](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html) 
+  Pindai kode sumber: Pindai pustaka dan dependensi untuk mengetahui kerentanan. 
  +  [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) 
  +  [OWASP: Alat Analisis Kode Sumber](https://owasp.org/www-community/Source_Code_Analysis_Tools) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Mengganti Host Bastion dengan Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Video terkait:** 
+  [Menjalankan beban kerja dengan keamanan tinggi di Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Mengamankan Layanan Kontainer dan Nirserver](https://youtu.be/kmSdyN9qiXY) 
+  [Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis Firewall Aplikasi Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP02 Mengurangi permukaan serangan
<a name="sec_protect_compute_reduce_surface"></a>

 Kurangi paparan Anda ke akses yang tidak diinginkan dengan penguatan sistem operasi serta meminimalkan penggunaan komponen, pustaka, dan layanan sekali pakai eksternal. Mulai dengan mengurangi komponen yang tidak digunakan untuk seluruh beban kerja, baik itu paket sistem operasi atau aplikasi, untuk beban kerja berbasis Amazon Elastic Compute Cloud (Amazon EC2), maupun modul perangkat lunak eksternal pada kode Anda. Anda dapat menemukan beberapa panduan konfigurasi penguatan dan keamanan untuk sistem operasi umum dan perangkat lunak server. Misalnya, Anda dapat memulai dengan [Pusat Keamanan Internet](https://www.cisecurity.org/) dan lakukan iterasi.

 Di Amazon EC2, Anda dapat membuat Amazon Machine Image (AMI) Anda sendiri, yang telah di-patch dan diperkuat, untuk membantu memenuhi persyaratan keamanan spesifik bagi organisasi Anda. Patch dan kontrol keamanan lain yang Anda terapkan di AMI efektif pada saat dibuat—sifatnya tidak dinamis kecuali Anda memodifikasinya setelah peluncuran, misalnya, dengan AWS Systems Manager. 

 Anda dapat menyederhanakan proses membangun AMI yang aman dengan EC2 Image Builder. EC2 Image Builder secara signifikan mengurangi upaya yang diperlukan untuk membuat dan memelihara image emas tanpa otomatisasi penulisan dan pemeliharaan. Ketika pembaruan perangkat lunak sudah tersedia, Image Builder secara otomatis memproduksi image baru tanpa mengharuskan pengguna memulai pembangunan image secara manual. EC2 Image Builder memungkinkan Anda untuk memvalidasi fungsionalitas dan keamanan image Anda dengan mudah sebelum menggunakannya dalam produksi dengan pengujian yang disediakan AWS serta pengujian Anda sendiri. Anda juga dapat menerapkan pengaturan keamanan yang disediakan AWS untuk mengamankan image Anda secara lebih lanjut untuk memenuhi kriteria keamanan internal. Misalnya, Anda dapat memproduksi image yang sesuai dengan standar Security Technical Implementation Guide (STIG) menggunakan templat yang disediakan oleh AWS. 

 Menggunakan alat analisis kode statis pihak ketiga, Anda dapat mengidentifikasi masalah keamanan umum seperti batas input fungsi yang tidak diperiksa, dan juga kelemahan dan paparan umum (common vulnerabilities and exposures, CVE) yang dapat diterapkan. Anda dapat menggunakan [Amazon CodeGuru](https://aws.amazon.com/codeguru/) untuk bahasa yang didukung. Alat pemeriksaan dependensi juga dapat digunakan untuk menentukan apakah pustaka yang ditautkan kode Anda merupakan versi terbaru, bebas dari CVE, serta memiliki syarat perizinan yang memenuhi persyaratan kebijakan perangkat lunak Anda. 

 Menggunakan Amazon Inspector, Anda dapat melakukan penilaian konfigurasi terhadap instans Anda untuk CVE yang diketahui, menilai tolok ukur keamanan, serta mengotomatiskan pemberitahuan kecacatan. Amazon Inspector berjalan di instans produksi atau di jalur build, serta memberi tahu pengembang dan teknisi ketika ada temuan. Anda dapat mengakses temuan secara terprogram dan mengarahkan tim Anda ke backlog dan sistem pelacakan bug. [EC2 Image Builder](https://aws.amazon.com/image-builder/) dapat digunakan untuk memelihara image server (AMI) dengan patching otomatis, penegakan kebijakan keamanan yang disediakan oleh AWS, serta kustomisasi lainnya. Ketika menggunakan kontainer, terapkan [Pemindaian Image ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) pada jalur build Anda dan secara rutin terhadap repositori image Anda untuk mencari CVE dalam kontainer Anda. 

 Ketika Amazon Inspector dan alat lainnya mengidentifikasi dengan efektif konfigurasi dan CVE apa pun yang ada, metode lain diperlukan untuk menguji beban kerja Anda pada tingkat aplikasi. [Fuzzing](https://owasp.org/www-community/Fuzzing) adalah metode yang terkenal untuk menemukan bug menggunakan otomatisasi untuk menginjeksi data dengan kesalahan bentuk ke bidang input dan area lain pada aplikasi Anda. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Perkuat sistem operasi: Konfigurasikan sistem operasi agar memenuhi praktik terbaik. 
  +  [Mengamankan Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/) 
  +  [Mengamankan Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/) 
+  Perkuat sumber daya terkontainerisasi: Konfigurasikan sumber daya terkontainerisasi untuk memenuhi praktik terbaik keamanan. 
+  Terapkan praktik terbaik AWS Lambda. 
  +  [Praktik terbaik AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Mengganti Host Bastion dengan Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Video terkait:** 
+  [Menjalankan beban kerja dengan keamanan tinggi di Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Mengamankan Layanan Kontainer dan Nirserver](https://youtu.be/kmSdyN9qiXY) 
+  [Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Contoh terkait:** 
+  [Lab: Deployment Firewall Aplikasi Web secara Otomatis](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP03 Mengimplementasikan layanan terkelola
<a name="sec_protect_compute_implement_managed_services"></a>

 Implementasikan layanan yang mengelola sumber daya seperti Amazon Relational Database Service (Amazon RDS), AWS Lambda, dan Amazon Elastic Container Service (Amazon ECS), untuk mengurangi tugas pemeliharaan keamanan sebagai bagian dari model tanggung jawab bersama. Contohnya, Amazon RDS membantu Anda mengatur, mengoperasikan, dan menskalakan basis data relasional, mengotomatiskan tugas administrasi seperti penyediaan perangkat keras, pengaturan basis data, patching, dan pencadangan. Ini berarti Anda memiliki lebih banyak waktu luang untuk berkonsentrasi mengamankan aplikasi Anda dengan cara lain yang disebutkan dalam AWS Well-Architected Framework. Lambda memungkinkan Anda menjalankan kode tanpa menyediakan atau mengelola server, sehingga Anda hanya perlu fokus pada konektivitas, permintaan, dan keamanan di tingkat kode–bukan infrastruktur atau sistem operasi. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Jelajahi layanan yang tersedia: Jelajahi, uji, dan terapkan layanan yang mengelola sumber daya, seperti Amazon RDS, AWS Lambda, dan Amazon ECS. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [ Situs web AWS](https://aws.amazon.com/)
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Mengganti Host Bastion dengan Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Video terkait:** 
+  [Menjalankan beban kerja dengan keamanan tinggi di Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Mengamankan Layanan Kontainer dan Nirserver](https://youtu.be/kmSdyN9qiXY) 
+  [Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Contoh terkait:** 
+ [Lab: Permohonan Sertifikat Publik AWS Certificate Manager ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)

# SEC06-BP04 Mengotomatiskan perlindungan komputasi
<a name="sec_protect_compute_auto_protection"></a>

 Otomatiskan mekanisme komputasi protektif Anda termasuk manajemen kelemahan, pengurangan permukaan serangan, serta manajemen sumber daya. Otomatisasi akan membantu Anda menginvestasikan waktu untuk mengamankan aspek-aspek lain dalam beban kerja Anda, dan mengurangi risiko kesalahan manusia. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Otomatiskan manajemen konfigurasi: Tegakkan dan validasi konfigurasi keamanan secara otomatis menggunakan layanan atau alat manajemen konfigurasi. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
  +  [Lab: Deployment otomatis VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 
  +  [Lab: Deployment otomatis aplikasi web EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html) 
+  Otomatiskan patching instans Amazon Elastic Compute Cloud (Amazon EC2): AWS Systems Manager Patch Manager mengotomatiskan proses patching instans terkelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya. Anda dapat menggunakan Patch Manager guna menerapkan patch untuk sistem operasi maupun aplikasi. 
  +  [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) 
  +  [Patching multiakun dan multiwilayah terpusat dengan AWS Systems Manager Automation](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/) 
+  Implementasikan deteksi dan pencegahan intrusi: Implementasikan alat deteksi dan pencegahan intrusi untuk memantau dan menghentikan aktivitas berbahaya pada instans. 
+  Pertimbangkan solusi AWS Partner: Partner AWS menawarkan ratusan produk industri terkemuka yang setara, serupa, atau dapat diintegrasikan dengan kontrol yang sudah ada di lingkungan on-premise Anda. Produk-produk ini melengkapi layanan AWS untuk memungkinkan Anda melakukan deployment arsitektur keamanan yang menyeluruh dan pengalaman yang lancar di seluruh lingkungan cloud dan on-premise Anda. 
  +  [Keamanan infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) 
+  [Patching multiakun dan multiwilayah terpusat dengan AWS Systems Manager Automation](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/) 
+  [Keamanan infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 
+  [Mengganti Host Bastion dengan Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Video terkait:** 
+  [Running high-security workloads on Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY) 
+  [Security best practices for the Amazon EC2 instance metadata service](https://youtu.be/2B5bhZzayjI) 

 **Contoh terkait:** 
+  [Lab: Deployment Firewall Aplikasi Web secara Otomatis](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 
+  [Lab: Deployment otomatis aplikasi web EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html) 

# SEC06-BP05 Memberikan kemampuan melakukan tindakan dari jarak jauh
<a name="sec_protect_compute_actions_distance"></a>

 Menghapus kemampuan akses interaktif dapat mengurangi risiko kesalahan akibat kelalaian manusia, dan kemungkinan dibutuhkannya manajemen atau konfigurasi manual. Misalnya, gunakan alur kerja manajemen perubahan untuk melakukan deployment instans Amazon Elastic Compute Cloud (Amazon EC2) menggunakan infrastruktur sebagai kode, selanjutnya kelola instans Amazon EC2 menggunakan alat seperti AWS Systems Manager, bukannya menerapkan akses langsung melalui host bastion. AWS Systems Managerdapat mengotomatiskan berbagai tugas pemeliharaan dan deployment, menggunakan fitur yang mencakup [alur kerja](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [otomatisasi](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), [dokumen](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (buku pedoman), dan [run command (jalankan perintah)](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html). Tumpukan AWS CloudFormation dibangun dari pipeline dan dapat mengotomatiskan tugas manajemen serta deployment infrastruktur Anda tanpa menggunakan Konsol Manajemen AWS atau API secara langsung. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Ganti akses konsol: Ganti akses konsol (SSH atau RDP) ke instans dengan AWS Systems Manager Run Command untuk mengotomatiskan tugas manajemen. 
+  [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html) 
+  [Mengganti Host Bastion dengan Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Video terkait:** 
+  [Jalankan beban kerja dengan keamanan tinggi di Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Mengamankan Layanan Kontainer dan Nirserver](https://youtu.be/kmSdyN9qiXY) 
+  [Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis Firewall Aplikasi Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP06 Memvalidasi integritas perangkat lunak
<a name="sec_protect_compute_validate_software_integrity"></a>

 Implementasikan mekanisme (misalnya, penandatanganan kode) untuk memvalidasi bahwa perangkat lunak, kode, dan pustaka yang digunakan di beban kerja berasal dari sumber tepercaya dan belum pernah dimodifikasi. Misalnya, Anda harus memverifikasi sertifikat penandatanganan kode biner dan skrip untuk mengonfirmasi penulis, serta memastikan sertifikat tersebut belum pernah dimodifikasi sejak dibuat oleh penulisnya. [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) dapat membantu memastikan kepercayaan dan integritas kode Anda dengan mengelola secara terpusat siklus hidup penandatanganan kode, termasuk sertifikat penandatanganan serta kunci privat dan publik. Anda dapat mempelajari cara menggunakan pola tingkat lanjut dan praktik terbaik penandatanganan kode dengan [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/). Selain itu, checksum perangkat lunak yang Anda unduh, dibandingkan dengan checksum dari penyedia, dapat membantu memastikan bahwa perangkat belum pernah dimodifikasi. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Selidiki mekanisme: Penandatanganan kode adalah sebuah mekanisme yang dapat digunakan untuk memvalidasi integritas perangkat lunak. 
  +  [NIST: Pertimbangan Keamanan untuk Penandatanganan Kode](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf) 

## Sumber daya
<a name="resources"></a>

**Dokumen terkait:** 
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [Baru – Penandatanganan Kode, Kontrol Integritas dan Kepercayaan untuk AWS Lambda](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)