# Fondasi keamanan
**Topics**
+ [
# SEC 1 Bagaimana cara mengoperasikan beban kerja Anda secara aman?
](w2aac19b7b5b5.md)
# SEC 1 Bagaimana cara mengoperasikan beban kerja Anda secara aman?
Untuk mengoperasikan beban kerja Anda dengan aman, Anda harus menerapkan praktik terbaik yang menyeluruh ke setiap area keamanan. Pilih persyaratan dan proses yang telah Anda tetapkan dalam keunggulan operasional di tingkat organisasi dan beban kerja, lalu terapkan ke semua area. Terus mengikuti rekomendasi terbaru dari AWS dan industri serta informasi ancaman akan membantu Anda mengevolusikan model ancaman dan tujuan kontrol. Otomatisasi proses, pengujian, dan validasi keamanan memungkinkan Anda menskalakan operasi keamanan Anda.
**Topics**
+ [
# SEC01-BP01 Memisahkan beban kerja menggunakan akun
](sec_securely_operate_multi_accounts.md)
+ [
# SEC01-BP02 Amankan Akun AWS
](sec_securely_operate_aws_account.md)
+ [
# SEC01-BP03 Identifikasikan dan validasikan tujuan kontrol
](sec_securely_operate_control_objectives.md)
+ [
# SEC01-BP04 Ikuti info terbaru tentang ancaman keamanan
](sec_securely_operate_updated_threats.md)
+ [
# SEC01-BP05 Mengikuti informasi terbaru tentang rekomendasi keamanan
](sec_securely_operate_updated_recommendations.md)
+ [
# SEC01-BP06 Mengotomatiskan pengujian dan validasi kontrol keamanan di pipeline
](sec_securely_operate_test_validate_pipeline.md)
+ [
# SEC01-BP07 Identifikasikan dan prioritaskan risiko menggunakan model ancaman
](sec_securely_operate_threat_model.md)
+ [
# SEC01-BP08 Mengevaluasi dan mengimplementasikan fitur serta layanan keamanan baru secara rutin
](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 Memisahkan beban kerja menggunakan akun
Mulai dengan mempertimbangkan keamanan dan infrastruktur agar organisasi Anda dapat menetapkan pagar pembatas umum seiring bertambahnya beban kerja Anda. Pendekatan ini menyediakan batasan dan kontrol antar beban kerja. Pemisahan tingkat akun sangat disarankan untuk isolasi lingkungan produksi dari lingkungan pengembangan dan pengujian, atau menyediakan batasan logis antara beban kerja yang memproses data dengan tingkat sensitivitas yang berbeda-beda, sebagaimana ditetapkan oleh persyaratan kepatuhan eksternal (seperti PCI-DSS atau HIPAA), dan beban kerja lain.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
+ Penggunaan AWS Organizations: Gunakan AWS Organizations untuk menegakkan manajemen berbasis kebijakan untuk beberapa Akun AWS secara terpusat.
+ [Mulai menggunakan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [Cara menggunakan kebijakan kontrol layanan untuk menetapkan pagar pembatas izin di seluruh akun dalam Organisasi AWS Anda ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Pertimbangkan AWS Control Tower: AWS Control Tower menyediakan cara yang mudah untuk menyiapkan dan mengelola lingkungan AWS multi akun baru yang aman berdasarkan praktik terbaik.
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
## Sumber daya
**Dokumen terkait:**
+ [Praktik Terbaik IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+ [Buletin Keamanan](https://aws.amazon.com/security/security-bulletins)
+ [Pedoman Audit Keamanan AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)
**Video terkait:**
+ [Mengelola Lingkungan AWS Multiakun Menggunakan AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Praktik Terbaik Keamanan dengan Cara Well-Architected ](https://youtu.be/u6BCVkXkPnM)
+ [Menggunakan AWS Control Tower untuk Mengatur Lingkungan AWS Multiakun ](https://youtu.be/2t-VkWt0rKk)
# SEC01-BP02 Amankan Akun AWS
Ada sejumlah aspek untuk mengamankan Akun AWS Anda, termasuk pengamanan, dan tidak menggunakan [pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html), serta pemeliharaan informasi kontak selalu yang terkini. Anda dapat menggunakan [AWS Organizations](https://aws.amazon.com/organizations/) untuk secara terpusat mengelola dan mengatur akun seiring dengan pertumbuhan dan penskalaan beban kerja Anda di AWS. AWS Organizations membantu Anda mengelola akun, menetapkan kontrol, dan mengonfigurasi layanan untuk seluruh akun Anda.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
+ Penggunaan AWS Organizations: Gunakan AWS Organizations untuk secara terpusat menegakkan manajemen berbasis kebijakan untuk beberapa Akun AWS.
+ [Memulai dengan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [Cara menggunakan kebijakan kontrol layanan untuk menetapkan pagar pembatas izin di seluruh akun dalam AWS organisasi Anda ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Batasi penggunaan AWS pengguna root: Hanya gunakan pengguna root untuk menjalankan tugas yang secara spesifik memerlukannya.
+ [AWS Tugas yang Memerlukan AWS Kredensial Pengguna Root Akun ](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+ Aktifkan multi-factor-authentication (MFA) untuk pengguna root: Aktifkan MFA di pengguna root Akun AWS, jika AWS Organizations tidak mengelola pengguna root untuk Anda.
+ [Pengguna root ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+ Secara berkala ubah kata sandi pengguna root: Mengubah kata sandi pengguna root mengurangi risiko kata sandi tersimpan dapat digunakan. Ini terutama sangat penting jika Anda tidak menggunakan AWS Organizations dan siapa saja memiliki akses fisik.
+ [ Mengubah kata sandi pengguna root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+ Aktifkan notifikasi ketika pengguna root Akun AWS digunakan: Diberi notifikasi secara otomatis akan mengurangi risiko.
+ [ Cara menerima notifikasi ketika kunci akses root Akun AWS Anda digunakan ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ Batasi akses ke Wilayah yang baru ditambahkan: Untuk Wilayah AWS baru, sumber daya IAM, seperti pengguna dan peran, hanya akan disebarkan ke Wilayah yang Anda aktifkan.
+ [ Mengatur izin untuk mengaktifkan akun untuk Wilayah AWS yang mendatang ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+ Pertimbangkan StackSets AWS CloudFormation: StackSets CloudFormation dapat digunakan untuk melakukan deploy sumber daya, termasuk grup, peran, dan kebijakan IAM ke Wilayah dan Akun AWS yang berbeda dari templat yang disetujui.
+ [ Gunakan StackSets CloudFormation ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)
## Sumber daya
**Dokumen terkait:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [ Panduan Audit Keamanan AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Praktik Terbaik IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Buletin Keamanan ](https://aws.amazon.com/security/security-bulletins/)
**Video terkait:**
+ [ Aktifkan adopsi AWS dalam skala besar dengan otomatisasi dan tata kelola ](https://youtu.be/GUMSgdB-l6s)
+ [ Praktik Terbaik Keamanan dengan Cara yang Dirancang Baik ](https://youtu.be/u6BCVkXkPnM)
**Contoh terkait:**
+ [ Lab: Akun AWS dan pengguna root ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP03 Identifikasikan dan validasikan tujuan kontrol
Berdasarkan persyaratan kepatuhan dan risiko yang diidentifikasi dari model ancaman Anda, dapatkan dan validasikan tujuan kontrol dan kontrol yang perlu Anda terapkan pada beban kerja Anda. Validasi berkelanjutan terhadap tujuan kontrol dan kontrol dapat membantu Anda mengukur efektivitas mitigasi risiko.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
+ Identifikasikan persyaratan kepatuhan: Temukan persyaratan organisasi, legal, dan kepatuhan yang harus dipatuhi oleh beban kerja Anda.
+ Identifikasikan sumber daya kepatuhan AWS: Identifikasikan sumber daya yang disediakan oleh AWS untuk membantu Anda dengan kepatuhan.
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## Sumber daya
**Dokumen terkait:**
+ [AWSPanduan Audit Keamanan ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Buletin Keamanan](https://aws.amazon.com/security/security-bulletins/)
**Video terkait:**
+ [AWS Security Hub CSPM: Kelola Peringatan Keamanan dan Otomatiskan Kepatuhan](https://youtu.be/HsWtPG_rTak)
+ [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 Ikuti info terbaru tentang ancaman keamanan
Kenali vektor serangan dengan terus mengikuti perkembangan ancaman keamanan terbaru untuk membantu Anda menentukan dan menerapkan kontrol yang sesuai. Gunakan AWS Managed Services untuk memudahkan Anda menerima pemberitahuan tentang perilaku yang tidak diharapkan atau tidak biasa di akun AWS Anda. Lakukan investigasi menggunakan alat Partner AWS atau feed informasi ancaman pihak ketiga sebagai bagian dari alur informasi keamanan Anda. Dengan [Daftar Kerentanan dan Paparan Umum (CVE) ](https://cve.mitre.org/) mencantumkan kerentanan keamanan siber yang diuraikan secara publik dan dapat Anda gunakan untuk terus mengikuti perkembangan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
+ Berlangganan ke sumber inteligensi ancaman: Tinjau informasi inteligensi ancaman secara rutin dari berbagai sumber yang relevan dengan teknologi yang digunakan di beban kerja Anda.
+ [Daftar Kerentanan dan Paparan Umum ](https://cve.mitre.org/)
+ Pertimbangkan layanan [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) : Layanan ini menyediakan visibilitas waktu nyata ke sumber inteligensi, jika beban kerja Anda dapat diakses internet.
## Sumber daya
**Dokumen terkait:**
+ [ Panduan Audit Keamanan AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ Buletin Keamanan](https://aws.amazon.com/security/security-bulletins/)
**Video terkait:**
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 Mengikuti informasi terbaru tentang rekomendasi keamanan
Ikuti terus rekomendasi keamanan AWS dan industri untuk mengembangkan postur keamanan beban kerja Anda. [Buletin Keamanan AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) berisi informasi penting tentang notifikasi keamanan dan privasi.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
+ Ikuti informasi terbaru AWS: Lakukan langganan atau kunjungi secara rutin untuk mendapatkan saran, tips, dan trik baru.
+ [Lab AWS Well-Architected](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [Blog keamanan AWS](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [Dokumentasi layanan AWS](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ Lakukan langganan ke berita-berita industri: Rutin tinjau umpan berita dari berbagai sumber terkait teknologi yang digunakan di beban kerja Anda.
+ [Contoh: Daftar Kerentanan dan Paparan Umum](https://cve.mitre.org/cve/?ref=wellarchitected)
## Sumber daya
**Dokumen terkait:**
+ [Buletin Keamanan](https://aws.amazon.com/security/security-bulletins/)
**Video terkait:**
+ [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 Mengotomatiskan pengujian dan validasi kontrol keamanan di pipeline
Tetapkan acuan dasar (baseline) dan templat yang aman untuk mekanisme keamanan yang telah diuji dan divalidasi sebagai bagian dari build, pipeline, dan proses Anda. Gunakan alat dan otomatisasi untuk menguji dan memvalidasi semua kontrol keamanan secara terus-menerus. Misalnya, pindai item seperti image mesin dan templat infrastruktur sebagai kode (IaC) untuk menemukan kerentanan keamanan, kejanggalan, dan penyimpangan dari acuan dasar yang telah ditetapkan pada setiap tahap. AWS CloudFormation Guard dapat membantu Anda memverifikasi bahwa templat CloudFormation aman, menghemat waktu, dan mengurangi risiko kesalahan konfigurasi.
Mengurangi jumlah kesalahan konfigurasi keamanan yang dimasukkan ke dalam lingkungan produksi adalah hal penting—makin banyak kontrol kualitas dan pengurangan kecacatan yang dapat Anda lakukan dalam proses build, makin baik hasilnya. Rancang pipeline integrasi berkelanjutan dan deployment berkelanjutan (CI/CD) untuk menguji masalah keamanan setiap kali memungkinkan. Pipeline CI/CD menawarkan kesempatan untuk menyempurnakan keamanan pada tiap-tiap tahap build dan pengiriman. Peralatan keamanan CI/CD juga harus terus diperbarui untuk memitigasi ancaman yang berkembang.
Lacak perubahan pada konfigurasi beban kerja Anda untuk membantu audit kepatuhan, manajemen perubahan, dan penyelidikan yang mungkin berlaku untuk Anda. Anda dapat menggunakan AWS Config untuk merekam dan mengevaluasi sumber daya AWS dan pihak ketiga Anda. Ini memungkinkan Anda untuk mengaudit dan menilai secara berkelanjutan keseluruhan kepatuhan terhadap aturan dan paket kesesuaian, yakni kumpulan aturan dengan tindakan perbaikan.
Pelacakan perubahan harus menyertakan perubahan terencana, yang merupakan bagian dari proses kontrol perubahan organisasi Anda (terkadang disebut MACD—Memindah, Menambah, Mengubah, Menghapus), perubahan tidak terencana, dan perubahan yang tidak diinginkan, seperti insiden. Perubahan dapat terjadi pada infrastruktur, tetapi mungkin juga berkaitan dengan kategori lain, seperti perubahan pada repositori kode, perubahan image mesin dan inventaris aplikasi, perubahan proses dan kebijakan, atau perubahan dokumentasi.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
+ Otomatiskan manajemen konfigurasi: Tegakkan dan validasi konfigurasi keamanan secara otomatis menggunakan layanan atau alat manajemen konfigurasi.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Menyiapkan Pipeline CI/CD di AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## Sumber daya
**Dokumen terkait:**
+ [Cara menggunakan kebijakan kontrol layanan untuk menetapkan pagar pembatas izin di seluruh akun dalam Organisasi AWS Anda](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**Video terkait:**
+ [Mengelola Lingkungan AWS Multiakun Menggunakan AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 Identifikasikan dan prioritaskan risiko menggunakan model ancaman
Gunakan model ancaman untuk mengidentifikasi dan memastikan daftar potensi ancaman tetap terbaru. Tentukan prioritas ancaman dan sesuaikan kontrol keamanan Anda untuk mencegah, mendeteksi, dan meresponsnya. Pertahankan dan kelola sesuai dengan lanskap keamanan yang terus berubah.
Pemodelan ancaman memberikan pendekatan sistematis untuk membantu menemukan dan menangani masalah keamanan sejak dini di dalam proses desain. Sebaiknya lakukan sedini mungkin karena biaya mitigasi lebih rendah dibandingkan biaya di tahapan selanjutnya dalam siklus hidupnya.
Langkah utama yang umum dalam proses pemodelan ancaman adalah:
1. Identifikasikan aset, pelaksana, titik entri, komponen, kasus penggunaan, dan tingkat kepercayaan, dan sertakan ini dalam diagram desain.
1. Identifikasikan daftar ancaman.
1. Identifikasikan mitigasi yang dapat mencakup implementasi kontrol keamanan untuk setiap ancaman.
1. Buat dan tinjau matriks risiko untuk menentukan apakah ancaman dimitigasi secara memadai.
Pemodelan ancaman paling efektif saat dilakukan pada tingkat beban kerja (atau fitur beban kerja), sehingga semua konteks tersedia untuk penilaian. Pertahankan dan kelola matriks ini seiring dengan perkembangan lanskap keamanan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah
## Panduan implementasi
+ Buat model ancaman: Model ancaman dapat membantu Anda mengindentifikasi dan potensi mengatasi ancaman keamanan.
+ [NIST: Panduan untuk Pemodelan Ancaman Sistem yang Terpusat pada Data ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)
## Sumber daya
**Dokumen terkait:**
+ [Panduan Audit Keamanan AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [Buletin Keamanan ](https://aws.amazon.com/security/security-bulletins/)
**Video terkait:**
+ [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP08 Mengevaluasi dan mengimplementasikan fitur serta layanan keamanan baru secara rutin
Evaluasikan dan implementasikan fitur serta layanan keamanan dari Partner AWS dan AWS yang memungkinkan peningkatan postur keamanan beban kerja. Blog Keamanan AWS menyoroti fitur dan layanan baru AWS, panduan implementasi, dan panduan keamanan umum. [Yang Baru dengan AWS?](https://aws.amazon.com/new) adalah cara terbaik untuk tetap mengetahui fitur, layanan, dan pengumuman baru dari AWS.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah
## Panduan implementasi
+ Rencanakan peninjauan rutin: Buat kalender aktivitas peninjauan yang mencakup persyaratan kepatuhan, evaluasi fitur dan layanan keamanan baru AWS, serta tetap mengikuti berita terbaru industri.
+ Temukan fitur dan layanan AWS: Temukan fitur keamanan yang tersedia untuk layanan yang Anda gunakan, dan tinjau fitur baru setelah dirilis.
+ [ Blog keamanan AWS](https://aws.amazon.com/blogs/security/)
+ [ Buletin keamanan AWS](https://aws.amazon.com/security/security-bulletins/)
+ [Dokumentasi layanan AWS](https://aws.amazon.com/documentation/)
+ Tentukan proses onboarding layanan AWS: Tentukan proses untuk onboarding layanan baru AWS. Sertakan cara Anda mengevaluasi layanan baru AWS untuk fungsionalitas, dan persyaratan kepatuhan untuk beban kerja Anda.
+ Uji coba fitur dan layanan baru: Uji coba fitur dan layanan baru setelah dirilis di lingkungan nonproduksi yang direplikasi menyerupai lingkungan produksi Anda.
+ Implementasikan mekanisme pertahanan lainnya: Implementasikan mekanisme otomatis untuk melindungi beban kerja, dan menelusuri opsi yang tersedia.
+ [Mengatasi sumber daya AWS yang tidak patuh dengan Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## Sumber daya
**Video terkait:**
+ [Praktik Terbaik Keamanan dengan Cara Well-Architected ](https://youtu.be/u6BCVkXkPnM)