# Keamanan
<a name="a-security"></a>

**Topics**
+ [Fondasi keamanan](a-sec-security.md)
+ [Manajemen identitas dan akses](a-identity-and-access-management.md)
+ [Deteksi](a-detective-controls.md)
+ [Perlindungan infrastruktur](a-infrastructure-protection.md)
+ [Perlindungan data](a-data-protection.md)
+ [Respons insiden](a-incident-response.md)

# Fondasi keamanan
<a name="a-sec-security"></a>

**Topics**
+ [SEC 1 Bagaimana cara mengoperasikan beban kerja Anda secara aman?](w2aac19b7b5b5.md)

# SEC 1 Bagaimana cara mengoperasikan beban kerja Anda secara aman?
<a name="w2aac19b7b5b5"></a>

 Untuk mengoperasikan beban kerja Anda dengan aman, Anda harus menerapkan praktik terbaik yang menyeluruh ke setiap area keamanan. Pilih persyaratan dan proses yang telah Anda tetapkan dalam keunggulan operasional di tingkat organisasi dan beban kerja, lalu terapkan ke semua area. Terus mengikuti rekomendasi terbaru dari AWS dan industri serta informasi ancaman akan membantu Anda mengevolusikan model ancaman dan tujuan kontrol. Otomatisasi proses, pengujian, dan validasi keamanan memungkinkan Anda menskalakan operasi keamanan Anda. 

**Topics**
+ [SEC01-BP01 Memisahkan beban kerja menggunakan akun](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Amankan Akun AWS](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 Identifikasikan dan validasikan tujuan kontrol](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Ikuti info terbaru tentang ancaman keamanan](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Mengikuti informasi terbaru tentang rekomendasi keamanan](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 Mengotomatiskan pengujian dan validasi kontrol keamanan di pipeline](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 Identifikasikan dan prioritaskan risiko menggunakan model ancaman](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Mengevaluasi dan mengimplementasikan fitur serta layanan keamanan baru secara rutin](sec_securely_operate_implement_services_features.md)

# SEC01-BP01 Memisahkan beban kerja menggunakan akun
<a name="sec_securely_operate_multi_accounts"></a>

Mulai dengan mempertimbangkan keamanan dan infrastruktur agar organisasi Anda dapat menetapkan pagar pembatas umum seiring bertambahnya beban kerja Anda. Pendekatan ini menyediakan batasan dan kontrol antar beban kerja. Pemisahan tingkat akun sangat disarankan untuk isolasi lingkungan produksi dari lingkungan pengembangan dan pengujian, atau menyediakan batasan logis antara beban kerja yang memproses data dengan tingkat sensitivitas yang berbeda-beda, sebagaimana ditetapkan oleh persyaratan kepatuhan eksternal (seperti PCI-DSS atau HIPAA), dan beban kerja lain.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Penggunaan AWS Organizations: Gunakan AWS Organizations untuk menegakkan manajemen berbasis kebijakan untuk beberapa Akun AWS secara terpusat. 
  + [Mulai menggunakan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) 
  + [Cara menggunakan kebijakan kontrol layanan untuk menetapkan pagar pembatas izin di seluruh akun dalam Organisasi AWS Anda ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/) 
+  Pertimbangkan AWS Control Tower: AWS Control Tower menyediakan cara yang mudah untuk menyiapkan dan mengelola lingkungan AWS multi akun baru yang aman berdasarkan praktik terbaik. 
  +  [AWS Control Tower](https://aws.amazon.com/controltower/) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [Praktik Terbaik IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+  [Buletin Keamanan](https://aws.amazon.com/security/security-bulletins)
+  [Pedoman Audit Keamanan AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)

 **Video terkait:** 
+ [Mengelola Lingkungan AWS Multiakun Menggunakan AWS Organizations](https://youtu.be/fxo67UeeN1A) 
+ [Praktik Terbaik Keamanan dengan Cara Well-Architected ](https://youtu.be/u6BCVkXkPnM) 
+ [Menggunakan AWS Control Tower untuk Mengatur Lingkungan AWS Multiakun ](https://youtu.be/2t-VkWt0rKk) 

# SEC01-BP02 Amankan Akun AWS
<a name="sec_securely_operate_aws_account"></a>

Ada sejumlah aspek untuk mengamankan Akun AWS Anda, termasuk pengamanan, dan tidak menggunakan [pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html), serta pemeliharaan informasi kontak selalu yang terkini. Anda dapat menggunakan [AWS Organizations](https://aws.amazon.com/organizations/) untuk secara terpusat mengelola dan mengatur akun seiring dengan pertumbuhan dan penskalaan beban kerja Anda di AWS. AWS Organizations membantu Anda mengelola akun, menetapkan kontrol, dan mengonfigurasi layanan untuk seluruh akun Anda. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Penggunaan AWS Organizations: Gunakan AWS Organizations untuk secara terpusat menegakkan manajemen berbasis kebijakan untuk beberapa Akun AWS. 
  +  [Memulai dengan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) 
  +  [Cara menggunakan kebijakan kontrol layanan untuk menetapkan pagar pembatas izin di seluruh akun dalam AWS organisasi Anda ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+  Batasi penggunaan AWS pengguna root: Hanya gunakan pengguna root untuk menjalankan tugas yang secara spesifik memerlukannya. 
  + [AWS Tugas yang Memerlukan AWS Kredensial Pengguna Root Akun ](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+  Aktifkan multi-factor-authentication (MFA) untuk pengguna root: Aktifkan MFA di pengguna root Akun AWS, jika AWS Organizations tidak mengelola pengguna root untuk Anda. 
  +  [Pengguna root ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+  Secara berkala ubah kata sandi pengguna root: Mengubah kata sandi pengguna root mengurangi risiko kata sandi tersimpan dapat digunakan. Ini terutama sangat penting jika Anda tidak menggunakan AWS Organizations dan siapa saja memiliki akses fisik. 
  + [ Mengubah kata sandi pengguna root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+  Aktifkan notifikasi ketika pengguna root Akun AWS digunakan: Diberi notifikasi secara otomatis akan mengurangi risiko. 
  + [ Cara menerima notifikasi ketika kunci akses root Akun AWS Anda digunakan ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+  Batasi akses ke Wilayah yang baru ditambahkan: Untuk Wilayah AWS baru, sumber daya IAM, seperti pengguna dan peran, hanya akan disebarkan ke Wilayah yang Anda aktifkan. 
  + [ Mengatur izin untuk mengaktifkan akun untuk Wilayah AWS yang mendatang ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+  Pertimbangkan StackSets AWS CloudFormation: StackSets CloudFormation dapat digunakan untuk melakukan deploy sumber daya, termasuk grup, peran, dan kebijakan IAM ke Wilayah dan Akun AWS yang berbeda dari templat yang disetujui. 
  + [ Gunakan StackSets CloudFormation ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [ Panduan Audit Keamanan AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Praktik Terbaik IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+  [Buletin Keamanan ](https://aws.amazon.com/security/security-bulletins/)

 **Video terkait:** 
+ [ Aktifkan adopsi AWS dalam skala besar dengan otomatisasi dan tata kelola ](https://youtu.be/GUMSgdB-l6s)
+ [ Praktik Terbaik Keamanan dengan Cara yang Dirancang Baik ](https://youtu.be/u6BCVkXkPnM)

 **Contoh terkait:** 
+ [ Lab: Akun AWS dan pengguna root ](https://youtu.be/u6BCVkXkPnM)

# SEC01-BP03 Identifikasikan dan validasikan tujuan kontrol
<a name="sec_securely_operate_control_objectives"></a>

 Berdasarkan persyaratan kepatuhan dan risiko yang diidentifikasi dari model ancaman Anda, dapatkan dan validasikan tujuan kontrol dan kontrol yang perlu Anda terapkan pada beban kerja Anda. Validasi berkelanjutan terhadap tujuan kontrol dan kontrol dapat membantu Anda mengukur efektivitas mitigasi risiko. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Identifikasikan persyaratan kepatuhan: Temukan persyaratan organisasi, legal, dan kepatuhan yang harus dipatuhi oleh beban kerja Anda. 
+  Identifikasikan sumber daya kepatuhan AWS: Identifikasikan sumber daya yang disediakan oleh AWS untuk membantu Anda dengan kepatuhan. 
  +  [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
  + [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [AWSPanduan Audit Keamanan ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+ [ Buletin Keamanan](https://aws.amazon.com/security/security-bulletins/) 

 **Video terkait:** 
+  [AWS Security Hub CSPM: Kelola Peringatan Keamanan dan Otomatiskan Kepatuhan](https://youtu.be/HsWtPG_rTak) 
+  [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP04 Ikuti info terbaru tentang ancaman keamanan
<a name="sec_securely_operate_updated_threats"></a>

 Kenali vektor serangan dengan terus mengikuti perkembangan ancaman keamanan terbaru untuk membantu Anda menentukan dan menerapkan kontrol yang sesuai. Gunakan AWS Managed Services untuk memudahkan Anda menerima pemberitahuan tentang perilaku yang tidak diharapkan atau tidak biasa di akun AWS Anda. Lakukan investigasi menggunakan alat Partner AWS atau feed informasi ancaman pihak ketiga sebagai bagian dari alur informasi keamanan Anda. Dengan [Daftar Kerentanan dan Paparan Umum (CVE) ](https://cve.mitre.org/) mencantumkan kerentanan keamanan siber yang diuraikan secara publik dan dapat Anda gunakan untuk terus mengikuti perkembangan. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Berlangganan ke sumber inteligensi ancaman: Tinjau informasi inteligensi ancaman secara rutin dari berbagai sumber yang relevan dengan teknologi yang digunakan di beban kerja Anda. 
  +  [Daftar Kerentanan dan Paparan Umum ](https://cve.mitre.org/)
+  Pertimbangkan layanan [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) : Layanan ini menyediakan visibilitas waktu nyata ke sumber inteligensi, jika beban kerja Anda dapat diakses internet. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [ Panduan Audit Keamanan AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [AWS Shield](https://aws.amazon.com/shield/) 
+ [ Buletin Keamanan](https://aws.amazon.com/security/security-bulletins/) 

 **Video terkait:** 
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP05 Mengikuti informasi terbaru tentang rekomendasi keamanan
<a name="sec_securely_operate_updated_recommendations"></a>

 Ikuti terus rekomendasi keamanan AWS dan industri untuk mengembangkan postur keamanan beban kerja Anda. [Buletin Keamanan AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) berisi informasi penting tentang notifikasi keamanan dan privasi. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Ikuti informasi terbaru AWS: Lakukan langganan atau kunjungi secara rutin untuk mendapatkan saran, tips, dan trik baru. 
  +  [Lab AWS Well-Architected](https://wellarchitectedlabs.com/?ref=wellarchitected) 
  +  [Blog keamanan AWS](https://aws.amazon.com/blogs/security/?ref=wellarchitected) 
  +  [Dokumentasi layanan AWS](https://aws.amazon.com/documentation/?ref=wellarchitected) 
+  Lakukan langganan ke berita-berita industri: Rutin tinjau umpan berita dari berbagai sumber terkait teknologi yang digunakan di beban kerja Anda. 
  +  [Contoh: Daftar Kerentanan dan Paparan Umum](https://cve.mitre.org/cve/?ref=wellarchitected) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Buletin Keamanan](https://aws.amazon.com/security/security-bulletins/) 

 **Video terkait:** 
+  [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP06 Mengotomatiskan pengujian dan validasi kontrol keamanan di pipeline
<a name="sec_securely_operate_test_validate_pipeline"></a>

 Tetapkan acuan dasar (baseline) dan templat yang aman untuk mekanisme keamanan yang telah diuji dan divalidasi sebagai bagian dari build, pipeline, dan proses Anda. Gunakan alat dan otomatisasi untuk menguji dan memvalidasi semua kontrol keamanan secara terus-menerus. Misalnya, pindai item seperti image mesin dan templat infrastruktur sebagai kode (IaC) untuk menemukan kerentanan keamanan, kejanggalan, dan penyimpangan dari acuan dasar yang telah ditetapkan pada setiap tahap. AWS CloudFormation Guard dapat membantu Anda memverifikasi bahwa templat CloudFormation aman, menghemat waktu, dan mengurangi risiko kesalahan konfigurasi. 

Mengurangi jumlah kesalahan konfigurasi keamanan yang dimasukkan ke dalam lingkungan produksi adalah hal penting—makin banyak kontrol kualitas dan pengurangan kecacatan yang dapat Anda lakukan dalam proses build, makin baik hasilnya. Rancang pipeline integrasi berkelanjutan dan deployment berkelanjutan (CI/CD) untuk menguji masalah keamanan setiap kali memungkinkan. Pipeline CI/CD menawarkan kesempatan untuk menyempurnakan keamanan pada tiap-tiap tahap build dan pengiriman. Peralatan keamanan CI/CD juga harus terus diperbarui untuk memitigasi ancaman yang berkembang.

Lacak perubahan pada konfigurasi beban kerja Anda untuk membantu audit kepatuhan, manajemen perubahan, dan penyelidikan yang mungkin berlaku untuk Anda. Anda dapat menggunakan AWS Config untuk merekam dan mengevaluasi sumber daya AWS dan pihak ketiga Anda. Ini memungkinkan Anda untuk mengaudit dan menilai secara berkelanjutan keseluruhan kepatuhan terhadap aturan dan paket kesesuaian, yakni kumpulan aturan dengan tindakan perbaikan.

Pelacakan perubahan harus menyertakan perubahan terencana, yang merupakan bagian dari proses kontrol perubahan organisasi Anda (terkadang disebut MACD—Memindah, Menambah, Mengubah, Menghapus), perubahan tidak terencana, dan perubahan yang tidak diinginkan, seperti insiden. Perubahan dapat terjadi pada infrastruktur, tetapi mungkin juga berkaitan dengan kategori lain, seperti perubahan pada repositori kode, perubahan image mesin dan inventaris aplikasi, perubahan proses dan kebijakan, atau perubahan dokumentasi.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Otomatiskan manajemen konfigurasi: Tegakkan dan validasi konfigurasi keamanan secara otomatis menggunakan layanan atau alat manajemen konfigurasi. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
  +  [Menyiapkan Pipeline CI/CD di AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Cara menggunakan kebijakan kontrol layanan untuk menetapkan pagar pembatas izin di seluruh akun dalam Organisasi AWS Anda](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/) 

 **Video terkait:** 
+  [Mengelola Lingkungan AWS Multiakun Menggunakan AWS Organizations](https://youtu.be/fxo67UeeN1A) 
+  [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP07 Identifikasikan dan prioritaskan risiko menggunakan model ancaman
<a name="sec_securely_operate_threat_model"></a>

 Gunakan model ancaman untuk mengidentifikasi dan memastikan daftar potensi ancaman tetap terbaru. Tentukan prioritas ancaman dan sesuaikan kontrol keamanan Anda untuk mencegah, mendeteksi, dan meresponsnya. Pertahankan dan kelola sesuai dengan lanskap keamanan yang terus berubah. 

Pemodelan ancaman memberikan pendekatan sistematis untuk membantu menemukan dan menangani masalah keamanan sejak dini di dalam proses desain. Sebaiknya lakukan sedini mungkin karena biaya mitigasi lebih rendah dibandingkan biaya di tahapan selanjutnya dalam siklus hidupnya.

Langkah utama yang umum dalam proses pemodelan ancaman adalah:

1. Identifikasikan aset, pelaksana, titik entri, komponen, kasus penggunaan, dan tingkat kepercayaan, dan sertakan ini dalam diagram desain.

1. Identifikasikan daftar ancaman.

1. Identifikasikan mitigasi yang dapat mencakup implementasi kontrol keamanan untuk setiap ancaman.

1. Buat dan tinjau matriks risiko untuk menentukan apakah ancaman dimitigasi secara memadai.

Pemodelan ancaman paling efektif saat dilakukan pada tingkat beban kerja (atau fitur beban kerja), sehingga semua konteks tersedia untuk penilaian. Pertahankan dan kelola matriks ini seiring dengan perkembangan lanskap keamanan.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Buat model ancaman: Model ancaman dapat membantu Anda mengindentifikasi dan potensi mengatasi ancaman keamanan. 
  +  [NIST: Panduan untuk Pemodelan Ancaman Sistem yang Terpusat pada Data ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Panduan Audit Keamanan AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+  [Buletin Keamanan ](https://aws.amazon.com/security/security-bulletins/)

 **Video terkait:** 
+  [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP08 Mengevaluasi dan mengimplementasikan fitur serta layanan keamanan baru secara rutin
<a name="sec_securely_operate_implement_services_features"></a>

 Evaluasikan dan implementasikan fitur serta layanan keamanan dari Partner AWS dan AWS yang memungkinkan peningkatan postur keamanan beban kerja. Blog Keamanan AWS menyoroti fitur dan layanan baru AWS, panduan implementasi, dan panduan keamanan umum. [Yang Baru dengan AWS?](https://aws.amazon.com/new) adalah cara terbaik untuk tetap mengetahui fitur, layanan, dan pengumuman baru dari AWS. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Rencanakan peninjauan rutin: Buat kalender aktivitas peninjauan yang mencakup persyaratan kepatuhan, evaluasi fitur dan layanan keamanan baru AWS, serta tetap mengikuti berita terbaru industri. 
+  Temukan fitur dan layanan AWS: Temukan fitur keamanan yang tersedia untuk layanan yang Anda gunakan, dan tinjau fitur baru setelah dirilis. 
  + [ Blog keamanan AWS](https://aws.amazon.com/blogs/security/) 
  + [ Buletin keamanan AWS](https://aws.amazon.com/security/security-bulletins/)
  +  [Dokumentasi layanan AWS](https://aws.amazon.com/documentation/)
+  Tentukan proses onboarding layanan AWS: Tentukan proses untuk onboarding layanan baru AWS. Sertakan cara Anda mengevaluasi layanan baru AWS untuk fungsionalitas, dan persyaratan kepatuhan untuk beban kerja Anda. 
+  Uji coba fitur dan layanan baru: Uji coba fitur dan layanan baru setelah dirilis di lingkungan nonproduksi yang direplikasi menyerupai lingkungan produksi Anda. 
+  Implementasikan mekanisme pertahanan lainnya: Implementasikan mekanisme otomatis untuk melindungi beban kerja, dan menelusuri opsi yang tersedia. 
  +  [Mengatasi sumber daya AWS yang tidak patuh dengan Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)

## Sumber daya
<a name="resources"></a>

 **Video terkait:** 
+  [Praktik Terbaik Keamanan dengan Cara Well-Architected ](https://youtu.be/u6BCVkXkPnM)

# Manajemen identitas dan akses
<a name="a-identity-and-access-management"></a>

**Topics**
+ [SEC 2 Bagaimana cara mengelola autentikasi untuk manusia dan mesin?](w2aac19b7b7b5.md)
+ [SEC 3 Bagaimana cara mengelola izin untuk manusia dan mesin?](w2aac19b7b7b7.md)

# SEC 2 Bagaimana cara mengelola autentikasi untuk manusia dan mesin?
<a name="w2aac19b7b7b5"></a>

 Ada dua jenis identitas yang harus Anda kelola ketika menentukan pendekatan terhadap pengoperasian beban kerja AWS yang aman. Pemahaman tentang jenis identitas yang harus Anda kelola dan berikan akses akan membantu Anda memastikan identitas yang tepat memiliki akses ke sumber daya yang tepat dalam kondisi yang tepat. 

Identitas Manusia: Administrator, developer, operator, dan pengguna akhir Anda memerlukan identitas untuk mengakses lingkungan dan aplikasi AWS Anda. Ini adalah anggota organisasi Anda, atau pengguna eksternal yang berkolaborasi dengan Anda, dan yang berinteraksi dengan sumber daya AWS Anda melalui browser web, aplikasi klien, atau alat baris perintah interaktif. 

Identitas Mesin: Aplikasi layanan, alat operasional, dan beban kerja Anda memerlukan identitas untuk membuat permintaan ke layanan AWS, misalnya, untuk membaca data. Identitas ini mencakup mesin yang dijalankan di lingkungan AWS Anda, seperti instans Amazon EC2 atau fungsi AWS Lambda. Anda juga dapat mengelola identitas mesin untuk pihak eksternal yang membutuhkan akses. Selain itu, Anda mungkin juga memiliki mesin di luar AWS yang memerlukan akses ke lingkungan AWS Anda. 

**Topics**
+ [SEC02-BP01 Gunakan mekanisme masuk yang kuat](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Menggunakan kredensial sementara](sec_identities_unique.md)
+ [SEC02-BP03 Menyimpan dan menggunakan secret secara aman](sec_identities_secrets.md)
+ [SEC02-BP04 Andalkan penyedia identitas terpusat](sec_identities_identity_provider.md)
+ [SEC02-BP05 Mengaudit dan merotasi kredensial secara berkala](sec_identities_audit.md)
+ [SEC02-BP06 Manfaatkan grup dan atribut pengguna](sec_identities_groups_attributes.md)

# SEC02-BP01 Gunakan mekanisme masuk yang kuat
<a name="sec_identities_enforce_mechanisms"></a>

 Berlakukan panjang minimum kata sandi, dan berikan edukasi bagi pengguna untuk menghindari kata sandi yang umum atau sudah pernah dibuat. Berlakukan autentikasi multi-faktor (MFA) dengan mekanisme perangkat lunak atau perangkat keras untuk memberikan lapisan verifikasi tambahan. Contohnya, ketika menggunakan IAM Identity Center sebagai sumber identitas, konfigurasikan pengaturan “sadar konteks” atau “selalu aktif” untuk MFA, dan izinkan pengguna memasukkan perangkat MFA mereka sendiri untuk mempercepat adopsi. Ketika menggunakan penyedia identitas (IdP) eksternal, konfigurasikan IdP Anda untuk MFA. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Buat kebijakan Identify and Access Management (IAM) untuk memberlakukan akses masuk MFA: Buat kebijakan IAM yang dikelola pelanggan yang melarang semua tindakan IAM kecuali yang memungkinkan pengguna untuk memegang peran, mengubah kredensial mereka sendiri, dan mengelola perangkat MFA mereka di [halaman Kredensial Keamanan Saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1). 
+  Aktifkan MFA di penyedia identitas Anda: Aktifkan [MFA](https:/aws.amazon.com/iam/details/mfa) di penyedia identitas atau layanan single sign-on, seperti [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html), yang Anda gunakan. 
+  Konfigurasikan kebijakan kata sandi yang kuat: Konfigurasikan [kebijakan kata sandi yang kuat](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) di IAM dan sistem identitas terfederasi untuk membantu melindungi dari serangan kejam. 
+  [Rotasikan kredensial secara teratur](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials): Pastikan administrator beban kerja Anda mengubah kata sandi dan kunci akses mereka (jika digunakan) secara teratur. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Memulai dengan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected) 
+  [Memulai dengan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected) 
+   [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected) 
+  [Solusi Partner Keamanan: Akses dan Kontrol Akses](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Rahasia dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan susunan](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP02 Menggunakan kredensial sementara
<a name="sec_identities_unique"></a>

 Wajibkan identitas untuk mendapatkan [kredensial sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html)secara dinamis. Untuk identitas tenaga kerja, gunakan AWS IAM Identity Center, atau federasi dengan AWS Identity and Access Management (IAM) role, untuk mengakses Akun AWS. Untuk identitas mesin, seperti instans Amazon Elastic Compute Cloud (Amazon EC2) atau fungsi AWS Lambda, gunakan IAM role, bukan pengguna IAM dengan kunci akses jangka panjang. 

Untuk identitas manusia yang menggunakan Konsol Manajemen AWS, wajibkan pengguna untuk mendapatkan kredensial sementara dan bergabung ke dalam AWS. Anda dapat melakukannya menggunakan portal pengguna AWS IAM Identity Center. Untuk pengguna yang memerlukan akses CLI, pastikan mereka menggunakan [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/), yang mendukung integrasi langsung dengan IAM Identity Center. Pengguna dapat membuat profil CLI yang ditautkan ke akun dan role Pusat Identitas IAM. CLI secara otomatis mengambil kredensial AWS dari IAM Identity Center dan menyegarkannya atas nama Anda. Ini menghilangkan kebutuhan untuk menyalin dan menempel kredensial AWS sementara dari konsol IAM Identity Center. Untuk SDK, pengguna harus mengandalkan AWS Security Token Service (AWS STS) untuk mengambil role guna menerima kredensial sementara. Pada kasus-kasus tertentu, kredensial sementara mungkin tidak praktis. Anda harus menyadari risiko menyimpan kunci akses, merotasikannya secara sering, dan mewajibkan autentikasi multi-faktor (MFA) sebagai syarat apabila memungkinkan. Gunakan informasi yang terakhir diakses untuk menentukan kapan harus merotasikan atau menghapus kunci akses.

Untuk kasus-kasus di mana Anda perlu memberikan akses kepada konsumen ke sumber daya AWS Anda, gunakan pool identitas [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) dan beri mereka satu set kredensial istimewa terbatas sementara untuk mengakses sumber daya AWS Anda. Izin untuk setiap pengguna dikontrol melalui [IAM role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang Anda buat. Anda dapat menetapkan aturan untuk memilih role untuk setiap pengguna berdasarkan klaim dalam token ID pengguna. Anda dapat menetapkan role default untuk pengguna yang diautentikasi. Anda juga dapat menetapkan IAM role terpisah dengan izin terbatas untuk pengguna tamu yang tidak diautentikasi.

Untuk identitas mesin, Anda harus mengandalkan IAM role untuk memberikan akses ke AWS. Untuk instans Amazon Elastic Compute Cloud (Amazon EC2), Anda dapat menggunakan [role untuk Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Anda dapat melampirkan IAM role ke instans Amazon EC2 Anda untuk memungkinkan aplikasi Anda yang berjalan di Amazon EC2 untuk menggunakan kredensial keamanan sementara yang dibuat, didistribusikan, dan dirotasi oleh AWS secara otomatis melalui Instance Metadata Service (IMDS). Versi [terbaru](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) IMDS membantu mencegah kerentanan yang mengancam kredensial sementara dan harus diimplementasikan. Untuk mengakses instans Amazon EC2 menggunakan kunci dan kata sandi, [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) adalah cara yang lebih aman untuk mengakses dan mengelola instans Anda menggunakan agen yang diinstal sebelumnya tanpa secret tersimpan. Selain itu, layanan AWS lainnya, seperti AWS Lambda, memungkinkan Anda untuk mengonfigurasi role layanan IAM untuk memberikan izin layanan guna melakukan tindakan AWS menggunakan kredensial sementara. Pada situasi yang tidak memungkinkan Anda untuk menggunakan kredensial sementara, gunakan alat terprogram, seperti [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/), untuk mengotomatiskan rotasi dan manajemen kredensial.

**Audit dan rotasikan kredensial secara berkala: **Validasi berkala, sebaiknya melalui alat otomatis, diperlukan untuk memverifikasi diterapkannya kontrol yang tepat. Untuk identitas manusia, Anda harus mewajibkan pengguna untuk mengubah kata sandi mereka secara berkala dan memensiunkan kunci akses dan digantikan dengan kredensial sementara. Saat beralih dari pengguna IAM ke identitas terpusat, Anda dapat [menghasilkan laporan kredensial ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)untuk mengaudit pengguna IAM Anda. Kami juga menyarankan Anda menerapkan pengaturan MFA pada penyedia identitas Anda. Anda dapat menyiapkan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) untuk memantau pengaturan tersebut. Untuk identitas mesin, Anda harus mengandalkan kredensial sementara menggunakan IAM role. Untuk situasi yang tidak memungkinkan hal ini, diperlukan audit dan rotasi kunci akses secara sering.

**Simpan dan gunakan secret dengan aman:** Untuk kredensial yang terkait dengan IAM dan tidak dapat memanfaatkan kredensial sementara, seperti login basis data, gunakan layanan yang dirancang untuk menangani manajemen secret, seperti [Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager memudahkan pengelolaan, rotasi, dan penyimpanan secret terenkripsi secara aman menggunakan [layanan yang didukung](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Panggilan untuk mengakses secret dicatatkan di AWS CloudTrail untuk tujuan audit, dan izin IAM dapat memberinya akses dengan hak paling rendah.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Implementasikan kebijakan hak akses paling rendah: Tetapkan kebijakan akses dengan hak paling rendah ke grup dan role IAM untuk mencerminkan peran atau fungsi pengguna yang telah Anda tetapkan. 
  +  [Memberikan hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  Hapus izin yang tidak perlu: Implementasikan hak akses paling rendah dengan menghapus izin yang tidak diperlukan. 
  +  [Mengurangi cakupan kebijakan dengan melihat aktivitas pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) 
  +  [Melihat akses peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites) 
+  Pertimbangkan batasan izin: Batasan izin adalah fitur lanjutan untuk menggunakan kebijakan terkelola yang mengatur izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas ke sebuah entitas IAM. Batasan izin sebuah entitas memungkinkannya untuk melakukan tindakan hanya yang diizinkan oleh kebijakan berbasis identitas serta batasan izinnya. 
  +  [Lab: Batasan izin IAM yang mendelegasikan pembuatan peran](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html) 
+  Pertimbangkan tag sumber daya untuk izin: Anda dapat menggunakan tag untuk mengontrol akses ke sumber daya AWS Anda yang mendukung pemberian tag. Anda juga dapat memberikan tag pada pengguna dan role IAM untuk mengontrol apa yang dapat mereka akses. 
  +  [Lab: Kontrol akses berbasis tag IAM untuk EC2](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 
  +  [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Mulai Menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Solusi Partner Keamanan: Akses dan Kontrol Akses](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Secret dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan beban kerja](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP03 Menyimpan dan menggunakan secret secara aman
<a name="sec_identities_secrets"></a>

 Untuk identitas tenaga kerja dan mesin yang memerlukan secret, seperti kata sandi ke aplikasi pihak ketiga, simpanlah dengan rotasi otomatis menggunakan standar industri terbaru dalam layanan yang dikhususkan, misalnya untuk kredensial yang tidak terkait dengan IAM dan tidak dapat memanfaatkan kredensial sementara, seperti login basis data, gunakan layanan yang didesain untuk menangani manajemen secret, seperti AWS Secrets Manager. Secrets Manager memudahkan Anda untuk mengelola, merotasi, dan secara aman menyimpan secret menggunakan layanan yang didukung. Panggilan untuk mengakses secret dicatat di dalam AWS CloudTrail untuk tujuan audit, dan izin IAM dapat diberikan kepada hak istimewa terendah untuk mengaksesnya. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Gunakan AWS Secrets Manager: [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) adalah layanan AWS yang memudahkan Anda mengelola secret. Secret bisa berupa kredensial basis data, kata sandi, kunci API pihak ketiga, dan bahkan teks arbitrer. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Mulai Menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Secret dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 

# SEC02-BP04 Andalkan penyedia identitas terpusat
<a name="sec_identities_identity_provider"></a>

 Untuk identitas tenaga kerja, serahkan kepada penyedia identitas sehingga Anda dapat mengelola identitas di tempat terpusat. Ini akan mempermudah pengelolaan akses di beberapa aplikasi dan layanan, karena Anda membuat, mengelola, dan mencabut akses dari satu lokasi. Contohnya, jika seseorang meninggalkan organisasi Anda, Anda dapat mencabut akses untuk semua aplikasi dan layanan (termasuk AWS) dari satu lokasi. Hal ini akan mengurangi jumlah kredensial yang dibutuhkan dan memberikan peluang untuk berintegrasi dengan proses sumber daya manusia (HR) yang ada. 

Untuk federasi dengan akun AWS secara individu, Anda dapat menggunakan identitas terpusat untuk AWS dengan penyedia berbasis SAML 2.0 dengan AWS Identity and Access Management. Anda dapat menggunakan penyedia apa pun—baik yang di-hosting oleh Anda di AWS, eksternal terhadap AWS, atau dipasok oleh AWS Partner—yang kompatibel dengan [protokol SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) . Anda dapat menggunakan federasi antara akun AWS Anda dan penyedia pilihan Anda untuk memberikan akses aplikasi atau pengguna untuk memanggil operasi API AWS dengan menggunakan penegasan SAML guna mendapatkan kredensial keamanan sementara. Single sign-on berbasis web juga didukung, sehingga pengguna dapat masuk ke Konsol Manajemen AWS dari situs web masuk Anda.

Dari federasi ke beberapa akun di AWS Organizations Anda, Anda dapat mengonfigurasikan sumber identitas Anda di [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/), dan menentukan lokasi penyimpanan grup dan pengguna Anda. Setelah dikonfigurasikan, penyedia identitas Anda adalah sumber kebenaran Anda, dan informasi dapat [disinkronkan](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) menggunakan protokol Sistem untuk Manajemen Identitas Antar Domain (SCIM) v2.0. Kemudian Anda dapat mencari pengguna atau grup dan memberikan kepada mereka akses IAM Identity Center ke akun AWS, aplikasi cloud, atau keduanya.

IAM Identity Center berintegrasi dengan AWS Organizations, yang memampukan Anda mengonfigurasikan penyedia identitas Anda satu kali kemudian [memberikan akses ke akun yang ada dan akun baru](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) yang dikelola di organisasi Anda. IAM Identity Center memberikan kepada Anda penyimpanan default, yang dapat Anda gunakan untuk mengelola grup dan pengguna Anda. Jika Anda memilih untuk menggunakan penyimpanan IAM Identity Center, buat pengguna dan grup Anda dan tetapkan bagi mereka tingkat akses ke aplikasi dan akun AWS Anda, sambil mengingat praktik terbaik hak akses paling rendah. Alternatifnya, Anda dapat memilih untuk [Terhubung ke Penyedia Identitas Eksternal Anda ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)menggunakan SAML 2.0, atau [Terhubung ke Direktori Microsoft AD Anda](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) menggunakan AWS Directory Service. Setelah dikonfigurasikan, Anda dapat masuk ke Konsol Manajemen AWS, atau aplikasi seluler AWS, dengan mengautentikasi melalui penyedia identitas pusat Anda.

Untuk mengelola pengguna akhir atau konsumen beban kerja Anda, seperti aplikasi seluler, Anda dapat menggunakan [Amazon Cognito](http://aws.amazon.com/cognito/). Ini memberikan manajemen pengguna, otorisasi, dan autentikasi untuk aplikasi seluler dan web Anda. Pengguna Anda dapat masuk secara langsung dengan nama pengguna dan kata sandi, atau melalui pihak ketiga, seperti Amazon, Apple, Facebook, atau Google.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Pusatkan akses administrasi: Buat entitas penyedia identitas Identity and Access Management (IAM) untuk menetapkan hubungan tepercaya antara Akun AWS Anda dan penyedia identitas (IdP) Anda. IAM mendukung IdP yang kompatibel dengan OpenID Connect (OIDC) atau SAML 2.0 (Security Assertion Markup Language 2.0). 
  +  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  Pusatkan akses aplikasi: Pertimbangkan Amazon Cognito untuk memusatkan akses aplikasi. Ini memungkinkan Anda untuk menambahkan kontrol akses, akses masuk, dan pendaftaran pengguna ke web dan aplikasi seluler Anda dengan cepat dan mudah. [Amazon Cognito](https://aws.amazon.com/cognito/) menskalakan jutaan pengguna dan mendukung akses masuk dengan penyedia identitas sosial, seperti Facebook, Google, dan Amazon, serta penyedia identitas perusahaan melalui SAML 2.0. 
+  Singkirkan grup dan pengguna IAM lama: Setelah Anda mulai menggunakan penyedia identitas (IdP), singkirkan grup dan pengguna IAM yang tidak lagi diperlukan. 
  +  [Menemukan kredensial yang tidak digunakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) 
  +  [Menghapus grup IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Solusi Partner Keamanan: Akses dan Kontrol Akses](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Rahasia dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan susunan](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP05 Mengaudit dan merotasi kredensial secara berkala
<a name="sec_identities_audit"></a>

 Jika Anda tidak dapat mengandalkan kredensial sementara dan memerlukan kredensial jangka panjang, lakukan audit kredensial untuk memastikan kontrol yang ditentukan, misalnya autentikasi multi-faktor (MFA), telah diterapkan, dirotasi secara rutin, dan memiliki tingkat akses yang sesuai. Validasi berkala, diutamakan melalui alat otomatis, diperlukan untuk memverifikasikan bahwa kontrol yang sesuai telah diterapkan. Untuk identitas manusia, Anda perlu mewajibkan pengguna untuk mengubah kata sandi mereka secara berkala dan menonaktifkan kunci akses yang ditukar dengan kredensial sementara. Saat Anda beralih dari pengguna AWS Identity and Access Management (IAM) ke identitas yang dipusatkan, Anda dapat [membuat laporan kredensial ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)untuk mengaudit pengguna IAM Anda. Sebaiknya terapkan pengaturan MFA di penyedia identitas Anda. Anda dapat mengonfigurasikan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) untuk memantau pengaturan tersebut. Untuk identitas mesin, Anda harus mengandalkan kredensial sementara menggunakan IAM role. Jika dalam situasi tertentu hal ini tidak memungkinkan, merotasi dan mengaudit kunci akses secara sering adalah hal yang diperlukan. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Lakukan audit kredensial secara rutin: Gunakan laporan kredensial, serta Identity and Access Management (IAM) Access Analyzer untuk mengaudit izin dan kredensial IAM. 
  +  [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
  +  [Mendapatkan laporan kredensial](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) 
  +  [Lab: Pembersihan pengguna IAM otomatis](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool) 
+  Gunakan Tingkat Akses untuk Meninjau Izin IAM: Untuk meningkatkan keamanan Akun AWS Anda, secara rutin tinjau dan pantau setiap kebijakan IAM Anda. Pastikan bahwa kebijakan Anda memberikan hak akses paling rendah yang dibutuhkan untuk menjalankan tindakan yang diperlukan saja. 
  +  [Gunakan tingkat akses untuk meninjau izin IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions) 
+  Pertimbangkan pengotomatisan pembuatan dan pembaruan sumber daya IAM: AWS CloudFormation dapat digunakan untuk mengotomatiskan deployment sumber daya IAM, termasuk peran dan kebijakan, untuk mengurangi kesalahan akibat kelalaian manusia, karena templat dapat diverifikasi dan yang dapat dikontrol. 
  +  [Lab: Deployment yang diotomatiskan grup dan peran IAM](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Mulai Menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Solusi Partner Keamanan: Akses dan Kontrol Akses](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Secret dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan beban kerja](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP06 Manfaatkan grup dan atribut pengguna
<a name="sec_identities_groups_attributes"></a>

 Seiring meningkatnya jumlah pengguna yang dikelola, Anda perlu menentukan cara agar dapat mengelolanya dalam skala besar. Tempatkan pengguna yang memiliki persyaratan keamanan yang sama dalam grup yang ditentukan oleh penyedia identitas Anda, dan terapkan mekanisme untuk memastikan atribut pengguna yang dapat digunakan untuk kontrol akses (misalnya departemen atau lokasi) sudah benar dan diperbarui. Gunakan grup dan atribut tersebut untuk mengontrol akses, bukan pengguna individual. Dengan demikian, Anda dapat mengelola akses secara terpusat cukup dengan satu kali mengubah keanggotaan atau atribut grup pengguna dengan [seperangkat izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html), daripada memperbarui banyak kebijakan satu per satu saat akses pengguna perlu diubah. Anda dapat menggunakan AWS IAM Identity Center (IAM Identity Center) untuk mengelola grup dan atribut pengguna. IAM Identity Center mendukung atribut yang paling sering digunakan, baik dimasukkan secara manual selama pembuatan pengguna atau disediakan secara otomatis menggunakan mesin sinkronisasi, seperti yang ditetapkan dalam spesifikasi Sistem untuk Manajemen Identitas Lintas Domain (SCIM). 

Tempatkan pengguna yang memiliki persyaratan keamanan yang sama dalam grup yang ditentukan oleh penyedia identitas Anda, dan terapkan mekanisme untuk memastikan atribut pengguna yang dapat digunakan untuk kontrol akses (misalnya departemen atau lokasi) sudah benar dan diperbarui. Gunakan grup dan atribut tersebut, bukan pengguna individual, untuk mengontrol akses. Dengan demikian, Anda dapat mengelola akses secara terpusat cukup dengan satu kali mengubah keanggotaan atau atribut grup pengguna, daripada memperbarui banyak kebijakan satu per satu saat akses pengguna perlu diubah.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Jika Anda menggunakan AWS IAM Identity Center (IAM Identity Center), konfigurasikan grup: IAM Identity Center memberikan kemampuan untuk mengonfigurasi grup pengguna dan menetapkan grup untuk tingkat izin yang diinginkan. 
  +  [AWS Masuk Tunggal - Kelola Identitas](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) 
+  Pelajari lebih lanjut tentang kontrol akses berbasis atribut (ABAC): ABAC adalah strategi otorisasi yang menetapkan izin berdasarkan atribut. 
  +  [Apa Itu ABAC untuk AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
  +  [Lab: Kontrol Akses Berbasis Tanda IAM untuk EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Mulai Menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Secret dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan beban kerja](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

 **Contoh terkait:** 
+  [Lab: Kontrol Akses Berbasis Tanda IAM untuk EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 

# SEC 3 Bagaimana cara mengelola izin untuk manusia dan mesin?
<a name="w2aac19b7b7b7"></a>

 Kelola izin untuk mengontrol akses ke identitas manusia dan identitas mesin yang memerlukan akses ke AWS dan beban kerja Anda. Izin akan mengontrol siapa yang dapat mengakses hal tertentu, beserta kondisinya. 

**Topics**
+ [SEC03-BP01 Menetapkan persyaratan akses](sec_permissions_define.md)
+ [SEC03-BP02 Memberikan hak akses paling rendah](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Menerapkan proses akses darurat](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Mengurangi izin secara terus-menerus](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Menentukan pagar pembatas izin untuk organisasi Anda](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Mengelola akses berdasarkan siklus hidup](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Menganalisis akses lintas akun dan publik](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Membagikan sumber daya secara aman](sec_permissions_share_securely.md)

# SEC03-BP01 Menetapkan persyaratan akses
<a name="sec_permissions_define"></a>

Tiap-tiap komponen atau sumber daya beban kerja Anda perlu diakses oleh administrator, pengguna akhir, atau komponen lainnya. Miliki penetapan yang jelas tentang siapa atau apa yang harus memiliki akses ke tiap-tiap komponen, pilih tipe identitas dan metode autentikasi serta otorisasi yang tepat.

 **Antipola umum:** 
+ Hard-coding atau menyimpan rahasia di dalam aplikasi Anda. 
+ Memberikan izin kustom untuk tiap pengguna. 
+ Menggunakan kredensial berumur panjang. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Tiap-tiap komponen atau sumber daya beban kerja Anda perlu diakses oleh administrator, pengguna akhir, atau komponen lainnya. Miliki penetapan yang jelas tentang siapa atau apa yang harus memiliki akses ke tiap-tiap komponen, pilih tipe identitas dan metode autentikasi serta otorisasi yang tepat.

Akses rutin ke Akun AWS di dalam organisasi harus disediakan menggunakan [akses gabungan](https://aws.amazon.com/identity/federation/) atau penyedia identitas terpusat. Anda juga sebaiknya memusatkan manajemen identitas Anda dan memastikan terdapat praktik yang matang untuk mengintegrasikan akses AWS ke siklus hidup akses karyawan Anda. Misalnya, saat seorang karyawan berganti peran pekerjaan dengan level akses berbeda, keanggotaan grupnya juga harus berubah agar sesuai dengan persyaratan akses barunya.

 Saat menetapkan persyaratan akses untuk identitas non-manusia, tentukan aplikasi dan komponen mana yang memerlukan akses dan bagaimana izin diberikan. Menggunakan IAM role yang dibangun dengan model akses hak akses paling rendah adalah pendekatan yang disarankan. [Kebijakan yang Dikelola AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) menyediakan kebijakan IAM yang telah ditetapkan sebelumnya yang mencakup kasus-kasus penggunaan paling umum.

Layanan AWS, seperti [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) dan [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html), dan membantu memisahkan rahasia dari aplikasi atau beban kerja secara aman pada kasus-kasus yang tidak memungkinkan penggunaan IAM role. Di Secrets Manager, Anda dapat membuat rotasi otomatis untuk kredensial Anda. Anda dapat menggunakan Systems Manager untuk merujuk parameter di skrip, perintah, dokumen SSM, konfigurasi, dan alur kerja otomatisasi Anda menggunakan nama unik yang telah Anda tentukan saat membuat parameter tersebut.

Anda dapat menggunakan AWS Identity and Access Management Roles Anywhere untuk mendapatkan [kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) untuk beban kerja yang berjalan di luar AWS. Beban kerja Anda dapat menggunakan [kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dan [IAM role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang sama dengan yang Anda gunakan dengan aplikasi AWS untuk mengakses sumber daya AWS. 

 Jika memungkinkan, gunakan kredensial sementara jangka pendek, bukan kredensial statis jangka panjang. Untuk skenario di mana Anda memerlukan pengguna IAM dengan akses terprogram dan kredensial jangka panjang, gunakan [informasi yang terakhir digunakan kunci akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) untuk merotasi dan menghapus kunci akses. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/) 
+  [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) 
+  [Kebijakan yang dikelola AWS untuk IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) 
+  [Ketentuan kebijakan AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 
+  [Kasus penggunaan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html) 
+  [Hapus kredensial yang tidak diperlukan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Bekerja dengan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 
+  [Cara mengontrol akses ke sumber daya AWS berdasarkan Akun AWS, OU, atau organisasi](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/) 
+  [Identifikasi, atur, dan kelola rahasia secara mudah menggunakan pencarian yang ditingkatkan di AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) 

 **Video terkait:** 
+  [Menjadi Master Kebijakan IAM dalam 60 Menit atau Kurang](https://youtu.be/YQsK4MtsELU) 
+  [Pemisahan Tugas, Hak Akses Paling Rendah, Delegasi, dan CI/CD](https://youtu.be/3H0i7VyTu70) 
+  [Merampingkan manajemen identitas dan akses untuk inovasi](https://www.youtube.com/watch?v=3qK0b1UkaE8) 

# SEC03-BP02 Memberikan hak akses paling rendah
<a name="sec_permissions_least_privileges"></a>

Berikan hanya akses yang diperlukan identitas dengan mengizinkan akses ke tindakan tertentu pada sumber daya AWS tertentu dalam kondisi tertentu. Serahkan pada grup dan atribut identitas untuk menetapkan izin secara dinamis dalam skala besar, daripada menentukan izin sendiri-sendiri untuk masing-masing pengguna. Misalnya, Anda dapat memberi sebuah grup developer akses untuk mengelola sumber daya untuk proyek mereka saja. Dengan demikian, saat seorang developer dihapus dari grup, akses untuk developer tersebut akan dicabut di mana pun grup tersebut digunakan untuk kontrol akses, tanpa memerlukan perubahan apa pun pada kebijakan akses.

 **Antipola umum:** 
+ Memberikan izin administrator kepada para pengguna secara default. 
+ Menggunakan akun root untuk aktivitas harian. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>

Pembuatan prinsip [hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) memastikan identitas hanya diizinkan untuk melakukan rangkaian fungsi paling rendah yang diperlukan untuk memenuhi tugas tertentu, sambil menyeimbangkan kegunaan dan efisiensi. Operasi dengan prinsip ini membatasi akses yang tidak diinginkan dan membantu memastikan Anda dapat mengaudit siapa yang memiliki akses ke sumber daya tertentu. Di AWS, identitas tidak memiliki izin secara default kecuali untuk pengguna root. Kredensial untuk pengguna root harus dikontrol secara ketat dan hanya digunakan untuk beberapa [tugas tertentu](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). 

Anda menggunakan kebijakan untuk memberikan izin secara eksplisit yang dilampirkan ke IAM atau entitas sumber daya, seperti IAM peran yang digunakan oleh identitas atau mesin yang difederasi, atau sumber daya (misalnya, bucket S3). Saat membuat dan melampirkan kebijakan, Anda dapat menentukan tindakan layanan, sumber daya, dan kondisi yang harus terpenuhi agar AWS dapat mengizinkan akses. AWS mendukung beragam kondisi untuk membantu Anda menyaring akses. Misalnya, menggunakan `kunci kondisi` [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), pengidentifikasi AWS Organizations diverifikasi sehingga akses dapat diberikan di dalam Organisasi AWS Anda.

Anda juga dapat mengontrol permintaan yang dibuat oleh layanan AWS atas nama Anda, seperti AWS CloudFormation yang membuat fungsi AWS Lambda, dengan menggunakan `kunci kondisi` CalledVia. Anda harus membuat lapisan tipe-tipe kebijakan yang berbeda untuk membatasi keseluruhan izin secara efektif di dalam suatu akun. Misalnya, Anda dapat mengizinkan tim aplikasi Anda untuk membuat kebijakan IAM mereka sendiri, tetapi gunakan [Batasan Izin](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) untuk membatasi izin maksimum yang dapat mereka berikan. 

Terdapat sejumlah kemampuan AWS untuk membantu Anda menskalakan manajemen izin dan mematuhi prinsip hak akses paling rendah. [Kontrol Akses Berbasis Atribut](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) memungkinkan Anda membatasi izin berdasarkan *[tag](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* suatu sumber daya, untuk mengambil keputusan otorisasi berdasarkan tag yang diterapkan ke sumber daya tersebut dan memanggil principal IAM. Hal ini memungkinkan Anda menggabungkan kebijakan pemberian tag dan izin untuk mencapai akses sumber daya yang sangat mendetail tanpa memerlukan banyak kebijakan kustom.

Cara lain untuk mempercepat pembuatan kebijakan hak akses paling rendah adalah untuk melandaskan kebijakan Anda pada izin CloudTrail setelah aktivitas berjalan. [IAM Access Analyzer dapat menghasilkan kebijakan IAM secara otomatis berdasarkan aktivitas](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). Anda juga dapat menggunakan IAM Access Advisor pada level akun Organisasi atau individu untuk [melacak informasi yang terakhir kali diakses untuk kebijakan tertentu](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).

Bangun rutinitas untuk meninjau detail-detail ini dan menghapus izin yang tidak diperlukan. Anda harus membuat pagar pembatas izin di dalam Organisasi AWS Anda guna mengontrol izin maksimum di dalam akun anggota mana pun. Layanan seperti [AWS Control Tower memiliki kontrol preventif terkelola preskriptif](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) dan memungkinkan Anda menetapkan kontrol Anda sendiri. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) 
+  [Teknik untuk menulis kebijakan IAM hak akses paling rendah](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/) 
+  [IAM Access Analyzer mempermudah implementasi izin hak akses paling rendah dengan menghasilkan kebijakan IAM berdasarkan aktivitas akses](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/) 
+  [Menyempurnakan Izin menggunakan informasi yang terakhir kali diakses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) 
+  [Tipe kebijakan IAM dan kapan harus digunakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) 
+  [Menguji kebijakan IAM dengan simulator kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) 
+  [Pagar pembatas di AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) 
+  [Arsitektur Zero Trust: Sebuah perspektif AWS](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/) 
+  [Cara mengimplementasikan prinsip hak akses paling rendah dengan CloudFormation StackSets](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/) 

 **Video terkait:** 
+  [Manajemen izin generasi berikutnya](https://www.youtube.com/watch?v=8vsD_aTtuTo) 
+  [Zero Trust: Sebuah perspektif AWS](https://www.youtube.com/watch?v=1p5G1-4s1r0) 
+  [Bagaimana cara menggunakan batasan izin untuk membatasi pengguna dan peran IAM guna mencegah eskalasi hak akses paling rendah?](https://www.youtube.com/watch?v=omwq3r7poek) 

 **Contoh terkait:** 
+  [Lab: Batasan izin IAM yang mendelegasikan pembuatan peran](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html) 

# SEC03-BP03 Menerapkan proses akses darurat
<a name="sec_permissions_emergency_process"></a>

 Proses yang memungkinkan akses darurat ke beban kerja Anda dalam peristiwa proses otomatis yang tidak diharapkan atau masalah pipeline. Proses ini akan membantu Anda mengandalkan hak akses paling rendah, tetapi memastikan pengguna dapat memperoleh tingkat akses yang sesuai ketika mereka membutuhkannya. Misalnya, menerapkan proses bagi administrator untuk memverifikasi dan menyetujui permintaan pengguna, seperti peran lintas akun AWS darurat untuk akses, atau proses tertentu yang harus diikuti administrator untuk memvalidasi atau menyetujui permintaan darurat. 

 **Antipola umum:** 
+ Tidak ada proses darurat yang diterapkan untuk melakukan pemulihan dari pemadaman dengan konfigurasi identitas yang Anda miliki.
+ Memberikan peningkatan izin jangka panjang untuk tujuan pemecahan masalah atau pemulihan.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Membangun akses darurat dapat memiliki sejumlah bentuk yang harus Anda siapkan. Pertama adalah kegagalan penyedia identitas utama Anda. Pada kasus ini, Anda harus mengandalkan metode akses kedua dengan izin yang diperlukan untuk pulih. Metode ini bisa berupa penyedia identitas cadangan atau pengguna IAM. Metode kedua ini harus [secara ketat dikontrol, dipantau, dan diberitahukan](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) apabila digunakan. Identitas akses darurat harus berasal dari akun yang dibuat khusus untuk tujuan ini dan hanya memiliki izin untuk mengambil peran yang dirancang secara khusus untuk pemulihan. 

 Anda juga harus siap dengan akses darurat di mana peningkatan akses administratif sementara diperlukan. Skenario umumnya adalah membatasi mutasi izin ke proses otomatis yang digunakan untuk men-deploy perubahan. Apabila proses ini memiliki masalah, pengguna mungkin perlu meminta peningkatan izin untuk memulihkan fungsionalitas. Pada kasus ini, bangun sebuah proses di mana pengguna dapat meminta peningkatan akses dan administrator dapat memvalidasi dan menyetujuinya. Rencana implementasi yang mengurai panduan praktik terbaik untuk menyediakan akses di awal dan menyiapkan peran darurat dan *mendesak (break-glass)*disediakan sebagai bagian dari [SEC10-BP05 Menyediakan akses di awal](sec_incident_response_pre_provision_access.md). 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [Memantau dan Memberi Notifikasi di AWS](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity) 
+ [Mengelola peningkatan akses sementara](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) 

 **Video terkait:** 
+  [Menjadi Master Kebijakan IAM dalam 60 Menit atau Kurang](https://youtu.be/YQsK4MtsELU) 

# SEC03-BP04 Mengurangi izin secara terus-menerus
<a name="sec_permissions_continuous_reduction"></a>

 Jika tim dan beban kerja telah menentukan akses yang diperlukan, hapus izin yang tidak lagi digunakan dan tetapkan proses peninjauan untuk mendapatkan izin hak akses paling rendah. Memantau dan mengurangi secara terus-menerus identitas serta izin yang tidak digunakan. 

Terkadang, saat tim dan proyek baru dimulai, Anda mungkin memilih memberikan akses yang luas (di lingkungan pengembangan atau pengujian) guna menginspirasi inovasi dan ketangkasan. Sebaiknya evaluasikan akses secara terus-menerus, khususnya di lingkungan produksi, dan batasi akses untuk izin yang diperlukan saja serta capai hak akses paling rendah. AWS menyediakan kemampuan analisis akses untuk membantu mengidentifikasi akses yang tidak digunakan. Untuk membantu Anda mengidentifikasi pengguna, peran, izin, dan kredensial yang tidak digunakan, AWS menganalisis akses aktivitas dan menyediakan kunci akses sera peran yang terakhir digunakan informasi. Anda dapat menggunakan [stempel waktu yang terakhir diakses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) untuk [mengidentifikasi pengguna dan peran yang tidak digunakan](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/), dan menghapusnya. Selain itu, Anda dapat meninjau informasi layanan dan tindakan yang terakhir diakses guna mengidentifikasi dan [memperketat izin untuk pengguna dan peran tertentu.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Misalnya, Anda dapat menggunakan informasi yang terakhir diakses untuk mengidentifikasi tindakan Amazon Simple Storage Service(Amazon S3) tertentu yang diperlukan peran aplikasi dan membatasi akses hanya untuk mereka. Fitur ini tersedia di Konsol Manajemen AWS dan secara terprogram agar Anda dapat menyertakannya ke dalam alur kerja infrastruktur dan alat otomatis.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Konfigurasikan AWS Identify and Access Management (IAM) Access Analyzer: AWS IAM Access Analyzer membantu Anda mengidentifikasi sumber daya di organisasi dan akun Anda, seperti bucket Amazon Simple Storage Service (Amazon S3) atau peran IAM, yang dibagikan dengan entitas eksternal. 
  + [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [Berikan hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  [Hapus kredensial yang tidak diperlukan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Bekerja dengan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 

 **Video terkait:** 
+  [Menjadi Master Kebijakan IAM dalam 60 Menit atau Lebih Cepat](https://youtu.be/YQsK4MtsELU) 
+  [Pemisahan Tugas, Hak Akses Paling Rendah, Delegasi, dan CI/CD](https://youtu.be/3H0i7VyTu70) 

# SEC03-BP05 Menentukan pagar pembatas izin untuk organisasi Anda
<a name="sec_permissions_define_guardrails"></a>

 Tetapkan kontrol umum yang membatasi akses ke semua identitas di organisasi Anda. Misalnya, Anda dapat membatasi akses untuk Wilayah AWS tertentu, atau mencegah operator Anda menghapus dari sumber daya umum, seperti IAM role yang digunakan untuk tim keamanan pusat Anda. 

 **Antipola umum:** 
+ Menjalankan beban kerja di akun administrator Organisasi Anda. 
+ Menjalankan beban kerja produksi dan non-produksi di akun yang sama. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Seiring Anda menumbuhkan dan mengelola beban kerja tambahan di AWS, Anda harus memisahkan semua beban kerja ini menggunakan akun dan mengelola akun-akun tersebut menggunakan AWS Organizations. Kami menyarankan Anda membuat pagar pembatas izin umum yang membatasi akses ke semua identitas di organisasi Anda. Misalnya, Anda dapat membatasi akses ke Wilayah AWS tertentu, atau mencegah tim Anda menghapus sumber daya umum, seperti IAM role yang digunakan oleh tim keamanan pusat Anda. 

 Anda dapat memulainya dengan mengimplementasikan contoh kebijakan kontrol layanan, seperti mencegah pengguna menonaktifkan layanan utama. SCP menggunakan bahasa kebijakan IAM dan memungkinkan Anda untuk menerapkan kontrol yang dipatuhi semua principal (pengguna dan peran). Anda dapat membatasi akses ke tindakan atau sumber daya layanan tertentu, dan berdasarkan kondisi tertentu untuk memenuhi kebutuhan kontrol akses organisasi Anda. Jika perlu, Anda dapat menetapkan pengecualian pada pagar pembatas Anda. Misalnya, Anda dapat membatasi tindakan layanan untuk semua entitas IAM di dalam akun kecuali untuk peran administrator tertentu. 

 Kami menyarankan Anda untuk tidak menjalankan beban kerja di akun manajemen Anda. Akun manajemen sebaiknya digunakan untuk menata kelola dan men-deploy pagar pembatas keamanan yang akan memengaruhi akun-akun anggota. Beberapa layanan AWS mendukung penggunaan akun administrator yang didelegasikan. Saat tersedia, Anda harus menggunakan akun delegasi ini sebagai pengganti akun manajemen. Anda harus membatasi secara ketat akses ke akun administrator Organisasi. 

Menggunakan strategi multi-akun memungkinkan Anda untuk memiliki fleksibilitas yang lebih besar dalam menerapkan pagar pembatas ke beban kerja Anda. Arsitektur Rujukan Keamanan AWS memberikan panduan preskriptif tentang cara merancang struktur akun Anda. Layanan AWS seperti AWS Control Tower menyediakan kemampuan untuk mengelola kontrol preventif serta detektif secara terpusat di seluruh organisasi Anda. Tetapkan tujuan yang jelas untuk tiap akun atau OU di dalam organisasi dan batasi kontrol yang sejalan dengan tujuan tersebut. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [AWS Organizations](https://aws.amazon.com/organizations/) 
+ [Kebijakan kontrol layanan (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 
+ [Dapatkan hasil maksimal dari kebijakan kontrol layanan di lingkungan multi-akun](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/) 
+ [Arsitektur Referensi Keamanan AWS (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) 

 **Video terkait:** 
+ [Tegakkan Pagar Pembatas Preventif menggunakan Kebijakan Kontrol Layanan](https://www.youtube.com/watch?v=mEO05mmbSms) 
+  [Membangun tata kelola pada skala besar dengan AWS Control Tower](https://www.youtube.com/watch?v=Zxrs6YXMidk) 
+  [Mendalami AWS Identity and Access Management](https://www.youtube.com/watch?v=YMj33ToS8cI) 

# SEC03-BP06 Mengelola akses berdasarkan siklus hidup
<a name="sec_permissions_lifecycle"></a>

 Integrasikan kontrol akses dengan siklus hidup operator dan aplikasi serta penyedia federasi terpusat. Misalnya, hapus akses pengguna saat mereka keluar dari organisasi atau berganti peran. 

Saat Anda mengelola beban kerja menggunakan akun terpisah, akan ada kasus saat Anda perlu membagikan sumber daya kepada akun-akun tersebut. Sebaiknya bagikan sumber menggunakan [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Layanan ini memungkinkan Anda untuk membagikan sumber daya AWS di dalam Unit Organisasi dan AWS Organizations Anda. Menggunakan AWS RAM, akses ke sumber daya bersama secara otomatis diberikan atau dicabut ketika akun dimasukkan atau dikeluarkan dari Organisasi atau Unit Organisasi mereka. Hal ini memastikan bahwa sumber daya hanya dibagikan dengan akun yang Anda maksudkan saja.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Siklus hidup akses pengguna mengimplementasikan kebijakan siklus hidup akses pengguna untuk pengguna yang baru bergabung, perubahan fungsi tugas, serta pengguna yang keluar, sehingga hanya pengguna saat ini yang memiliki akses. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [Berikan hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
+  [Hapus kredensial yang tidak diperlukan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Bekerja dengan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 

 **Video terkait:** 
+  [Become an IAM Policy Master in 60 Minutes or Less](https://youtu.be/YQsK4MtsELU) 
+  [Separation of Duties, Least Privilege, Delegation, and CI/CD](https://youtu.be/3H0i7VyTu70) 

# SEC03-BP07 Menganalisis akses lintas akun dan publik
<a name="sec_permissions_analyze_cross_account"></a>

Pantau secara kontinu temuan yang menyoroti akses lintas akun dan publik. Kurangi akses publik dan akses lintas akun ke sumber daya yang memerlukan jenis akses ini saja. 

 **Antipola umum:** 
+  Tidak mengikuti proses untuk mengatur akses untuk akses lintas akun dan publik ke sumber daya. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>

Di AWS, Anda dapat memberikan akses kepada sumber daya di akun lain. Anda memberikan akses lintas akun langsung menggunakan kebijakan yang dilampirkan ke sumber daya (misalnya, [kebijakan bucket Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)) atau dengan mengizinkan identitas untuk mengambil peran IAM di akun yang lain. Ketika menggunakan kebijakan sumber daya, pastikan akses diberikan kepada identitas di organisasi Anda dan Anda memang berniat menjadikan sumber daya dapat diakses oleh publik. Tentukan proses untuk menyetujui semua sumber daya yang diperlukan untuk tersedia secara publik. 

 [IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) menggunakan [keamanan yang dapat dibuktikan](https://aws.amazon.com/security/provable-security/) untuk mengidentifikasi semua jalur akses ke sumber daya dari luar akun tersebut. Dengan ini, kebijakan sumber daya Anda akan ditinjau secara kontinu, dan melaporkan temuan akses lintas akun dan publik untuk memudahkan Anda menganalisis potensi akses yang luas. Pertimbangkan untuk mengonfigurasi IAM Access Analyzer dengan AWS Organizations untuk memastikan Anda memiliki visibilitas tentang semua akun Anda. IAM Access Analyzer juga memungkinkan Anda untuk [melakukan pratinjau temuan Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html), sebelum men-deploy izin sumber daya. Hal ini memungkinkan Anda untuk memvalidasi bahwa perubahan kebijakan hanya memberikan akses lintas akun dan publik yang benar-benar diinginkan ke sumber daya Anda. Saat merancang untuk akses multiakun, Anda dapat menggunakan [kebijakan kepercayaan untuk mengontrol dalam kasus apa peran dapat diambil](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). Misalnya, Anda dapat membatasi pengambilan peran pada rentang IP sumber tertentu. 

 Anda juga dapat menggunakan [AWS Config untuk melaporkan dan memperbaiki sumber daya](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) untuk segala konfigurasi akses publik yang tidak disengaja, melalui pemeriksaan kebijakan AWS Config. Layanan seperti [AWS Control Tower](https://aws.amazon.com/controltower) dan [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) menyederhanakan deployment pemeriksaan dan pagar pembatas di AWS Organizations untuk mengidentifikasi dan memperbaiki sumber daya yang terpapar publik. Misalnya, AWS Control Tower memiliki pagar pembatas terkelola yang dapat mendeteksi jika terdapat [snapshot Amazon EBS yang dapat dipulihkan oleh semua akun AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Menggunakan AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+  [Pagar Pembatas di AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [Standar Praktik Terbaik Keamanan Dasar AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+  [Aturan Terkelola AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html) 
+  [Referensi pemeriksaan AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html) 

 **Video terkait:** 
+ [Praktik Terbaik untuk mengamankan lingkungan multiakun Anda](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Memahami Lebih Dalam tentang IAM Access Analyzer](https://www.youtube.com/watch?v=i5apYXya2m0)

# SEC03-BP08 Membagikan sumber daya secara aman
<a name="sec_permissions_share_securely"></a>

 Kelola pemakaian sumber daya yang dibagikan di seluruh akun atau di dalam AWS Organizations Anda. Pantau sumber daya bersama dan tinjau akses sumber daya bersama. 

 **Antipola umum:** 
+  Menggunakan kebijakan kepercayaan IAM default ketika memberikan akses lintas akun kepada pihak ketiga. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Jika Anda mengelola beban kerja Anda menggunakan beberapa akun AWS, Anda mungkin perlu membagikan sumber daya antar akun. Sering kali, ini dilakukan dengan berbagi antar akun dalam AWS Organizations. Beberapa layanan AWS, seperti [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html), dan [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) memiliki fitur lintas akun yang terintegrasi dengan Organizations. Anda dapat menggunakan [AWS Resource Access Manager](https://aws.amazon.com/ram/) untuk berbagi sumber daya umum lainnya, seperti [Subnet VPC atau lampiran Gateway Transit](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall), atau [pipeline Amazon SageMaker Runtime](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker). Jika Anda ingin memastikan bahwa akun Anda hanya membagikan sumber daya di Organizations Anda, sebaiknya gunakan [Kebijakan Kontrol Layanan (SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) untuk mencegah akses ke principal eksternal.

 Ketika membagikan sumber daya, Anda harus melakukan tindakan untuk mencehah akses yang tidak diinginkan. Sebaiknya gabungkan kontrol berbasis identitas dan kontrol jaringan untuk [membuat perimeter data bagi organisasi Anda.](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html). Kontrol ini harus menetapkan batas ketat terkait sumber daya apa yang dapat dibagikan dan mencegah berbagi atau memaparkan sumber daya yang tidak diizinkan. Misalnya, sebagai bagian dari perimeter data Anda, Anda dapat menggunakan kebijakan titik akhir VPC dan persyaratan `aws:PrincipalOrgId` untuk memastikan identitas yang mengakses bucket Amazon S3 Anda adalah milik organisasi Anda. 

 Dalam beberapa kasus, Anda mungkin ingin mengizinkan berbagi sumber daya di luar Organizations Anda atau memberikan akses ke akun Anda kepada pihak ketiga. Misalnya, seorang partner mungkin menyediakan solusi pemantauan yang perlu mengakses sumber daya di akun Anda. Dalam kasus tersebut, Anda harus membuat peran lintas akun IAM hanya dengan hak akses yang dibutuhkan oleh pihak ketiga tersebut. Anda juga harus membuat kebijakan kepercayaan menggunakan [persyaratan ID eksternal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Ketika menggunakan ID eksternal, Anda harus membuat ID unik untuk setiap pihak ketiga. ID unik tidak boleh disediakan atau dikontrol oleh pihak ketiga. Jika pihak ketiga sudah tidak memerlukan akses ke lingkungan Anda, Anda harus menghapus peran. Bagaimana pun juga, Anda juga harus menghindari menyediakan kredensial IAM jangka panjang kepada pihak ketiga. Selalu waspadai tentang layanan AWS lain yang secara native mendukung fitur berbagi. Misalnya, AWS Well-Architected Tool mengizinkan [berbagi beban kerja](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) dengan akun AWS lain. 

 Ketika menggunakan layanan seperti Amazon S3, direkomendasikan untuk [menonaktifkan ACL untuk bucket Amazon S3 Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) dan menggunakan kebijakan IAM untuk menetapkan kontrol akses. [Untuk membatasi akses ke asal Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) dari [Amazon CloudFront](https://aws.amazon.com/cloudfront/), migrasikan dari identitas akses asal (OAI) ke kontrol akses asal (OAC) yang mendukung fitur tambahan termasuk enkripsi di sisi server dengan [AWS KMS](https://aws.amazon.com/kms/).

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [Pemilik bucket yang memberikan izin lintas akun ke objek yang tidak dimilikinya](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [Cara menggunakan Kebijakan Kepercayaan dengan IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Membangun Perimeter Data di AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [Cara menggunakan ID eksternal saat memberikan akses ke sumber daya AWS Anda kepada pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)

 **Video terkait:** 
+ [Akses Terperinci dengan AWS Resource Access Manager](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Mengamankan perimeter data Anda dengan titik akhir VPC](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Membuat perimeter data di AWS](https://www.youtube.com/watch?v=SMi5OBjp1fI)

# Deteksi
<a name="a-detective-controls"></a>

**Topics**
+ [SEC 4 Bagaimana cara mendeteksi dan menyelidiki peristiwa keamanan?](w2aac19b7b9b5.md)

# SEC 4 Bagaimana cara mendeteksi dan menyelidiki peristiwa keamanan?
<a name="w2aac19b7b9b5"></a>

Catat dan analisis peristiwa dari log dan metrik untuk mendapatkan visibilitas. Ambil tindakan atas peristiwa keamanan dan potensi ancaman untuk membantu mengamankan beban kerja Anda.

**Topics**
+ [SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Menganalisis log, temuan, dan metrik secara terpusat](sec_detect_investigate_events_analyze_all.md)
+ [SEC04-BP03 Mengotomatiskan respons untuk peristiwa](sec_detect_investigate_events_auto_response.md)
+ [SEC04-BP04 Implementasikan peristiwa keamanan yang dapat ditindaklanjuti](sec_detect_investigate_events_actionable_events.md)

# SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi
<a name="sec_detect_investigate_events_app_service_logging"></a>

 Konfigurasikan pencatatan log di sepanjang beban kerja, termasuk log aplikasi, log sumber daya, dan log layanan AWS. Misalnya, pastikan bahwa AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty dan AWS Security Hub CSPM diaktifkan untuk semua akun dalam organisasi Anda. 

Praktik dasar bertujuan untuk menetapkan serangkaian mekanisme deteksi pada tingkat akun. Rangkaian mekanisme dasar ini ditujukan untuk merekam dan mendeteksi berbagai tindakan di semua sumber daya pada akun Anda. Mekanisme memungkinkan Anda untuk membangun kemampuan deteksi yang komprehensif dengan opsi yang mencakup perbaikan otomatis, serta integrasi partner untuk menambah fungsionalitas.

Layanan di AWS yang dapat menerapkan rangkaian dasar ini meliputi:
+ [AWS CloudTrail](http://aws.amazon.com/cloudtrail) menyediakan riwayat peristiwa aktivitas akun AWS Anda, termasuk tindakan yang diambil melalui Konsol Manajemen AWS, SDK AWS, alat baris perintah, serta layanan AWS lainnya.
+ [AWS Config](http://aws.amazon.com/config) memantau dan merekam konfigurasi sumber daya AWS Anda serta memungkinkan Anda untuk mengotomatisasi evaluasi dan perbaikan berdasarkan konfigurasi yang diinginkan.
+ [Amazon GuardDuty](http://aws.amazon.com/guardduty) adalah layanan deteksi ancaman yang terus memantau aktivitas berbahaya dan perilaku tidak terotorisasi untuk melindungi akun dan beban kerja AWS Anda.
+ [AWS Security Hub CSPM](http://aws.amazon.com/security-hub) menyediakan satu tempat yang mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan Anda, atau temuan, dari beberapa layanan AWS serta produk pihak ketiga opsional untuk memberikan Anda tampilan peringatan keamanan dan status kepatuhan secara komprehensif.

Membangun landasan pada tingkat akun, banyak layanan AWS inti, misalnya [Amazon Virtual Private Cloud Console (Amazon VPC)](http://aws.amazon.com/vpc), menyediakan fitur pencatatan log tingkat layanan. [Amazon VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) memungkinkan Anda untuk merekam informasi tentang lalu lintas IP yang bergerak ke dan dari antarmuka jaringan yang dapat menyediakan wawasan berharga tentang riwayat konektivitas, serta memicu tindakan otomatis berdasarkan perilaku tidak lazim.

Untuk instans Amazon Elastic Compute Cloud (Amazon EC2) dan pencatatan log berbasis aplikasi yang tidak berasal dari layanan AWS, log dapat disimpan dan dianalisis menggunakan [Amazon CloudWatch Logs](http://aws.amazon.com/cloudwatch). Sebuah [agen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) mengumpulkan log dari sistem operasi dan aplikasi yang berjalan serta menyimpannya secara otomatis. Setelah log tersedia di CloudWatch Logs, Anda dapat [memprosesnya secara waktu nyata](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html), atau mendalami analisis menggunakan [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html).

Kemampuan mengekstrak wawasan bermakna dari data log dan peristiwa bervolume besar yang dihasilkan oleh arsitektur kompleks sama pentingnya dengan mengumpulkan dan mengagregasi log. Lihat bagian *Pemantauan* di [laporan resmi Pilar Keandalan](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/monitor-workload-resources.html) untuk detail lebih lanjut. Log dapat menampung sendiri data yang dianggap sensitif–baik ketika data aplikasi secara tidak sengaja masuk ke file log yang sedang direkam agen CloudWatch Logs, atau ketika pencatatan log lintas wilayah dikonfigurasi untuk agregrasi log serta ada pertimbangan perundang-undangan tentang pengiriman lintas batas untuk informasi tertentu.

Salah satu pendekatan adalah menggunakan fungsi AWS Lambda, yang dipicu pada peristiwa ketika log dikirim, untuk menyaring dan menyunting data log sebelum meneruskannya ke lokasi pencatatan log pusat, seperti bucket Amazon Simple Storage Service (Amazon S3). Log yang tidak disunting dapat dipertahankan di bucket lokal sampai waktu yang wajar telah berlalu (sesuai yang ditetapkan oleh undang-undang dan tim hukum Anda), dan saat itu, aturan siklus hidup Amazon S3 dapat menghapusnya secara otomatis. Log dapat dilindungi lebih lanjut di Amazon S3 menggunakan [Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html), di mana Anda dapat menyimpan objek menggunakan model tulis sekali baca banyak (WORM).

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Aktifkan pencatatan log layanan AWS: Aktifkan pencatatan log layanan AWS untuk memenuhi persyaratan Anda. Kemampuan pencatatan log mencakup: Amazon VPC Flow Logs, log Elastic Load Balancing (ELB), log bucket Amazon S3, log akses CloudFront, log kueri Amazon Route 53, dan log Amazon Relational Database Service (Amazon RDS). 
  +  [Jawaban AWS: kemampuan pencatatan log keamanan AWS native ](https://aws.amazon.com/answers/logging/aws-native-security-logging-capabilities/)
+  Evaluasi dan aktifkan pencatatan log sistem operasi dan log khusus aplikasi untuk mendeteksi perilaku mencurigakan. 
  + [ Mulai menggunakan CloudWatch Logs ](http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
  + [ Alat Pengembang dan Analisis Log ](https://aws.amazon.com/marketplace/search/results?category=4988009011)
+  Terapkan kontrol yang sesuai pada log: Log dapat mengandung informasi sensitif dan hanya dapat diakses oleh pengguna resmi. Pertimbangkan untuk membatasi izin ke bucket Amazon S3 dan grup log CloudWatch Logs. 
  + [ Autentikasi dan Kontrol Akses untuk Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)
  +  [Manajemen identitas dan akses di Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
+  Konfigurasikan [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html): GuardDuty adalah layanan deteksi ancaman yang terus mencari aktivitas berbahaya dan perilaku tidak terotorisasi untuk melindungi Akun AWS dan beban kerja Anda. Aktifkan GuardDuty dan konfigurasikan peringatan otomatis pada email menggunakan lab. 
+  [Konfigurasikan jejak yang disesuaikan di CloudTrail](http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html): Konfigurasi jejak memungkinkan Anda untuk menyimpan log lebih lama dari periode default, dan menganalisisnya di lain waktu. 
+  Aktifkan [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html): AWS Config memberikan tampilan mendetail tentang konfigurasi sumber daya AWS di Akun AWS Anda. Tampilan ini mencakup hubungan antar sumber daya dan konfigurasi sumber daya tersebut sebelumnya sehingga Anda dapat melihat perubahan konfigurasi dan hubungan tersebut dari waktu ke waktu. 
+  Aktifkan [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): Security Hub CSPM memberikan tampilan komprehensif tentang status keamanan Anda di AWS dan membantu memeriksa kepatuhan Anda terhadap standar industri keamanan dan praktik terbaik. Security Hub CSPM mengumpulkan data keamanan di seluruh Akun AWS, layanan dan produk partner pihak ketiga yang didukung serta membantu menganalisis tren keamanan Anda dan mengidentifikasi masalah keamanan prioritas tertinggi. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Memulai: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+  [Solusi Partner Keamanan: Pencatatan Log dan Pemantauan](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 

 **Video terkait:** 
+ [ Konfigurasi dan Kepatuhan Sumber Daya Pemantauan Sentral ](https://youtu.be/kErRv4YB_T4)
+  [Memperbaiki Amazon GuardDuty dan Temuan AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Manajemen ancaman di cloud: Amazon GuardDuty dan AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)

 **Contoh terkait:** 
+ [ Lab: Deployment Otomatis Kontrol Deteksi ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)

# SEC04-BP02 Menganalisis log, temuan, dan metrik secara terpusat
<a name="sec_detect_investigate_events_analyze_all"></a>

 Tim operasi keamanan mengandalkan pengumpulan data dan penggunaan alat pencarian untuk menemukan potensi peristiwa yang menjadi perhatian, yang mungkin menandakan aktivitas yang tidak diotorisasi atau perubahan yang tidak diinginkan. Namun, menganalisis data yang terkumpul dan memproses informasi secara manual saja tidak cukup untuk mengimbangi volume informasi yang mengalir dari arsitektur kompleks. Analisis dan pelaporan saja belum cukup untuk memfasilitasi penetapan sumber daya yang tepat untuk mengerjakan peristiwa pada waktu yang diinginkan. 

Praktik terbaik untuk membangun tim operasi keamanan yang matang adalah dengan mengintegrasikan aliran peristiwa keamanan dan temuan ke dalam notifikasi dan sistem alur kerja seperti sistem ticketing, sistem masalah atau bug, atau sistem informasi keamanan dan manajemen peristiwa (SIEM) lainnya. Hal ini mengalihkan alur kerja dari email dan laporan statis, sehingga Anda dapat merutekan, mengeskalasi, dan mengelola peristiwa atau temuan. Banyak organisasi yang juga mengintegrasikan peringatan keamanan ke dalam obrolan atau kolaborasi mereka, dan platform produktivitas developer. Untuk organisasi yang memulai otomatisasi, sistem ticketing yang didorong API dan berlatensi rendah menawarkan berbagai fleksibilitas saat merencanakan apa yang harus diotomatiskan terlebih dahulu.

Praktik terbaik ini tidak hanya berlaku untuk peristiwa keamanan yang dibuat dari pesan log yang menggambarkan aktivitas pengguna atau peristiwa jaringan, tetapi juga dari perubahan yang terdeteksi dalam infrastruktur. Kemampuan untuk mendeteksi perubahan, menentukan apakah perubahan tersebut sesuai, dan kemudian mengarahkan informasi tersebut ke alur kerja remediasi begitu penting dalam memelihara dan memvalidasi arsitektur yang aman, saat terjadi perubahan yang tidak diinginkan tetapi sulit dideteksi sehingga eksekusinya saat ini tidak dapat dicegah dengan kombinasi konfigurasi AWS Identity and Access Management(IAM) dan AWS Organizations.

Amazon GuardDuty dan AWS Security Hub CSPM memberikan gabungan, deduplikasi, dan mekanisme analisis untuk catatan log, yang juga dibuat tersedia untuk Anda via layanan AWS lainnya. GuardDuty menyerap, menggabungkan, dan menganalisis, informasi dari sumber seperti manajemen AWS CloudTrail dan peristiwa data, log DNS VPC, dan Log Alur VPC. Security Hub CSPM dapat menyerap, menggabungkan, dan menganalisis hasil dari GuardDuty, AWS Config, Amazon Inspector, Amazon Macie, AWS Firewall Manager, dan sebagian besar produk keamanan pihak ketiga yang tersedia di AWS Marketplace, dan jika langsung dibangun, kode milik Anda sendiri. GuardDuty dan Security Hub CSPM memiliki model Administrator-Anggota yang dapat mengagregatkan temuan dan wawasan dari beberapa akun, dan Security Hub CSPM sering digunakan oleh pelanggan SIEM on-premise sebagai log sisi AWS dan peringatan praprosesor dan agregator yang dapat diserap Amazon EventBridge melalui prosesor dan penerus berbasis AWS Lambda.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Evaluasikan kemampuan pemrosesan log: Evaluasikan opsi yang tersedia untuk pemrosesan log. 
  +  [Gunakan Amazon OpenSearch Service untuk mencatat dan memantau (hampir) semuanya ](https://d1.awsstatic.com/whitepapers/whitepaper-use-amazon-elasticsearch-to-log-and-monitor-almost-everything.pdf)
  +  [Temukan partner yang ahli dalam pencatatan log dan pemantauan. ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
+  Sebagai awal untuk menganalisis log CloudTrail, uji Amazon Athena. 
  + [ Konfigurasikan Athena untuk menganalisis log CloudTrail ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)
+  Implementasikan sentralisasi pencatatan dalam AWS: Lihat solusi contoh AWS berikut untuk memusatkan pencatatan dari berbagai sumber. 
  +  [Solusi sentralisasi pencatatan ](https://aws.amazon.com/solutions/centralized-logging/https://aws.amazon.com/solutions/centralized-logging/)
+  Implementasikan sentralisasi pencatatan dengan partner: APN Partner memiliki solusi untuk membantu Anda menganalisis log secara terpusat. 
  + [ Pencatatan dan Pemantauan ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [AWS Answers: Pencatatan Log Terpusat ](https://aws.amazon.com/answers/logging/centralized-logging/)
+  [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Mulai menggunakan: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+  [Solusi Partner Keamanan: Pencatatan Log dan Pemantauan](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 

 **Video terkait:** 
+ [ Konfigurasi dan Kepatuhan Sumber Daya Pemantauan Terpusat ](https://youtu.be/kErRv4YB_T4)
+  [Memperbaiki Temuan Amazon GuardDuty dan AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Manajemen ancaman di cloud: Amazon GuardDuty dan AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)

# SEC04-BP03 Mengotomatiskan respons untuk peristiwa
<a name="sec_detect_investigate_events_auto_response"></a>

 Menggunakan otomatisasi untuk menyelidiki dan menangani peristiwa dapat mengurangi upaya manusia dan potensi kesalahan, serta memungkinkan Anda untuk menskalakan kemampuan penyelidikan. Tinjauan rutin dapat membantu Anda menyesuaikan alat otomatisasi, dan mengulanginya secara iteratif. 

Di AWS, menyelidiki peristiwa menarik dan informasi tentang potensi perubahan yang tidak diharapkan ke alur kerja otomatis dapat dicapai menggunakan Amazon EventBridge. Layanan ini menyediakan mesin aturan yang dapat diskalakan dan dirancang untuk mengelola format peristiwa AWS native (seperti peristiwa AWS CloudTrail), serta peristiwa kustom yang dapat dihasilkan dari aplikasi Anda. Amazon GuardDuty juga memungkinkan Anda untuk merutekan peristiwa ke sistem alur kerja untuk mereka yang membangun sistem respons insiden (AWS Step Functions), atau ke Akun Keamanan pusat, atau ke bucket untuk analisis lebih jauh.

Mendeteksi perubahan dan merutekan informasi ini ke alur kerja yang sesuai dapat dilakukan dengan menggunakan Aturan AWS Config [dan Paket Konformasi](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html). AWS Config mendeteksi perubahan ke layanan dalam cakupan (walaupun dengan latensi yang lebih tinggi dari EventBridge) dan membuat peristiwa yang dapat di-parse menggunakan Aturan AWS Config untuk rollback, penerapan kebijakan kepatuhan, dan melanjutkan informasi ke sistem, seperti mengubah platform manajemen dan sistem ticketing operasional. Selain menulis fungsi Lambda Anda sendiri untuk merespons peristiwa AWS Config, Anda juga dapat memanfaatkan [Kit Pengembangan Aturan AWS Config](https://github.com/awslabs/aws-config-rdk), dan [pustaka sumber terbuka](https://github.com/awslabs/aws-config-rules) Aturan AWS Config. Paket konformasi adalah kumpulan Aturan AWS Config dan tindakan perbaikan yang Anda deploy sebagai entitas tunggal yang ditulis sebagai templat YAML. Sebuah [sampel templat paket konformasi](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) tersedia untuk Pilar Keamanan Well-Architected.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Implementasikan peringatan yang diotomatiskan dengan GuardDuty: GuardDuty adalah layanan deteksi ancaman yang terus-menerus memantau aktivitas berbahaya dan perilaku yang tidak diotorisasi, untuk melindungi Akun AWS dan beban kerja Anda. Aktifkan GuardDuty dan konfigurasikan peringatan yang diotomatiskan. 
+  Otomatiskan proses penyelidikan: Kembangkan proses otomatis yang menyelidiki peristiwa serta melaporkan informasi ke administrator untuk menghemat waktu. 
  + [ Lab: Penggunaan Amazon GuardDuty ](https://hands-on-guardduty.awssecworkshops.com/)

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [AWS Jawaban: Pencatatan Log Terpusat ](https://aws.amazon.com/answers/logging/centralized-logging/)
+  [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Mulai menggunakan: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+  [Solusi Partner Keamanan: Pencatatan Log dan Pemantauan](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 
+ [ Menyiapkan Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)

 **Video terkait:** 
+ [ Centrally Monitoring Resource Configuration and Compliance ](https://youtu.be/kErRv4YB_T4)
+  [Memperbaiki Temuan Amazon GuardDuty dan AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Manajemen ancaman di cloud: Amazon GuardDuty dan AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis Kontrol Deteksi ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)

# SEC04-BP04 Implementasikan peristiwa keamanan yang dapat ditindaklanjuti
<a name="sec_detect_investigate_events_actionable_events"></a>

 Buat peringatan yang dikirimkan ke tim Anda dan dapat ditindaklanjuti oleh mereka. Pastikan peringatan mencakup informasi yang relevan bagi tim untuk mengambil tindakan. Untuk setiap mekanisme deteksi yang Anda miliki, Anda juga harus memiliki proses, dalam bentuk [runbook](https://wa.aws.amazon.com/wat.concept.runbook.en.html) atau [playbook](https://wa.aws.amazon.com/wat.concept.playbook.en.html), untuk menyelidiki. Contohnya, ketika Anda mengaktifkan [Amazon GuardDuty](http://aws.amazon.com/guardduty), ini menghasilkan [temuan yang berbeda.](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html). Anda harus memiliki entri runbook untuk setiap jenis temuan, contohnya, jika [ditemukan trojan,](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_trojan.html) runbook Anda memiliki instruksi mudah yang menginstruksikan seseorang untuk menyelidiki dan memperbaiki. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Temukan metrik yang tersedia untuk layanan AWS: Temukan metrik yang tersedia melalui Amazon CloudWatch untuk layanan yang Anda gunakan. 
  +  [Dokumentasi layanan AWS](https://aws.amazon.com/documentation/) 
  +  [Menggunakan Metrik Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) 
+  Konfigurasikan alarm Amazon CloudWatch. 
  +  [Menggunakan Alarm Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+  [Solusi Partner Keamanan: Logging dan Pemantauan](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 

 **Video terkait:** 
+ [ Konfigurasi dan Kepatuhan Sumber Daya Pemantauan Terpusat ](https://youtu.be/kErRv4YB_T4)
+  [Memperbaiki Temuan Amazon GuardDuty dan AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Manajemen ancaman di cloud: Amazon GuardDuty dan AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)

# Perlindungan infrastruktur
<a name="a-infrastructure-protection"></a>

**Topics**
+ [SEC 5 Bagaimana cara melindungi sumber daya jaringan Anda?](w2aac19b7c11b5.md)
+ [SEC 6 Bagaimana cara melindungi sumber daya komputasi Anda?](w2aac19b7c11b7.md)

# SEC 5 Bagaimana cara melindungi sumber daya jaringan Anda?
<a name="w2aac19b7c11b5"></a>

Setiap beban kerja yang memiliki suatu bentuk konektivitas jaringan, baik internet atau jaringan privat, memerlukan beberapa lapisan pertahanan untuk membantu melindungi dari ancaman eksternal dan internal berbasis jaringan.

**Topics**
+ [SEC05-BP01 Ciptakan lapisan jaringan](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Mengontrol lalu lintas di semua lapisan](sec_network_protection_layered.md)
+ [SEC05-BP03 Mengotomatiskan perlindungan jaringan](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 Mengimplementasikan inspeksi dan perlindungan](sec_network_protection_inspection.md)

# SEC05-BP01 Ciptakan lapisan jaringan
<a name="sec_network_protection_create_layers"></a>

 Kelompokkan komponen yang memiliki persyaratan keterjangkauan yang sama ke dalam sejumlah lapisan. Misalnya, sebuah klaster basis data di cloud privat virtual (VPC) yang tidak memerlukan akses internet harus ditempatkan dalam subnet yang tidak memiliki rute ke atau dari internet. Di beban kerja nirserver yang beroperasi tanpa VPC, pelapisan yang serupa dan segmentasi dengan layanan mikro dapat mencapai tujuan yang sama. 

Komponen seperti instans Amazon Elastic Compute Cloud (Amazon EC2), klaster basis data Amazon Relational Database Service (Amazon RDS), dan fungsi AWS Lambda yang memiliki persyaratan keterjangkauan yang sama dapat disegmentasikan menjadi lapisan yang dibentuk oleh subnet. Misalnya, sebuah klaster basis data Amazon RDS di VPC yang tidak memerlukan akses internet harus ditempatkan dalam subnet yang tidak memiliki rute ke atau dari internet. Pendekatan berlapis untuk kontrol ini memitigasi dampak salah konfigurasi satu lapisan, yang dapat memberikan akses yang tidak dimaksudkan. Untuk Lambda, Anda dapat menjalankan fungsi Anda di VPC Anda untuk memanfaatkan kontrol berbasis VPC.

Untuk konektivitas jaringan yang dapat mencakup ribuan VPC, akun AWS, dan jaringan on-premise, Anda harus menggunakan [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Ini berfungsi sebagai pusat yang mengontrol cara lalu lintas dirutekan di antara semua jaringan terhubung, yang berfungsi seperti jari-jari roda. Lalu lintas antara Amazon Virtual Private Cloud dan AWS Transit Gateway tetapi di jaringan privat AWS, yang mengurangi vektor ancaman eksternal seperti serangan penyangkalan layanan terdistribusi (DDoS) dan eksploitasi umum, seperti injeksi SQL, XSS, pemalsuan permintaan lintas situs, atau penyalahgunaan kode autentikasi rusak. Peering antar wilayah AWS Transit Gateway juga mengenkripsi lalu lintas antar wilayah tanpa SPOF atau hambatan bandwidth.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Ciptakan subnet di VPC: Ciptakan subnet untuk setiap lapisan (dalam grup yang mencakup beberapa Zona Ketersediaan), dan kaitkan tabel rute dengan perutean kontrol. 
  +  [VPC dan subnet ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
  +  [Tabel rute ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) 
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+  [Keamanan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Memulai dengan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Video terkait:** 
+  [Arsitektur referensi AWS Transit Gateway untuk banyak VPC ](https://youtu.be/9Nikqn_02Oc)
+  [Perlindungan dan Akselerasi Aplikasi dengan Amazon CloudFront, AWS WAF, dan AWS Shield](https://youtu.be/0xlwLEccRe0) 

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP02 Mengontrol lalu lintas di semua lapisan
<a name="sec_network_protection_layered"></a>

  Ketika merancang topologi jaringan, Anda harus memeriksa persyaratan konektivitas setiap komponen. Misalnya, periksa apakah komponen memerlukan aksesibilitas internet (masuk dan keluar), konektivitas ke VPC, layanan edge, dan pusat data eksternal. 

 Dengan VPC, Anda dapat menentukan topologi jaringan yang menjangkau Wilayah AWS dengan rentang alamat IPv4 privat yang Anda atur, atau rentang alamat IPv6 yang dipilih oleh AWS. Anda harus menerapkan beberapa kontrol dengan pendekatan pertahanan mendalam untuk lalu lintas masuk dan keluar, termasuk penggunaan grup keamanan (firewall inspeksi stateful), ACL Jaringan, subnet, dan tabel rute. Di dalam VPC, Anda dapat membuat subnet di Zona Ketersediaan. Masing-masing subnet dapat memiliki tabel rute terkait yang menentukan aturan perutean untuk mengelola jalur yang digunakan lalu lintas dalam subnet. Anda dapat menentukan subnet yang dapat dirutekan internet dengan rute yang mengarah ke gateway NAT atau internet yang terikat ke VPC, atau melalui VPC lainnya. 

 Saat diluncurkan di dalam VPC, instans, basis data Amazon Relational Database Service(Amazon RDS), atau layanan lainnya akan memiliki grup keamanannya sendiri per antarmuka jaringan. Firewall ini berada di luar lapisan sistem operasi dan dapat digunakan untuk menentukan aturan bagi lalu lintas masuk dan keluar yang diizinkan. Anda juga dapat menentukan hubungan antargrup keamanan. Misalnya, instans dalam grup keamanan tingkat basis data hanya menerima lalu lintas dari instans dalam tingkat aplikasi, dengan merujuk ke grup keamanan yang diterapkan ke instans yang terlibat. Namun jika Anda menggunakan protokol non-TCP, Anda tidak perlu memiliki instans Amazon Elastic Compute Cloud(Amazon EC2) yang dapat diakses langsung dengan internet (bahkan dengan port yang dibatasi oleh grup keamanan) tanpa penyeimbang beban, atau [CloudFront](https://aws.amazon.com/cloudfront). Hal ini akan membantu melindunginya dari akses yang tidak diharapkan melalui sistem operasi atau masalah aplikasi. Subnet juga dapat memiliki ACL jaringan yang terikat dengannya, yang berperan sebagai firewall stateless. Anda harus mengonfigurasi jaringan ACL untuk mempersempit cakupan lalu lintas yang diizinkan antarlapisan, Anda juga harus menentukan aturan masuk dan keluar. 

 Beberapa layanan AWS memerlukan komponen untuk mengakses internet guna membuat panggilan API, tempat [titik akhir API AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) berada. Layanan AWS lain menggunakan [titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) di dalam Amazon VPC Anda. Banyak layanan AWS, termasuk Amazon S3 dan Amazon DynamoDB, yang mendukung titik akhir VPC. Selain itu, teknologi ini telah digeneralisasi dalam [AWS PrivateLink](https://aws.amazon.com/privatelink/). Sebaiknya gunakan pendekatan ini untuk mengakses layanan AWS, layanan pihak ketiga, dan layanan milik Anda yang di-host di VPC lain secara aman. Semua lalu lintas jaringan di AWS PrivateLink tetap dalam jalur utama AWS global dan tidak akan melintasi internet. Konektivitas hanya dapat diinisiasi oleh konsumen layanan, bukan oleh penyedia layanan. Dengan AWS PrivateLink untuk akses layanan eksternal, Anda dapat menciptakan VPC terisolasi tanpa akses internet dan membantu melindungi VPC Anda dari vektor ancaman eksternal. Layanan pihak ketiga dapat menggunakan AWS PrivateLink agar konsumen dapat terhubung ke layanan dari VPC mereka melalui alamat IP privat. Untuk aset VPC yang perlu membuat koneksi keluar ke internet, ini dapat ditetapkan khusus keluar (satu jalur) melalui gateway NAT yang dikelola AWS, gateway internet khusus keluar, atau proksi web yang Anda buat dan kelola. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Kontrol lalu lintas jaringan di VPC: Implementasikan praktik terbaik VPC untuk mengontrol lalu lintas. 
  +  [Keamanan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) 
  +  [titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) 
  +  [Grup keamanan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) 
  +  [ACL jaringan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) 
+  Kontrol lalu lintas di edge: Implementasikan layanan edge, seperti Amazon CloudFront, untuk memberikan lapisan perlindungan tambahan dan fitur lainnya. 
  +  [Kasus penggunaan Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html) 
  +  [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html) 
  +  [Firewall Aplikasi Web AWS (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html) 
  +  [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) 
  +  [Perutean Masuk Amazon VPC](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/) 
+  Kontrol lalu lintas jaringan privat: Implementasikan layanan yang melindungi lalu lintas privat untuk beban kerja Anda. 
  +  [Peering Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) 
  +  [Layanan Titik Akhir Amazon VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html) 
  +  [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 
  +  [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 
  +  [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 
  +  [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html) 
  +  [Amazon S3 Access Points](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+  [Mulai menggunakan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Video terkait:** 
+  [Arsitektur referensi AWS Transit Gateway untuk banyak VPC](https://youtu.be/9Nikqn_02Oc) 
+  [Perlindungan dan Akselerasi Aplikasi dengan Amazon CloudFront, AWS WAF, dan AWS Shield](https://youtu.be/0xlwLEccRe0)

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP03 Mengotomatiskan perlindungan jaringan
<a name="sec_network_protection_auto_protect"></a>

 Otomatiskan mekanisme perlindungan untuk memberikan jaringan perlindungan mandiri berdasarkan deteksi anomali dan kecerdasan ancaman. Misalnya, deteksi gangguan dan alat pencegahan yang dapat beradaptasi dengan ancaman masa kini serta mengurangi dampaknya. Firewall aplikasi web adalah contoh tempat Anda mengotomatiskan perlindungan jaringan, misalnya, dengan menggunakan solusi Otomatisasi Keamanan AWS WAF ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)) untuk secara otomatis memblokir permintaan yang berasal dari alamat IP yang terkait dengan penyebab ancaman yang diketahui. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Otomatiskan perlindungan untuk lalu lintas berbasis web: AWS menawarkan solusi yang menggunakan AWS CloudFormation untuk secara otomatis melakukan deployment rangkaian aturan AWS WAF yang didesain untuk memfilter serangan berbasis web yang umum. Pengguna dapat memilih dari fitur perlindungan sebelum dikonfigurasi yang menentukan aturan yang disertakan dalam daftar kontrol akses web (web ACL) AWS WAF. 
  +  [Otomatisasi keamanan AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/) 
+  Pertimbangkan solusi AWS Partner: Partner AWS menawarkan ratusan produk industri terkemuka yang setara, serupa, atau dapat diintegrasikan dengan kontrol yang sudah ada di lingkungan on-premise Anda. Produk-produk ini melengkapi layanan AWS untuk memungkinkan Anda melakukan deployment arsitektur keamanan yang menyeluruh dan pengalaman yang lancar di seluruh lingkungan cloud dan on-premise Anda. 
  +  [Keamanan infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+ [Keamanan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+  [Mulai menggunakan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Video terkait:** 
+  [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc) 
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP04 Mengimplementasikan inspeksi dan perlindungan
<a name="sec_network_protection_inspection"></a>

 Inspeksi dan filter lalu lintas Anda di setiap lapisan. Anda dapat melakukan inspeksi terhadap konfigurasi VPC untuk potensi akses yang tidak diinginkan menggunakan [VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). Anda dapat menentukan persyaratan akses jaringan Anda serta mengidentifikasi jalur jaringan yang berpotensi tidak memenuhi syarat tersebut. Untuk komponen transaksi melalui protokol berbasis HTTP, firewall aplikasi web dapat membantu melindungi dari serangan yang umum. [AWS WAF](https://aws.amazon.com/waf) adalah firewall aplikasi web yang memungkinkan Anda untuk memantau dan memblokir permintaan HTTP sesuai dengan aturan yang dapat Anda konfigurasikan yang diteruskan ke API Amazon API Gateway, Amazon CloudFront, atau Application Load Balancer. Untuk mulai menggunakan AWS WAF, Anda dapat memulai dengan [Peraturan yang Dikelola AWS](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) yang digabungkan dengan milik Anda sendiri, atau gunakan [integrasi partner yang ada.](https://aws.amazon.com/waf/partners/). 

 Untuk mengelola AWS WAF, perlindungan AWS Shield Advanced, dan grup keamanan Amazon VPC di seluruh AWS Organizations, Anda dapat menggunakan AWS Firewall Manager. Hal ini memungkinkan Anda untuk mengonfigurasikan dan mengelola aturan firewall di seluruh akun dan aplikasi Anda secara terpusat, sehingga lebih mudah untuk menskalakan penerapan aturan umum. Penerapan ini juga memungkinkan Anda merespons serangan dengan cepat, menggunakan [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html), atau [solusi](https://aws.amazon.com/solutions/aws-waf-security-automations/) yang dapat secara otomatis memblokir permintaan yang tidak diinginkan ke aplikasi web Anda. Firewall Manager juga menerapkan [AWS Network Firewall](https://aws.amazon.com/network-firewall/). AWS Network Firewall adalah layanan terkelola yang menggunakan mesin aturan untuk memberi Anda kontrol fine-grained terhadap lalu lintas jaringan stateful dan stateless. Layanan ini mendukung [spesifikasi sistem perlindungan gangguan (IPS)](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) sumber terbuka yang sesuai dengan aturan Suricata untuk aturan yang membantu melindungi beban kerja Anda. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Konfigurasikan Amazon GuardDuty: GuardDuty adalah layanan pendeteksi ancaman yang secara terus-menerus memantau aktivitas berbahaya dan perilaku yang tidak diotorisasi untuk melindungi Akun AWS dan beban kerja Anda. Aktifkan GuardDuty dan konfigurasikan peringatan yang diotomatiskan. 
  +  [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 
  +  [Lab: Deployment Otomatis Kontrol Deteksi](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html) 
+  Konfigurasikan Log Alur cloud privat virtual (VPC): Log Alur VPC adalah fitur yang memungkinkan Anda untuk mendokumentasikan informasi tentang lalu lintas IP ke dan dari antarmuka jaringan di VPC Anda. Data log alur dapat dipublikasikan ke Amazon CloudWatch Logs dan Amazon Simple Storage Service (Amazon S3). Setelah Anda membuat log alur, Anda dapat mengambil dan melihat datanya di lokasi tujuan yang telah dipilih. 
+  Pertimbangkan traffic mirroring VPC: Traffic mirroring adalah fitur Amazon VPC yang dapat Anda gunakan untuk menyalin lalu lintas jaringan dari antarmuka jaringan elastis instans Amazon Elastic Compute Cloud (Amazon EC2) dan mengirimnya ke alat pemantauan dan keamanan luar jaringan untuk inspeksi konten, pemantauan ancaman, dan pemecahan masalah. 
  +  [Traffic mirroring VPC](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+  [Keamanan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Mulai menggunakan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Video terkait:** 
+  [Arsitektur referensi AWS Transit Gateway untuk banyak VPC](https://youtu.be/9Nikqn_02Oc) 
+  [Perlindungan dan Akselerasi Aplikasi dengan Amazon CloudFront, AWS WAF, dan AWS Shield](https://youtu.be/0xlwLEccRe0) 

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC 6 Bagaimana cara melindungi sumber daya komputasi Anda?
<a name="w2aac19b7c11b7"></a>

Sumber daya komputasi di beban kerja Anda memerlukan beberapa lapisan pertahanan untuk membantu melindungi dari ancaman eksternal dan internal. Sumber daya komputasi meliputi instans EC2, kontainer, fungsi AWS Lambda, layanan basis data, perangkat IoT, dan banyak lagi.

**Topics**
+ [SEC06-BP01 Melakukan manajemen kerentanan](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 Mengurangi permukaan serangan](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 Mengimplementasikan layanan terkelola](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 Mengotomatiskan perlindungan komputasi](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 Memberikan kemampuan melakukan tindakan dari jarak jauh](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 Memvalidasi integritas perangkat lunak](sec_protect_compute_validate_software_integrity.md)

# SEC06-BP01 Melakukan manajemen kerentanan
<a name="sec_protect_compute_vulnerability_management"></a>

 Seringlah memindai dan mem-patch kelemahan pada kode, dependensi, dan infrastruktur Anda untuk membantu mencegah ancaman baru. 

 Dimulai dengan konfigurasi infrastruktur komputasi Anda, Anda dapat membuat dan memperbarui sumber daya secara otomatis menggunakan AWS CloudFormation. CloudFormation memungkinkan Anda untuk membuat templat yang ditulis dalam YAML atau JSON, baik menggunakan contoh AWS atau dengan menulis sendiri. Ini memungkinkan Anda untuk membuat templat infrastruktur yang aman secara default yang dapat Anda verifikasi dengan [Cloudformation Guard](https://aws.amazon.com/about-aws/whats-new/2020/10/aws-cloudformation-guard-an-open-source-cli-for-infrastructure-compliance-is-now-generally-available/), untuk menghemat waktu Anda dan mengurangi risiko kesalahan konfigurasi. Anda dapat membangun infrastruktur dan men-deploy aplikasi Anda menggunakan pengiriman berkelanjutan, misalnya dengan [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html), untuk mengotomatisasi pembangunan, pengujian, dan perilisan. 

 Anda bertanggung jawab atas pengelolaan patch sumber daya AWS Anda, termasuk instans Amazon Elastic Compute Cloud(Amazon EC2), Amazon Machine Image (AMI), dan banyak sumber daya komputasi lainnya. Untuk instans Amazon EC2, AWS Systems Manager Patch Manager mengotomatisasi proses patching instans terkelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya. Anda dapat menggunakan Patch Manager guna menerapkan patch untuk sistem operasi maupun aplikasi. (Pada Windows Server, dukungan aplikasi dibatasi pada pembaruan untuk aplikasi Microsoft.) Anda dapat menggunakan Patch Manager untuk menginstal Service Packs di instans Windows dan melakukan peningkatan versi minor di instans Linux. Anda dapat mem-patch armada instans Amazon EC2 atau layanan on-premise dan mesin virtual (VM) Anda sesuai jenis sistem operasi. Versi yang didukung mencakup Windows Server, Amazon Linux, Amazon Linux 2, CentOS, Debian Server, Oracle Linux, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES), dan Ubuntu Server. Anda dapat memindai instans untuk hanya melihat laporan patch yang hilang, atau Anda dapat memindai dan secara otomatis memasang semua patch yang hilang. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Konfigurasi Amazon Inspector: Amazon Inspector menguji aksesibilitas jaringan instans Amazon Elastic Compute Cloud (Amazon EC2) Anda dan keamanan state aplikasi yang berjalan di instans tersebut. Amazon Inspector menilai aplikasi untuk paparan, kerentanan, dan penyimpangan dari praktik terbaik. 
  +  [Apa itu Amazon Inspector?](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html) 
+  Pindai kode sumber: Pindai pustaka dan dependensi untuk mengetahui kerentanan. 
  +  [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) 
  +  [OWASP: Alat Analisis Kode Sumber](https://owasp.org/www-community/Source_Code_Analysis_Tools) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Mengganti Host Bastion dengan Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Video terkait:** 
+  [Menjalankan beban kerja dengan keamanan tinggi di Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Mengamankan Layanan Kontainer dan Nirserver](https://youtu.be/kmSdyN9qiXY) 
+  [Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis Firewall Aplikasi Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP02 Mengurangi permukaan serangan
<a name="sec_protect_compute_reduce_surface"></a>

 Kurangi paparan Anda ke akses yang tidak diinginkan dengan penguatan sistem operasi serta meminimalkan penggunaan komponen, pustaka, dan layanan sekali pakai eksternal. Mulai dengan mengurangi komponen yang tidak digunakan untuk seluruh beban kerja, baik itu paket sistem operasi atau aplikasi, untuk beban kerja berbasis Amazon Elastic Compute Cloud (Amazon EC2), maupun modul perangkat lunak eksternal pada kode Anda. Anda dapat menemukan beberapa panduan konfigurasi penguatan dan keamanan untuk sistem operasi umum dan perangkat lunak server. Misalnya, Anda dapat memulai dengan [Pusat Keamanan Internet](https://www.cisecurity.org/) dan lakukan iterasi.

 Di Amazon EC2, Anda dapat membuat Amazon Machine Image (AMI) Anda sendiri, yang telah di-patch dan diperkuat, untuk membantu memenuhi persyaratan keamanan spesifik bagi organisasi Anda. Patch dan kontrol keamanan lain yang Anda terapkan di AMI efektif pada saat dibuat—sifatnya tidak dinamis kecuali Anda memodifikasinya setelah peluncuran, misalnya, dengan AWS Systems Manager. 

 Anda dapat menyederhanakan proses membangun AMI yang aman dengan EC2 Image Builder. EC2 Image Builder secara signifikan mengurangi upaya yang diperlukan untuk membuat dan memelihara image emas tanpa otomatisasi penulisan dan pemeliharaan. Ketika pembaruan perangkat lunak sudah tersedia, Image Builder secara otomatis memproduksi image baru tanpa mengharuskan pengguna memulai pembangunan image secara manual. EC2 Image Builder memungkinkan Anda untuk memvalidasi fungsionalitas dan keamanan image Anda dengan mudah sebelum menggunakannya dalam produksi dengan pengujian yang disediakan AWS serta pengujian Anda sendiri. Anda juga dapat menerapkan pengaturan keamanan yang disediakan AWS untuk mengamankan image Anda secara lebih lanjut untuk memenuhi kriteria keamanan internal. Misalnya, Anda dapat memproduksi image yang sesuai dengan standar Security Technical Implementation Guide (STIG) menggunakan templat yang disediakan oleh AWS. 

 Menggunakan alat analisis kode statis pihak ketiga, Anda dapat mengidentifikasi masalah keamanan umum seperti batas input fungsi yang tidak diperiksa, dan juga kelemahan dan paparan umum (common vulnerabilities and exposures, CVE) yang dapat diterapkan. Anda dapat menggunakan [Amazon CodeGuru](https://aws.amazon.com/codeguru/) untuk bahasa yang didukung. Alat pemeriksaan dependensi juga dapat digunakan untuk menentukan apakah pustaka yang ditautkan kode Anda merupakan versi terbaru, bebas dari CVE, serta memiliki syarat perizinan yang memenuhi persyaratan kebijakan perangkat lunak Anda. 

 Menggunakan Amazon Inspector, Anda dapat melakukan penilaian konfigurasi terhadap instans Anda untuk CVE yang diketahui, menilai tolok ukur keamanan, serta mengotomatiskan pemberitahuan kecacatan. Amazon Inspector berjalan di instans produksi atau di jalur build, serta memberi tahu pengembang dan teknisi ketika ada temuan. Anda dapat mengakses temuan secara terprogram dan mengarahkan tim Anda ke backlog dan sistem pelacakan bug. [EC2 Image Builder](https://aws.amazon.com/image-builder/) dapat digunakan untuk memelihara image server (AMI) dengan patching otomatis, penegakan kebijakan keamanan yang disediakan oleh AWS, serta kustomisasi lainnya. Ketika menggunakan kontainer, terapkan [Pemindaian Image ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) pada jalur build Anda dan secara rutin terhadap repositori image Anda untuk mencari CVE dalam kontainer Anda. 

 Ketika Amazon Inspector dan alat lainnya mengidentifikasi dengan efektif konfigurasi dan CVE apa pun yang ada, metode lain diperlukan untuk menguji beban kerja Anda pada tingkat aplikasi. [Fuzzing](https://owasp.org/www-community/Fuzzing) adalah metode yang terkenal untuk menemukan bug menggunakan otomatisasi untuk menginjeksi data dengan kesalahan bentuk ke bidang input dan area lain pada aplikasi Anda. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Perkuat sistem operasi: Konfigurasikan sistem operasi agar memenuhi praktik terbaik. 
  +  [Mengamankan Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/) 
  +  [Mengamankan Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/) 
+  Perkuat sumber daya terkontainerisasi: Konfigurasikan sumber daya terkontainerisasi untuk memenuhi praktik terbaik keamanan. 
+  Terapkan praktik terbaik AWS Lambda. 
  +  [Praktik terbaik AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Mengganti Host Bastion dengan Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Video terkait:** 
+  [Menjalankan beban kerja dengan keamanan tinggi di Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Mengamankan Layanan Kontainer dan Nirserver](https://youtu.be/kmSdyN9qiXY) 
+  [Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Contoh terkait:** 
+  [Lab: Deployment Firewall Aplikasi Web secara Otomatis](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP03 Mengimplementasikan layanan terkelola
<a name="sec_protect_compute_implement_managed_services"></a>

 Implementasikan layanan yang mengelola sumber daya seperti Amazon Relational Database Service (Amazon RDS), AWS Lambda, dan Amazon Elastic Container Service (Amazon ECS), untuk mengurangi tugas pemeliharaan keamanan sebagai bagian dari model tanggung jawab bersama. Contohnya, Amazon RDS membantu Anda mengatur, mengoperasikan, dan menskalakan basis data relasional, mengotomatiskan tugas administrasi seperti penyediaan perangkat keras, pengaturan basis data, patching, dan pencadangan. Ini berarti Anda memiliki lebih banyak waktu luang untuk berkonsentrasi mengamankan aplikasi Anda dengan cara lain yang disebutkan dalam AWS Well-Architected Framework. Lambda memungkinkan Anda menjalankan kode tanpa menyediakan atau mengelola server, sehingga Anda hanya perlu fokus pada konektivitas, permintaan, dan keamanan di tingkat kode–bukan infrastruktur atau sistem operasi. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Jelajahi layanan yang tersedia: Jelajahi, uji, dan terapkan layanan yang mengelola sumber daya, seperti Amazon RDS, AWS Lambda, dan Amazon ECS. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [ Situs web AWS](https://aws.amazon.com/)
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Mengganti Host Bastion dengan Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Video terkait:** 
+  [Menjalankan beban kerja dengan keamanan tinggi di Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Mengamankan Layanan Kontainer dan Nirserver](https://youtu.be/kmSdyN9qiXY) 
+  [Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Contoh terkait:** 
+ [Lab: Permohonan Sertifikat Publik AWS Certificate Manager ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)

# SEC06-BP04 Mengotomatiskan perlindungan komputasi
<a name="sec_protect_compute_auto_protection"></a>

 Otomatiskan mekanisme komputasi protektif Anda termasuk manajemen kelemahan, pengurangan permukaan serangan, serta manajemen sumber daya. Otomatisasi akan membantu Anda menginvestasikan waktu untuk mengamankan aspek-aspek lain dalam beban kerja Anda, dan mengurangi risiko kesalahan manusia. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Otomatiskan manajemen konfigurasi: Tegakkan dan validasi konfigurasi keamanan secara otomatis menggunakan layanan atau alat manajemen konfigurasi. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
  +  [Lab: Deployment otomatis VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 
  +  [Lab: Deployment otomatis aplikasi web EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html) 
+  Otomatiskan patching instans Amazon Elastic Compute Cloud (Amazon EC2): AWS Systems Manager Patch Manager mengotomatiskan proses patching instans terkelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya. Anda dapat menggunakan Patch Manager guna menerapkan patch untuk sistem operasi maupun aplikasi. 
  +  [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) 
  +  [Patching multiakun dan multiwilayah terpusat dengan AWS Systems Manager Automation](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/) 
+  Implementasikan deteksi dan pencegahan intrusi: Implementasikan alat deteksi dan pencegahan intrusi untuk memantau dan menghentikan aktivitas berbahaya pada instans. 
+  Pertimbangkan solusi AWS Partner: Partner AWS menawarkan ratusan produk industri terkemuka yang setara, serupa, atau dapat diintegrasikan dengan kontrol yang sudah ada di lingkungan on-premise Anda. Produk-produk ini melengkapi layanan AWS untuk memungkinkan Anda melakukan deployment arsitektur keamanan yang menyeluruh dan pengalaman yang lancar di seluruh lingkungan cloud dan on-premise Anda. 
  +  [Keamanan infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) 
+  [Patching multiakun dan multiwilayah terpusat dengan AWS Systems Manager Automation](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/) 
+  [Keamanan infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 
+  [Mengganti Host Bastion dengan Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Video terkait:** 
+  [Running high-security workloads on Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY) 
+  [Security best practices for the Amazon EC2 instance metadata service](https://youtu.be/2B5bhZzayjI) 

 **Contoh terkait:** 
+  [Lab: Deployment Firewall Aplikasi Web secara Otomatis](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 
+  [Lab: Deployment otomatis aplikasi web EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html) 

# SEC06-BP05 Memberikan kemampuan melakukan tindakan dari jarak jauh
<a name="sec_protect_compute_actions_distance"></a>

 Menghapus kemampuan akses interaktif dapat mengurangi risiko kesalahan akibat kelalaian manusia, dan kemungkinan dibutuhkannya manajemen atau konfigurasi manual. Misalnya, gunakan alur kerja manajemen perubahan untuk melakukan deployment instans Amazon Elastic Compute Cloud (Amazon EC2) menggunakan infrastruktur sebagai kode, selanjutnya kelola instans Amazon EC2 menggunakan alat seperti AWS Systems Manager, bukannya menerapkan akses langsung melalui host bastion. AWS Systems Managerdapat mengotomatiskan berbagai tugas pemeliharaan dan deployment, menggunakan fitur yang mencakup [alur kerja](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [otomatisasi](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), [dokumen](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (buku pedoman), dan [run command (jalankan perintah)](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html). Tumpukan AWS CloudFormation dibangun dari pipeline dan dapat mengotomatiskan tugas manajemen serta deployment infrastruktur Anda tanpa menggunakan Konsol Manajemen AWS atau API secara langsung. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Ganti akses konsol: Ganti akses konsol (SSH atau RDP) ke instans dengan AWS Systems Manager Run Command untuk mengotomatiskan tugas manajemen. 
+  [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html) 
+  [Mengganti Host Bastion dengan Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Video terkait:** 
+  [Jalankan beban kerja dengan keamanan tinggi di Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Mengamankan Layanan Kontainer dan Nirserver](https://youtu.be/kmSdyN9qiXY) 
+  [Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis Firewall Aplikasi Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP06 Memvalidasi integritas perangkat lunak
<a name="sec_protect_compute_validate_software_integrity"></a>

 Implementasikan mekanisme (misalnya, penandatanganan kode) untuk memvalidasi bahwa perangkat lunak, kode, dan pustaka yang digunakan di beban kerja berasal dari sumber tepercaya dan belum pernah dimodifikasi. Misalnya, Anda harus memverifikasi sertifikat penandatanganan kode biner dan skrip untuk mengonfirmasi penulis, serta memastikan sertifikat tersebut belum pernah dimodifikasi sejak dibuat oleh penulisnya. [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) dapat membantu memastikan kepercayaan dan integritas kode Anda dengan mengelola secara terpusat siklus hidup penandatanganan kode, termasuk sertifikat penandatanganan serta kunci privat dan publik. Anda dapat mempelajari cara menggunakan pola tingkat lanjut dan praktik terbaik penandatanganan kode dengan [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/). Selain itu, checksum perangkat lunak yang Anda unduh, dibandingkan dengan checksum dari penyedia, dapat membantu memastikan bahwa perangkat belum pernah dimodifikasi. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Selidiki mekanisme: Penandatanganan kode adalah sebuah mekanisme yang dapat digunakan untuk memvalidasi integritas perangkat lunak. 
  +  [NIST: Pertimbangan Keamanan untuk Penandatanganan Kode](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf) 

## Sumber daya
<a name="resources"></a>

**Dokumen terkait:** 
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [Baru – Penandatanganan Kode, Kontrol Integritas dan Kepercayaan untuk AWS Lambda](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/) 

# Perlindungan data
<a name="a-data-protection"></a>

**Topics**
+ [SEC 7 Bagaimana cara mengklasifikasikan data Anda?](w2aac19b7c13b5.md)
+ [SEC 8 Bagaimana cara melindungi data Anda saat data diam?](w2aac19b7c13b7.md)
+ [SEC 9 Bagaimana cara melindungi data Anda saat data bergerak?](w2aac19b7c13b9.md)

# SEC 7 Bagaimana cara mengklasifikasikan data Anda?
<a name="w2aac19b7c13b5"></a>

Klasifikasi memberikan cara untuk mengategorikan data, berdasarkan tingkat kekritisan dan sensitivitas untuk membantu Anda menentukan kontrol retensi dan perlindungan yang sesuai.

**Topics**
+ [SEC07-BP01 Mengidentifikasi data dalam beban kerja Anda](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Menentukan kontrol perlindungan data](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Mengotomatisasi identifikasi dan klasifikasi](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Menentukan manajemen siklus hidup data](sec_data_classification_lifecycle_management.md)

# SEC07-BP01 Mengidentifikasi data dalam beban kerja Anda
<a name="sec_data_classification_identify_data"></a>

 Anda perlu mengerti jenis dan klasifikasi data yang diproses beban kerja Anda, proses bisnis terkait, pemilik data, hukum yang berlaku dan persyaratan kepatuhan, tempat penyimpanannya, serta kontrol yang dihasilkan dan perlu diterapkan. Hal ini dapat mencakup klasifikasi untuk menunjukkan apakah data dimaksudkan agar tersedia secara publik, apakah data hanya untuk penggunaan internal seperti informasi pengenal pribadi (PII) pelanggan, atau apakah data tersebut dimaksudkan untuk akses yang lebih terbatas seperti kekayaan intelektual, dilindungi secara hukum atau ditandai sensitif, dan lainnya. Dengan mengelola sistem klasifikasi data yang sesuai secara saksama, disertai dengan tingkat persyaratan perlindungan setiap beban kerja, Anda dapat memetakan kontrol dan tingkat akses atau perlindungan yang sesuai untuk data tersebut. Misalnya, konten publik tersedia untuk diakses siapa saja, tetapi konten penting disimpan dan dienkripsi secara aman serta memerlukan akses resmi ke kunci untuk mendekripsi konten. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Pertimbangkan untuk menggunakan Amazon Macie dalam menemukan data: Macie mengenali data sensitif seperti informasi pengenal pribadi (PII) atau kekayaan intelektual. 
  +  [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,) 
+  [Laporan Resmi Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Mulai menggunakan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 

 **Video terkait:** 
+  [Memperkenalkan Amazon Macie Baru](https://youtu.be/I-ewoQekdXE) 

# SEC07-BP02 Menentukan kontrol perlindungan data
<a name="sec_data_classification_define_protection"></a>

 Lindungi data sesuai dengan tingkat klasifikasinya. Contohnya, amankan data dengan klasifikasi publik menggunakan rekomendasi yang relevan sekaligus melindungi data sensitif dengan kontrol tambahan. 

Dengan menggunakan tag sumber daya, pisahkan AWSakun berdasarkan sensitivitas (dan berpotensi juga untuk setiap peringatan, enklave, atau komunitas minat), kebijakan IAM, SCP AWS Organizations, AWS Key Management Service (AWS KMS), dan AWS CloudHSM, Anda dapat menentukan dan menerapkan kebijakan Anda untuk klasifikasi dan perlindungan data dengan enkripsi. Contohnya, jika Anda memiliki proyek dengan bucket S3 yang berisi data yang sangat penting atau instans Amazon Elastic Compute Cloud (Amazon EC2) yang memproses data rahasia, Anda dapat menandainya dengan tag `Project=ABC` . Hanya tim langsung Anda yang mengetahui arti kode proyek ini, dan ini menyediakan cara untuk menggunakan kontrol akses berbasis atribut. Anda dapat menentukan tingkatan akses ke kunci enkripsi AWS KMS melalui kebijakan dan pemberian kunci untuk memastikan hanya layanan yang sesuai yang memiliki akses ke konten sensitif melalui mekanisme yang aman. Jika Anda membuat keputusan otorisasi berdasarkan tag, Anda harus memastikan bahwa izin pada tag telah ditentukan dengan tepat menggunakan kebijakan tag di AWS Organizations.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Tentukan identifikasi dan skema klasifikasi data Anda: Identifikasi dan klasifikasi data Anda dilakukan untuk menilai potensi dampak dan tipe data yang Anda simpan dan siapa saja yang dapat mengaksesnya. 
  +  [Dokumentasi AWS](https://docs.aws.amazon.com/) 
+  Temukan kontrol AWS yang tersedia: Untuk layanan AWS yang sedang atau akan Anda gunakan, temukan kontrol keamanannya. Banyak layanan memiliki bagian keamanan dalam dokumentasinya. 
  +  [Dokumentasi AWS](https://docs.aws.amazon.com/) 
+  Kenali sumber daya kepatuhan AWS: Kenali sumber daya yang disediakan oleh AWS untuk membantu. 
  +  [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Dokumentasi AWS](https://docs.aws.amazon.com/) 
+  [Laporan Resmi Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Mulai menggunakan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 
+  [Teks Hilang](https://aws.amazon.com/compliance/) 

 **Video terkait:** 
+  [Memperkenalkan Amazon Macie Baru](https://youtu.be/I-ewoQekdXE) 

# SEC07-BP03 Mengotomatisasi identifikasi dan klasifikasi
<a name="sec_data_classification_auto_classification"></a>

 Otomatisasi identifikasi dan klasifikasi data dapat membantu Anda mengimplementasikan kontrol yang tepat. Menggunakan otomatisasi untuk hal ini, sebagai ganti akses langsung dari orang, dapat mengurangi risiko kesalahan dan eksposur manusia. Anda harus mengevaluasi menggunakan alat, seperti [Amazon Macie](https://aws.amazon.com/macie/), yang menggunakan machine learning untuk menemukan, mengelompokkan, dan melindungi data sensitif secara otomatis di AWS. Amazon Macie mengenali data sensitif, seperti informasi pengenal pribadi (PII) atau kekayaan intelektual, dan membekali Anda dengan dasbor dan peringatan yang memberikan visibilitas tentang bagaimana data ini diakses atau dipindahkan. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Gunakan Inventaris Amazon Simple Storage Service (Amazon S3): Inventaris Amazon S3 adalah salah satu alat yang dapat Anda gunakan untuk mengaudit serta melaporkan replikasi dan status enkripsi objek. 
  +  [Inventaris Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  Pertimbangkan Amazon Macie: Amazon Macie menggunakan machine learning untuk secara otomatis menemukan dan mengelompokkan data yang disimpan di Amazon S3.
  +  [Amazon Macie](https://aws.amazon.com/macie/) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Amazon Macie](https://aws.amazon.com/macie/) 
+  [Inventaris Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  [Laporan Resmi Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Mulai menggunakan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 

 **Video terkait:** 
+  [Memperkenalkan Amazon Macie Baru](https://youtu.be/I-ewoQekdXE) 

# SEC07-BP04 Menentukan manajemen siklus hidup data
<a name="sec_data_classification_lifecycle_management"></a>

 Strategi siklus hidup yang ditentukan harus berdasarkan tingkat sensitivitas serta persyaratan hukum dan organisasi. Aspek-aspek yang perlu diperhatikan mencakup durasi mempertahankan data, proses penghancuran data, manajemen akses data, transformasi data, dan berbagi data. Saat memilih metodologi klasifikasi data, seimbangkan ketergunaan dan akses. Anda juga harus mengakomodasi beberapa tingkat akses dan perbedaan untuk mengimplementasikan pendekatan yang aman tetapi masih dapat digunakan untuk masing-masing tingkat. Selalu gunakan pendekatan pertahanan mendalam dan kurangi akses manusia ke data dan mekanisme untuk mentransformasi, menghapus, atau menyalin data. Misalnya, pengguna perlu diautentikasi oleh aplikasi, dan berikan izin akses yang diperlukan untuk melakukan tindakan dari jarak jauh kepada aplikasi, bukan pengguna. Selain itu, pastikan bahwa pengguna berasal dari jalur jaringan tepercaya dan memerlukan akses ke kunci dekripsi. Gunakan alat seperti dasbor dan pelaporan otomatis untuk memberikan informasi data kepada pengguna daripada memberi mereka akses langsung ke data. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Identifikasikan jenis data: Identifikasikan jenis data yang disimpan atau diproses di beban kerja. Data tersebut dapat berupa teks, gambar, basis data biner, dan lainnya. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Laporan Resmi Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Mulai menggunakan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 

 **Video terkait:** 
+  [Memperkenalkan Amazon Macie Baru](https://youtu.be/I-ewoQekdXE) 

# SEC 8 Bagaimana cara melindungi data Anda saat data diam?
<a name="w2aac19b7c13b7"></a>

Lindungi data diam dengan mengimplementasikan beberapa kontrol, untuk mengurangi risiko akses tanpa otorisasi atau penanganan yang salah.

**Topics**
+ [SEC08-BP01 Implementasikan manajemen kunci yang aman](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Menerapkan enkripsi data diam](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Mengotomatiskan perlindungan data diam](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Menerapkan kontrol akses](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 Menggunakan mekanisme untuk mencegah orang mengakses data](sec_protect_data_rest_use_people_away.md)

# SEC08-BP01 Implementasikan manajemen kunci yang aman
<a name="sec_protect_data_rest_key_mgmt"></a>

 Dengan menetapkan pendekatan enkripsi yang mencakup penyimpanan, rotasi, dan kontrol akses kunci, Anda dapat membantu melindungi konten Anda dari pengguna yang tidak berwenang dan dari pengungkapan yang tidak perlu ke pengguna yang berwenang. AWS Key Management Service (AWS KMS) membantu Anda mengelola kunci enkripsi dan [berintegrasi dengan banyak layanan AWS](https://aws.amazon.com/kms/details/#integration). Layanan ini memberikan penyimpanan yang tahan lama, aman, dan berulang untuk kunci AWS KMS Anda. Anda dapat menetapkan kebijakan tingkat kunci dan alias kunci Anda. Kebijakan ini membantu Anda menentukan administrator kunci serta pengguna kunci. Selain itu, AWS CloudHSM adalah modul keamanan perangkat keras (HSM) berbasis cloud yang memungkinkan Anda untuk dengan mudah membuat dan menggunakan kunci enkripsi Anda sendiri di AWS Cloud. Ini membantu Anda memenuhi persyaratan korporasi, kontrak, dan kepatuhan terhadap peraturan untuk keamanan data dengan menggunakan HSM yang divalidasi FIPS 140-2 Level 3. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Implementasi AWS KMS: AWS KMS mempermudah Anda untuk membuat dan mengelola kunci dan mengontrol penggunaan enkripsi di berbagai macam layanan AWS dan di aplikasi Anda. AWS KMS adalah layanan yang aman dan tangguh, yang menggunakan modul keamanan perangkat keras yang divalidasi FIPS 140-2 untuk melindungi kunci Anda. 
  +  [Memulai: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  Pertimbangkan SDK Enkripsi AWS: Gunakan SDK Enkripsi AWS dengan integrasi AWS KMS ketika aplikasi Anda harus mengenkripsi data di sisi klien. 
  +  [SDK Enkripsi AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [Layanan dan alat kriptografi AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Memulai: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  [Melindungi Data Amazon S3 Menggunakan Enkripsi](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Video terkait:** 
+  [Cara Kerja Enkripsi di AWS](https://youtu.be/plv7PQZICCM) 
+  [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP02 Menerapkan enkripsi data diam
<a name="sec_protect_data_rest_encrypt"></a>

 Anda harus memastikan bahwa satu-satunya cara untuk menyimpan data adalah dengan menggunakan enkripsi. AWS Key Management Service (AWS KMS) terintegrasi secara mulus dengan beberapa layanan AWS untuk mempermudah Anda mengenkripsi semua data diam Anda. Misalnya, di Amazon Simple Storage Service (Amazon S3), Anda dapat mengatur [enkripsi default](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) pada bucket sehingga semua objek baru terenkripsi secara otomatis. Selain itu, [Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)dan [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) mendukung penegakan enkripsi dengan mengatur enkripsi default. Anda dapat menggunakan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) untuk memeriksa secara otomatis bahwa Anda menggunakan enkripsi, misalnya, untuk [volume Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instans Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html), dan [bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html). 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Terapkan enkripsi data diam untuk Amazon Simple Storage Service (Amazon S3): Implementasikan enkripsi default bucket Amazon S3. 
  +  [Bagaimana cara mengaktifkan enkripsi default untuk bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) 
+  Gunakan AWS Secrets Manager: Secrets Manager adalah layanan AWS yang memudahkan Anda mengelola secret. Secret (rahasia) bisa berupa kredensial basis data, kata sandi, kunci API pihak ketiga, dan bahkan teks arbitrer. 
  +  [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 
+  Konfigurasikan enkripsi default untuk volume EBS baru: Tentukan bahwa Anda ingin agar semua volume EBS baru dibuat dalam bentuk terenkripsi, dengan opsi penggunaan kunci default yang disediakan oleh AWS, atau kunci yang Anda buat. 
  +  [Enkripsi default untuk volume EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/) 
+  Konfigurasikan Amazon Machine Image (AMI) terenkripsi: Menyalin AMI yang ada dengan enkripsi aktif akan mengenkripsi volume root dan snapshot secara otomatis. 
  +  [AMI dengan Snapshot terenkripsi](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) 
+  Konfigurasikan enkripsi Amazon Relational Database Service (Amazon RDS): Konfigurasikan enkripsi untuk klaster dan snapshot basis data Amazon RDS Anda saat diam dengan mengaktifkan opsi enkripsi. 
  +  [Mengenkripsi sumber daya Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html) 
+  Konfigurasikan enkripsi di layanan AWS tambahan: Untuk layanan AWS yang Anda gunakan, tentukan kemampuan enkripsi. 
  +  [Dokumentasi AWS](https://docs.aws.amazon.com/) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AMI dengan Snapshot terenkripsi](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) 
+  [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools) 
+  [Dokumentasi AWS](https://docs.aws.amazon.com/) 
+  [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 
+  [Laporan Resmi Detail Kriptografi AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 
+  [Layanan dan alat kriptografi AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Enkripsi.Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) 
+  [Enkripsi default untuk volume EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/) 
+  [Mengenkripsi Sumber Daya Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) 
+  [Bagaimana cara mengaktifkan enkripsi default untuk bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) 
+  [Melindungi Data Amazon S3 Menggunakan Enkripsi](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Video terkait:** 
+  [Cara Kerja Enkripsi di AWS](https://youtu.be/plv7PQZICCM) 
+  [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP03 Mengotomatiskan perlindungan data diam
<a name="sec_protect_data_rest_automate_protection"></a>

 Gunakan alat otomatis untuk memvalidasi dan menegakkan kontrol data diam secara terus menerus, misalnya, memastikan bahwa hanya ada sumber daya penyimpanan terenkripsi. Anda bisa [mengotomatiskan validasi bahwa semua volume EBS telah dienkripsi](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) menggunakan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) juga dapat memverifikasi beberapa kontrol yang berbeda melalui pemeriksaan otomatis berdasarkan standar keamanan. Selain itu, Aturan AWS Config Anda secara otomatis bisa [memperbaiki sumber daya yang tidak patuh](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation). 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation_guidance"></a>

 *Data diam* mewakili data yang Anda pertahankan di penyimpanan non-volatile selama durasi apa pun di beban kerja Anda. Data ini mencakup penyimpanan blok, penyimpanan objek, basis data, arsip, perangkat IoT, dan medium penyimpanan lain di mana datanya dipertahankan. Melindungi data diam Anda dapat mengurangi risiko akses yang tidak sah, ketika enkripsi dan kontrol akses yang tepat diimplementasikan. 

 Terapkan enkripsi data diam: Anda harus memastikan bahwa satu-satunya cara untuk menyimpan data adalah dengan menggunakan enkripsi. AWS KMS terintegrasi secara mulus dengan beberapa layanan AWS untuk mempermudah Anda mengenkripsi semua data diam Anda. Misalnya, di Amazon Simple Storage Service (Amazon S3) Anda bisa mengatur [enkripsi default](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) pada bucket sehingga semua objek baru terenkripsi secara otomatis. Selain itu, [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) dan [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) mendukung penegakan enkripsi dengan mengatur enkripsi default. Anda dapat menggunakan [AWS Managed Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) untuk memeriksa secara otomatis bahwa Anda menggunakan enkripsi, misalnya, untuk [volume EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instans Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html), dan [bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html). 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools) 
+  [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

 **Video terkait:** 
+  [Cara Kerja Enkripsi di AWS](https://youtu.be/plv7PQZICCM) 
+  [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP04 Menerapkan kontrol akses
<a name="sec_protect_data_rest_access_control"></a>

Terapkan kontrol akses dengan mekanisme dan hak akses paling rendah, termasuk pencadangan, isolasi, dan versioning, untuk membantu melindungi data diam. Cegah operator memberikan akses publik ke data Anda. 

 Berbagai macam kontrol, termasuk akses (menggunakan hak akses paling rendah, pencadangan (lihat [Laporan resmi keandalan](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), isolasi, dan versioning dapat membantu melindungi data diam Anda. Akses ke data Anda harus diaudit menggunakan mekanisme deteksi yang sebelumnya telah dibahas dalam laporan ini, termasuk CloudTrail dan log tingkat layanan, seperti log akses Amazon Simple Storage Service (Amazon S3). Anda harus membuat daftar data mana yang dapat diakses publik, dan merencanakan cara mengurangi ketersediaan jumlah data dari waktu ke waktu. Kunci Vault Amazon Glacier dan Kunci Objek Amazon S3 adalah kemampuan untuk memberikan kontrol akses wajib—begitu kebijakan vault dikunci dengan opsi kepatuhan, kebijakan tersebut tidak akan dapat diubah hingga kedaluwarsa, bahkan oleh pengguna root sekalipun. Mekanisme tersebut memenuhi persyaratan Manajemen Pembukuan dan Arsip dari SEC, CFTC, dan FINRA. Untuk detail selengkapnya, lihat [laporan resmi ini](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf). 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Terapkan akses kontrol: Terapkan akses kontrol dengan hak akses paling rendah, termasuk akses ke kunci enkripsi. 
  +  [Pengantar Manajemen Izin Akses ke Sumber Daya Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html) 
+  Pisahkan data berdasarkan tingkat klasifikasi yang berbeda: Gunakan berbagai Akun AWS untuk tingkat klasifikasi data yang dikelola oleh AWS Organizations. 
  +  [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 
+  Tinjau kebijakan AWS KMS: Tinjau tingkat akses yang diberikan di kebijakan AWS KMS. 
  +  [Ikhtisar manajemen akses ke sumber daya AWS KMS Anda](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) 
+  Tinjau izin objek dan bucket Amazon S3: Tinjau tingkat akses yang diberikan dalam kebijakan bucket Amazon S3 secara rutin. Praktik terbaiknya adalah tidak memiliki bucket yang dapat dibaca atau ditulis secara publik. Coba gunakan AWS Config untuk mendeteksi bucket yang tersedia untuk publik, dan Amazon CloudFront untuk menyajikan konten dari Amazon S3. 
  +  [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 
  +  [Amazon S3 \$1 Amazon CloudFront: Kombinasi Fantastis di Cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/) 
+  Mengaktifkan kunci objek dan versioning Amazon S3. 
  +  [Menggunakan versioning](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html) 
  +  [Mengunci Objek Menggunakan Kunci Objek Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html) 
+  Gunakan Inventaris Amazon S3: Inventaris Amazon S3 adalah salah satu alat yang dapat Anda gunakan untuk mengaudit serta melaporkan replikasi dan status enkripsi objek. 
  +  [Inventaris Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  Tinjau izin berbagi AMI dan Amazon EBS: Dengan izin berbagi, Anda dapat membagikan gambar dan volume ke Akun AWS eksternal ke beban kerja Anda. 
  +  [Membagikan Cuplikan Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 
  +  [AMI Bersama](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Laporan Resmi Detail Kriptografi AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Video terkait:** 
+  [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP05 Menggunakan mekanisme untuk mencegah orang mengakses data
<a name="sec_protect_data_rest_use_people_away"></a>

 Cegah semua pengguna dari mengakses sistem dan data sensitif secara langsung saat kondisi operasional normal. Misalnya, gunakan alur kerja manajemen perubahan untuk mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) menggunakan alat, bukan dengan mengizinkan akses langsung atau host bastion. Hal ini dapat dicapai dengan [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), yaitu menggunakan [dokumen otomatis](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) yang berisi langkah yang Anda gunakan untuk menjalankan tugas. Dokumen tersebut dapat disimpan di kontrol sumber, ditinjau oleh rekan sebelum dijalankan, dan diuji secara menyeluruh untuk meminimalkan risiko dibandingkan akses shell. Pengguna bisnis dapat menggunakan dasbor, bukan akses langsung ke penyimpanan data, untuk menjalankan kueri. Ketika pipeline CI/CD tidak digunakan, tentukan proses dan kontrol mana yang diperlukan agar dapat menyediakan mekanisme akses break-glass nonaktif secara normal. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Implementasikan mekanisme untuk mencegah orang dari mengakses data: Mekanisme termasuk menggunakan dasbor, seperti Quick, untuk menampilkan data ke pengguna ketimbang membuat kueri secara langsung. 
  +  [Quick](https://aws.amazon.com/quicksight/) 
+  Otomatiskan manajemen konfigurasi: Lakukan tindakan dari jarak jauh, terapkan dan validasikan konfigurasi keamanan secara otomatis menggunakan layanan atau alat manajemen konfigurasi. Hindari penggunaan host bastion atau mengakses instans EC2 secara langsung. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
  +  [Pipeline CI/CD untuk templat AWS CloudFormation di AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Laporan Resmi Detail Kriptografi AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Video terkait:** 
+  [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC 9 Bagaimana cara melindungi data Anda saat data bergerak?
<a name="w2aac19b7c13b9"></a>

Lindungi data bergerak dengan mengimplementasikan beberapa kontrol untuk mengurangi risiko akses tanpa otorisasi atau hilangnya data.

**Topics**
+ [SEC09-BP01 Mengimplementasikan manajemen sertifikat dan kunci keamanan](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Terapkan enkripsi data bergerak](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Mengotomatiskan deteksi akses data yang tidak dimaksudkan](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 Sahkan komunikasi jaringan](sec_protect_data_transit_authentication.md)

# SEC09-BP01 Mengimplementasikan manajemen sertifikat dan kunci keamanan
<a name="sec_protect_data_transit_key_cert_mgmt"></a>

 Simpan kunci dan sertifikat enkripsi dengan aman dan rotasikan pada interval waktu yang sesuai dengan kontrol akses yang ketat. Cara terbaik untuk mencapainya adalah dengan menggunakan layanan terkelola, seperti [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Layanan ini memungkinkan Anda dengan mudah menyediakan, mengelola, dan men-deploy sertifikat Keamanan Lapisan Pengangkutan (TLS) publik dan privat untuk digunakan bersama layanan AWS dan sumber daya internal Anda yang terhubung. Sertifikat TLS digunakan untuk mengamankan komunikasi jaringan dan membangun identitas situs web di internet serta sumber daya di jaringan privat. ACM terintegrasi dengan sumber daya AWS, seperti Penyeimbang Beban Elastis (ELB), distribusi AWS, dan API di API Gateway, yang juga menangani pembaruan sertifikat secara otomatis. Jika Anda menggunakan ACM untuk men-deploy CA root privat, sertifikat serta kunci privat dapat disediakan olehnya untuk digunakan di instans Amazon Elastic Compute Cloud (Amazon EC2), kontainer, dan lain-lain. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Implementasikan manajemen kunci dan sertifikat yang aman: Implementasikan kunci solusi manajemen kunci dan sertifikat aman yang Anda tetapkan. 
  + [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
  + [ Cara meng-host dan mengelola seluruh infrastruktur sertifikat privat di AWS. ](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+  Implementasikan protokol aman: Gunakan protokol aman yang menawarkan autentikasi dan kerahasiaan, seperti Keamanan Lapisan Pengangkutan (TLS) atau IPsec, untuk mengurangi risiko pengrusakan atau kehilangan data. Pelajari dokumentasi AWS untuk mengetahui protokol dan keamanan yang relevan dengan layanan yang sedang Anda gunakan. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Dokumentasi AWS](https://docs.aws.amazon.com/)

# SEC09-BP02 Terapkan enkripsi data bergerak
<a name="sec_protect_data_transit_encrypt"></a>

 Terapkan persyaratan enkripsi yang Anda tetapkan berdasarkan standar dan saran yang sesuai untuk membantu Anda memenuhi persyaratan organisasi, hukum, dan kepatuhan Anda. Layanan AWS menyediakan titik akhir HTTPS menggunakan TLS untuk komunikasi, sehingga menyediakan enkripsi data bergerak saat berkomunikasi dengan API AWS. Protokol yang tidak aman, seperti HTTP, dapat diaudit dan diblokir di VPC melalui penggunaan grup keamanan. Permintaan HTTP juga dapat [dialihkan secara otomatis ke HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) di Amazon CloudFront atau di [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Anda memiliki kendali penuh atas sumber daya komputasi Anda untuk mengimplementasikan enkripsi data bergerak di seluruh layanan Anda. Selain itu, Anda dapat menggunakan sambungan VPN ke dalam VPC Anda dari jaringan eksternal untuk memudahkan enkripsi lalu lintas. Solusi pihak ketiga tersedia di AWS Marketplace, jika Anda memiliki persyaratan khusus. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Terapkan enkripsi data bergerak: Persyaratan enkripsi yang Anda tetapkan harus didasarkan pada standar dan praktik terbaik paling baru dan hanya mengizinkan protokol yang aman. Misalnya, hanya konfigurasikan grup keamanan agar mengizinkan protokol HTTPS ke penyeimbang beban aplikasi atau instans Amazon Elastic Compute Cloud (Amazon EC2). 
+  Konfigurasikan protokol aman di layanan edge: Konfigurasikan HTTPS dengan Amazon CloudFront dan sandi yang diperlukan. 
  + [ Menggunakan HTTPS dengan CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+  Gunakan VPN untuk sambungan eksternal: Pertimbangkan penggunaan jaringan privat virtual (VPN) IPsec untuk mengamankan sambungan titik ke titik atau jaringan ke jaringan untuk menyediakan privasi sekaligus integritas data. 
  + [ Sambungan VPN ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+  Konfigurasikan protokol aman di penyeimbang beban: Aktifkan listener HTTPS untuk mengamankan sambungan ke penyeimbang beban. 
  + [ Listener HTTPS untuk penyeimbang beban aplikasi Anda ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+  Konfigurasikan protokol aman untuk instans: Pertimbangkan konfigurasi enkripsi HTTPS pada instans. 
  + [ Tutorial: Mengonfigurasi server web Apache di Amazon Linux 2 untuk menggunakan SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+  Konfigurasikan protokol aman di Amazon Relational Database Service (Amazon RDS): Gunakan lapisan soket aman (SSL) atau keamanan lapisan pengangkutan (TLS) untuk mengenkripsi koneksi ke instans basis data. 
  + [ Menggunakan SSL untuk mengenkripsi koneksi ke Instans DB ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+  Konfigurasikan protokol aman di Amazon Redshift: Konfigurasikan klaster Anda agar mewajibkan koneksi lapisan soket aman (SSL) atau keamanan lapisan pengangkutan (TLS). 
  + [ Mengonfigurasi opsi-opsi keamanan untuk koneksi ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+  Konfigurasikan protokol aman di layanan AWS tambahan: Untuk layanan AWS yang Anda gunakan, tentukan kemampuan enkripsi data bergerak. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [ Dokumentasi AWS](https://docs.aws.amazon.com/index.html)

# SEC09-BP03 Mengotomatiskan deteksi akses data yang tidak dimaksudkan
<a name="sec_protect_data_transit_auto_unintended_access"></a>

 Gunakan alat seperti Amazon GuardDuty untuk secara otomatis mendeteksi aktivitas mencurigakan atau mencoba memindahkan data di luar batas yang telah ditetapkan. Misalnya, GuardDuty dapat mendeteksi aktivitas baca Amazon Simple Storage Service (Amazon S3) yang tidak seperti biasanya dengan [Temuan Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Selain GuardDuty, [Log Alur Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)yang mendokumentasikan informasi lalu lintas jaringan, dapat digunakan dengan Amazon EventBridge untuk memicu deteksi koneksi tidak normal, baik yang berhasil maupun yang ditolak. [Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) dapat membantu mengukur data apa yang dapat diakses di dalam bucket Amazon S3 Anda. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Otomatiskan deteksi akses data yang tidak dimaksudkan: Gunakan alat atau mekanisme deteksi untuk secara otomatis mendeteksi upaya untuk memindahkan data di luar batas yang ditetapkan; misalnya, untuk mendeteksi sistem basis data yang menyalin data ke host tidak dikenal. 
  + [ Log Alur VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 
+  Pertimbangkan Amazon Macie: Amazon Macie adalah layanan privasi data dan keamanan data terkelola secara penuh yang menggunakan machine learning dan pencocokan pola untuk menemukan dan melindungi data sensitif Anda di AWS. 
  + [ Amazon Macie ](https://aws.amazon.com/macie/)

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [ Log Alur VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 
+ [ Amazon Macie ](https://aws.amazon.com/macie/)

# SEC09-BP04 Sahkan komunikasi jaringan
<a name="sec_protect_data_transit_authentication"></a>

 Verifikasi identitas komunikasi dengan menggunakan protokol yang mendukung autentikasi, seperti Keamanan Lapisan Pengangkutan (TLS) atau IPsec. 

Menggunakan protokol jaringan yang mendukung autentikasi, biarkan kepercayaan terjalin antara para pihak. Ini menambahkan ke enkripsi yang digunakan dalam protokol untuk mengurangi risiko pengubahan atau penyadapan komunikasi. Protokol umum yang mengimplementasikan autentikasi antara lain Keamanan Lapisan Pengangkutan (TLS), yang digunakan dalam banyak layanan AWS, dan IPsec, yang digunakan di [AWS Virtual Private Network (Site-to-Site VPN)](http://aws.amazon.com/vpn).

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Implementasikan protokol aman: Gunakan protokol aman yang menawarkan autentikasi dan kerahasiaan, seperti TLS atau IPsec, untuk mengurangi risiko pengrusakan atau kehilangan data. Periksa [dokumentasi AWS](https://docs.aws.amazon.com/) untuk mengetahui protokol dan keamanan yang relevan dengan layanan yang sedang Anda gunakan. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Dokumentasi AWS](https://docs.aws.amazon.com/) 

# Respons insiden
<a name="a-incident-response"></a>

**Topics**
+ [SEC 10 Bagaimana cara mengantisipasi, merespons, dan pulih dari insiden?](w2aac19b7c15b5.md)

# SEC 10 Bagaimana cara mengantisipasi, merespons, dan pulih dari insiden?
<a name="w2aac19b7c15b5"></a>

Persiapan sangat penting untuk penyelidikan, respons, dan pemulihan peristiwa keamanan secara tepat waktu dan efektif guna membantu meminimalkan gangguan terhadap organisasi Anda.

**Topics**
+ [SEC10-BP01 Identifikasikan sumber daya eksternal dan personel kunci](sec_incident_response_identify_personnel.md)
+ [SEC10-BP02 Membuat rencana manajemen insiden](sec_incident_response_develop_management_plans.md)
+ [SEC10-BP03 Menyiapkan kemampuan forensik](sec_incident_response_prepare_forensic.md)
+ [SEC10-BP04 Mengotomatiskan kemampuan kontainer](sec_incident_response_auto_contain.md)
+ [SEC10-BP05 Menyediakan akses di awal](sec_incident_response_pre_provision_access.md)
+ [SEC10-BP06 Melakukan deployment alat di awal](sec_incident_response_pre_deploy_tools.md)
+ [SEC10-BP07 Menjalankan game day](sec_incident_response_run_game_days.md)

# SEC10-BP01 Identifikasikan sumber daya eksternal dan personel kunci
<a name="sec_incident_response_identify_personnel"></a>

 Identifikasikan kewajiban legal, sumber daya, dan personel internal serta eksternal yang dapat membantu organisasi Anda merespons insiden. 

Saat Anda menentukan pendekatan Anda terhadap respons insiden di cloud, bersama dengan tim lainnya (seperti penasihat hukum, pimpinan, pemangku kepentingan bisnis, Layanan AWS Support, dan lainnya), Anda harus mengidentifikasi personel kunci, pemangku kepentingan, dan kontak yang relevan. Untuk mengurangi dependensi dan mempercepat waktu respons, pastikan tim Anda, tim keamanan spesialis, dan pemberi respons paham tentang layanan yang Anda gunakan dan memiliki kesempatan untuk praktik langsung.

Sebaiknya identifikasikan partner keamanan AWS eksternal yang dapat memberi Anda ahli dari luar perusahaan dan memberikan perspektif yang berbeda untuk melengkapi kemampuan respons Anda. Partner keamanan tepercaya Anda dapat membantu Anda mengidentifikasi potensi risiko atau ancaman yang belum Anda kenali dengan baik.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Identifikasikan personel kunci dalam organisasi Anda: Kelola daftar kontak personel di dalam organisasi Anda yang perlu Anda libatkan untuk merespons dan melakukan pemulihan dari insiden. 
+  Identifikasikan partner eksternal: Bekerja samalah dengan partner eksternal yang dapat membantu Anda merespons dan melakukan pemulihan dari insiden, jika diperlukan. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Panduan Respons Insiden AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 

 **Video terkait:** 
+  [Prepare for and respond to security incidents in your AWS environment ](https://youtu.be/8uiO0Z5meCs)

 **Contoh terkait:** 

# SEC10-BP02 Membuat rencana manajemen insiden
<a name="sec_incident_response_develop_management_plans"></a>

 Buat rencana untuk membantu Anda merespons insiden, berkomunikasi selama insiden, dan melakukan pemulihan setelah insiden. Misalnya, Anda bisa mulai membuat rencana respons insiden dengan skenario yang paling mungkin dilakukan untuk beban kerja atau organisasi Anda. Sertakan cara berkomunikasi dan eskalasi baik secara internal maupun eksternal. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Rencana manajemen insiden sangat penting untuk merespons, memitigasi, dan pulih dari potensi dampak insiden keamanan. Rencana manajemen insiden adalah proses terstruktur untuk mengidentifikasi, memperbaiki, dan merespons insiden keamanan secara tepat waktu. 

 Cloud memiliki banyak peran dan persyaratan operasional yang sama yang juga ditemukan di lingkungan on-premise. Saat membuat rencana manajemen insiden, penting untuk mempertimbangkan strategi respons dan pemulihan yang paling selaras dengan hasil bisnis dan persyaratan kepatuhan Anda. Sebagai contoh, jika Anda mengoperasikan beban kerja di AWS yang patuh terhadap FedRAMP di Amerika Serikat, ada gunanya Anda mematuhi [NIST SP 800-61 Panduan Penanganan Keamanan Komputer](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf). Begitu juga, saat mengoperasikan beban kerja dengan data PII (informasi identitas pribadi) Eropa, pertimbangkan skenario seperti cara Anda melindungi dan merespons permasalahan terkait residensi data yang diatur oleh [Peraturan Perlindungan Data Umum (GDPR) Uni Eropa](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en). 

 Saat membangun rencana manajemen insiden untuk beban kerja yang beroperasi di AWS, mulailah dengan [Model Tanggung Jawab Bersama AWS](https://aws.amazon.com/compliance/shared-responsibility-model/), untuk membangun pendekatan pertahanan mendalam untuk respons insiden. Dalam model ini, AWS mengelola keamanan cloud, dan Anda bertanggung jawab atas keamanan di cloud. Ini artinya Anda mempertahankan kontrol dan bertanggung jawab atas kontrol keamanan yang ingin Anda implementasikan. Panduan [Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) menguraikan konsep utama dan panduan mendasar untuk membangun rencana manajemen insiden berorientasi cloud.

 Rencana manajemen insiden yang efektif harus diiterasi secara berkelanjutan, dan harus tetap mutakhir sesuai tujuan operasi cloud Anda. Pertimbangkan menggunakan rencana implementasi yang diuraikan di bawah seiring Anda membuat dan mengembangkan rencana manajemen insiden Anda. 
+  **Berikan edukasi dan pelatihan untuk respons insiden:** Saat terjadi penyimpanan dari patokan yang telah Anda tetapkan (misalnya, deployment yang tidak tepat atau kesalahan konfigurasi), Anda mungkin perlu merespons dan menyelidikinya. Untuk keberhasilan dalam melakukannya, Anda harus memahami kontrol dan kemampuan mana yang dapat Anda gunakan untuk keamanan dan respons insiden di dalam lingkungan AWS Anda, serta proses yang perlu Anda pertimbangkan untuk menyiapkan, mengedukasi, dan melatih tim cloud Anda dalam merespons insiden. 
  +  [Playbook](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_playbooks.html) dan [runbook](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_runbooks.html) adalah mekanisme yang efektif untuk membangun konsistensi dalam melatih cara merespons insiden. Mulailah dengan membuat daftar awal prosedur yang sering dijalankan selama respons insiden, dan lanjutkan untuk melakukan iterasi seiring Anda mempelajari atau menggunakan prosedur baru. 
  +  Sosialisasikan playbook dan runbook melalui [game day](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_run_game_days.html)terjadwal. Selama game day, simulasikan respons insiden dalam lingkungan terkontrol sehingga tim Anda dapat mengingat cara merespons, dan untuk memverifikasi bahwa tim yang terlibat dalam respons insiden sangat memahami alur kerja. Tinjau hasil simulasi peristiwa untuk mengidentifikasi perbaikan dan menentukan kebutuhan untuk diadakannya pelatihan lebih lanjut atau alat-alat tambahan. 
  +  Keamanan harus dianggap sebagai tugas setiap orang. Bangun pengetahuan bersama tentang proses manajemen insiden dengan melibatkan semua personel yang normalnya mengoperasikan beban kerja Anda. Ini mencakup semua aspek bisnis Anda: operasi, pengujian, pengembangan, keamanan, operasi bisnis, dan pemimpin bisnis. 
+  **Dokumentasikan rencana manajemen insiden:** Dokumentasikan alat dan proses untuk merekam, menindaklanjuti, mengomunikasikan progres, dan menyediakan notifikasi tentang insiden aktif. Tujuan rencana manajemen insiden adalah untuk memverifikasi bahwa operasi normal dipulihkan secepat mungkin, dampak bisnis diminimalkan, dan semua pihak yang terkait mendapatkan informasi terbaru. Contoh insiden mencakup (tetapi tidak terbatas pada) hilangnya atau menurunnya konektivitas jaringan, proses atau API tidak responsif, tugas terjadwal tidak dijalankan (misalnya patching gagal), ketidaktersediaan data atau layanan aplikasi, gangguan layanan yang tidak terencana akibat peristiwa keamanan, kebocoran kredensial, atau kesalahan konfigurasi. 
  +  Identifikasi pemilik utama yang bertanggung jawab atas penyelesaian insiden, seperti pemilik beban kerja. Miliki panduan yang jelas tentang orang yang akan menjalankan penyelesaian insiden dan bagaimana komunikasi akan ditangani. Saat Anda memiliki lebih dari satu pihak yang berpartisipasi dalam proses penyelesaian insiden, seperti vendor eksternal, pertimbangkan membangun *matriks tanggung jawab (RACI)*, yang menguraikan peran serta tanggung jawab berbagai tim dan individu yang diperlukan untuk penyelesaian insiden. 

     Matriks RACI berisi detail tentang hal-hal berikut: 
    +  **R:** *Pihak yang Bertanggung jawab (Responsible)* yang melakukan pekerjaan untuk menyelesaikan tugas. 
    +  **A:** *Pihak atau pemangku kepentingan yang akuntabel (Accountable)* dengan otoritas akhir terhadap keberhasilan penyelesaian tugas tertentu. 
    +  **C:** *Pihak yang menerima konsultasi (Consulted)* yang dimintai opini, umumnya sebagai pakar pokok pembahasan. 
    +  **I:** *Pihak penerima informasi (informed)* yang diberi tahu tentang progres, sering kali tentang penyelesaian tugas atau hasil. 
+  **Kategorikan insiden:** Menetapkan dan mengkategorikan insiden berdasarkan skor tingkat keparahan dan dampak memungkinkan pendekatan terstruktur untuk memeriksa dan menyelesaikan insiden. Rekomendasi berikut ini menggambarkan *matriks urgensi dampak-penyelesaian* untuk memperhitungkan suatu insiden. Sebagai contoh, insiden dengan dampak rendah dan urgensi rendah dianggap sebagai insiden dengan keparahan rendah. 
  +  **Tinggi (H):** Bisnis Anda menerima dampak besar. Fungsi-fungsi vital aplikasi Anda terkait sumber daya AWS tidak tersedia. Dicadangkan untuk peristiwa paling kritis yang memengaruhi sistem produksi. Dampak insiden meningkat dengan cepat karena perbaikan sangat dipengaruhi oleh waktu. 
  +  **Sedang (M):** Sebuah layanan atau aplikasi bisnis terkait sumber daya AWS menerima dampak sedang dan berfungsi dengan penurunan kondisi. Aplikasi yang berkontribusi pada sasaran tingkat layanan (SLO) terkena dampak di dalam batas persetujuan tingkat layanan (SLA). Sistem dapat berjalan dengan penurunan kemampuan tanpa berdampak besar pada keuangan dan reputasi. 
  +  **Rendah (L):** Fungsi-fungsi non-vital layanan bisnis atau aplikasi Anda terkait sumber daya AWS terkena dampak. Sistem dapat berjalan dengan penurunan kemampuan dengan dampak minimal pada keuangan dan reputasi. 
+  **Standardisasi kontrol keamanan:** Tujuan standardisasi kontrol keamanan adalah untuk mencapai konsistensi, keterlacakan, dan kemampuan pengulangan terkait hasil-hasil operasi. Dorong standardisasi di seluruh aktivitas utama yang vital untuk respons insiden, seperti: 
  +  **Manajemen identitas dan akses:** Bangun mekanisme untuk mengontrol akses ke data Anda dan mengelola hak akses untuk identitas manusia serta mesin. Perluas manajemen identitas dan akses Anda sendiri ke cloud, menggunakan keamanan terfederasi dengan masuk tunggal (single sign-on) dan hak akses berbasis peran untuk mengoptimalkan manajemen akses. Untuk rekomendasi praktik terbaik dan rencana perbaikan untuk menstandarkan manajemen akses, lihat [bagian manajemen identitas dan akses](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-and-access-management.html) laporan resmi Pilar Keamanan. 
  +  **Manajemen kelemahan:** Bangun mekanisme untuk mengidentifikasi kelemahan dalam lingkungan AWS Anda yang kemungkinan dapat dimanfaatkan oleh penyerang untuk mengganggu dan menyalahgunakan sistem Anda. Implementasikan kontrol deteksi dan preventif sebagai mekanisme keamanan untuk merespons dan memitigasi potensi dampak insiden keamanan. Standarkan proses seperti pemodelan ancaman sebagai bagian dari pembangunan infrastruktur dan siklus hidup penyampaian aplikasi Anda.
  +  **Manajemen konfigurasi:** Tetapkan konfigurasi standar dan otomatiskan prosedur untuk men-deploy sumber daya di AWS Cloud. Menstandarkan pengadaan infrastruktur dan sumber daya dapat membantu memitigasi risiko kesalahan konfigurasi melalui deployment yang salah atau kesalahan konfigurasi manusiawi yang tidak disengaja. Lihat [bagian prinsip desain](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/design-principles.html) laporan resmi Pilar Keunggulan Operasional untuk mendapatkan panduan dan rendana perbaikan untuk mengimplementasikan kontrol ini.
  +  **Pencatatan log dan pemantauan untuk kontrol audit:** Implementasikan mekanisme untuk memantau sumber daya Anda guna mendeteksi kegagalan, penurunan kinerja, dan masalah keamanan. Standardisasi kontrol ini juga menyediakan jejak audit aktivitas yang terjadi dalam sistem Anda, sehingga mempercepat pemeriksaan dan perbaikan masalah. Praktik terbaik di dalam [SEC 4 (“Bagaimana cara mendeteksi dan menyelidiki peristiwa keamanan?”)](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) menyediakan panduan untuk mengimplementasikan kontrol ini.
+  **Gunakan otomatisasi:** Otomatisasi memungkinkan penyelesaian insiden yang cepat dalam skala besar. AWS menyediakan sejumlah layanan untuk mengotomatisasi dalam konteks strategi respons insiden. Fokus pada penemuan keseimbangan yang tepat antara otomatisasi dan campur tangan manual. Seiring Anda membangun respons insiden di dalam playbook dan runbook, otomatiskan langkah-langkah yang dapat diulang. Gunakan layanan AWS seperti Manajer Insiden AWS Systems Manager untuk [menyelesaikan insiden IT lebih cepat](https://aws.amazon.com/blogs/aws/resolve-it-incidents-faster-with-incident-manager-a-new-capability-of-aws-systems-manager/). Gunakan [alat developer](https://aws.amazon.com/devops/) untuk menyediakan kontrol versi dan otomatiskan [Amazon Machine Images (AMI)](https://aws.amazon.com/amis/) dan deployment Infrastruktur sebagai Kode (IaC) tanpa campur tangan manusia. Jika memungkinkan, otomatiskan deteksi dan penilaian kepatuhan menggunakan layanan terkelola seperti Amazon GuardDuty, Amazon Inspector, AWS Security Hub CSPM, AWS Config, dan Amazon Macie. Otomatiskan kemampuan deteksi dengan machine learning seperti Amazon DevOps Guru untuk mendeteksi masalah pola operasi yang tidak normal sebelum terjadi. 
+  **Lakukan analisis akar masalah dan tindak lanjuti pelajaran yang didapatkan:** Implementasikan mekanisme untuk menyerap pelajaran yang didapatkan sebagai bagian dari peninjauan respons pascainsiden. Saat akar masalah suatu insiden mengungkap kerusakan yang lebih besar, kesalahan desain, kesalahan konfigurasi, atau kemungkinan kambuh, insiden ini diklasifikasikan sebagai masalah. Pada kasus tersebut, analisis dan selesaikan masalah untuk meminimalkan gangguan pada operasi normal. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 
+ [ NIST: Panduan Penanganan Insiden Keamanan Komputer ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)

 **Video terkait:** 
+  [Mengotomatiskan Respons Insiden dan Forensik di AWS](https://youtu.be/f_EcwmmXkXk)
+ [ Panduan mandiri untuk runbook, laporan insiden, dan respons insiden ](https://www.youtube.com/watch?v=E1NaYN_fJUo)
+ [ Bersiap dan merespons insiden keamanan di lingkungan AWS Anda ](https://www.youtube.com/watch?v=8uiO0Z5meCs)

 **Contoh terkait:** 
+  [Lab: Buku Panduan Respons Insiden dengan Jupyter - AWS IAM](https://www.wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html) 
+ [ Lab: Respons insiden dengan Konsol AWS dan CLI ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)

# SEC10-BP03 Menyiapkan kemampuan forensik
<a name="sec_incident_response_prepare_forensic"></a>

 Penting bagi tim respons insiden Anda untuk memahami kapan dan bagaimana penyelidikan forensik sesuai dengan rencana respons Anda. Organisasi Anda harus menetapkan bukti apa yang dikumpulkan dan alat-alat apa yang digunakan di dalam prosesnya. Identifikasi dan siapkan kemampuan penyelidikan forensik yang sesuai, termasuk spesialis eksternal, alat, dan otomatisasi. Keputusan utama yang harus Anda ambil di awal adalah apakah Anda akan mengumpulkan data dari sistem langsung. Beberapa data, seperti konten memori yang mudah berubah atau koneksi jaringan aktif, akan hilang jika sistem dimatikan atau dimulai ulang. 

Tim respons Anda dapat menggabungkan alat, seperti AWS Systems Manager, Amazon EventBridge, dan AWS Lambda, untuk menjalankan alat-alat forensik secara otomatis di dalam sistem operasi dan mirroring lalu lintas VPC untuk mendapatkan perekaman paket jaringan, untuk mengumpulkan bukti nonpersisten. Lakukan aktivitas lain, seperti analisis log atau menganalisis image disk, di dalam akun keamanan khusus dengan stasiun kerja forensik yang dikustomisasi dan alat-alat yang dapat diakses oleh tim respons Anda.

Secara rutin kirimkan log relevan ke penyimpanan data yang menyediakan durabilitas dan integritas tinggi. Tim respons harus memiliki akses ke log-log tersebut. AWS menawarkan sejumlah alat yang dapat mempermudah penyelidikan log, seperti Amazon Athena, Amazon OpenSearch Service (OpenSearch Service), dan Amazon CloudWatch Logs Insights. Selain itu, simpan bukti secara aman menggunakan Amazon Simple Storage Service (Amazon S3) Object Lock. Layanan ini mengikuti model WORM (tulis sekali - baca banyak) dan mencegah objek dihapus atau ditimpa selama jangka waktu yang ditetapkan. Karena teknik-teknik penyelidikan forensik memerlukan pelatihan spesialis, Anda mungkin perlu melibatkan spesialis eksternal.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Identifikasi kemampuan forensik: Teliti kemampuan penyelidikan forensik organisasi Anda, alat-alat yang tersedia, dan spesialis eksternal. 
+  [Mengotomatiskan Respons Insiden dan Forensik ](https://youtu.be/f_EcwmmXkXk)

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Cara mengotomatiskan pengumpulan disk forensik di AWS](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/) 

# SEC10-BP04 Mengotomatiskan kemampuan kontainer
<a name="sec_incident_response_auto_contain"></a>

Otomatiskan pengendalian dan pemulihan insiden untuk mempercepat waktu respons dan meminimalkan dampaknya terhadap organisasi. 

Begitu Anda membuat dan mempraktikkan proses dan alat dari buku panduan Anda, Anda dapat mendekonstruksi logika menjadi solusi berbasis kode, yang dapat digunakan sebagai alat oleh beberapa staf respons untuk mengotomatiskan respons dan menghapus varian atau dugaan oleh staf respons Anda. Hal ini dapat mempercepat siklus respons. Tujuan selanjutnya adalah memungkinkan kode ini menjadi otomatis sepenuhnya dengan cara dipanggil oleh peringatan atau peristiwa sendiri, bukan oleh staf respons manusia, untuk menciptakan respons yang didorong peristiwa. Proses ini juga harus menambahkan data yang relevan secara otomatis ke sistem keamanan Anda. Misalnya, insiden yang melibatkan lalu lintas dari alamat IP yang tidak diinginkan dapat secara otomatis mengisi daftar blok WAF AWS atau grup aturan Network Firewall untuk mencegah aktivitas lebih lanjut.

![\[AWS architecture diagram showing WAF WebACL logs processing and IP address blocking flow between accounts.\]](http://docs.aws.amazon.com/id_id/wellarchitected/2022-03-31/framework/images/aws-waf-automate-block.png)


*Gambar 3: AWS WAF mengotomatiskan pemblokiran alamat IP berbahaya.*

Dengan sistem respons yang didorong peristiwa, mekanisme deteksi memicu mekanisme responsif untuk memperbaiki peristiwa secara otomatis. Anda bisa menggunakan kemampuan respons yang didorong peristiwa untuk mengurangi waktu penciptaan nilai antara mekanisme deteksi dan mekanisme responsif. Untuk membuat arsitektur yang didorong peristiwa ini, Anda bisa menggunakan AWS Lambda, yang merupakan layanan komputasi nirserver yang menjalankan kode Anda ketika merespons peristiwa serta mengelola secara otomatis sumber daya komputasi dasar untuk Anda. Misalnya, anggaplah Anda memiliki akun AWS dengan layanan AWS CloudTrail yang diaktifkan. Jika AWS CloudTrail dinonaktifkan (melalui panggilan API `cloudrail:StopLogging` ), Anda bisa menggunakan Amazon EventBridge untuk memantau peristiwa `cloudrail:StopLogging` tertentu, dan memanggil fungsi AWS Lambda untuk memanggil `cloudtrail:StartLogging` untuk memulai ulang pencatatan log. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Mengotomatiskan kemampuan kontainer 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [ Panduan Respons Insiden AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 

 **Video terkait:** 
+  [Bersiap dan merespons insiden keamanan di lingkungan AWS Anda](https://youtu.be/8uiO0Z5meCs) 

# SEC10-BP05 Menyediakan akses di awal
<a name="sec_incident_response_pre_provision_access"></a>

Verifikasi staf respons insiden memiliki akses yang benar yang telah disediakan sebelumnya di AWS untuk mengurangi waktu yang diperlukan untuk penyelidikan hingga pemulihan.

 **Antipola umum:** 
+  Menggunakan akun root untuk merespons insiden. 
+  Mengubah akun-akun pengguna yang ada. 
+  Memanipulasi izin IAM secara langsung saat menyediakan peningkatan hak akses yang sedang dibutuhkan. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>

AWS menyarankan Anda untuk sebisa mungkin mengurangi atau menghilangkan kebergantungan pada kredensial berumur panjang, dan memilih kredensial sementara dan *mekanisme* peningkatan hak akses hanya saat diperlukan. Kredensial berumur panjang rentang terkena risiko keamanan dan meningkatkan biaya overhead operasional. Untuk sebagian besar tugas manajemen, serta tugas respons insiden, kami menyarankan Anda untuk mengimplementasikan [federasi identitas](https://docs.aws.amazon.com/identity/federation/) bersamaan dengan [peningkatan sementara untuk akses administratif](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/). Di model ini, seorang pengguna meminta peningkatan ke tingkat hak akses yang lebih tinggi (seperti peran respons insiden) dan, apabila pengguna tersebut memenuhi syarat peningkatan hak, permintaan tersebut dikirimkan ke seorang pemberi persetujuan. Jika permintaan tersebut disetujui, pengguna menerima serangkaian [kredensial AWS](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) sementara yang dapat digunakan untuk menyelesaikan tugas-tugas mereka. Setelah kredensial ini kedaluwarsa, pengguna harus mengirimkan permintaan peningkatan baru.

 Kami menyarankan penggunaan peningkatan hak akses sementara di sebagian besar skenario respons insiden. Cara tepat untuk melakukannya adalah dengan menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) dan [kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) untuk membuat cakupan akses. 

 Terdapat skenario di mana identitas terfederasi tidak tersedia, seperti: 
+  Pemadaman yang berkaitan dengan penyedia identitas (IdP) yang terganggu. 
+  Kesalahan konfigurasi atau kesalahan manusiawi yang menyebabkan rusaknya sistem manajemen akses terfederasi. 
+  Aktivitas berbahaya seperti peristiwa distributed denial of service (DDoS) atau yang menyebabkan sistem tidak tersedia. 

 Pada kasus-kasus di atas, harus terdapat akses *mendesak (break glass)* yang dikonfigurasi untuk mengizinkan penyelidikan dan perbaikan peristiwa secara cepat. Sebaiknya gunakan juga [pengguna IAM dengan izin yang tepat](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) untuk menjalankan tugas dan mengakses sumber daya AWS. Gunakan kredensial root hanya untuk [tugas yang memerlukan akses pengguna root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Untuk memverifikasi bahwa tim respons insiden memiliki tingkat akses yang tepat ke AWS dan sistem yang relevan lainnya, sebaiknya sediakan akun-akun pengguna khusus sejak awal. Akun pengguna tersebut memerlukan akses istimewa, dan harus dikontrol dan dipantau secara ketat. Akun-akun tersebut harus dibuat dengan hak akses paling sedikit yang diperlukan untuk menjalankan tugas yang diperlukan, dan tingkat akses harus didasarkan pada playbook yang dibuat sebagai bagian dari rencana manajemen insiden. 

 Gunakan pengguna dan peran yang dibuat khusus sebagai praktik terbaik. Peningkatan akses pengguna atau peran sementara melalui penambahan kebijakan IAM menjadikannya tidak jelas terkait akses apa yang dimiliki pengguna selama insiden, dan terdapat risiko tidak dicabutnya peningkatan hak akses tersebut. 

 Penting untuk menghapus dependensi sebanyak mungkin untuk memastikan akses dapat diperoleh dalam sebanyak mungkin skenario kegagalan. Untuk mendukung hal ini, buatlah playbook untuk memastikan pengguna respons insiden dibuat sebagai pengguna AWS Identity and Access Management di dalam akun keamanan khusus, dan bukan dikelola melalui solusi Federasi atau masuk tunggal (SSO) yang ada. Tiap-tiap perespons harus memiliki akun dengan nama mereka sendiri. Konfigurasi akun harus menegakkan [kebijakan kata sandi yang kuat](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dan autentikasi multi-faktor (MFA). Jika playbook respons insiden hanya memerlukan akses ke Konsol Manajemen AWS, pengguna tidak boleh memiliki kunci akses yang dikonfigurasi dan harus dilarang secara tegas untuk membuat kunci akses. Hal ini dapat dikonfigurasi dengan kebijakan IAM atau kebijakan kontrol layanan (SCP) sebagaimana disebutkan dalam Praktik Terbaik Keamanan AWS untu [AWS Organizations SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Pengguna tidak boleh memiliki hak ases selain kemampuan untuk mengambil peran respons insiden di akun-akun lainnya. 

 Selama insiden, mungkin diperlukan pemberian akses ke individu internal atau eksternal untuk mendukung aktivitas penyelidikan, perbaikan, atau pemulihan. Pada kasus ini, gunakan mekanisme playbook yang disebutkan sebelumnya, dan harus ada proses untuk memverifikasi bahwa akses tambahan apa pun segera dicabut setelah insiden selesai. 

 Untuk memastikan bahwa penggunaan peran respons insiden dapat dipantau dan diaudit dengan layak, penting untuk tidak membagikan akun pengguna IAM yang dibuat untuk tujuan ini kepada individu lain, serta tidak menggunakan pengguna root Akun AWS kecuali [diperlukan untuk tugas tertentu](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Jika pengguna root diperlukan (sebagai contoh, akses IAM ke akun tertentu tidak tersedia), gunakan proses terpisah dengan playbook yang tersedia untuk memverifikasi ketersediaan kata sandi pengguna root dan token MFA. 

 Untuk mengonfigurasi kebijakan IAM untuk peran respons insiden, pertimbangkan menggunakan [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) untuk menghasilkan kebijakan berdasarkan log AWS CloudTrail. Untuk melakukannya, berikan akses administrator ke peran respons insiden di akun non-produksi dan jalankan playbook Anda. Setelah selesai, kebijakan dapat dibuat yang hanya mengizinkan tindakan yang diambil. Kebijakan ini kemudian dapat diterapkan ke semua peran respons insiden di semua akun. Anda mungkin ingin membuat kebijakan IAM terpisah untuk setiap playbook untuk mempermudah manajemen dan audit. Contoh playbook dapat mencakup rencana respons untuk ransomware, pembobolan data, hilangnya akses produksi, dan skenario lain. 

 Gunakan akun pengguna respons insiden untuk mengambil [peran IAM respons insiden khusus di Akun AWS lain](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). Peran-peran ini harus dikonfigurasi hanya agar dapat diambil oleh pengguna di akun keamanan, dan hubungan kepercayaan harus mewajibkan bahwa principal pemanggil telah mengautentikasi menggunakan MFA. Peran-peran tersebut harus menggunakan kebijakan IAM dengan cakupan yang ketat untuk mengontrol akses. Pastikan bahwa semua permintaan `AssumeRole` untuk peran-peran ini dicatat dalam log di CloudTrail dan dibuatkan peringatan, dan bahwa tindakan apa pun yang diambil menggunakan peran-peran ini dicatat dalam log. 

 Sangat disarankan akun pengguna IAM serta IAM role disebutkan secara jelas agar dapat ditemukan dengan mudah di log CloudTrail. Contohnya adalah dengan menamai akun IAM dengan `<USER_ID>-BREAK-GLASS` dan IAM role dengan `BREAK-GLASS-ROLE`. 

 [CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) digunakan untuk membuat log aktivitas API di akun AWS Anda dan harus digunakan untuk [mengonfigurasi peringatan penggunaan peran respons insiden](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/). Lihat postingan blog tentang konfigurasi perintanan saat kunci root digunakan. Instruksi dapat dimodifikasi untuk mengonfigurasi filter-ke-filter metrik [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) pada peristiwa `AssumeRole` terkait dengan IAM role respons insiden: 

```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "<INCIDENT_RESPONSE_ROLE_ARN>" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```

 Karena peran respons insiden kemungkinan memiliki tingkat akses yang tinggi, peringatan-peringatan ini harus menjangkau grup yang luas dan ditindaklanjuti segera. 

 Selama insiden, terdapat kemungkinan bahwa perespons mungkin memerlukan akses ke sistem yang tidak diamankan secara langsung oleh IAM. Sistem-sistem tersebut dapat mencakup instans Amazon Elastic Compute Cloud, basis data Amazon Relational Database Service, atau platform perangkat lunak sebagai layanan (SaaS). Sangat disarankan untuk tidak menggunakan protokol native seperti SSH atau RDP, melainkan [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) untuk semua akses administratif ke instans Amazon EC2. Akses ini dapat dikontrol menggunakan IAM, yang aman dan diaudit. Memungkinkan juga untuk mengotomatisasi bagian-bagian playbook Anda menggunakan [dokumen AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html), yang dapat mengurangi kesalahan pengguna dan mempercepat waktu pemulihan. Untuk akses ke basis data dan alat-alat pihak ketiga, kami sarankan menyimpan kredensial akses di AWS Secrets Manager dan memberikan akses ke peran perespons insiden. 

 Terakhir, manajemen akun pengguna IAM perespons insiden harus ditambahkan ke [proses Joiners, Movers, dan Leavers](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) Anda dan ditinjau serta diuji secara berkala untuk memastikan bahwa yang diizinkan hanyalah akses yang diinginkan. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Mengelola peningkatan akses sementara ke lingkungan AWS Anda](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) 
+  [Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+  [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) 
+  [Manajer Insiden AWS Systems Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html) 
+  [Mengatur kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) 
+  [Menggunakan autentikasi multi-faktor (MFA) di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) 
+ [ Mengonfigurasi Akses Lintas Akun dengan MFA ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ Menggunakan IAM Access Analyzer untuk menghasilkan kebijakan IAM ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ Praktik Terbaik untuk Kebijakan Kontrol Layanan AWS Organizations di Lingkungan Multi-akun ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ Cara Menerima Notifikasi Ketika Kunci Akses Root Akun AWS Anda Digunakan ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ Membuat izin sesi mendetail menggunakan kebijakan terkelola IAM ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)

 **Video terkait:** 
+ [ Mengotomatiskan Respons Insiden dan Forensik di AWS](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+  [Panduan mandiri untuk runbook, laporan insiden, dan respons insiden](https://youtu.be/E1NaYN_fJUo) 
+ [ Bersiap dan merespons insiden keamanan di lingkungan AWS Anda ](https://www.youtube.com/watch?v=8uiO0Z5meCs)

 **Contoh terkait:** 
+ [ Lab: Penyiapan dan Pengguna Root Akun AWS](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ Lab: Respons insiden dengan Konsol AWS dan CLI ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)

# SEC10-BP06 Melakukan deployment alat di awal
<a name="sec_incident_response_pre_deploy_tools"></a>

 Pastikan bahwa personel keamanan sejak awal telah melakukan deployment alat yang tepat ke dalam AWS untuk mengurangi waktu investigasi melalui pemulihan. 

Untuk mengotomatiskan rekayasa keamanan dan fungsi operasi, Anda dapat menggunakan set API dan alat yang komprehensif dari AWS. Anda dapat sepenuhnya mengotomatiskan manajemen identitas, keamanan jaringan, perlindungan data, dan kemampuan pemantauan, serta menyediakannya menggunakan metode pengembangan perangkat lunak populer yang sudah Anda gunakan. Saat Anda membangun otomatisasi keamanan, sistem Anda dapat memantau, meninjau, dan menginisiasi respons, tanpa memerlukan orang untuk memantau posisi keamanan Anda dan memberikan reaksi terhadap peristiwa secara manual. Cara efektif untuk secara otomatis menyediakan data log yang relevan dan dapat dicari di seluruh layanan AWS kepada pemberi respons insiden Anda adalah dengan mengaktifkan [Amazon Detective](https://aws.amazon.com/detective/).

Jika tim respons insiden Anda terus merespons peringatan dengan cara yang sama, mereka berisiko mengalami kelelahan alarm (alarm fatigue). Seiring berjalannya waktu, tim dapat menjadi tidak peka terhadap peringatan sehingga dapat membuat kesalahan saat menangani situasi biasa atau melewatkan peringatan yang tidak biasa. Otomatisasi membantu mencegah kelelahan alarm dengan menggunakan fungsi yang memproses peringatan biasa dan repetitif, sehingga manusia cukup menangani insiden yang sensitif dan unik. Integrasi sistem deteksi anomali, seperti Amazon GuardDuty, Wawasan AWS CloudTrail, dan Deteksi Anomali Amazon CloudWatch, dapat mengurangi beban dari peringatan umum berbasis ambang batas.

Anda dapat memperbaiki proses manual dengan mengotomatiskan langkah-langkah dalam proses secara terprogram. Setelah Anda menentukan perbaikan pola pada peristiwa, Anda dapat menguraikan pola tersebut menjadi logika yang dapat ditindaklanjuti, dan menulis kode untuk menjalankan logika tersebut. Pemberi respons selanjutnya dapat mengeksekusi kode tersebut untuk memperbaiki masalah. Seiring berjalannya waktu, Anda dapat mengotomatiskan lebih banyak langkah, dan pada akhirnya secara otomatis menangani semua jenis insiden yang biasa muncul.

Untuk alat yang melakukan eksekusi dalam sistem operasi instans Amazon Elastic Compute Cloud (Amazon EC2), Anda harus melakukan evaluasi menggunakan AWS Systems Manager Run Command, agar Anda dapat mengadministrasikan instans dari jarak jauh secara aman menggunakan agen yang Anda instal di sistem operasi instans Amazon EC2 Anda. Hal ini memerlukan Systems Manager Agent (SSM Agent), yang diinstal secara default di banyak Amazon Machine Images (AMI). Namun, perlu diperhatikan bahwa ketika instans disusupi, respons dari alat atau agen yang berjalan pada instans tersebut tidak dapat dianggap tepercaya.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Melakukan deployment alat di awal: Pastikan bahwa personel keamanan memiliki alat yang tepat yang telah di-deploy di awal di AWS sehingga respons yang tepat terhadap insiden dapat dilakukan. 
  +  [Lab: Respons insiden dengan Konsol Manajemen AWS dan CLI ](https://wellarchitectedlabs.com/Security/300_Incident_Response_with_AWS_Console_and_CLI/README.html)
  + [ Lab: Buku Panduan Respons Insiden dengan Jupyter - AWS IAM ](https://wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
  +  [ Otomatisasi Keamanan AWS](https://github.com/awslabs/aws-security-automation)
+  Implementasikan penandaan sumber daya: Tandai sumber daya dengan informasi, seperti kode untuk sumber daya yang diinvestigasi, agar Anda dapat mengidentifikasi sumber daya selama insiden. 
  + [ Strategi Penandaan AWS](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [ Panduan Respons Insiden AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)

 **Video terkait:** 
+  [ Panduan mandiri untuk runbook, laporan insiden, dan respons insiden ](https://youtu.be/E1NaYN_fJUo)

# SEC10-BP07 Menjalankan game day
<a name="sec_incident_response_run_game_days"></a>

Game day, juga disebut simulasi atau latihan, adalah acara internal yang menyediakan peluang terstruktur untuk mempraktikkan rencana dan prosedur manajemen insiden Anda selama skenario yang realistis. Acara-acara ini harus melatih tim respons menggunakan alat dan teknik yang sama yang akan digunakan dalam skenario dunia nyata - bahkan meniru lingkungan dunia nyata. Game day pada dasarnya adalah tentang bersiap-siap dan meningkatkan kemampuan respons Anda secara iteratif. Beberapa alasan Anda mungkin menemukan nilai dalam pelaksanaan aktivitas game day antara lain: 
+ Memvalidasi kesiapan
+ Mengembangkan kepercayaan diri – belajar dari simulasi dan staf pelatihan
+ Mengikuti kepatuhan atau kewajiban kontraktual
+ Menghasilkan artefak untuk akreditasi
+ Menjadi tangkas – perbaikan bertahap
+ Menjadi lebih cepat dan meningkatkan alat
+ Menyempurnakan komunikasi dan eskalasi
+ Mengembangkan kenyamanan dengan hal yang langka dan tidak terduga

Untuk alasan-alasan tersebut, nilai yang didapatkan dari keikutsertaan dalam aktivitas simulasi meningkatkan efektivitas organisasi selama peristiwa yang penuh tekanan. Mengembangkan aktivitas simulasi yang realistis sekaligus bermanfaat bisa jadi sesuatu yang sulit. Meskipun menguji prosedur atau otomatisasi Anda yang menangani peristiwa yang dipahami dengan baik memiliki manfaat tertentu, sama bernilainya untuk ikut serta dalam aktivitas [Simulasi Respons Insiden Keamanan (SIRS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/security-incident-response-simulations.html) kreatif untuk menguji diri Anda terhadap hal-hal tidak terduga dan melakukan perbaikan secara berkelanjutan.

Buat simulasi kustom yang disesuaikan dengan lingkungan, tim, dan alat-alat Anda. Temukan masalah dan rancang simulasi Anda seputar masalah tersebut. Masalah tersebut bisa jadi hal-hal seperti kebocoran kredensial, server yang berkomunikasi dengan sistem yang tidak diinginkan, atau kesalahan konfigurasi yang mengakibatkan paparan tanpa otorisasi. Identifikasi teknisi yang memahami organisasi Anda untuk membuat skenario serta grup lain untuk ikut serta. Skenario tersebut harus realitis dan cukup menantang untuk memberikan nilai. Skenario harus menyertakan peluang untuk melakukan praktik langsung pencatatan log, notifikasi, eskalasi, dan menjalankan runbook atau otomatisasi. Selama simulasi, tim respons Anda harus melatih keterampilan teknis dan organisasi mereka, dan pemimpin harus terlibat untuk membangun keterampilan manajemen insiden mereka. Pada akhir simulasi, rayakan upaya tim dan cari cara-cara untuk menjadwalkan, mengulangi, dan mengembangkan simulasi lebih lanjut.

[AWS telah membuat templat Runbook Respons Insiden](https://github.com/aws-samples/aws-incident-response-playbooks) yang dapat Anda gunakan bukan hanya untuk menyiapkan upaya respons Anda, melainkan juga sebagai dasar untuk simulasi. Ketika merencanakan, simulasi dapat diurai ke dalam lima fase.

**Pengumpulan bukti: **Dalam fase ini, tim akan menerima pemberitahuan melalui berbagai sarana, seperti sistem ticketing internal, pemberitahuan dari alat pemantauan, tips anonim, atau bahkan berita publik. Tim kemudian mulai meninjau log infrastruktur dan aplikasi untuk menentukan sumber gangguan. Langkah ini juga harus melibatkan eskalasi internal dan kepemimpinan insiden. Setelah diidentifikasi, tim beralih ke penanganan insiden

**Mengendalikan insiden: **Tim akan menentukan bahwa telah ada insiden dan menetapkan sumber gangguan. Tim sekarang harus melakukan tindakan untuk mengendalikannya, misalnya dengan menonaktifkan kredensial yang terganggu, mengisolasi sumber daya komputasi, atau menarik izin suatu peran.

**Menghilangkan insiden: **Setelah mereka mengendalikan insiden, tim akan berupaya memitigasi semua kelemahan dalam aplikasi atau konfigurasi infrastruktur yang sebelumnya rentan terhadap gangguan. Upaya ini dapat mencakup perotasian semua kredensial yang digunakan untuk beban kerja, memodifikasi Daftar Kontrol Akses (ACL), atau mengubah konfigurasi jaringan.

**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Jalankan [game day](https://wa.aws.amazon.com/wat.concept.gameday.en.html): Jalankan simulasi [acara](https://wa.aws.amazon.com/wat.concept.incident.en.html) respons [insiden (game day)](https://wa.aws.amazon.com/wat.concept.event.en.html) untuk berbagai ancaman yang melibatkan staf dan manajemen utama. 
+  Catat pelajaran yang didapatkan: Pelajaran yang didapatkan dari pelaksanaan [game day](https://wa.aws.amazon.com/wat.concept.gameday.en.html) harus menjadi bagian dari loop umpan balik guna meningkatkan kualitas proses Anda. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [ Panduan Respons Insiden AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 
+ [ Pemulihan Bencana Elastis AWS](https://aws.amazon.com/cloudendure-disaster-recovery/) 

 **Video terkait:** 
+ [ Panduan mandiri untuk runbook, laporan insiden, dan respons insiden ](https://youtu.be/E1NaYN_fJUo)