# SEC 5 Bagaimana cara melindungi sumber daya jaringan Anda?
<a name="w2aac19b7c11b5"></a>

Setiap beban kerja yang memiliki suatu bentuk konektivitas jaringan, baik internet atau jaringan privat, memerlukan beberapa lapisan pertahanan untuk membantu melindungi dari ancaman eksternal dan internal berbasis jaringan.

**Topics**
+ [SEC05-BP01 Ciptakan lapisan jaringan](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Mengontrol lalu lintas di semua lapisan](sec_network_protection_layered.md)
+ [SEC05-BP03 Mengotomatiskan perlindungan jaringan](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 Mengimplementasikan inspeksi dan perlindungan](sec_network_protection_inspection.md)

# SEC05-BP01 Ciptakan lapisan jaringan
<a name="sec_network_protection_create_layers"></a>

 Kelompokkan komponen yang memiliki persyaratan keterjangkauan yang sama ke dalam sejumlah lapisan. Misalnya, sebuah klaster basis data di cloud privat virtual (VPC) yang tidak memerlukan akses internet harus ditempatkan dalam subnet yang tidak memiliki rute ke atau dari internet. Di beban kerja nirserver yang beroperasi tanpa VPC, pelapisan yang serupa dan segmentasi dengan layanan mikro dapat mencapai tujuan yang sama. 

Komponen seperti instans Amazon Elastic Compute Cloud (Amazon EC2), klaster basis data Amazon Relational Database Service (Amazon RDS), dan fungsi AWS Lambda yang memiliki persyaratan keterjangkauan yang sama dapat disegmentasikan menjadi lapisan yang dibentuk oleh subnet. Misalnya, sebuah klaster basis data Amazon RDS di VPC yang tidak memerlukan akses internet harus ditempatkan dalam subnet yang tidak memiliki rute ke atau dari internet. Pendekatan berlapis untuk kontrol ini memitigasi dampak salah konfigurasi satu lapisan, yang dapat memberikan akses yang tidak dimaksudkan. Untuk Lambda, Anda dapat menjalankan fungsi Anda di VPC Anda untuk memanfaatkan kontrol berbasis VPC.

Untuk konektivitas jaringan yang dapat mencakup ribuan VPC, akun AWS, dan jaringan on-premise, Anda harus menggunakan [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Ini berfungsi sebagai pusat yang mengontrol cara lalu lintas dirutekan di antara semua jaringan terhubung, yang berfungsi seperti jari-jari roda. Lalu lintas antara Amazon Virtual Private Cloud dan AWS Transit Gateway tetapi di jaringan privat AWS, yang mengurangi vektor ancaman eksternal seperti serangan penyangkalan layanan terdistribusi (DDoS) dan eksploitasi umum, seperti injeksi SQL, XSS, pemalsuan permintaan lintas situs, atau penyalahgunaan kode autentikasi rusak. Peering antar wilayah AWS Transit Gateway juga mengenkripsi lalu lintas antar wilayah tanpa SPOF atau hambatan bandwidth.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Ciptakan subnet di VPC: Ciptakan subnet untuk setiap lapisan (dalam grup yang mencakup beberapa Zona Ketersediaan), dan kaitkan tabel rute dengan perutean kontrol. 
  +  [VPC dan subnet ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
  +  [Tabel rute ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) 
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+  [Keamanan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Memulai dengan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Video terkait:** 
+  [Arsitektur referensi AWS Transit Gateway untuk banyak VPC ](https://youtu.be/9Nikqn_02Oc)
+  [Perlindungan dan Akselerasi Aplikasi dengan Amazon CloudFront, AWS WAF, dan AWS Shield](https://youtu.be/0xlwLEccRe0) 

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP02 Mengontrol lalu lintas di semua lapisan
<a name="sec_network_protection_layered"></a>

  Ketika merancang topologi jaringan, Anda harus memeriksa persyaratan konektivitas setiap komponen. Misalnya, periksa apakah komponen memerlukan aksesibilitas internet (masuk dan keluar), konektivitas ke VPC, layanan edge, dan pusat data eksternal. 

 Dengan VPC, Anda dapat menentukan topologi jaringan yang menjangkau Wilayah AWS dengan rentang alamat IPv4 privat yang Anda atur, atau rentang alamat IPv6 yang dipilih oleh AWS. Anda harus menerapkan beberapa kontrol dengan pendekatan pertahanan mendalam untuk lalu lintas masuk dan keluar, termasuk penggunaan grup keamanan (firewall inspeksi stateful), ACL Jaringan, subnet, dan tabel rute. Di dalam VPC, Anda dapat membuat subnet di Zona Ketersediaan. Masing-masing subnet dapat memiliki tabel rute terkait yang menentukan aturan perutean untuk mengelola jalur yang digunakan lalu lintas dalam subnet. Anda dapat menentukan subnet yang dapat dirutekan internet dengan rute yang mengarah ke gateway NAT atau internet yang terikat ke VPC, atau melalui VPC lainnya. 

 Saat diluncurkan di dalam VPC, instans, basis data Amazon Relational Database Service(Amazon RDS), atau layanan lainnya akan memiliki grup keamanannya sendiri per antarmuka jaringan. Firewall ini berada di luar lapisan sistem operasi dan dapat digunakan untuk menentukan aturan bagi lalu lintas masuk dan keluar yang diizinkan. Anda juga dapat menentukan hubungan antargrup keamanan. Misalnya, instans dalam grup keamanan tingkat basis data hanya menerima lalu lintas dari instans dalam tingkat aplikasi, dengan merujuk ke grup keamanan yang diterapkan ke instans yang terlibat. Namun jika Anda menggunakan protokol non-TCP, Anda tidak perlu memiliki instans Amazon Elastic Compute Cloud(Amazon EC2) yang dapat diakses langsung dengan internet (bahkan dengan port yang dibatasi oleh grup keamanan) tanpa penyeimbang beban, atau [CloudFront](https://aws.amazon.com/cloudfront). Hal ini akan membantu melindunginya dari akses yang tidak diharapkan melalui sistem operasi atau masalah aplikasi. Subnet juga dapat memiliki ACL jaringan yang terikat dengannya, yang berperan sebagai firewall stateless. Anda harus mengonfigurasi jaringan ACL untuk mempersempit cakupan lalu lintas yang diizinkan antarlapisan, Anda juga harus menentukan aturan masuk dan keluar. 

 Beberapa layanan AWS memerlukan komponen untuk mengakses internet guna membuat panggilan API, tempat [titik akhir API AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) berada. Layanan AWS lain menggunakan [titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) di dalam Amazon VPC Anda. Banyak layanan AWS, termasuk Amazon S3 dan Amazon DynamoDB, yang mendukung titik akhir VPC. Selain itu, teknologi ini telah digeneralisasi dalam [AWS PrivateLink](https://aws.amazon.com/privatelink/). Sebaiknya gunakan pendekatan ini untuk mengakses layanan AWS, layanan pihak ketiga, dan layanan milik Anda yang di-host di VPC lain secara aman. Semua lalu lintas jaringan di AWS PrivateLink tetap dalam jalur utama AWS global dan tidak akan melintasi internet. Konektivitas hanya dapat diinisiasi oleh konsumen layanan, bukan oleh penyedia layanan. Dengan AWS PrivateLink untuk akses layanan eksternal, Anda dapat menciptakan VPC terisolasi tanpa akses internet dan membantu melindungi VPC Anda dari vektor ancaman eksternal. Layanan pihak ketiga dapat menggunakan AWS PrivateLink agar konsumen dapat terhubung ke layanan dari VPC mereka melalui alamat IP privat. Untuk aset VPC yang perlu membuat koneksi keluar ke internet, ini dapat ditetapkan khusus keluar (satu jalur) melalui gateway NAT yang dikelola AWS, gateway internet khusus keluar, atau proksi web yang Anda buat dan kelola. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Kontrol lalu lintas jaringan di VPC: Implementasikan praktik terbaik VPC untuk mengontrol lalu lintas. 
  +  [Keamanan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) 
  +  [titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) 
  +  [Grup keamanan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) 
  +  [ACL jaringan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) 
+  Kontrol lalu lintas di edge: Implementasikan layanan edge, seperti Amazon CloudFront, untuk memberikan lapisan perlindungan tambahan dan fitur lainnya. 
  +  [Kasus penggunaan Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html) 
  +  [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html) 
  +  [Firewall Aplikasi Web AWS (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html) 
  +  [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) 
  +  [Perutean Masuk Amazon VPC](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/) 
+  Kontrol lalu lintas jaringan privat: Implementasikan layanan yang melindungi lalu lintas privat untuk beban kerja Anda. 
  +  [Peering Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) 
  +  [Layanan Titik Akhir Amazon VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html) 
  +  [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 
  +  [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 
  +  [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 
  +  [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html) 
  +  [Amazon S3 Access Points](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+  [Mulai menggunakan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Video terkait:** 
+  [Arsitektur referensi AWS Transit Gateway untuk banyak VPC](https://youtu.be/9Nikqn_02Oc) 
+  [Perlindungan dan Akselerasi Aplikasi dengan Amazon CloudFront, AWS WAF, dan AWS Shield](https://youtu.be/0xlwLEccRe0)

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP03 Mengotomatiskan perlindungan jaringan
<a name="sec_network_protection_auto_protect"></a>

 Otomatiskan mekanisme perlindungan untuk memberikan jaringan perlindungan mandiri berdasarkan deteksi anomali dan kecerdasan ancaman. Misalnya, deteksi gangguan dan alat pencegahan yang dapat beradaptasi dengan ancaman masa kini serta mengurangi dampaknya. Firewall aplikasi web adalah contoh tempat Anda mengotomatiskan perlindungan jaringan, misalnya, dengan menggunakan solusi Otomatisasi Keamanan AWS WAF ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)) untuk secara otomatis memblokir permintaan yang berasal dari alamat IP yang terkait dengan penyebab ancaman yang diketahui. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Otomatiskan perlindungan untuk lalu lintas berbasis web: AWS menawarkan solusi yang menggunakan AWS CloudFormation untuk secara otomatis melakukan deployment rangkaian aturan AWS WAF yang didesain untuk memfilter serangan berbasis web yang umum. Pengguna dapat memilih dari fitur perlindungan sebelum dikonfigurasi yang menentukan aturan yang disertakan dalam daftar kontrol akses web (web ACL) AWS WAF. 
  +  [Otomatisasi keamanan AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/) 
+  Pertimbangkan solusi AWS Partner: Partner AWS menawarkan ratusan produk industri terkemuka yang setara, serupa, atau dapat diintegrasikan dengan kontrol yang sudah ada di lingkungan on-premise Anda. Produk-produk ini melengkapi layanan AWS untuk memungkinkan Anda melakukan deployment arsitektur keamanan yang menyeluruh dan pengalaman yang lancar di seluruh lingkungan cloud dan on-premise Anda. 
  +  [Keamanan infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+ [Keamanan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+  [Mulai menggunakan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Video terkait:** 
+  [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc) 
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP04 Mengimplementasikan inspeksi dan perlindungan
<a name="sec_network_protection_inspection"></a>

 Inspeksi dan filter lalu lintas Anda di setiap lapisan. Anda dapat melakukan inspeksi terhadap konfigurasi VPC untuk potensi akses yang tidak diinginkan menggunakan [VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). Anda dapat menentukan persyaratan akses jaringan Anda serta mengidentifikasi jalur jaringan yang berpotensi tidak memenuhi syarat tersebut. Untuk komponen transaksi melalui protokol berbasis HTTP, firewall aplikasi web dapat membantu melindungi dari serangan yang umum. [AWS WAF](https://aws.amazon.com/waf) adalah firewall aplikasi web yang memungkinkan Anda untuk memantau dan memblokir permintaan HTTP sesuai dengan aturan yang dapat Anda konfigurasikan yang diteruskan ke API Amazon API Gateway, Amazon CloudFront, atau Application Load Balancer. Untuk mulai menggunakan AWS WAF, Anda dapat memulai dengan [Peraturan yang Dikelola AWS](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) yang digabungkan dengan milik Anda sendiri, atau gunakan [integrasi partner yang ada.](https://aws.amazon.com/waf/partners/). 

 Untuk mengelola AWS WAF, perlindungan AWS Shield Advanced, dan grup keamanan Amazon VPC di seluruh AWS Organizations, Anda dapat menggunakan AWS Firewall Manager. Hal ini memungkinkan Anda untuk mengonfigurasikan dan mengelola aturan firewall di seluruh akun dan aplikasi Anda secara terpusat, sehingga lebih mudah untuk menskalakan penerapan aturan umum. Penerapan ini juga memungkinkan Anda merespons serangan dengan cepat, menggunakan [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html), atau [solusi](https://aws.amazon.com/solutions/aws-waf-security-automations/) yang dapat secara otomatis memblokir permintaan yang tidak diinginkan ke aplikasi web Anda. Firewall Manager juga menerapkan [AWS Network Firewall](https://aws.amazon.com/network-firewall/). AWS Network Firewall adalah layanan terkelola yang menggunakan mesin aturan untuk memberi Anda kontrol fine-grained terhadap lalu lintas jaringan stateful dan stateless. Layanan ini mendukung [spesifikasi sistem perlindungan gangguan (IPS)](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) sumber terbuka yang sesuai dengan aturan Suricata untuk aturan yang membantu melindungi beban kerja Anda. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Konfigurasikan Amazon GuardDuty: GuardDuty adalah layanan pendeteksi ancaman yang secara terus-menerus memantau aktivitas berbahaya dan perilaku yang tidak diotorisasi untuk melindungi Akun AWS dan beban kerja Anda. Aktifkan GuardDuty dan konfigurasikan peringatan yang diotomatiskan. 
  +  [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 
  +  [Lab: Deployment Otomatis Kontrol Deteksi](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html) 
+  Konfigurasikan Log Alur cloud privat virtual (VPC): Log Alur VPC adalah fitur yang memungkinkan Anda untuk mendokumentasikan informasi tentang lalu lintas IP ke dan dari antarmuka jaringan di VPC Anda. Data log alur dapat dipublikasikan ke Amazon CloudWatch Logs dan Amazon Simple Storage Service (Amazon S3). Setelah Anda membuat log alur, Anda dapat mengambil dan melihat datanya di lokasi tujuan yang telah dipilih. 
+  Pertimbangkan traffic mirroring VPC: Traffic mirroring adalah fitur Amazon VPC yang dapat Anda gunakan untuk menyalin lalu lintas jaringan dari antarmuka jaringan elastis instans Amazon Elastic Compute Cloud (Amazon EC2) dan mengirimnya ke alat pemantauan dan keamanan luar jaringan untuk inspeksi konten, pemantauan ancaman, dan pemecahan masalah. 
  +  [Traffic mirroring VPC](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+  [Keamanan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Mulai menggunakan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Video terkait:** 
+  [Arsitektur referensi AWS Transit Gateway untuk banyak VPC](https://youtu.be/9Nikqn_02Oc) 
+  [Perlindungan dan Akselerasi Aplikasi dengan Amazon CloudFront, AWS WAF, dan AWS Shield](https://youtu.be/0xlwLEccRe0) 

 **Contoh terkait:** 
+  [Lab: Deployment Otomatis VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)