# SEC 8 Bagaimana cara melindungi data Anda saat data diam?
<a name="w2aac19b7c13b7"></a>

Lindungi data diam dengan mengimplementasikan beberapa kontrol, untuk mengurangi risiko akses tanpa otorisasi atau penanganan yang salah.

**Topics**
+ [SEC08-BP01 Implementasikan manajemen kunci yang aman](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Menerapkan enkripsi data diam](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Mengotomatiskan perlindungan data diam](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Menerapkan kontrol akses](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 Menggunakan mekanisme untuk mencegah orang mengakses data](sec_protect_data_rest_use_people_away.md)

# SEC08-BP01 Implementasikan manajemen kunci yang aman
<a name="sec_protect_data_rest_key_mgmt"></a>

 Dengan menetapkan pendekatan enkripsi yang mencakup penyimpanan, rotasi, dan kontrol akses kunci, Anda dapat membantu melindungi konten Anda dari pengguna yang tidak berwenang dan dari pengungkapan yang tidak perlu ke pengguna yang berwenang. AWS Key Management Service (AWS KMS) membantu Anda mengelola kunci enkripsi dan [berintegrasi dengan banyak layanan AWS](https://aws.amazon.com/kms/details/#integration). Layanan ini memberikan penyimpanan yang tahan lama, aman, dan berulang untuk kunci AWS KMS Anda. Anda dapat menetapkan kebijakan tingkat kunci dan alias kunci Anda. Kebijakan ini membantu Anda menentukan administrator kunci serta pengguna kunci. Selain itu, AWS CloudHSM adalah modul keamanan perangkat keras (HSM) berbasis cloud yang memungkinkan Anda untuk dengan mudah membuat dan menggunakan kunci enkripsi Anda sendiri di AWS Cloud. Ini membantu Anda memenuhi persyaratan korporasi, kontrak, dan kepatuhan terhadap peraturan untuk keamanan data dengan menggunakan HSM yang divalidasi FIPS 140-2 Level 3. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Implementasi AWS KMS: AWS KMS mempermudah Anda untuk membuat dan mengelola kunci dan mengontrol penggunaan enkripsi di berbagai macam layanan AWS dan di aplikasi Anda. AWS KMS adalah layanan yang aman dan tangguh, yang menggunakan modul keamanan perangkat keras yang divalidasi FIPS 140-2 untuk melindungi kunci Anda. 
  +  [Memulai: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  Pertimbangkan SDK Enkripsi AWS: Gunakan SDK Enkripsi AWS dengan integrasi AWS KMS ketika aplikasi Anda harus mengenkripsi data di sisi klien. 
  +  [SDK Enkripsi AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [Layanan dan alat kriptografi AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Memulai: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  [Melindungi Data Amazon S3 Menggunakan Enkripsi](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Video terkait:** 
+  [Cara Kerja Enkripsi di AWS](https://youtu.be/plv7PQZICCM) 
+  [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP02 Menerapkan enkripsi data diam
<a name="sec_protect_data_rest_encrypt"></a>

 Anda harus memastikan bahwa satu-satunya cara untuk menyimpan data adalah dengan menggunakan enkripsi. AWS Key Management Service (AWS KMS) terintegrasi secara mulus dengan beberapa layanan AWS untuk mempermudah Anda mengenkripsi semua data diam Anda. Misalnya, di Amazon Simple Storage Service (Amazon S3), Anda dapat mengatur [enkripsi default](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) pada bucket sehingga semua objek baru terenkripsi secara otomatis. Selain itu, [Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)dan [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) mendukung penegakan enkripsi dengan mengatur enkripsi default. Anda dapat menggunakan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) untuk memeriksa secara otomatis bahwa Anda menggunakan enkripsi, misalnya, untuk [volume Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instans Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html), dan [bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html). 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Terapkan enkripsi data diam untuk Amazon Simple Storage Service (Amazon S3): Implementasikan enkripsi default bucket Amazon S3. 
  +  [Bagaimana cara mengaktifkan enkripsi default untuk bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) 
+  Gunakan AWS Secrets Manager: Secrets Manager adalah layanan AWS yang memudahkan Anda mengelola secret. Secret (rahasia) bisa berupa kredensial basis data, kata sandi, kunci API pihak ketiga, dan bahkan teks arbitrer. 
  +  [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 
+  Konfigurasikan enkripsi default untuk volume EBS baru: Tentukan bahwa Anda ingin agar semua volume EBS baru dibuat dalam bentuk terenkripsi, dengan opsi penggunaan kunci default yang disediakan oleh AWS, atau kunci yang Anda buat. 
  +  [Enkripsi default untuk volume EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/) 
+  Konfigurasikan Amazon Machine Image (AMI) terenkripsi: Menyalin AMI yang ada dengan enkripsi aktif akan mengenkripsi volume root dan snapshot secara otomatis. 
  +  [AMI dengan Snapshot terenkripsi](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) 
+  Konfigurasikan enkripsi Amazon Relational Database Service (Amazon RDS): Konfigurasikan enkripsi untuk klaster dan snapshot basis data Amazon RDS Anda saat diam dengan mengaktifkan opsi enkripsi. 
  +  [Mengenkripsi sumber daya Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html) 
+  Konfigurasikan enkripsi di layanan AWS tambahan: Untuk layanan AWS yang Anda gunakan, tentukan kemampuan enkripsi. 
  +  [Dokumentasi AWS](https://docs.aws.amazon.com/) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AMI dengan Snapshot terenkripsi](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) 
+  [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools) 
+  [Dokumentasi AWS](https://docs.aws.amazon.com/) 
+  [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 
+  [Laporan Resmi Detail Kriptografi AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 
+  [Layanan dan alat kriptografi AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Enkripsi.Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) 
+  [Enkripsi default untuk volume EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/) 
+  [Mengenkripsi Sumber Daya Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) 
+  [Bagaimana cara mengaktifkan enkripsi default untuk bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) 
+  [Melindungi Data Amazon S3 Menggunakan Enkripsi](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Video terkait:** 
+  [Cara Kerja Enkripsi di AWS](https://youtu.be/plv7PQZICCM) 
+  [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP03 Mengotomatiskan perlindungan data diam
<a name="sec_protect_data_rest_automate_protection"></a>

 Gunakan alat otomatis untuk memvalidasi dan menegakkan kontrol data diam secara terus menerus, misalnya, memastikan bahwa hanya ada sumber daya penyimpanan terenkripsi. Anda bisa [mengotomatiskan validasi bahwa semua volume EBS telah dienkripsi](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) menggunakan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) juga dapat memverifikasi beberapa kontrol yang berbeda melalui pemeriksaan otomatis berdasarkan standar keamanan. Selain itu, Aturan AWS Config Anda secara otomatis bisa [memperbaiki sumber daya yang tidak patuh](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation). 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation_guidance"></a>

 *Data diam* mewakili data yang Anda pertahankan di penyimpanan non-volatile selama durasi apa pun di beban kerja Anda. Data ini mencakup penyimpanan blok, penyimpanan objek, basis data, arsip, perangkat IoT, dan medium penyimpanan lain di mana datanya dipertahankan. Melindungi data diam Anda dapat mengurangi risiko akses yang tidak sah, ketika enkripsi dan kontrol akses yang tepat diimplementasikan. 

 Terapkan enkripsi data diam: Anda harus memastikan bahwa satu-satunya cara untuk menyimpan data adalah dengan menggunakan enkripsi. AWS KMS terintegrasi secara mulus dengan beberapa layanan AWS untuk mempermudah Anda mengenkripsi semua data diam Anda. Misalnya, di Amazon Simple Storage Service (Amazon S3) Anda bisa mengatur [enkripsi default](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) pada bucket sehingga semua objek baru terenkripsi secara otomatis. Selain itu, [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) dan [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) mendukung penegakan enkripsi dengan mengatur enkripsi default. Anda dapat menggunakan [AWS Managed Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) untuk memeriksa secara otomatis bahwa Anda menggunakan enkripsi, misalnya, untuk [volume EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instans Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html), dan [bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html). 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools) 
+  [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

 **Video terkait:** 
+  [Cara Kerja Enkripsi di AWS](https://youtu.be/plv7PQZICCM) 
+  [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP04 Menerapkan kontrol akses
<a name="sec_protect_data_rest_access_control"></a>

Terapkan kontrol akses dengan mekanisme dan hak akses paling rendah, termasuk pencadangan, isolasi, dan versioning, untuk membantu melindungi data diam. Cegah operator memberikan akses publik ke data Anda. 

 Berbagai macam kontrol, termasuk akses (menggunakan hak akses paling rendah, pencadangan (lihat [Laporan resmi keandalan](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), isolasi, dan versioning dapat membantu melindungi data diam Anda. Akses ke data Anda harus diaudit menggunakan mekanisme deteksi yang sebelumnya telah dibahas dalam laporan ini, termasuk CloudTrail dan log tingkat layanan, seperti log akses Amazon Simple Storage Service (Amazon S3). Anda harus membuat daftar data mana yang dapat diakses publik, dan merencanakan cara mengurangi ketersediaan jumlah data dari waktu ke waktu. Kunci Vault Amazon Glacier dan Kunci Objek Amazon S3 adalah kemampuan untuk memberikan kontrol akses wajib—begitu kebijakan vault dikunci dengan opsi kepatuhan, kebijakan tersebut tidak akan dapat diubah hingga kedaluwarsa, bahkan oleh pengguna root sekalipun. Mekanisme tersebut memenuhi persyaratan Manajemen Pembukuan dan Arsip dari SEC, CFTC, dan FINRA. Untuk detail selengkapnya, lihat [laporan resmi ini](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf). 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Terapkan akses kontrol: Terapkan akses kontrol dengan hak akses paling rendah, termasuk akses ke kunci enkripsi. 
  +  [Pengantar Manajemen Izin Akses ke Sumber Daya Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html) 
+  Pisahkan data berdasarkan tingkat klasifikasi yang berbeda: Gunakan berbagai Akun AWS untuk tingkat klasifikasi data yang dikelola oleh AWS Organizations. 
  +  [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 
+  Tinjau kebijakan AWS KMS: Tinjau tingkat akses yang diberikan di kebijakan AWS KMS. 
  +  [Ikhtisar manajemen akses ke sumber daya AWS KMS Anda](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) 
+  Tinjau izin objek dan bucket Amazon S3: Tinjau tingkat akses yang diberikan dalam kebijakan bucket Amazon S3 secara rutin. Praktik terbaiknya adalah tidak memiliki bucket yang dapat dibaca atau ditulis secara publik. Coba gunakan AWS Config untuk mendeteksi bucket yang tersedia untuk publik, dan Amazon CloudFront untuk menyajikan konten dari Amazon S3. 
  +  [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 
  +  [Amazon S3 \$1 Amazon CloudFront: Kombinasi Fantastis di Cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/) 
+  Mengaktifkan kunci objek dan versioning Amazon S3. 
  +  [Menggunakan versioning](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html) 
  +  [Mengunci Objek Menggunakan Kunci Objek Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html) 
+  Gunakan Inventaris Amazon S3: Inventaris Amazon S3 adalah salah satu alat yang dapat Anda gunakan untuk mengaudit serta melaporkan replikasi dan status enkripsi objek. 
  +  [Inventaris Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  Tinjau izin berbagi AMI dan Amazon EBS: Dengan izin berbagi, Anda dapat membagikan gambar dan volume ke Akun AWS eksternal ke beban kerja Anda. 
  +  [Membagikan Cuplikan Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 
  +  [AMI Bersama](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Laporan Resmi Detail Kriptografi AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Video terkait:** 
+  [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP05 Menggunakan mekanisme untuk mencegah orang mengakses data
<a name="sec_protect_data_rest_use_people_away"></a>

 Cegah semua pengguna dari mengakses sistem dan data sensitif secara langsung saat kondisi operasional normal. Misalnya, gunakan alur kerja manajemen perubahan untuk mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) menggunakan alat, bukan dengan mengizinkan akses langsung atau host bastion. Hal ini dapat dicapai dengan [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), yaitu menggunakan [dokumen otomatis](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) yang berisi langkah yang Anda gunakan untuk menjalankan tugas. Dokumen tersebut dapat disimpan di kontrol sumber, ditinjau oleh rekan sebelum dijalankan, dan diuji secara menyeluruh untuk meminimalkan risiko dibandingkan akses shell. Pengguna bisnis dapat menggunakan dasbor, bukan akses langsung ke penyimpanan data, untuk menjalankan kueri. Ketika pipeline CI/CD tidak digunakan, tentukan proses dan kontrol mana yang diperlukan agar dapat menyediakan mekanisme akses break-glass nonaktif secara normal. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Implementasikan mekanisme untuk mencegah orang dari mengakses data: Mekanisme termasuk menggunakan dasbor, seperti Quick, untuk menampilkan data ke pengguna ketimbang membuat kueri secara langsung. 
  +  [Quick](https://aws.amazon.com/quicksight/) 
+  Otomatiskan manajemen konfigurasi: Lakukan tindakan dari jarak jauh, terapkan dan validasikan konfigurasi keamanan secara otomatis menggunakan layanan atau alat manajemen konfigurasi. Hindari penggunaan host bastion atau mengakses instans EC2 secara langsung. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
  +  [Pipeline CI/CD untuk templat AWS CloudFormation di AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Laporan Resmi Detail Kriptografi AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Video terkait:** 
+  [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)