# SEC 9 Bagaimana cara melindungi data Anda saat data bergerak?
Lindungi data bergerak dengan mengimplementasikan beberapa kontrol untuk mengurangi risiko akses tanpa otorisasi atau hilangnya data.
**Topics**
+ [SEC09-BP01 Mengimplementasikan manajemen sertifikat dan kunci keamanan](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Terapkan enkripsi data bergerak](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Mengotomatiskan deteksi akses data yang tidak dimaksudkan](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 Sahkan komunikasi jaringan](sec_protect_data_transit_authentication.md)
# SEC09-BP01 Mengimplementasikan manajemen sertifikat dan kunci keamanan
Simpan kunci dan sertifikat enkripsi dengan aman dan rotasikan pada interval waktu yang sesuai dengan kontrol akses yang ketat. Cara terbaik untuk mencapainya adalah dengan menggunakan layanan terkelola, seperti [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Layanan ini memungkinkan Anda dengan mudah menyediakan, mengelola, dan men-deploy sertifikat Keamanan Lapisan Pengangkutan (TLS) publik dan privat untuk digunakan bersama layanan AWS dan sumber daya internal Anda yang terhubung. Sertifikat TLS digunakan untuk mengamankan komunikasi jaringan dan membangun identitas situs web di internet serta sumber daya di jaringan privat. ACM terintegrasi dengan sumber daya AWS, seperti Penyeimbang Beban Elastis (ELB), distribusi AWS, dan API di API Gateway, yang juga menangani pembaruan sertifikat secara otomatis. Jika Anda menggunakan ACM untuk men-deploy CA root privat, sertifikat serta kunci privat dapat disediakan olehnya untuk digunakan di instans Amazon Elastic Compute Cloud (Amazon EC2), kontainer, dan lain-lain.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
+ Implementasikan manajemen kunci dan sertifikat yang aman: Implementasikan kunci solusi manajemen kunci dan sertifikat aman yang Anda tetapkan.
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [ Cara meng-host dan mengelola seluruh infrastruktur sertifikat privat di AWS. ](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ Implementasikan protokol aman: Gunakan protokol aman yang menawarkan autentikasi dan kerahasiaan, seperti Keamanan Lapisan Pengangkutan (TLS) atau IPsec, untuk mengurangi risiko pengrusakan atau kehilangan data. Pelajari dokumentasi AWS untuk mengetahui protokol dan keamanan yang relevan dengan layanan yang sedang Anda gunakan.
## Sumber daya
**Dokumen terkait:**
+ [Dokumentasi AWS](https://docs.aws.amazon.com/)
# SEC09-BP02 Terapkan enkripsi data bergerak
Terapkan persyaratan enkripsi yang Anda tetapkan berdasarkan standar dan saran yang sesuai untuk membantu Anda memenuhi persyaratan organisasi, hukum, dan kepatuhan Anda. Layanan AWS menyediakan titik akhir HTTPS menggunakan TLS untuk komunikasi, sehingga menyediakan enkripsi data bergerak saat berkomunikasi dengan API AWS. Protokol yang tidak aman, seperti HTTP, dapat diaudit dan diblokir di VPC melalui penggunaan grup keamanan. Permintaan HTTP juga dapat [dialihkan secara otomatis ke HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) di Amazon CloudFront atau di [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Anda memiliki kendali penuh atas sumber daya komputasi Anda untuk mengimplementasikan enkripsi data bergerak di seluruh layanan Anda. Selain itu, Anda dapat menggunakan sambungan VPN ke dalam VPC Anda dari jaringan eksternal untuk memudahkan enkripsi lalu lintas. Solusi pihak ketiga tersedia di AWS Marketplace, jika Anda memiliki persyaratan khusus.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
+ Terapkan enkripsi data bergerak: Persyaratan enkripsi yang Anda tetapkan harus didasarkan pada standar dan praktik terbaik paling baru dan hanya mengizinkan protokol yang aman. Misalnya, hanya konfigurasikan grup keamanan agar mengizinkan protokol HTTPS ke penyeimbang beban aplikasi atau instans Amazon Elastic Compute Cloud (Amazon EC2).
+ Konfigurasikan protokol aman di layanan edge: Konfigurasikan HTTPS dengan Amazon CloudFront dan sandi yang diperlukan.
+ [ Menggunakan HTTPS dengan CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ Gunakan VPN untuk sambungan eksternal: Pertimbangkan penggunaan jaringan privat virtual (VPN) IPsec untuk mengamankan sambungan titik ke titik atau jaringan ke jaringan untuk menyediakan privasi sekaligus integritas data.
+ [ Sambungan VPN ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+ Konfigurasikan protokol aman di penyeimbang beban: Aktifkan listener HTTPS untuk mengamankan sambungan ke penyeimbang beban.
+ [ Listener HTTPS untuk penyeimbang beban aplikasi Anda ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ Konfigurasikan protokol aman untuk instans: Pertimbangkan konfigurasi enkripsi HTTPS pada instans.
+ [ Tutorial: Mengonfigurasi server web Apache di Amazon Linux 2 untuk menggunakan SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+ Konfigurasikan protokol aman di Amazon Relational Database Service (Amazon RDS): Gunakan lapisan soket aman (SSL) atau keamanan lapisan pengangkutan (TLS) untuk mengenkripsi koneksi ke instans basis data.
+ [ Menggunakan SSL untuk mengenkripsi koneksi ke Instans DB ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ Konfigurasikan protokol aman di Amazon Redshift: Konfigurasikan klaster Anda agar mewajibkan koneksi lapisan soket aman (SSL) atau keamanan lapisan pengangkutan (TLS).
+ [ Mengonfigurasi opsi-opsi keamanan untuk koneksi ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+ Konfigurasikan protokol aman di layanan AWS tambahan: Untuk layanan AWS yang Anda gunakan, tentukan kemampuan enkripsi data bergerak.
## Sumber daya
**Dokumen terkait:**
+ [ Dokumentasi AWS](https://docs.aws.amazon.com/index.html)
# SEC09-BP03 Mengotomatiskan deteksi akses data yang tidak dimaksudkan
Gunakan alat seperti Amazon GuardDuty untuk secara otomatis mendeteksi aktivitas mencurigakan atau mencoba memindahkan data di luar batas yang telah ditetapkan. Misalnya, GuardDuty dapat mendeteksi aktivitas baca Amazon Simple Storage Service (Amazon S3) yang tidak seperti biasanya dengan [Temuan Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Selain GuardDuty, [Log Alur Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)yang mendokumentasikan informasi lalu lintas jaringan, dapat digunakan dengan Amazon EventBridge untuk memicu deteksi koneksi tidak normal, baik yang berhasil maupun yang ditolak. [Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) dapat membantu mengukur data apa yang dapat diakses di dalam bucket Amazon S3 Anda.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang
## Panduan implementasi
+ Otomatiskan deteksi akses data yang tidak dimaksudkan: Gunakan alat atau mekanisme deteksi untuk secara otomatis mendeteksi upaya untuk memindahkan data di luar batas yang ditetapkan; misalnya, untuk mendeteksi sistem basis data yang menyalin data ke host tidak dikenal.
+ [ Log Alur VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ Pertimbangkan Amazon Macie: Amazon Macie adalah layanan privasi data dan keamanan data terkelola secara penuh yang menggunakan machine learning dan pencocokan pola untuk menemukan dan melindungi data sensitif Anda di AWS.
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## Sumber daya
**Dokumen terkait:**
+ [ Log Alur VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 Sahkan komunikasi jaringan
Verifikasi identitas komunikasi dengan menggunakan protokol yang mendukung autentikasi, seperti Keamanan Lapisan Pengangkutan (TLS) atau IPsec.
Menggunakan protokol jaringan yang mendukung autentikasi, biarkan kepercayaan terjalin antara para pihak. Ini menambahkan ke enkripsi yang digunakan dalam protokol untuk mengurangi risiko pengubahan atau penyadapan komunikasi. Protokol umum yang mengimplementasikan autentikasi antara lain Keamanan Lapisan Pengangkutan (TLS), yang digunakan dalam banyak layanan AWS, dan IPsec, yang digunakan di [AWS Virtual Private Network (Site-to-Site VPN)](http://aws.amazon.com/vpn).
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah
## Panduan implementasi
+ Implementasikan protokol aman: Gunakan protokol aman yang menawarkan autentikasi dan kerahasiaan, seperti TLS atau IPsec, untuk mengurangi risiko pengrusakan atau kehilangan data. Periksa [dokumentasi AWS](https://docs.aws.amazon.com/) untuk mengetahui protokol dan keamanan yang relevan dengan layanan yang sedang Anda gunakan.
## Sumber daya
**Dokumen terkait:**
+ [Dokumentasi AWS](https://docs.aws.amazon.com/)