

# SEC08-BP03 Otomatiskan perlindungan data diam
<a name="sec_protect_data_rest_automate_protection"></a>

 Gunakan otomatisasi untuk memvalidasi dan menerapkan kontrol-kontrol data diam.  Gunakan pemindaian otomatis untuk mendeteksi kesalahan konfigurasi pada solusi-solusi penyimpanan data Anda, dan lakukan remediasi melalui respons programatis otomatis jika memungkinkan.  Terapkan otomatisasi dalam proses CI/CD Anda untuk mendeteksi kesalahan konfigurasi penyimpanan data sebelum di-deploy ke lingkungan produksi. 

 **Hasil yang diinginkan:** Sistem otomatis memindai dan memantau lokasi penyimpanan data untuk mencari adanya kesalahan konfigurasi kontrol, akses tidak sah, dan penggunaan yang tidak terduga.  Deteksi lokasi penyimpanan yang salah konfigurasi akan memulai remediasi otomatis.  Proses-proses otomatis membuat cadangan data dan menyimpan salinan yang tak bisa diubah di luar lingkungan asli. 

 **Anti-pola umum:** 
+  Tidak mempertimbangkan opsi untuk mengaktifkan enkripsi berdasarkan pengaturan-pengaturan default, jika didukung. 
+  Tidak mempertimbangkan peristiwa keamanan, selain peristiwa operasional, saat merumuskan strategi pencadangan dan pemulihan otomatis. 
+  Tidak menerapkan pengaturan akses publik untuk layanan-layanan penyimpanan. 
+  Tidak memantau dan mengaudit kontrol Anda untuk melindungi data diam. 

 **Manfaat menjalankan praktik terbaik ini:** Otomatisasi akan membantu Anda dalam mencegah risiko terjadinya kesalahan konfigurasi lokasi penyimpanan data Anda. Hal ini membantu Anda untuk mencegah kesalahan konfigurasi memasuki lingkungan produksi Anda. Praktik terbaik ini juga membantu Anda untuk mendeteksi dan memperbaiki kesalahan konfigurasi, jika terjadi.  

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi 
<a name="implementation-guidance"></a>

 Otomatisasi adalah tema yang ada di seluruh praktik untuk melindungi data diam Anda. [SEC01-BP06 Mengotomatiskan deployment kontrol keamanan standar](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) menjelaskan bagaimana Anda dapat merekam konfigurasi sumber daya Anda dengan menggunakan templat *infrastruktur sebagai kode* (IaC), seperti dengan [AWS CloudFormation](https://aws.amazon.com/cloudformation/).  Templat ini di-commit ke sistem kontrol versi, dan digunakan untuk melakukan deployment sumber daya di AWS melalui sebuah pipeline CI/CD.  Teknik-teknik ini juga berlaku untuk mengotomatiskan konfigurasi solusi penyimpanan data Anda, seperti pengaturan enkripsi di bucket Amazon S3.   

 Anda dapat memeriksa pengaturan yang Anda tentukan di templat IaC untuk menemukan kesalahan konfigurasi pada pipeline CI/CD Anda menggunakan aturan di [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html).  Anda dapat memantau pengaturan yang belum tersedia di CloudFormation atau perkakas IaC lainnya untuk mencari kesalahan konfigurasi dengan [AWS Config](https://aws.amazon.com/config/).  Peringatan yang dihasilkan Config untuk kesalahan konfigurasi dapat diperbaiki secara otomatis, seperti yang dijelaskan dalam [SEC04-BP04 Mulai melakukan remediasi untuk sumber daya yang tidak mematuhi persyaratan](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html). 

 Penggunaan otomatisasi sebagai bagian dari strategi manajemen izin Anda juga merupakan komponen integral dari perlindungan data otomatis. [SEC03-BP02 Memberikan hak akses paling rendah](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) dan [SEC03-BP04 Mengurangi izin secara terus menerus](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) menjelaskan konfigurasi kebijakan akses hak akses paling rendah yang secara terus dipantau oleh [AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) untuk menghasilkan temuan ketika izin dapat dikurangi.  Selain otomatisasi untuk izin pemantauan, Anda dapat mengonfigurasi [Amazon GuardDuty](https://aws.amazon.com/guardduty/) untuk mengawasi perilaku akses data anomali untuk [volume EBS](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html) Anda (melalui instans EC2), [bucket S3](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html), dan [basis data Amazon Relational Database Service](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) yang didukung. 

 Otomatisasi juga berperan dalam mendeteksi ketika ada data sensitif yang disimpan di lokasi yang tidak sah. [SEC07-BP03 Identifikasi dan klasifikasi otomatis](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) menjelaskan cara [Amazon Macie](https://aws.amazon.com/macie/) dapat memantau bucket S3 Anda untuk mencari data sensitif yang tidak terduga dan menghasilkan peringatan yang dapat memulai respons otomatis. 

 Ikuti praktik-praktik yang diuraikan di [REL09 Cadangkan data](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/back-up-data.html) untuk mengembangkan strategi pencadangan dan pemulihan data otomatis. Pencadangan dan pemulihan data sama pentingnya untuk pemulihan dari peristiwa-peristiwa keamanan seperti halnya untuk peristiwa operasional. 

### Langkah-langkah implementasi
<a name="implementation-steps"></a>

1.  Tetapkan konfigurasi penyimpanan data dalam templat IaC.  Gunakan pemeriksaan otomatis di pipeline CI/CD Anda untuk mendeteksi terjadinya kesalahan konfigurasi. 

   1.  Untuk [CloudFormation](https://aws.amazon.com/cloudformation/), Anda dapat menggunakan templat IaC, dan [CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) guna memeriksa kesalahan konfigurasi pada templat. 

   1.  Gunakan [AWS Config](https://aws.amazon.com/config/) untuk menjalankan aturan-aturan dalam mode evaluasi proaktif. Gunakan pengaturan ini untuk memeriksa kepatuhan sumber daya sebagai sebuah langkah dalam pipeline CI/CD Anda sebelum membuatnya. 

1.  Pantau sumber daya untuk menemukan kesalahan konfigurasi penyimpanan data. 

   1.  Setel [AWS Config](https://aws.amazon.com/config/) untuk memantau sumber daya penyimpanan data untuk perubahan dalam konfigurasi kontrol dan menghasilkan peringatan untuk menginvokasi tindakan remediasi saat mendeteksi kesalahan konfigurasi. 

   1.  Lihat [SEC04-BP04 Mulai melakukan remediasi untuk sumber daya yang tidak mematuhi persyaratan](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) untuk panduan lebih lanjut tentang cara melakukan remediasi otomatis. 

1.  Pantau dan kurangi izin akses data secara berkelanjutan melalui otomatisasi. 

   1.  [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) dapat berjalan secara terus menerus untuk menghasilkan peringatan ketika izin berpotensi dikurangi. 

1.  Pantau dan beri peringatan tentang terjadinya perilaku akses data yang tidak normal. 

   1.  [GuardDuty](https://aws.amazon.com/guardduty/) akan mengamati tanda tangan ancaman yang diketahui dan penyimpangan dari perilaku akses dasar untuk sumber daya penyimpanan data seperti volume EBS, bucket S3, dan basis data RDS. 

1.  Pantau dan beri peringatan tentang adanya data sensitif yang disimpan di lokasi yang tidak diharapkan. 

   1.  Gunakan [Amazon Macie](https://aws.amazon.com/macie/) untuk memindai bucket S3 Anda secara terus menerus untuk mencari data sensitif. 

1.  Otomatiskan pencadangan yang aman dan terenkripsi terhadap data Anda. 

   1.  [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) adalah sebuah layanan terkelola yang memungkinkan Anda membuat cadangan dari berbagai sumber data di AWS.  [Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) memungkinkan Anda untuk menyalin beban kerja server penuh dan mempertahankan perlindungan data berkelanjutan dengan sasaran titik pemulihan (RPO) yang diukur dalam hitungan detik.  Anda dapat mengonfigurasi kedua layanan tersebut untuk bekerja bersama dalam mengotomatiskan pembuatan cadangan data dan menyalinnya ke lokasi-lokasi failover.  Hal ini dapat membantu menjaga data Anda tetap tersedia saat terkena dampak peristiwa operasional atau keamanan. 

## Sumber daya
<a name="resources"></a>

 **Praktik-praktik terbaik terkait:** 
+  [SEC01-BP06 Otomatiskan deployment kontrol keamanan standar](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) 
+  [SEC03-BP02 Memberikan hak akses paling rendah](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) 
+  [SEC03-BP04 Mengurangi izin secara terus-menerus](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) 
+  [SEC04-BP04 Mulai melakukan remediasi untuk sumber daya yang tidak mematuhi persyaratan](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) 
+  [SEC07-BP03 Otomatiskan identifikasi dan klasifikasi](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) 
+  [REL09-BP02 Mengamankan dan mengenkripsikan cadangan](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_secured_backups_data.html) 
+  [REL09-BP03 Melakukan pencadangan data secara otomatis](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_automated_backups_data.html) 

 **Dokumen terkait:** 
+  [Panduan Preskriptif AWS: Secara otomatis mengenkripsi volume Amazon EBS yang ada dan yang baru](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) 
+  [Manajemen Risiko Ransomware di AWS dengan Menggunakan Kerangka Keamanan Siber (CSF) NIST](https://docs.aws.amazon.com/whitepapers/latest/ransomware-risk-management-on-aws-using-nist-csf/ransomware-risk-management-on-aws-using-nist-csf.html) 

 **Contoh terkait:** 
+  [Cara menggunakan aturan proaktif AWS Config dan AWS CloudFormation Hooks untuk mencegah pembuatan sumber daya cloud yang tidak sesuai](https://aws.amazon.com/blogs/mt/how-to-use-aws-config-proactive-rules-and-aws-cloudformation-hooks-to-prevent-creation-of-non-complaint-cloud-resources/) 
+  [Mengotomatiskan dan mengelola perlindungan data secara terpusat untuk Amazon S3 dengan menggunakan AWS Backup](https://aws.amazon.com/blogs/storage/automate-and-centrally-manage-data-protection-for-amazon-s3-with-aws-backup/) 
+  [AWS re:Invent 2023 - Menerapkan perlindungan data proaktif menggunakan snapshot Amazon EBS](https://www.youtube.com/watch?v=d7C6XsUnmHc) 
+  [AWS re:Invent 2022 - Membangun dan mengotomatiskan ketahanan dengan perlindungan data modern](https://www.youtube.com/watch?v=OkaGvr3xYNk) 

 **Alat terkait:** 
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [Registri Aturan AWS CloudFormation Guard](https://github.com/aws-cloudformation/aws-guard-rules-registry) 
+  [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) 
+  [Amazon Macie](https://aws.amazon.com/macie/) 
+  [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) 
+  [Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) 