# Perlindungan data
Sebelum merancang beban kerja apa pun, praktik mendasar yang berpengaruh terhadap keamanan harus diterapkan. Misalnya, klasifikasi data menjadi cara untuk mengategorikan data berdasarkan tingkat sensitivitas, dan enkripsi melindungi data dengan membuatnya tidak dapat dikenali oleh akses tidak sah. Metode ini penting karena dapat mendukung tujuan seperti mencegah kesalahan penanganan atau mematuhi kewajiban peraturan.
Di AWS, ada berbagai pendekatan yang dapat Anda gunakan saat menangani perlindungan data. Bagian berikut menjelaskan cara menggunakan pendekatan ini.
**Topics**
+ [Klasifikasi data](data-classification.md)
+ [Lindungi data diam](protecting-data-at-rest.md)
+ [Melindungi data bergerak](protecting-data-in-transit.md)
# Klasifikasi data
Klasifikasi data menyediakan cara untuk mengategorikan data organisasi berdasarkan kekritisan dan sensitivitas untuk membantu Anda menentukan kontrol retensi dan perlindungan yang sesuai.
**Topics**
+ [SEC07-BP01 Pahami skema klasifikasi data Anda](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Terapkan kontrol perlindungan data berdasarkan sensitivitas data](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Otomatiskan identifikasi dan klasifikasi](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Tentukan manajemen siklus hidup data yang dapat diskalakan](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 Pahami skema klasifikasi data Anda
Pahami klasifikasi data yang diproses beban kerja Anda, persyaratan penanganannya, proses-proses bisnis terkait, di mana data disimpan, dan siapa pemilik data. Skema klasifikasi dan penanganan data Anda harus mempertimbangkan persyaratan-persyaratan hukum dan kepatuhan yang berlaku atas beban kerja Anda serta kontrol data apa yang diperlukan. Pemahaman terhadap data adalah langkah pertama dalam perjalanan klasifikasi data.
**Hasil yang diinginkan:** Jenis data yang ada dalam beban kerja Anda dapat dipahami dan didokumentasikan dengan baik. Kontrol yang tepat diterapkan untuk melindungi data sensitif berdasarkan klasifikasinya. Kontrol ini mengatur berbagai pertimbangan, seperti siapa yang diizinkan mengakses data dan untuk tujuan apa, di mana data disimpan, kebijakan enkripsi yang diterapkan untuk data tersebut dan bagaimana kunci enkripsi dikelola, siklus hidup untuk data dan persyaratan retensinya, proses pemusnahan yang tepat, proses pencadangan dan pemulihan apa yang diterapkan, serta audit akses.
**Anti-pola umum:**
+ Tidak memiliki kebijakan klasifikasi data formal untuk menentukan tingkat sensitivitas data dan persyaratan-persyaratan penanganannya
+ Tidak memiliki pemahaman yang baik tentang tingkat sensitivitas data dalam beban kerja Anda, dan tidak merekam informasi ini dalam dokumentasi arsitektur dan operasi
+ Gagal menerapkan kontrol-kontrol yang sesuai terhadap data Anda berdasarkan sensitivitas dan persyaratannya, sebagaimana yang diuraikan dalam kebijakan klasifikasi dan penanganan data Anda
+ Gagal memberikan umpan balik tentang persyaratan-persyaratan klasifikasi dan penanganan data kepada pemilik kebijakan.
**Manfaat menjalankan praktik terbaik ini:** Praktik ini akan menghilangkan ambiguitas yang mungkin muncul di seputar penanganan data yang tepat dalam beban kerja Anda. Penerapan kebijakan formal yang menentukan tingkat sensitivitas data di organisasi Anda dan perlindungan yang diperlukan dapat membantu Anda dalam mematuhi peraturan hukum serta pengesahan dan sertifikasi keamanan siber lainnya. Pemilik beban kerja dapat merasa yakin dengan mengetahui di mana data sensitif disimpan dan kontrol perlindungan apa yang diterapkan. Dengan merekam hal ini dalam dokumentasi, anggota tim baru akan dapat lebih memahaminya dan dapat memelihara berbagai kontrol di awal masa kerja mereka. Praktik-praktik ini juga dapat membantu Anda mengurangi biaya dengan melakukan penyesuaian ukuran yang tepat terhadap kontrol untuk masing-masing jenis data.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
Saat merancang sebuah beban kerja, Anda mungkin mempertimbangkan cara untuk melindungi data sensitif secara intuitif. Misalnya, dalam sebuah aplikasi multi-tenant, data setiap tenant secara intuitif dianggap sebagai data sensitif dan perlindungan diterapkan agar satu tenant tidak dapat mengakses data tenant yang lain. Demikian juga, Anda dapat secara intuitif merancang kontrol akses sehingga hanya administrator yang dapat melakukan modifikasi data, sedangkan pengguna yang lain hanya memiliki akses tingkat baca atau tidak memiliki akses sama sekali.
Dengan menetapkan dan merekam tingkat sensitivitas data ini dalam kebijakan, bersama dengan persyaratan-persyaratan perlindungan datanya, Anda dapat secara formal mengidentifikasi data apa yang berada dalam beban kerja Anda. Anda kemudian dapat menentukan apakah kontrol yang tepat sudah diterapkan, apakah kontrol dapat diaudit, dan respons apa yang sesuai jika ternyata data salah ditangani.
Untuk membantu mengidentifikasi di mana data sensitif berada dalam beban kerja Anda, pertimbangkan untuk menggunakan katalog data. Katalog data adalah basis data yang memetakan data di organisasi Anda, lokasinya, tingkat sensitivitas, dan kontrol yang ada untuk melindungi data tersebut. Selain itu, pertimbangkan untuk menggunakan [tanda sumber daya](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html) jika tersedia. Misalnya, Anda dapat menerapkan tanda yang memiliki *kunci tanda* `Classification` dan *nilai tanda* `PHI` untuk informasi kesehatan yang dilindungi (PHI), dan tanda lain yang memiliki *kunci tanda* `Sensitivity` dan *nilai tanda* `High`. Layanan-layanan seperti [AWS Config](https://aws.amazon.com/config/), kemudian dapat digunakan untuk memantau sumber daya ini untuk mendeteksi adanya perubahan dan peringatan jika sumber daya tersebut dimodifikasi dengan cara yang membuatnya melanggar kepatuhan terhadap persyaratan perlindungan Anda (seperti mengubah pengaturan enkripsi). Anda dapat merekam definisi standar kunci tanda dan nilai yang dapat diterima menggunakan [kebijakan tanda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html), fitur dari AWS Organizations. Sebaiknya kunci atau nilai tanda tidak berisi data privat atau sensitif.
### Langkah-langkah implementasi
1. Pahami skema klasifikasi dan persyaratan-persyaratan perlindungan data organisasi Anda.
1. Identifikasi jenis data sensitif yang diproses oleh beban kerja Anda.
1. Rekam data dalam katalog data yang menyediakan gambaran tunggal tentang di mana data berada dalam organisasi dan tingkat sensitivitas data tersebut.
1. Pertimbangkan untuk menggunakan penandaan tingkat sumber daya dan data, jika tersedia, untuk memberikan tanda pada data dengan tingkat sensitivitasnya dan metadata operasional lainnya yang dapat membantu Anda memantau dan merespons insiden.
1. Kebijakan tanda AWS Organizations dapat digunakan untuk memberlakukan standar penandaan.
## Sumber daya
**Praktik-praktik terbaik terkait:**
+ [SUS04-BP01 Mengimplementasikan kebijakan klasifikasi data](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_data_a2.html)
**Dokumen terkait:**
+ [Laporan Resmi Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification-overview.html)
+ [Praktik Terbaik untuk Penandaan Sumber Daya AWS](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)
**Contoh terkait:**
+ [Sintaks dan Contoh Kebijakan Tanda AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_example-tag-policies.html)
**Alat terkait**
+ [Editor Tanda AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tag-editor.html)
# SEC07-BP02 Terapkan kontrol perlindungan data berdasarkan sensitivitas data
Terapkan kontrol-kontrol perlindungan data yang memberikan tingkat kontrol yang sesuai untuk setiap kelas data yang ditentukan dalam kebijakan klasifikasi Anda. Praktik ini dapat memungkinkan Anda untuk melindungi data sensitif dari akses dan penggunaan yang tidak sah, sekaligus menjaga ketersediaan dan penggunaan data.
**Hasil yang diinginkan:** Anda memiliki kebijakan klasifikasi yang mendefinisikan berbagai tingkat sensitivitas untuk data yang ada dalam organisasi Anda. Untuk masing-masing tingkat sensitivitas ini, Anda memiliki pedoman yang jelas yang dipublikasikan untuk layanan dan lokasi penyimpanan dan penanganan yang disetujui, serta konfigurasi yang diperlukan. Anda mengimplementasikan kontrol untuk masing-masing tingkat sesuai dengan tingkat perlindungan yang diperlukan dan biaya yang terkait. Anda memiliki pemantauan dan peringatan untuk mendeteksi apakah data ada di lokasi yang tidak sah, diproses di lingkungan yang tidak sah, diakses oleh pelaku yang tidak sah, atau konfigurasi layanan terkait tidak lagi mematuhi persyaratan yang ditetapkan.
**Anti-pola umum:**
+ Menerapkan tingkat kontrol perlindungan yang sama terhadap semua data. Hal ini dapat menyebabkan penyediaan kontrol keamanan yang berlebihan untuk data yang tidak sensitif, atau perlindungan yang tidak memadai untuk data yang sangat sensitif.
+ Tidak melibatkan para pemangku kepentingan yang relevan dari tim keamanan, kepatuhan, dan bisnis saat menentukan kontrol perlindungan data.
+ Mengabaikan biaya overhead operasional dan biaya yang terkait dengan implementasi dan pemeliharaan kontrol perlindungan data.
+ Tidak melakukan peninjauan kontrol perlindungan data secara berkala untuk menjaga keselarasan dengan kebijakan klasifikasi.
+ Tidak memiliki inventaris lengkap terkait di mana data berada saat diam dan saat bergerak.
**Manfaat menjalankan praktik terbaik ini:** Dengan menyelaraskan kontrol Anda dengan tingkat klasifikasi data Anda, organisasi Anda akan dapat berinvestasi dalam tingkat kontrol yang lebih tinggi jika diperlukan. Hal ini dapat mencakup penambahan sumber daya untuk pengamanan, pemantauan, pengukuran, remediasi, dan pelaporan. Jika kontrol yang diperlukan lebih sedikit, maka Anda dapat meningkatkan aksesibilitas dan kelengkapan data untuk tenaga kerja, pelanggan, atau konstituen Anda. Pendekatan ini akan memberikan organisasi Anda fleksibilitas penggunaan data yang paling besar, sekaligus tetap mematuhi persyaratan-persyaratan perlindungan data.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
Mengimplementasikan kontrol-kontrol perlindungan data berdasarkan tingkat sensitivitas data mencakup beberapa langkah penting. Pertama, mengidentifikasi tingkat sensitivitas data yang berbeda-beda dalam arsitektur beban kerja Anda (seperti publik, internal, rahasia, dan terbatas) dan kemudian mengevaluasi di mana Anda menyimpan dan memproses data ini. Selanjutnya, tentukan batasan-batasan isolasi di sekitar data berdasarkan tingkat sensitivitasnya. Kami menyarankan Anda untuk memisahkan data ke dalam Akun AWS yang berbeda, dengan menggunakan [kebijakan kontrol layanan (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) untuk membatasi layanan dan tindakan yang diizinkan untuk setiap tingkat sensitivitas data. Dengan cara ini, Anda dapat membuat batasan-batasan isolasi yang kuat dan memberlakukan prinsip hak akses paling rendah.
Setelah Anda menentukan batasan-batasan isolasi tersebut, implementasikan kontrol-kontrol perlindungan yang sesuai berdasarkan tingkat sensitivitas data. Lihat praktik terbaik untuk [Melindungi data diam](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-at-rest.html) dan [Melindungi data bergerak](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-in-transit.html) untuk menerapkan kontrol yang relevan seperti enkripsi, kontrol akses, dan audit. Pertimbangkan teknik-teknik seperti tokenisasi atau anonimisasi untuk mengurangi tingkat sensitivitas data Anda. Sederhanakan penerapan kebijakan data yang konsisten di seluruh bisnis Anda dengan sistem tersentralisasi untuk tokenisasi dan detokenisasi.
Lakukan pemantauan dan pengujian secara terus-menerus terhadap efektivitas kontrol yang diimplementasikan. Lakukan peninjauan dan pembaruan secara rutin terhadap skema klasifikasi data, penilaian risiko, dan kontrol perlindungan karena lanskap data dan ancaman bagi organisasi Anda terus berubah. Selaraskan kontrol-kontrol perlindungan data yang diimplementasikan dengan peraturan industri, standar, dan persyaratan hukum yang relevan. Selanjutnya, berikan pengetahuan dan pelatihan keamanan untuk membantu para karyawan memahami skema klasifikasi data serta tanggung jawab mereka dalam menangani dan melindungi data sensitif.
### Langkah-langkah implementasi
1. Identifikasi tingkat klasifikasi dan sensitivitas data yang ada dalam beban kerja Anda.
1. Tentukan batasan-batasan isolasi untuk setiap tingkat dan tentukan strategi penegakannya.
1. Lakukan evaluasi terhadap kontrol-kontrol yang Anda tetapkan yang mengatur akses, enkripsi, audit, retensi, dan lainnya yang diwajibkan berdasarkan kebijakan klasifikasi data Anda.
1. Lakukan evaluasi terhadap opsi-opsi untuk mengurangi tingkat sensitivitas data jika sesuai, seperti menggunakan tokenisasi atau anonimisasi.
1. Pastikan bahwa kontrol Anda menggunakan pengujian dan pemantauan otomatis terhadap sumber daya yang dikonfigurasi.
## Sumber daya
**Praktik-praktik terbaik terkait:**
+ [PERF03-BP01 Menggunakan penyimpanan data yang dibuat khusus yang paling mendukung persyaratan akses data dan penyimpanan data Anda](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_data_use_purpose_built_data_store.html)
+ [COST04-BP05 Menegakkan kebijakan retensi data](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_decomissioning_resources_data_retention.html)
**Dokumen terkait:**
+ [Laporan Resmi Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Praktik Terbaik untuk Keamanan, Identitas & Kepatuhan](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=*all&awsf.methodology=*all)
+ [Praktik Terbaik AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)
+ [Praktik dan fitur terbaik enkripsi untuk layanan AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/welcome.html)
**Contoh terkait:**
+ [Membangun solusi tokenisasi nirserver untuk melakukan masking terhadap data sensitif](https://aws.amazon.com/blogs/compute/building-a-serverless-tokenization-solution-to-mask-sensitive-data/)
+ [Cara menggunakan tokenisasi untuk meningkatkan keamanan data dan mengurangi cakupan audit](https://aws.amazon.com/blogs/security/how-to-use-tokenization-to-improve-data-security-and-reduce-audit-scope/)
**Alat terkait:**
+ [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/)
+ [AWS CloudHSM](https://aws.amazon.com/cloudhsm/)
+ [AWS Organizations](https://aws.amazon.com/organizations/)
# SEC07-BP03 Otomatiskan identifikasi dan klasifikasi
Otomatisasi identifikasi dan klasifikasi data dapat membantu Anda mengimplementasikan kontrol yang tepat. Penggunaan otomatisasi untuk melengkapi proses penentuan manual akan mengurangi risiko terjadinya kesalahan manusia dan paparan.
**Hasil yang diinginkan:** Anda dapat melakukan verifikasi apakah kontrol yang tepat sudah dilakukan berdasarkan klasifikasi dan kebijakan penanganan Anda. Alat-alat dan layanan otomatis dapat membantu Anda mengidentifikasi dan mengklasifikasikan tingkat sensitivitas data Anda. Otomatisasi juga akan membantu Anda untuk terus memantau lingkungan Anda guna mendeteksi dan memperingatkan jika data sedang disimpan atau sedang ditangani secara tidak sah sehingga Anda bisa melakukan tindakan korektif dengan cepat.
**Anti-pola umum:**
+ Hanya mengandalkan proses-proses manual untuk melakukan identifikasi dan klasifikasi data, yang bisa jadi rawan kesalahan dan memakan waktu. Hal ini dapat menyebabkan klasifikasi data yang tidak efisien dan tidak konsisten, terutama saat volume data semakin besar.
+ Tidak memiliki mekanisme untuk melacak dan mengelola aset data yang ada di seluruh organisasi.
+ Mengabaikan perlunya pemantauan dan klasifikasi data yang berkelanjutan seiring pergerakan dan perkembangan data di dalam organisasi.
**Manfaat menjalankan praktik terbaik ini:** Melakukan otomatisasi atas identifikasi dan klasifikasi data dapat mengantarkan Anda pada penerapan kontrol perlindungan data yang lebih konsisten dan akurat, mengurangi risiko terjadinya kesalahan manusia. Otomatisasi juga dapat memberikan visibilitas terhadap akses dan pergerakan data sensitif, sehingga akan membantu Anda untuk mendeteksi penanganan yang tidak sah dan mengambil tindakan korektif.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang
## Panduan implementasi
Meskipun penilaian manusia sering kali digunakan untuk mengklasifikasikan data selama fase desain awal beban kerja, Anda harus mempertimbangkan untuk memiliki sistem yang mengotomatiskan identifikasi dan klasifikasi terhadap data uji sebagai sebuah kontrol preventif. Misalnya, developer dapat diberi sebuah alat atau layanan untuk memindai data representatif guna menentukan sensitivitasnya. Di AWS, Anda dapat mengunggah kumpulan data ke [Amazon S3](https://aws.amazon.com/s3/) dan memindainya menggunakan [Amazon Macie](https://aws.amazon.com/macie/), [Amazon Comprehend](https://aws.amazon.com/comprehend/), atau [Amazon Comprehend Medical](https://aws.amazon.com/comprehend/medical/). Selain itu, pertimbangkan juga untuk melakukan pemindaian data sebagai bagian dari pengujian unit dan integrasi untuk mendeteksi di mana data sensitif tidak diharapkan. Mengirim peringatan terkait data sensitif pada tahap ini dapat menyoroti adanya kesenjangan dalam perlindungan sebelum dilakukan deployment ke produksi. Fitur lain seperti deteksi data sensitif di [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/detect-PII.html), [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-managed-data-identifiers.htm), dan [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/mask-sensitive-log-data.html) juga dapat digunakan untuk mendeteksi PII dan mengambil tindakan mitigasi. Untuk alat atau layanan otomatis apa pun, pahami cara alat atau layanan tersebut menentukan data sensitif, kemudian lengkapi dengan solusi manusia atau solusi otomatis lainnya untuk mengatasi kesenjangan apa pun sesuai kebutuhan.
Sebagai sebuah kontrol pendeteksi, gunakan pemantauan berkelanjutan terhadap lingkungan Anda untuk mendeteksi apakah data sensitif saat ini disimpan dengan cara yang tidak mematuhi persyaratan, atau tidak. Hal ini dapat membantu Anda mendeteksi berbagai kesulitan, seperti data sensitif yang dikirimkan ke file log atau disalin ke lingkungan analitik data tanpa penghapusan atau penyamaran identitas yang tepat. Data yang disimpan di Amazon S3 dapat terus dipantau untuk menemukan data sensitif menggunakan Amazon Macie.
### Langkah-langkah implementasi
1. Tinjau skema klasifikasi data di organisasi Anda yang dijelaskan dalam [SEC07-BP01](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_identify_data.html).
1. Dengan pemahaman terhadap skema klasifikasi data organisasi Anda, Anda dapat menetapkan proses yang akurat untuk identifikasi dan klasifikasi otomatis yang selaras dengan kebijakan perusahaan Anda.
1. Lakukan pemindaian awal terhadap lingkungan Anda untuk identifikasi dan klasifikasi otomatis.
1. Pemindaian penuh di awal terhadap data Anda dapat membantu menghasilkan pemahaman komprehensif tentang di mana data sensitif berada di lingkungan Anda. Jika pemindaian penuh pada awalnya tidak diperlukan atau tidak dapat diselesaikan di awal karena biaya, evaluasi apakah teknik-teknik pengambilan sampel data sudah cocok untuk meraih hasil-hasil yang Anda tetapkan. Misalnya, Amazon Macie dapat dikonfigurasi untuk melakukan operasi penemuan data sensitif otomatis secara meluas di seluruh bucket S3 Anda. Kemampuan ini menggunakan teknik-teknik pengambilan sampel untuk melakukan analisis awal terkait di mana data sensitif berada dengan cara yang hemat. Analisis bucket S3 yang lebih mendalam kemudian dapat dilakukan dengan menggunakan pekerjaan penemuan data sensitif. Penyimpanan data lainnya juga dapat diekspor ke S3 untuk dipindai oleh Macie.
1. Tetapkan kontrol akses yang ditentukan dalam [SEC07-BP02](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_define_protection.html) untuk sumber daya penyimpanan data Anda yang diidentifikasi dalam pemindaian Anda.
1. Konfigurasikan pemindaian yang berkelanjutan terhadap lingkungan Anda.
1. Kemampuan penemuan data sensitif otomatis yang dimiliki Macie dapat digunakan untuk melakukan pemindaian yang berkelanjutan terhadap lingkungan Anda. Bucket S3 yang diketahui yang diotorisasi untuk menyimpan data sensitif dapat dikecualikan menggunakan daftar yang diizinkan di Macie.
1. Terapkan identifikasi dan klasifikasi ke dalam proses build dan pengujian Anda.
1. Identifikasi alat-alat yang dapat digunakan developer untuk memindai data guna menentukan sensitivitasnya saat beban kerja sedang dikembangkan. Gunakan alat-alat ini sebagai bagian dari pengujian integrasi untuk memberikan peringatan ketika ada data sensitif yang tidak terduga dan mencegah deployment lebih lanjut.
1. Implementasikan sebuah sistem atau runbook untuk melakukan tindakan ketika data sensitif ditemukan di lokasi yang tidak sah.
1. Batasi akses ke data menggunakan remediasi otomatis. Misalnya, Anda dapat memindahkan data ini ke bucket S3 dengan akses terbatas atau menandai objek jika Anda menggunakan kontrol akses berbasis atribut (ABAC). Selain itu, pertimbangkan untuk melakukan masking data saat terdeteksi.
1. Peringatkan tim perlindungan data dan respons insiden Anda untuk menyelidiki akar penyebab insiden tersebut. Pembelajaran apa pun yang mereka identifikasi dapat membantu mencegah insiden di masa depan.
## Sumber daya
**Dokumen terkait:**
+ [AWS Glue: Mendeteksi dan memproses data sensitif](https://docs.aws.amazon.com/glue/latest/dg/detect-PII.html)
+ [Menggunakan pengidentifikasi data terkelola di Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-managed-data-identifiers.html)
+ [Log Amazon CloudWatch: Membantu melindungi data log sensitif dengan melakukan masking](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/mask-sensitive-log-data.html)
**Contoh terkait:**
+ [Mengaktifkan klasifikasi data untuk basis data Amazon RDS dengan Macie](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/)
+ [Mendeteksi data sensitif di DynamoDB menggunakan Macie](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/)
**Alat terkait:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Amazon Comprehend](https://aws.amazon.com/comprehend/)
+ [Amazon Comprehend Medical](https://aws.amazon.com/comprehend/medical/)
+ [AWS Glue](https://aws.amazon.com/glue/)
# SEC07-BP04 Tentukan manajemen siklus hidup data yang dapat diskalakan
Pahami persyaratan-persyaratan siklus hidup data Anda karena persyaratan tersebut terkait dengan berbagai tingkat klasifikasi dan penanganan data Anda. Hal ini dapat mencakup cara data ditangani ketika pertama kali memasuki lingkungan Anda, cara data ditransformasi, dan aturan untuk pemusnahannya. Pertimbangkan faktor-faktor seperti periode retensi, akses, audit, dan pelacakan asal.
**Hasil yang diinginkan:** Anda mengklasifikasikan data sedekat mungkin dengan titik dan waktu konsumsi. Ketika klasifikasi data memerlukan proses masking, tokenisasi, atau proses-proses lain yang mengurangi tingkat sensitivitas, Anda harus melakukan tindakan-tindakan ini sedekat mungkin dengan titik dan waktu penyerapan.
Anda menghapus data sesuai dengan kebijakan Anda ketika data tersebut tidak lagi layak untuk dipertahankan, berdasarkan klasifikasinya.
**Anti-pola umum:**
+ Mengimplementasikan satu pendekatan umum terhadap manajemen siklus hidup data, tanpa mempertimbangkan berbagai tingkat sensitivitas dan persyaratan akses yang berbeda-beda.
+ Mempertimbangkan manajemen siklus hidup hanya dari perspektif data yang dapat digunakan, atau data yang dicadangkan, tetapi tidak keduanya.
+ Menganggap data yang telah memasuki beban kerja Anda sebagai data yang valid, tanpa mengetahui nilai atau asal-usulnya.
+ Mengandalkan daya tahan data sebagai pengganti untuk pencadangan dan perlindungan data.
+ Mempertahankan data melampaui masa kegunaannya dan periode retensi yang diperlukan.
**Manfaat menjalankan praktik terbaik ini:** Strategi manajemen siklus hidup data yang ditentukan dengan baik dan dapat diskalakan akan membantu Anda dalam menjaga kepatuhan terhadap peraturan, meningkatkan keamanan data, mengoptimalkan biaya penyimpanan, dan memungkinkan akses dan berbagi data yang efisien sekaligus mempertahankan kontrol yang tepat.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
Data dalam beban kerja sering kali bersifat dinamis. Bentuk data saat memasuki lingkungan beban kerja Anda dapat berbeda-beda, dari ketika data disimpan atau digunakan dalam logika bisnis, pelaporan, analitik, atau machine learning. Selain itu, nilai data dapat berubah seiring waktu. Beberapa data bersifat temporal dan kehilangan nilai seiring umurnya bertambah. Pertimbangkan dampak dari berbagai perubahan data Anda ini terhadap evaluasi berdasarkan skema klasifikasi data Anda dan kontrol-kontrol terkait. Jika memungkinkan, gunakan mekanisme siklus hidup otomatis, seperti [kebijakan siklus hidup Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) dan [Amazon Data Lifecycle Manager](https://aws.amazon.com/ebs/data-lifecycle-manager/), untuk mengonfigurasi proses retensi data, pengarsipan, dan kedaluwarsa data Anda. Untuk data yang disimpan di DynamoDB, Anda dapat menggunakan fitur [Time To Live (TTL)](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/TTL.html) untuk menentukan stempel waktu kedaluwarsa per item.
Bedakan antara data yang tersedia untuk digunakan, dan data yang disimpan sebagai cadangan. Pertimbangkan untuk menggunakan [AWS Backup](https://aws.amazon.com/backup/) untuk mengotomatiskan cadangan data di seluruh layanan AWS. [Snapshot Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) menyediakan cara untuk menyalin volume EBS dan menyimpannya menggunakan fitur S3, termasuk siklus hidup, perlindungan data, dan akses ke mekanisme perlindungan. Dua dari mekanisme ini adalah [Kunci Objek S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) dan [AWS Backup Kunci Vault](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html), yang dapat memberi Anda keamanan dan kontrol tambahan atas cadangan Anda. Kelola pemisahan tugas dan akses yang jelas untuk cadangan. Isolasi cadangan di tingkat akun agar tetap terpisah dari lingkungan yang terpengaruh saat ada suatu peristiwa yang terjadi.
Aspek lain dari manajemen siklus hidup adalah merekam riwayat data saat berlangsung melalui beban kerja Anda, yang disebut *pelacakan asal data*. Pelacakan ini dapat memberikan keyakinan bahwa Anda tahu dari mana data berasal, setiap transformasi yang dilakukan, pemilik atau proses apa yang membuat perubahan tersebut, dan kapan. Riwayat ini dapat membantu Anda dalam melakukan pemecahan masalah dan investigasi selama peristiwa keamanan yang mungkin terjadi. Misalnya, Anda dapat mencatat log metadata tentang transformasi dalam sebuah tabel [Amazon DynamoDB](https://aws.amazon.com/dynamodb/). Dalam sebuah danau data, Anda dapat menyimpan salinan data yang ditransformasi di dalam bucket S3 yang berbeda untuk setiap tahap pipeline data. Simpan informasi skema dan stempel waktu dalam file [AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/catalog-and-crawler.html). Terlepas dari solusi yang Anda gunakan, pertimbangkan kebutuhan pengguna akhir Anda untuk menentukan peralatan yang tepat yang Anda butuhkan untuk melaporkan asal-usul data Anda. Hal ini akan membantu Anda menentukan cara terbaik dalam melacak asal-usul data Anda.
### Langkah-langkah implementasi
1. Analisis jenis data, tingkat sensitivitas, dan persyaratan akses beban kerja untuk mengklasifikasikan data dan menentukan strategi-strategi manajemen siklus hidup yang sesuai.
1. Rancang dan implementasikan kebijakan retensi data dan proses pemusnahan otomatis yang selaras dengan persyaratan-persyaratan berdasarkan hukum, peraturan, dan organisasi.
1. Tetapkan proses dan otomatisasi untuk melakukan pemantauan, audit, dan penyesuaian berkelanjutan terhadap strategi, kontrol, dan kebijakan manajemen siklus hidup data seiring dengan perubahan persyaratan beban kerja dan perubahan peraturan.
1. Deteksi sumber daya yang tidak memiliki manajemen siklus hidup otomatis yang aktif dengan [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)
## Sumber daya
**Praktik-praktik terbaik terkait:**
+ [COST04-BP05 Menegakkan kebijakan retensi data](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_decomissioning_resources_data_retention.html)
+ [SUS04-BP03 Menggunakan kebijakan untuk mengelola siklus hidup set data Anda](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_data_a4.html)
**Dokumen terkait:**
+ [Laporan Resmi Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification-overview.html)
+ [Cetak Biru AWS untuk Pertahanan Ransomware](https://d1.awsstatic.com/whitepapers/compliance/AWS-Blueprint-for-Ransomware-Defense.pdf)
+ [Panduan DevOps: Meningkatkan ketertelusuran dengan pelacakan asal data](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.dlm.8-improve-traceability-with-data-provenance-tracking.html)
**Contoh terkait:**
+ [Bagaimana melindungi data sensitif untuk seluruh siklus hidupnya di AWS](https://aws.amazon.com/blogs/security/how-to-protect-sensitive-data-for-its-entire-lifecycle-in-aws/)
+ [Membangun garis keturunan data untuk danau data menggunakan AWS Glue, Amazon Neptune, dan Spline](https://aws.amazon.com/blogs/big-data/build-data-lineage-for-data-lakes-using-aws-glue-amazon-neptune-and-spline/)
**Alat terkait:**
+ [AWS Backup](https://aws.amazon.com/backup/)
+ [Amazon Data Lifecycle Manager](https://aws.amazon.com/ebs/data-lifecycle-manager/)
+ [AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/access-analyzer/)
# Lindungi data diam
*Data diam* mewakili data yang Anda pertahankan di penyimpanan non-volatile selama durasi apa pun di beban kerja Anda. Data ini mencakup penyimpanan blok, penyimpanan objek, basis data, arsip, perangkat IoT, dan medium penyimpanan lain di mana datanya dipertahankan. Melindungi data diam Anda dapat mengurangi risiko akses yang tidak sah, ketika enkripsi dan kontrol akses yang tepat diimplementasikan.
Enkripsi dan tokenisasi adalah dua skema perlindungan data yang berbeda tetapi sama pentingnya.
*Tokenisasi* adalah proses yang membuat Anda dapat menentukan token untuk merepresentasikan sebuah informasi sensitif (misalnya, token untuk merepresentasikan nomor kartu kredit pelanggan). Token sendiri seharusnya tidak memiliki makna, dan tidak boleh didapatkan dari data yang ditokenisasi–oleh karenanya, digest kriptografis tidak dapat digunakan sebagai token. Dengan merencanakan pendekatan tokenisasi Anda secara saksama, Anda dapat memberikan perlindungan tambahan untuk konten Anda, dan Anda dapat memastikan bahwa Anda memenuhi persyaratan kepatuhan. Sebagai contoh, Anda dapat mempersempit cakupan kepatuhan sistem pemrosesan kartu kredit jika Anda memanfaatkan token, bukan nomor kartu kredit.
*Enkripsi* adalah cara mentransformasi konten dengan cara yang membuatnya tidak dapat dibaca tanpa menggunakan kunci rahasia yang diperlukan untuk mendekripsi konten agar kembali menjadi plaintext. Baik tokenisasi maupun enkripsi dapat digunakan untuk mengamankan dan melindungi informasi sebagaimana semestinya. Selain itu, masking adalah teknik yang memungkinkan bagian data diredaksi hingga data yang tersisa tidak lagi dianggap sensitif. Misalnya, PCI-DSS memungkinkan empat digit terakhir dari nomor kartu dipertahankan di luar batasan cakupan kepatuhan untuk pembuatan indeks.
**Audit penggunaan kunci enkripsi:** Pastikan bahwa Anda memahami dan mengaudit penggunaan kunci enkripsi guna memvalidasi bahwa mekanisme kontrol akses pada kunci diimplementasikan dengan tepat. Sebagai contoh, setiap layanan AWS yang menggunakan kunci AWS KMS mencatat setiap log penggunaan di AWS CloudTrail. Anda selanjutnya dapat membuat kueri AWS CloudTrail, dengan menggunakan alat seperti Wawasan Log Amazon CloudWatch, guna memastikan bahwa semua penggunaan kunci Anda valid.
**Topics**
+ [SEC08-BP01 Mengimplementasikan manajemen kunci yang aman](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Menerapkan enkripsi data diam](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Otomatiskan perlindungan data diam](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Menerapkan kontrol akses](sec_protect_data_rest_access_control.md)
# SEC08-BP01 Mengimplementasikan manajemen kunci yang aman
Manajemen kunci yang aman mencakup penyimpanan, rotasi, kontrol akses, dan pemantauan materi kunci yang diperlukan untuk mengamankan data diam untuk beban kerja Anda.
**Hasil yang diinginkan:** Anda memiliki mekanisme manajemen kunci yang dapat diskalakan, dapat diulang, dan dapat diotomatiskan. Mekanisme ini menerapkan hak akses paling rendah ke materi kunci dan memberikan keseimbangan yang tepat antara ketersediaan, kerahasiaan, dan integritas kunci. Anda memantau akses ke kunci, dan jika rotasi materi kunci diperlukan, Anda merotasinya menggunakan proses otomatis. Anda tidak mengizinkan materi kunci diakses oleh operator manusia.
**Anti-pola umum:**
+ Akses manusia ke materi kunci yang tidak dienkripsi.
+ Membuat algoritma kriptografi kustom.
+ Izin yang terlalu luas untuk mengakses materi kunci.
**Manfaat menjalankan praktik terbaik ini:** Dengan membuat mekanisme manajemen kunci yang aman untuk beban kerja Anda, Anda dapat membantu memberikan perlindungan untuk konten Anda dari akses yang tidak sah. Selain itu, Anda mungkin harus mematuhi persyaratan-persyaratan berdasarkan peraturan untuk mengenkripsi data Anda. Solusi manajemen kunci yang efektif dapat memberikan mekanisme-mekanisme teknis yang selaras dengan peraturan tersebut untuk melindungi materi kunci.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
Enkripsi data diam adalah kontrol keamanan mendasar. Untuk menerapkan kontrol ini, beban kerja Anda memerlukan sebuah mekanisme untuk secara aman menyimpan dan mengelola materi kunci yang digunakan untuk mengenkripsi data diam Anda.
AWS menawarkan AWS Key Management Service (AWS KMS) untuk menyediakan penyimpanan yang tahan lama, aman, dan redundan untuk kunci AWS KMS. [Banyak layanan AWS diintegrasikan dengan AWS KMS](https://aws.amazon.com/kms/features/#integration) untuk mendukung enkripsi data Anda. AWS KMS menggunakan modul keamanan perangkat keras yang divalidasi FIPS 140-3 Level 3 untuk melindungi kunci Anda. Tidak ada mekanisme untuk mengekspor kunci AWS KMS ke dalam bentuk teks biasa.
Saat melakukan deployment beban kerja menggunakan strategi multi-akun, Anda harus menyimpan kunci AWS KMS di akun yang sama dengan beban kerja yang menggunakannya. [Model terdistribusi ini](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html#app-kms) memberikan tanggung jawab untuk mengelola kunci AWS KMS kepada tim Anda. Dalam kasus penggunaan lainnya, organisasi Anda dapat memilih untuk menyimpan kunci AWS KMS ke dalam sebuah akun tersentralisasi. Struktur tersentralisasi ini memerlukan kebijakan tambahan untuk mengaktifkan akses lintas akun yang diperlukan agar akun beban kerja dapat mengakses kunci yang disimpan di akun tersentralisasi tersebut, tetapi mungkin lebih ideal untuk kasus penggunaan di mana satu kunci digunakan bersama-sama di beberapa Akun AWS.
Terlepas dari lokasi penyimpanan materi kunci, Anda harus mengontrol akses ke kunci dengan ketat melalui penggunaan [kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dan kebijakan IAM. Kebijakan kunci adalah cara utama untuk mengontrol akses ke sebuah kunci AWS KMS. Selain itu, pemberian kunci AWS KMS dapat memberikan akses ke layanan AWS untuk mengenkripsi dan mendekripsi data atas nama Anda. Tinjau [panduan untuk kontrol akses ke kunci AWS KMS Anda](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html).
Anda harus memantau penggunaan kunci enkripsi untuk mendeteksi pola-pola akses yang tidak biasa. Operasi-operasi yang dijalankan menggunakan kunci yang dikelola AWS dan kunci yang dikelola pelanggan yang disimpan AWS KMS dapat dicatat log-nya di AWS CloudTrail dan harus ditinjau secara berkala. Berikan perhatian khusus untuk memantau peristiwa pemusnahan kunci. Untuk memitigasi pemusnahan materi kunci yang tidak disengaja atau tidak sah, peristiwa pemusnahan kunci tidak akan langsung menghapus materi kunci tersebut. Percobaan untuk menghapus kunci yang ada di AWS KMS akan mengikuti [periode tunggu](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-how-it-works), yang secara default diatur ke 30 hari dan minimal 7 hari, sehingga memberikan waktu kepada administrator untuk meninjau tindakan ini dan membatalkan permintaannya jika perlu.
Sebagian besar layanan AWS menggunakan AWS KMS secara transparan bagi Anda - satu-satunya persyaratan Anda adalah memutuskan apakah akan menggunakan kunci yang dikelola AWS atau yang dikelola pelanggan. Jika beban kerja Anda memerlukan penggunaan langsung AWS KMS untuk mengenkripsi atau mendekripsi data, Anda harus menggunakan [enkripsi amplop](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) untuk melindungi data Anda. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) dapat menyediakan primitif enkripsi di sisi klien untuk aplikasi Anda guna mengimplementasikan enkripsi amplop dan mengintegrasikannya dengan AWS KMS.
### Langkah-langkah implementasi
1. Tentukan [opsi manajemen kunci](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) yang sesuai (dikelola AWS atau dikelola pelanggan) untuk kunci tersebut.
1. Untuk memudahkan penggunaan, AWS menawarkan kunci yang dimiliki AWS dan kunci yang dikelola AWS untuk sebagian besar layanan, sehingga menyediakan kemampuan enkripsi data diam tanpa perlu mengelola materi kunci atau kebijakan kunci.
1. Saat menggunakan kunci yang dikelola oleh pelanggan, pertimbangkan penyimpanan kunci default untuk memberikan keseimbangan terbaik antara ketangkasan, keamanan, kedaulatan data, dan ketersediaan. Kasus-kasus penggunaan lain mungkin memerlukan penggunaan penyimpanan kunci kustom dengan [AWS CloudHSM](https://aws.amazon.com/cloudhsm/) atau [penyimpanan kunci eksternal](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html).
1. Tinjau daftar layanan yang sedang Anda gunakan untuk beban kerja Anda untuk memahami bagaimana AWS KMS terintegrasi dengan layanan tersebut. Misalnya, instans EC2 dapat menggunakan volume EBS terenkripsi, yang memverifikasi bahwa snapshot Amazon EBS yang dibuat dari volume tersebut juga dienkripsi menggunakan kunci yang dikelola pelanggan dan mengurangi pengungkapan data snapshot yang tidak terenkripsi secara tidak disengaja.
1. [Cara layanan AWS menggunakan AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/service-integration.html)
1. Untuk informasi mendetail tentang berbagai opsi enkripsi yang ditawarkan oleh layanan AWS, lihat topik Enkripsi Diam dalam panduan pengguna atau panduan developer untuk layanan tersebut.
1. Implementasikan AWS KMS: AWS KMS memudahkan Anda untuk membuat dan mengelola kunci serta mengontrol penggunaan enkripsi di berbagai layanan AWS dan di dalam aplikasi Anda.
1. [Memulai: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
1. Tinjau [praktik-praktik terbaik untuk kontrol akses ke kunci AWS KMS Anda](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html).
1. Pertimbangkan AWS Encryption SDK: Gunakan AWS Encryption SDK dengan integrasi AWS KMS jika aplikasi Anda harus mengenkripsi data di sisi klien.
1. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
1. Aktifkan [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) agar secara otomatis meninjau dan memberi tahu jika ada kebijakan kunci AWS KMS yang terlalu luas.
1. Pertimbangkan menggunakan [pemeriksaan kebijakan kustom](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CheckNoPublicAccess.html) untuk memverifikasi bahwa pembaruan kebijakan sumber daya tidak memberikan akses publik ke Kunci KMS.
1. Aktifkan [CSPM Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html) agar menerima notifikasi jika ada kebijakan kunci yang salah konfigurasi, kunci yang dijadwalkan untuk dihapus, atau kunci tanpa pengaktifan rotasi otomatis.
1. Tentukan tingkat pencatatan log yang sesuai untuk kunci AWS KMS Anda. Karena panggilan ke AWS KMS, termasuk peristiwa hanya-baca, dicatat ke log, jumlah log CloudTrail yang terkait dengan AWS KMS bisa jadi sangat banyak.
1. Beberapa organisasi lebih suka melakukan segregasi terhadap aktivitas pencatatan log AWS KMS ke dalam jejak terpisah. Untuk membaca detail selengkapnya, lihat bagian [Mencatat Log Panggilan API AWS KMS dengan CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) dari panduan developer AWS KMS.
## Sumber daya
**Dokumen terkait:**
+ [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
+ [AWS Layanan dan alat kriptografi](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Melindungi Data Amazon S3 Menggunakan Enkripsi](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
+ [Enkripsi amplop](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)
+ [Janji kedaulatan digital](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/)
+ [Menjelaskan operasi kunci AWS KMS, membawa kunci Anda sendiri, penyimpanan kunci kustom, dan portabilitas teks sandi](https://aws.amazon.com/blogs/security/demystifying-kms-keys-operations-bring-your-own-key-byok-custom-key-store-and-ciphertext-portability/)
+ [AWS Key Management Service Detail kriptografi](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Video terkait:**
+ [Cara Kerja Enkripsi di AWS](https://youtu.be/plv7PQZICCM)
+ [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8)
+ [Perlindungan data AWS: Menggunakan penguncian, kunci, tanda tangan, dan sertifikat](https://www.youtube.com/watch?v=lD34wbc7KNA)
**Contoh terkait:**
+ [Mengimplementasikan mekanisme kontrol akses lanjutan menggunakan AWS KMS](https://catalog.workshops.aws/advkmsaccess/en-US/introduction)
# SEC08-BP02 Menerapkan enkripsi data diam
Enkripsikan data pribadi saat diam untuk menjaga kerahasiaan dan memberikan lapisan perlindungan tambahan terhadap pengungkapan atau eksfiltrasi data yang tidak diinginkan. Enkripsi melindungi data sehingga tidak dapat dibaca atau diakses tanpa didekripsi terlebih dahulu. Inventarisasi dan kontrol data yang tidak terenkripsi untuk mengurangi risiko yang terkait dengan paparan data.
**Hasil yang diinginkan:** Anda memiliki mekanisme yang mengenkripsi data pribadi secara default saat diam. mekanisme ini membantu menjaga kerahasiaan data dan memberikan lapisan perlindungan tambahan terhadap pengungkapan atau eksfiltrasi data yang tidak disengaja. Anda memelihara inventaris data yang tidak terenkripsi dan memahami kontrol yang ada untuk melindunginya.
**Anti-pola umum:**
+ Tidak menggunakan konfigurasi yang dienkripsi secara default.
+ Memberikan akses yang terlalu permisif ke kunci dekripsi.
+ Tidak memantau penggunaan kunci enkripsi dan dekripsi.
+ Menyimpan data tidak terenkripsi.
+ Menggunakan kunci enkripsi yang sama untuk semua data tanpa memperhatikan penggunaan, jenis, dan klasifikasi data.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
Petakan kunci enkripsi ke klasifikasi data di dalam beban kerja Anda. Pendekatan ini membantu melindungi terhadap akses yang terlalu permisif saat menggunakan kunci enkripsi tunggal atau sangat kecil untuk data Anda (lihat [SEC07-BP01 Pahami skema klasifikasi data Anda](sec_data_classification_identify_data.md)).
AWS Key Management Service (AWS KMS) terintegrasi dengan berbagai layanan-layanan AWS untuk mempermudah enkripsi data diam. Misalnya, di Amazon Elastic Compute Cloud (Amazon EC2), Anda dapat mengatur [enkripsi default](https://docs.aws.amazon.com/ebs/latest/userguide/work-with-ebs-encr.html#encryption-by-default) pada akun sehingga volume EBS baru dienkripsi secara otomatis. Saat menggunakan AWS KMS, pertimbangkan seberapa ketat pembatasan data yang perlu dilakukan. Kunci AWS KMS default dan yang dikontrol layanan dikelola dan digunakan atas nama Anda oleh AWS. Untuk data sensitif yang memerlukan akses terperinci ke kunci enkripsi yang mendasarinya, pertimbangkan menggunakan kunci yang dikelola pelanggan (CMK). Anda memiliki kontrol penuh atas CMK, termasuk rotasi dan manajemen akses melalui penggunaan kebijakan-kebijakan kunci.
Selain itu, layanan seperti Amazon Simple Storage Service ([Amazon S3](https://aws.amazon.com/blogs/aws/amazon-s3-encrypts-new-objects-by-default/)) sekarang mengenkripsi semua objek baru secara default. Implementasi ini memberikan keamanan yang ditingkatkan tanpa berdampak pada kinerja.
Layanan lain, seperti [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) (Amazon EC2) atau [Amazon Elastic File System](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/efs.html) (Amazon EFS), mendukung pengaturan untuk enkripsi default. Anda juga dapat menggunakan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) untuk memeriksa secara otomatis apakah Anda menggunakan enkripsi untuk [volume Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instans Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html), dan [bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html), serta layanan lainnya dalam organisasi Anda.
AWS juga menyediakan opsi untuk enkripsi di sisi klien, sehingga Anda dapat mengenkripsi data sebelum mengunggahnya ke cloud. AWS Encryption SDK ini menyediakan cara untuk mengenkripsi data Anda dengan menggunakan [enkripsi amplop](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping). Anda memberikan kunci pembungkus, dan AWS Encryption SDK menghasilkan kunci data unik untuk setiap objek data yang dienkripsinya. Pertimbangkan untuk menggunakan AWS CloudHSM jika Anda memerlukan modul keamanan perangkat keras (HSM) penyewa tunggal terkelola. AWS CloudHSM memungkinkan Anda untuk membuat, mengimpor, dan mengelola kunci kriptografi pada HSM tervalidasi FIPS 140-2 level 3. Beberapa kasus penggunaan AWS CloudHSM termasuk untuk perlindungan kunci pribadi guna menerbitkan otoritas sertifikat (CA), dan mengaktifkan enkripsi data transparan (TDE) untuk basis data Oracle. SDK Klien AWS CloudHSM menyediakan perangkat lunak yang dapat digunakan untuk mengenkripsi data sisi klien dengan menggunakan kunci yang disimpan di dalam AWS CloudHSM sebelum mengunggah data Anda ke AWS. Amazon DynamoDB Encryption Client juga memungkinkan Anda untuk melakukan enkripsi dan penandatanganan terhadap item sebelum diunggah ke tabel DynamoDB.
### Langkah-langkah implementasi
+ **Konfigurasikan **[https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)**:** Tentukan bahwa Anda ingin agar semua volume EBS baru dibuat dalam bentuk terenkripsi, dengan opsi penggunaan kunci default yang disediakan oleh AWS, atau kunci yang Anda buat.
+ **Konfigurasikan Amazon Machine Image (AMI) terenkripsi:** Menyalin AMI yang ada dengan enkripsi yang dikonfigurasi akan mengenkripsi volume root dan snapshot secara otomatis.
+ **Konfigurasikan **[https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)**:** Konfigurasikan enkripsi untuk klaster dan snapshot basis data Anda saat diam dengan menggunakan opsi enkripsi.
+ **Buat dan konfigurasikan kunci AWS KMS dengan kebijakan yang membatasi akses ke principal yang sesuai untuk masing-masing klasifikasi data:** Misalnya, buat satu kunci AWS KMS untuk mengenkripsi data produksi dan kunci lain untuk mengenkripsi data pengembangan atau pengujian. Anda juga dapat menyediakan kunci akses ke Akun AWS lainnya. Pertimbangkan untuk memiliki akun yang berbeda untuk lingkungan-lingkungan pengembangan dan produksi Anda. Jika lingkungan produksi Anda perlu mendekripsi artefak yang ada di akun pengembangan, Anda dapat mengedit kebijakan CMK yang digunakan untuk mengenkripsi artefak pengembangan agar akun produksi dapat mendekripsi artefak tersebut. Dan kemudian lingkungan produksi dapat menyerap data yang didekripsi untuk digunakan dalam lingkungan produksi.
+ **Konfigurasikan enkripsi di layanan AWS tambahan:** Untuk layanan-layanan AWS lain yang Anda gunakan, tinjau [dokumentasi keamanan](https://docs.aws.amazon.com/security/) untuk layanan-layanan tersebut guna menentukan opsi enkripsi layanan.
## Sumber daya
**Dokumen terkait:**
+ [Alat Kripto AWS](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [Laporan Resmi Detail Kriptografi AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [Layanan dan alat kriptografi AWS](https://docs.aws.amazon.com/aws-crypto-tools/)
+ [Enkripsi Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Enkripsi default untuk volume Amazon EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Mengenkripsi Sumber Daya Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [Bagaimana cara mengaktifkan enkripsi default untuk bucket Amazon S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [Melindungi Data Amazon S3 Menggunakan Enkripsi](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Video terkait:**
+ [Cara Kerja Enkripsi di AWS](https://youtu.be/plv7PQZICCM)
+ [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 Otomatiskan perlindungan data diam
Gunakan otomatisasi untuk memvalidasi dan menerapkan kontrol-kontrol data diam. Gunakan pemindaian otomatis untuk mendeteksi kesalahan konfigurasi pada solusi-solusi penyimpanan data Anda, dan lakukan remediasi melalui respons programatis otomatis jika memungkinkan. Terapkan otomatisasi dalam proses CI/CD Anda untuk mendeteksi kesalahan konfigurasi penyimpanan data sebelum di-deploy ke lingkungan produksi.
**Hasil yang diinginkan:** Sistem otomatis memindai dan memantau lokasi penyimpanan data untuk mencari adanya kesalahan konfigurasi kontrol, akses tidak sah, dan penggunaan yang tidak terduga. Deteksi lokasi penyimpanan yang salah konfigurasi akan memulai remediasi otomatis. Proses-proses otomatis membuat cadangan data dan menyimpan salinan yang tak bisa diubah di luar lingkungan asli.
**Anti-pola umum:**
+ Tidak mempertimbangkan opsi untuk mengaktifkan enkripsi berdasarkan pengaturan-pengaturan default, jika didukung.
+ Tidak mempertimbangkan peristiwa keamanan, selain peristiwa operasional, saat merumuskan strategi pencadangan dan pemulihan otomatis.
+ Tidak menerapkan pengaturan akses publik untuk layanan-layanan penyimpanan.
+ Tidak memantau dan mengaudit kontrol Anda untuk melindungi data diam.
**Manfaat menjalankan praktik terbaik ini:** Otomatisasi akan membantu Anda dalam mencegah risiko terjadinya kesalahan konfigurasi lokasi penyimpanan data Anda. Hal ini membantu Anda untuk mencegah kesalahan konfigurasi memasuki lingkungan produksi Anda. Praktik terbaik ini juga membantu Anda untuk mendeteksi dan memperbaiki kesalahan konfigurasi, jika terjadi.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang
## Panduan implementasi
Otomatisasi adalah tema yang ada di seluruh praktik untuk melindungi data diam Anda. [SEC01-BP06 Mengotomatiskan deployment kontrol keamanan standar](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) menjelaskan bagaimana Anda dapat merekam konfigurasi sumber daya Anda dengan menggunakan templat *infrastruktur sebagai kode* (IaC), seperti dengan [AWS CloudFormation](https://aws.amazon.com/cloudformation/). Templat ini di-commit ke sistem kontrol versi, dan digunakan untuk melakukan deployment sumber daya di AWS melalui sebuah pipeline CI/CD. Teknik-teknik ini juga berlaku untuk mengotomatiskan konfigurasi solusi penyimpanan data Anda, seperti pengaturan enkripsi di bucket Amazon S3.
Anda dapat memeriksa pengaturan yang Anda tentukan di templat IaC untuk menemukan kesalahan konfigurasi pada pipeline CI/CD Anda menggunakan aturan di [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html). Anda dapat memantau pengaturan yang belum tersedia di CloudFormation atau perkakas IaC lainnya untuk mencari kesalahan konfigurasi dengan [AWS Config](https://aws.amazon.com/config/). Peringatan yang dihasilkan Config untuk kesalahan konfigurasi dapat diperbaiki secara otomatis, seperti yang dijelaskan dalam [SEC04-BP04 Mulai melakukan remediasi untuk sumber daya yang tidak mematuhi persyaratan](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html).
Penggunaan otomatisasi sebagai bagian dari strategi manajemen izin Anda juga merupakan komponen integral dari perlindungan data otomatis. [SEC03-BP02 Memberikan hak akses paling rendah](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) dan [SEC03-BP04 Mengurangi izin secara terus menerus](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) menjelaskan konfigurasi kebijakan akses hak akses paling rendah yang secara terus dipantau oleh [AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) untuk menghasilkan temuan ketika izin dapat dikurangi. Selain otomatisasi untuk izin pemantauan, Anda dapat mengonfigurasi [Amazon GuardDuty](https://aws.amazon.com/guardduty/) untuk mengawasi perilaku akses data anomali untuk [volume EBS](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html) Anda (melalui instans EC2), [bucket S3](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html), dan [basis data Amazon Relational Database Service](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) yang didukung.
Otomatisasi juga berperan dalam mendeteksi ketika ada data sensitif yang disimpan di lokasi yang tidak sah. [SEC07-BP03 Identifikasi dan klasifikasi otomatis](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) menjelaskan cara [Amazon Macie](https://aws.amazon.com/macie/) dapat memantau bucket S3 Anda untuk mencari data sensitif yang tidak terduga dan menghasilkan peringatan yang dapat memulai respons otomatis.
Ikuti praktik-praktik yang diuraikan di [REL09 Cadangkan data](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/back-up-data.html) untuk mengembangkan strategi pencadangan dan pemulihan data otomatis. Pencadangan dan pemulihan data sama pentingnya untuk pemulihan dari peristiwa-peristiwa keamanan seperti halnya untuk peristiwa operasional.
### Langkah-langkah implementasi
1. Tetapkan konfigurasi penyimpanan data dalam templat IaC. Gunakan pemeriksaan otomatis di pipeline CI/CD Anda untuk mendeteksi terjadinya kesalahan konfigurasi.
1. Untuk [CloudFormation](https://aws.amazon.com/cloudformation/), Anda dapat menggunakan templat IaC, dan [CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) guna memeriksa kesalahan konfigurasi pada templat.
1. Gunakan [AWS Config](https://aws.amazon.com/config/) untuk menjalankan aturan-aturan dalam mode evaluasi proaktif. Gunakan pengaturan ini untuk memeriksa kepatuhan sumber daya sebagai sebuah langkah dalam pipeline CI/CD Anda sebelum membuatnya.
1. Pantau sumber daya untuk menemukan kesalahan konfigurasi penyimpanan data.
1. Setel [AWS Config](https://aws.amazon.com/config/) untuk memantau sumber daya penyimpanan data untuk perubahan dalam konfigurasi kontrol dan menghasilkan peringatan untuk menginvokasi tindakan remediasi saat mendeteksi kesalahan konfigurasi.
1. Lihat [SEC04-BP04 Mulai melakukan remediasi untuk sumber daya yang tidak mematuhi persyaratan](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) untuk panduan lebih lanjut tentang cara melakukan remediasi otomatis.
1. Pantau dan kurangi izin akses data secara berkelanjutan melalui otomatisasi.
1. [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) dapat berjalan secara terus menerus untuk menghasilkan peringatan ketika izin berpotensi dikurangi.
1. Pantau dan beri peringatan tentang terjadinya perilaku akses data yang tidak normal.
1. [GuardDuty](https://aws.amazon.com/guardduty/) akan mengamati tanda tangan ancaman yang diketahui dan penyimpangan dari perilaku akses dasar untuk sumber daya penyimpanan data seperti volume EBS, bucket S3, dan basis data RDS.
1. Pantau dan beri peringatan tentang adanya data sensitif yang disimpan di lokasi yang tidak diharapkan.
1. Gunakan [Amazon Macie](https://aws.amazon.com/macie/) untuk memindai bucket S3 Anda secara terus menerus untuk mencari data sensitif.
1. Otomatiskan pencadangan yang aman dan terenkripsi terhadap data Anda.
1. [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) adalah sebuah layanan terkelola yang memungkinkan Anda membuat cadangan dari berbagai sumber data di AWS. [Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) memungkinkan Anda untuk menyalin beban kerja server penuh dan mempertahankan perlindungan data berkelanjutan dengan sasaran titik pemulihan (RPO) yang diukur dalam hitungan detik. Anda dapat mengonfigurasi kedua layanan tersebut untuk bekerja bersama dalam mengotomatiskan pembuatan cadangan data dan menyalinnya ke lokasi-lokasi failover. Hal ini dapat membantu menjaga data Anda tetap tersedia saat terkena dampak peristiwa operasional atau keamanan.
## Sumber daya
**Praktik-praktik terbaik terkait:**
+ [SEC01-BP06 Otomatiskan deployment kontrol keamanan standar](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html)
+ [SEC03-BP02 Memberikan hak akses paling rendah](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html)
+ [SEC03-BP04 Mengurangi izin secara terus-menerus](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html)
+ [SEC04-BP04 Mulai melakukan remediasi untuk sumber daya yang tidak mematuhi persyaratan](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html)
+ [SEC07-BP03 Otomatiskan identifikasi dan klasifikasi](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html)
+ [REL09-BP02 Mengamankan dan mengenkripsikan cadangan](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_secured_backups_data.html)
+ [REL09-BP03 Melakukan pencadangan data secara otomatis](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_automated_backups_data.html)
**Dokumen terkait:**
+ [Panduan Preskriptif AWS: Secara otomatis mengenkripsi volume Amazon EBS yang ada dan yang baru](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html)
+ [Manajemen Risiko Ransomware di AWS dengan Menggunakan Kerangka Keamanan Siber (CSF) NIST](https://docs.aws.amazon.com/whitepapers/latest/ransomware-risk-management-on-aws-using-nist-csf/ransomware-risk-management-on-aws-using-nist-csf.html)
**Contoh terkait:**
+ [Cara menggunakan aturan proaktif AWS Config dan AWS CloudFormation Hooks untuk mencegah pembuatan sumber daya cloud yang tidak sesuai](https://aws.amazon.com/blogs/mt/how-to-use-aws-config-proactive-rules-and-aws-cloudformation-hooks-to-prevent-creation-of-non-complaint-cloud-resources/)
+ [Mengotomatiskan dan mengelola perlindungan data secara terpusat untuk Amazon S3 dengan menggunakan AWS Backup](https://aws.amazon.com/blogs/storage/automate-and-centrally-manage-data-protection-for-amazon-s3-with-aws-backup/)
+ [AWS re:Invent 2023 - Menerapkan perlindungan data proaktif menggunakan snapshot Amazon EBS](https://www.youtube.com/watch?v=d7C6XsUnmHc)
+ [AWS re:Invent 2022 - Membangun dan mengotomatiskan ketahanan dengan perlindungan data modern](https://www.youtube.com/watch?v=OkaGvr3xYNk)
**Alat terkait:**
+ [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html)
+ [Registri Aturan AWS CloudFormation Guard](https://github.com/aws-cloudformation/aws-guard-rules-registry)
+ [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/)
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/)
# SEC08-BP04 Menerapkan kontrol akses
Untuk membantu melindungi data diam, terapkan kontrol akses menggunakan mekanisme, seperti isolasi dan penentuan versi. Terapkan hak akses paling rendah dan kontrol akses bersyarat. Cegah pemberian akses publik ke data Anda.
**Hasil yang diinginkan:** Anda memverifikasi bahwa hanya pengguna yang berwenang saja yang dapat mengakses data berdasarkan kebutuhan untuk mengetahui. Anda melindungi data Anda dengan pencadangan dan penentuan versi rutin untuk mencegah pengubahan atau penghapusan data yang disengaja atau tidak disengaja. Anda mengisolasi data penting dari data lain untuk melindungi kerahasiaan dan integritas data tersebut.
**Anti-pola umum:**
+ Menyimpan data dengan kebutuhan atau klasifikasi sensitivitas yang berbeda secara bersamaan.
+ Menggunakan izin yang terlalu permisif pada kunci dekripsi.
+ Salah mengklasifikasi data.
+ Tidak menyimpan pencadangan terperinci untuk data penting.
+ Memberikan akses terus-menerus ke data produksi.
+ Tidak mengaudit akses data atau meninjau izin secara rutin.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
Melindungi data diam penting untuk menjaga integritas, kerahasiaan, dan kepatuhan data terhadap persyaratan peraturan. Anda dapat menerapkan beberapa kontrol untuk membantu mencapai hal ini, termasuk kontrol akses, isolasi, akses bersyarat, dan penentuan versi.
Anda dapat memberlakukan kontrol akses dengan prinsip hak akses paling rendah, sehingga hanya memberikan izin yang diperlukan kepada pengguna dan layanan untuk melakukan tugasnya. Ini termasuk akses ke kunci enkripsi. Tinjau [kebijakan AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) Anda untuk memverifikasi bahwa tingkat akses yang Anda berikan sudah sesuai dan ketentuan yang relevan berlaku.
Anda dapat memisahkan data berdasarkan berbagai tingkat klasifikasi dengan menggunakan Akun AWS khusus untuk setiap tingkat, dan mengelola akun ini menggunakan [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html). Isolasi ini dapat membantu mencegah akses yang tidak sah dan meminimalkan risiko paparan data.
Tinjau tingkat akses yang diberikan dalam kebijakan bucket S3 secara rutin. Hindari menggunakan bucket yang dapat dibaca atau ditulis secara publik kecuali jika benar-benar diperlukan. Pertimbangkan untuk menggunakan [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) untuk mendeteksi bucket yang tersedia secara publik dan Amazon CloudFront untuk menyajikan konten dari Amazon S3. Pastikan bucket yang seharusnya tidak mengizinkan akses publik telah dikonfigurasi dengan benar untuk mencegahnya.
Implementasikan mekanisme penentuan versi dan penguncian objek untuk data penting yang disimpan di Amazon S3. [Penentuan versi Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) mempertahankan versi objek sebelumnya untuk memulihkan data dari penghapusan atau penimpaan yang tidak disengaja. [Kunci Objek Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) menyediakan kontrol akses wajib untuk objek, sehingga mencegahnya dihapus atau ditimpa, bahkan oleh pengguna root, hingga kunci ini kedaluwarsa. Selain itu, [Kunci Penyimpanan Amazon Glacier](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) menawarkan fitur serupa untuk arsip yang disimpan di Amazon Glacier.
### Langkah-langkah implementasi
1. **Berlakukan kontrol akses dengan prinsip hak akses paling rendah**:
+ Tinjau izin akses yang diberikan kepada pengguna dan layanan, dan verifikasi bahwa izin tersebut memang diperlukan untuk melakukan tugasnya.
+ Tinjau akses ke kunci enkripsi dengan memeriksa [kebijakan AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
1. **Pisahkan data berdasarkan berbagai tingkat klasifikasi**:
+ Gunakan Akun AWS khusus untuk setiap tingkat klasifikasi data.
+ Kelola akun ini menggunakan [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
1. **Tinjau izin bucket dan objek Amazon S3**:
+ Tinjau tingkat akses yang diberikan dalam kebijakan bucket S3 secara rutin.
+ Hindari menggunakan bucket yang dapat dibaca atau ditulis secara publik kecuali jika benar-benar diperlukan.
+ Pertimbangkan untuk menggunakan [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) guna mendeteksi bucket yang tersedia untuk umum.
+ Gunakan Amazon CloudFront untuk menyajikan konten dari Amazon S3.
+ Pastikan bucket yang seharusnya tidak mengizinkan akses publik telah dikonfigurasi dengan benar untuk mencegahnya.
+ Anda dapat menerapkan proses peninjauan yang sama untuk basis data dan sumber data lain yang menggunakan autentikasi IAM, seperti SQS atau penyimpanan data pihak ketiga.
1. **Gunakan AWS IAM Access Analyzer**:
+ Anda dapat mengonfigurasi [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) untuk menganalisis bucket Amazon S3 dan menghasilkan temuan saat sebuah kebijakan S3 memberikan akses ke entitas eksternal.
1. **Implementasikan mekanisme penentuan versi dan penguncian objek**:
+ Gunakan [penentuan versi Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) untuk mempertahankan versi objek sebelumnya, sehingga menyediakan pemulihan dari penghapusan atau penimpaan yang tidak disengaja.
+ Gunakan [Kunci Objek Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) untuk menyediakan kontrol akses wajib untuk objek, sehingga mencegahnya dihapus atau ditimpa, bahkan oleh pengguna root, hingga kunci ini kedaluwarsa.
+ Gunakan [Kunci Penyimpanan Amazon Glacier](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) untuk arsip yang disimpan di Amazon Glacier.
1. **Gunakan Inventaris Amazon S**:
+ Gunakan [Inventaris Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) untuk mengaudit dan melaporkan replikasi dan status enkripsi objek S3 Anda.
1. **Tinjau izin berbagi Amazon EBS dan AMI**:
+ Tinjau izin berbagi Anda untuk [Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) dan [berbagi AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) untuk memastikan image dan volume Anda tidak dibagikan ke Akun AWS di luar beban kerja Anda.
1. **Tinjau Pembagian AWS Resource Access Manager secara berkala**:
+ Anda dapat menggunakan [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) untuk membagikan sumber daya, seperti kebijakan AWS Network Firewall, aturan Amazon Route 53 Resolver, dan subnet dalam Amazon VPC Anda.
+ Lakukan audit terhadap sumber daya yang dibagikan secara rutin dan hentikan pembagian sumber daya yang sudah tidak perlu dibagikan.
## Sumber daya
**Praktik-praktik terbaik terkait:**
+ [SEC03-BP01 Menetapkan persyaratan akses](sec_permissions_define.md)
+ [SEC03-BP02 Memberikan hak akses paling rendah](sec_permissions_least_privileges.md)
**Dokumen terkait:**
+ [AWS KMS Laporan Resmi Detail Kriptografi](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [Pengantar Manajemen Izin Akses ke Sumber Daya Amazon S3 Anda](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ [Gambaran umum mengenai pengelolaan akses ke sumber daya AWS KMS Anda](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront: Pertandingan yang Dibuat di Cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ [Menggunakan penentuan versi](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Mengunci Objek Menggunakan Kunci Objek Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ [Berbagi Snapshot Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [AMI Bersama](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
+ [Meng-host aplikasi satu halaman di Amazon S3](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-a-react-based-single-page-application-to-amazon-s3-and-cloudfront.html)
+ [AWS Kunci Kondisi Global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Membangun Perimeter Data di AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
**Video terkait:**
+ [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8)
# Melindungi data bergerak
*Data bergerak* adalah data yang dikirimkan dari satu sistem ke sistem lainnya. Ini mencakup komunikasi antarsumber daya di dalam beban kerja Anda juga komunikasi antara layanan lain dan pengguna akhir Anda. Dengan menyediakan tingkat perlindungan yang tepat untuk data bergerak, kerahasiaan dan integritas data di beban kerja Anda terlindungi.
**Mengamankan data dari antara VPC atau lokasi on-premise:** Anda dapat menggunakan [AWS PrivateLink](https://aws.amazon.com/privatelink/)untuk membuat sebuah sambungan jaringan privat dan aman antara Amazon Virtual Private Cloud (Amazon VPC) atau konektivitas on-premise ke layanan yang di-hosting di AWS. Anda dapat mengakses layanan AWS, layanan pihak ketiga, dan layanan di Akun AWS lainnya seolah layanan tersebut berada di jaringan privat Anda. Dengan AWS PrivateLink, Anda dapat mengakses layanan lintas akun dengan CIDR IP yang tumpang tindih tanpa memerlukan Gateway Internet atau NAT. Anda juga tidak harus mengonfigurasikan aturan firewall, definisi jalur, atau tabel rute. Lalu lintas tetap berada di backbone Amazon dan tidak berjalan di internet, sehingga data Anda tetap terlindungi. Anda dapat mempertahankan kepatuhan dengan regulasi kepatuhan khusus industri, seperti HIPAA dan Perlindungan Privasi Uni Eropa/AS (EU/US Privacy Shield). AWS PrivateLink mudah bekerja dengan solusi pihak ketiga untuk membuat jaringan global yang disederhanakan, sehingga Anda dapat mempercepat migrasi ke cloud dan mengambil keuntungan dari layanan AWS yang tersedia.
**Topics**
+ [SEC09-BP01 Mengimplementasikan manajemen sertifikat dan kunci keamanan](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Menerapkan enkripsi data bergerak](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Autentikasikan komunikasi jaringan](sec_protect_data_transit_authentication.md)
# SEC09-BP01 Mengimplementasikan manajemen sertifikat dan kunci keamanan
Sertifikat Keamanan Lapisan Pengangkutan (TLS) digunakan untuk mengamankan komunikasi jaringan dan menetapkan identitas situs web, sumber daya, dan beban kerja di internet, serta jaringan privat.
**Hasil yang diinginkan:** Sistem manajemen sertifikat aman yang dapat menyediakan, men-deploy, menyimpan, dan memperpanjang sertifikat di dalam infrastruktur kunci publik (PKI). Mekanisme manajemen kunci dan sertifikat yang aman akan mencegah pengungkapan materi kunci privat sertifikat dan secara otomatis memperpanjang sertifikat secara berkala. Mekanisme ini juga terintegrasi dengan layanan-layanan lain untuk menyediakan komunikasi jaringan yang aman dan identitas untuk sumber daya mesin di dalam beban kerja Anda. Materi kunci tidak boleh diakses oleh identitas manusia.
**Anti-pola umum:**
+ Melakukan langkah-langkah manual selama proses deployment atau perpanjangan sertifikat.
+ Kurang memperhatikan hierarki otoritas sertifikat (CA) saat merancang CA privat.
+ Menggunakan sertifikat yang ditandatangani sendiri untuk sumber daya publik.
**Manfaat menjalankan praktik terbaik ini: **
+ Sederhanakan manajemen sertifikat melalui deployment dan perpanjangan otomatis
+ Dorong enkripsi data bergerak dengan menggunakan sertifikat TLS
+ Peningkatan keamanan dan keterauditan tindakan-tindakan sertifikat yang dilakukan oleh otoritas sertifikat
+ Manajemen tugas-tugas manajemen di berbagai lapisan hierarki CA
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
Beban kerja modern banyak memanfaatkan komunikasi jaringan terenkripsi dengan menggunakan protokol PKI seperti TLS. Manajemen sertifikat PKI mungkin kompleks, tetapi penyediaan, deployment, dan perpanjangan sertifikat secara otomatis dapat mengurangi gesekan yang berkaitan dengan manajemen sertifikat.
AWS menyediakan dua layanan untuk mengelola sertifikat PKI tujuan umum: [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) dan [AWS Private Certificate Authority (AWS Private CA)](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html). ACM adalah layanan primer yang digunakan oleh pelanggan untuk menyediakan, mengelola, dan melakukan deployment sertifikat untuk digunakan di beban kerja AWS publik maupun privat. ACM mengeluarkan sertifikat privat dengan menggunakan AWS Private CA dan [terintegrasi](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) dengan banyak layanan terkelola AWS lainnya untuk menyediakan sertifikat TLS yang aman untuk beban kerja. ACM juga dapat mengeluarkan sertifikat tepercaya publik dari [Amazon Trust Services](https://www.amazontrust.com/repository/). Sertifikat publik dari ACM dapat digunakan pada beban kerja sisi publik karena browser dan sistem operasi modern memercayai sertifikat ini secara default.
Dengan AWS Private CA, Anda dapat membuat otoritas sertifikat root atau subordinat Anda sendiri dan menerbitkan sertifikat TLS melalui API. Anda dapat menggunakan jenis-jenis sertifikat ini dalam skenario di mana Anda mengontrol dan mengelola rantai kepercayaan pada sisi klien koneksi TLS. Selain kasus penggunaan TLS, AWS Private CA dapat digunakan untuk menerbitkan sertifikat ke pod Kubernetes, atestasi produk perangkat Matter, penandatanganan kode, dan kasus penggunaan lain dengan [templat kustom](https://docs.aws.amazon.com/privateca/latest/userguide/UsingTemplates.html). Anda juga dapat menggunakan [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) untuk memberikan kredensial IAM sementara ke beban kerja on-premise yang telah diberikan sertifikat X.509 yang ditandatangani oleh CA Privat Anda.
Selain ACM dan AWS Private CA, [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/what-is-aws-iot.html) menyediakan dukungan khusus untuk penyediaan, pengelolaan, dan deployment sertifikat PKI ke perangkat IoT. AWS IoT Core menyediakan mekanisme khusus untuk melakukan [onboarding perangkat IoT](https://docs.aws.amazon.com/whitepapers/latest/device-manufacturing-provisioning/device-manufacturing-provisioning.html) ke infrastruktur kunci publik Anda dalam skala besar.
Beberapa layanan AWS, seperti [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) dan [Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html), menawarkan kemampuannya sendiri untuk menggunakan sertifikat guna mengamankan koneksi aplikasi. Misalnya, API Gateway dan Penyeimbang Beban Aplikasi (ALB) mendukung TLS mutual (mTLS) menggunakan sertifikat klien yang Anda buat dan ekspor menggunakan Konsol Manajemen AWS, CLI, atau API.
**Pertimbangan untuk membangun hierarki CA privat **
Ketika Anda perlu membuat CA privat, penting untuk berhati-hati dalam merancang hierarki CA dengan benar di awal. Salah satu praktik terbaiknya adalah men-deploy setiap tingkat hierarki CA Anda ke dalam Akun AWS yang terpisah saat membuat hierarki CA privat. Langkah sengaja ini mengurangi luas permukaan untuk setiap tingkat di dalam hierarki CA, sehingga mempermudah penemuan anomali dalam data log CloudTrail dan mengurangi ruang lingkup akses atau dampak jika terdapat akses tidak sah ke salah satu akun. CA root harus berada di akun terpisahnya sendiri dan hanya boleh digunakan untuk menerbitkan satu atau beberapa sertifikat CA perantara.
Kemudian, buatlah satu atau beberapa CA perantara di akun yang terpisah dari akun CA root untuk menerbitkan sertifikat bagi pengguna akhir, perangkat, atau beban kerja lainnya. Terakhir, terbitkan sertifikat dari CA root Anda ke CA perantara, yang pada gilirannya akan menerbitkan sertifikat kepada para pengguna akhir atau perangkat Anda. Untuk informasi selengkapnya tentang perencanaan deployment CA dan perancangan hierarki CA, termasuk perencanaan ketahanan, replikasi lintas wilayah, berbagi CA di seluruh organisasi, dan lainnya, lihat [Merencanakan deployment AWS Private CA Anda](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html).
### Langkah-langkah implementasi
1. Tentukan layanan-layanan AWS yang relevan yang diperlukan untuk kasus penggunaan Anda:
+ Banyak kasus penggunaan dapat memanfaatkan infrastruktur kunci publik AWS yang sudah ada dengan menggunakan [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html). ACM dapat digunakan untuk melakukan deployment sertifikat TLS untuk server web, penyeimbang beban, atau penggunaan lain untuk sertifikat yang dipercaya secara publik.
+ Pertimbangkan [AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) ketika Anda perlu membuat hierarki otoritas sertifikat privat Anda sendiri atau memerlukan akses ke sertifikat yang dapat diekspor. ACM kemudian dapat digunakan untuk mengeluarkan [banyak jenis sertifikat entitas akhir](https://docs.aws.amazon.com/privateca/latest/userguide/PcaIssueCert.html) menggunakan AWS Private CA.
+ Untuk kasus penggunaan di mana sertifikat harus disediakan dalam skala besar untuk perangkat Internet untuk Segala (IoT) yang disematkan, pertimbangkan [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/x509-client-certs.html).
+ Pertimbangkan menggunakan fungsionalitas mTLS native dalam layanan seperti [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) atau [Penyeimbang Beban Aplikasi](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html).
1. Implementasikan perpanjangan sertifikat otomatis jika memungkinkan:
+ Gunakan [pembaruan terkelola ACM](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) untuk sertifikat yang diterbitkan oleh ACM bersama dengan layanan terkelola AWS yang terintegrasi.
1. Bangun jejak pencatatan log dan jejak audit:
+ Aktifkan [log CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html) untuk melacak akses ke akun yang memiliki otoritas sertifikat. Pertimbangkan untuk mengonfigurasi validasi integritas file log di CloudTrail untuk memverifikasi keaslian data log.
+ Buat dan tinjau secara berkala [laporan audit](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html) yang mencantumkan sertifikat yang telah dikeluarkan atau dicabut oleh CA privat Anda. Laporan-laporan ini dapat diekspor ke bucket S3.
+ Saat men-deploy CA pribadi, Anda juga perlu membuat bucket S3 untuk menyimpan Daftar Pencabutan Sertifikat (CRL). Untuk membaca panduan mengenai cara mengonfigurasi bucket S3 ini berdasarkan persyaratan beban kerja Anda, silakan lihat [Merencanakan daftar pencabutan sertifikat (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html).
## Sumber daya
**Praktik-praktik terbaik terkait:**
+ [SEC02-BP02 Menggunakan kredensial sementara](sec_identities_unique.md)
+ [SEC08-BP01 Mengimplementasikan manajemen kunci yang aman](sec_protect_data_rest_key_mgmt.md)
+ [SEC09-BP03 Autentikasikan komunikasi jaringan](sec_protect_data_transit_authentication.md)
**Dokumen terkait:**
+ [Cara meng-host dan mengelola seluruh infrastruktur sertifikat privat di AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ [Cara mengamankan hierarki ACM Private CA skala korporasi untuk otomotif dan manufaktur](https://aws.amazon.com/blogs/security/how-to-secure-an-enterprise-scale-acm-private-ca-hierarchy-for-automotive-and-manufacturing/)
+ [Praktik terbaik CA privat](https://docs.aws.amazon.com/privateca/latest/userguide/ca-best-practices.html)
+ [Cara menggunakan AWS RAM untuk membagikan CA Privat ACM Anda secara lintas akun](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/)
**Video terkait:**
+ [Mengaktifkan CA Privat AWS Certificate Manager (lokakarya)](https://www.youtube.com/watch?v=XrrdyplT3PE)
**Contoh terkait:**
+ [Lokakarya CA privat](https://catalog.workshops.aws/certificatemanager/en-US/introduction)
+ [Lokakarya Manajemen Perangkat IOT](https://iot-device-management.workshop.aws/en/) (termasuk penyediaan perangkat)
**Alat terkait:**
+ [Plugin ke Kubernetes cert-manager untuk menggunakan AWS Private CA](https://github.com/cert-manager/aws-privateca-issuer)
# SEC09-BP02 Menerapkan enkripsi data bergerak
Berlakukan persyaratan-persyaratan enkripsi yang Anda tetapkan berdasarkan kebijakan, kewajiban berdasarkan regulasi, dan standar organisasi Anda untuk membantu memenuhi persyaratan organisasi, hukum, dan kepatuhan. Hanya gunakan protokol yang dienkripsi ketika mengirimkan data sensitif di luar cloud privat virtual (VPC) Anda. Enkripsi akan membantu menjaga kerahasiaan data, bahkan ketika data berada di jaringan yang tidak tepercaya.
**Hasil yang diinginkan:** Anda mengenkripsi lalu lintas jaringan antara sumber daya Anda dan internet untuk mengurangi akses tidak sah ke data. Anda mengenkripsi lalu lintas jaringan dalam lingkungan AWS internal Anda sesuai dengan persyaratan keamanan Anda. Anda mengenkripsi data bergerak menggunakan protokol TLS aman dan cipher suite.
**Anti-pola umum:**
+ Menggunakan versi komponen SSL, TLS, rangkaian sandi yang tidak digunakan lagi (misalnya, SSL v3.0, kunci RSA 1024-bit, dan sandi RC4).
+ Mengizinkan lalu lintas (HTTP) tidak terenkripsi ke atau dari sumber daya yang dapat diakses publik.
+ Tidak memantau dan tidak mengganti sertifikat X.509 sebelum kedaluwarsa.
+ Menggunakan sertifikat X.509 yang Anda buat sendiri untuk TLS.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
Layanan-layanan AWS menyediakan titik akhir HTTPS menggunakan TLS untuk komunikasi, memberikan enkripsi data bergerak saat berkomunikasi dengan API AWS. Protokol HTTP yang tidak aman dapat diaudit dan diblokir di Cloud Privat Virtual (VPC) melalui penggunaan grup keamanan. Permintaan HTTP juga dapat secara otomatis dialihkan ke HTTPS di [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) atau di [Penyeimbang Beban Aplikasi](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Anda dapat menggunakan [kebijakan bucket Amazon Simple Storage Service (Amazon S3)](https://aws.amazon.com/blogs/storage/enforcing-encryption-in-transit-with-tls1-2-or-higher-with-amazon-s3/) untuk membatasi kemampuan mengunggah objek melalui HTTP, yang secara efektif menerapkan penggunaan HTTPS untuk pengunggahan objek ke bucket Anda. Anda memiliki kendali penuh atas sumber daya komputasi Anda untuk mengimplementasikan enkripsi data bergerak di seluruh layanan Anda. Selain itu, Anda dapat menggunakan sambungan VPN ke dalam VPC Anda dari jaringan eksternal atau [AWS Direct Connect](https://aws.amazon.com/directconnect/) untuk memudahkan enkripsi lalu lintas. Verifikasikan bahwa klien Anda melakukan panggilan ke API AWS menggunakan setidaknya TLS 1.2 karena [AWS telah menghentikan penggunaan versi TLS sebelumnya per Februari 2024](https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/). Kami menyarankan Anda menggunakan TLS 1.3. Jika Anda memiliki persyaratan khusus untuk enkripsi bergerak, Anda dapat menemukan solusi pihak ketiga yang tersedia di AWS Marketplace.
### Langkah-langkah implementasi
+ **Terapkan enkripsi data bergerak:** Persyaratan enkripsi yang Anda tetapkan harus didasarkan pada standar dan praktik terbaik paling baru dan hanya mengizinkan protokol yang aman. Misalnya, konfigurasikan grup keamanan untuk hanya mengizinkan protokol HTTPS ke penyeimbang beban aplikasi atau instans Amazon EC2.
+ **Konfigurasikan protokol yang aman di layanan edge:** [Konfigurasikan HTTPS dengan Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html) dan gunakan [profil keamanan yang sesuai dengan postur keamanan dan kasus penggunaan Anda](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html#secure-connections-supported-ciphers).
+ **Gunakan [VPN untuk sambungan eksternal](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html):** Pertimbangkan penggunaan VPN IPsec untuk mengamankan sambungan titik ke titik atau jaringan ke jaringan untuk membantu menyediakan privasi sekaligus integritas data.
+ **Konfigurasikan protokol aman di penyeimbang beban:** Pilih sebuah kebijakan keamanan yang menyediakan cipher suite terkuat yang didukung oleh klien yang akan terhubung ke pendengar. [Buat pendengar HTTPS untuk Penyeimbang Beban Aplikasi Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html).
+ **Konfigurasikan protokol yang aman di Amazon Redshift::** Konfigurasikan klaster Anda agar mewajibkan [koneksi lapisan soket aman (SSL) atau keamanan lapisan pengangkutan (TLS)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html).
+ **Konfigurasikan protokol yang aman:** Tinjau dokumentasi layanan AWS untuk menentukan kemampuan enkripsi bergerak.
+ **Konfigurasikan akses yang aman saat mengunggah ke bucket Amazon S3:** Gunakan kontrol kebijakan bucket Amazon S3 untuk [menerapkan akses yang aman](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) ke data.
+ **Pertimbangkan untuk menggunakan [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/):** ACM akan memungkinkan Anda untuk menyediakan, mengelola, dan men-deploy sertifikat TLS publik untuk digunakan dengan layanan AWS.
+ **Pertimbangkan untuk menggunakan [AWS Private Certificate Authority](https://aws.amazon.com/private-ca/) untuk kebutuhan PKI privat:** AWS Private CA akan memungkinkan Anda membuat hierarki otoritas sertifikat pribadi (CA) untuk mengeluarkan sertifikat X.509 entitas akhir yang dapat digunakan untuk membuat saluran TLS terenkripsi.
## Sumber daya
**Dokumen terkait:**
+ [ Menggunakan HTTPS dengan CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ [ Hubungkan VPC Anda ke jaringan jarak jauh menggunakan AWS Virtual Private Network](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)
+ [ Buat pendengar HTTPS untuk Penyeimbang Beban Aplikasi Anda ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ [ Tutorial: Mengonfigurasi SSL/TLS di Amazon Linux 2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html)
+ [ Menggunakan SSL/TLS untuk mengenkripsi koneksi ke instans DB ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ [ Mengonfigurasi opsi-opsi keamanan untuk koneksi ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
# SEC09-BP03 Autentikasikan komunikasi jaringan
Verifikasikan identitas komunikasi menggunakan protokol yang mendukung autentikasi, seperti Keamanan Lapisan Pengangkutan (TLS) atau IPsec.
Rancang beban kerja Anda untuk menggunakan protokol jaringan yang aman dan terautentikasi setiap kali berkomunikasi antara layanan, aplikasi, atau ke pengguna. Menggunakan protokol jaringan yang mendukung autentikasi dan otorisasi memberikan kontrol yang lebih kuat atas alur jaringan dan mengurangi dampak akses yang tidak sah.
**Hasil yang diinginkan:** Beban kerja dengan bidang data yang terdefinisi dengan baik dan arus lalu lintas bidang kontrol antar layanan. Arus lalu lintas menggunakan protokol jaringan yang diautentikasi dan dienkripsi jika memungkinkan secara teknis.
**Anti-pola umum:**
+ Arus lalu lintas yang tidak dienkripsi atau tidak diautentikasi dalam beban kerja Anda.
+ Penggunaan kembali kredensial autentikasi oleh beberapa pengguna atau entitas.
+ Hanya mengandalkan kontrol jaringan sebagai mekanisme kontrol akses.
+ Membuat mekanisme autentikasi kustom, bukan mengandalkan mekanisme autentikasi standar industri.
+ Arus lalu lintas yang terlalu permisif antara komponen layanan atau sumber daya lain di VPC.
**Manfaat menjalankan praktik terbaik ini:**
+ Membatasi cakupan dampak untuk akses tidak sah ke satu bagian dari beban kerja.
+ Memberikan tingkat jaminan yang lebih tinggi bahwa tindakan hanya dilakukan oleh entitas-entitas yang diautentikasi.
+ Meningkatkan pemisahan layanan dengan menentukan dan menerapkan antarmuka transfer data yang diinginkan secara jelas.
+ Meningkatkan pemantauan, pembuatan log, dan respons insiden melalui atribusi permintaan dan antarmuka komunikasi yang ditentukan dengan jelas.
+ Memberikan pertahanan mendalam untuk beban kerja Anda dengan menggabungkan kontrol jaringan dengan kontrol autentikasi dan otorisasi.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah
## Panduan implementasi
Pola lalu lintas jaringan beban kerja Anda dapat dikelompokkan ke dalam dua kategori:
+ *Lalu lintas timur-barat* mewakili arus lalu lintas yang terjadi antara layanan-layanan yang membentuk sebuah beban kerja.
+ *Lalu lintas utara-selatan* mewakili arus lalu lintas yang terjadi antara beban kerja Anda dan konsumen.
Mengenkripsi lalu lintas utara-selatan adalah praktik yang umum, sedangkan pengamanan lalu lintas timur-barat menggunakan protokol yang diautentikasi merupakan hal yang kurang umum. Praktik keamanan modern menyebutkan bahwa desain jaringan saja tidak cukup untuk memberikan hubungan yang dapat dipercaya antara dua entitas. Ketika dua layanan dapat berada dalam batasan jaringan yang sama, sebaiknya enkripsi, autentikasi, dan otorisasi komunikasi di antara layanan-layanan tersebut tetap dilakukan, itulah praktik terbaiknya.
Sebagai contoh, API layanan AWS menggunakan protokol tanda tangan [AWS Signature Version 4 (SigV4)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html) untuk mengautentikasi pemanggil, tidak peduli dari jaringan mana permintaan itu berasal. Autentikasi ini memastikan bahwa API AWS dapat memverifikasi identitas yang meminta tindakan, dan identitas tersebut kemudian dapat digabungkan dengan kebijakan untuk membuat sebuah keputusan otorisasi guna menentukan apakah tindakan tersebut harus diizinkan atau tidak.
Layanan-layanan seperti [Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/access-management-overview.html) dan [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/permissions.html) akan memungkinkan Anda untuk menggunakan protokol tanda tangan SigV4 yang sama untuk menambahkan autentikasi dan otorisasi ke lalu lintas timur-barat yang ada di beban kerja Anda sendiri. Jika sumber daya di luar lingkungan AWS Anda perlu berkomunikasi dengan layanan yang memerlukan autentikasi dan otorisasi berbasis SIGV4, Anda dapat menggunakan [AWS Identity and Access Management (IAM) Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) pada sumber daya non-AWS untuk memperoleh kredensial AWS sementara. Kredensial ini dapat digunakan untuk menandatangani permintaan ke layanan dengan menggunakan SigV4 untuk memberi otorisasi akses.
Mekanisme umum lainnya untuk mengautentikasi lalu lintas timur-barat adalah autentikasi timbal balik TLS (mTLS). Banyak Internet untuk Segala (IoT), aplikasi bisnis-ke-bisnis, dan layanan mikro menggunakan mTLS untuk memvalidasi identitas kedua sisi komunikasi TLS dengan menggunakan sertifikat X.509 sisi klien dan server. Sertifikat ini dapat dikeluarkan oleh AWS Private Certificate Authority (AWS Private CA). Anda dapat menggunakan layanan seperti [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html) untuk menyediakan autentikasi mTLS untuk komunikasi antar atau intra-beban kerja. [Penyeimbang Beban Aplikasi juga mendukung mTLS](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/mutual-authentication.html) untuk beban kerja internal atau eksternal. Meskipun mTLS menyediakan informasi autentikasi untuk kedua sisi komunikasi TLS, mekanisme untuk otorisasi tidak disediakan.
Akhirnya, OAuth 2.0 dan OpenID Connect (OIDC) adalah dua protokol yang biasanya digunakan untuk mengendalikan akses ke layanan oleh pengguna, tetapi sekarang keduanya menjadi populer untuk lalu lintas layanan-ke-layanan juga. API Gateway menyediakan [pemberi otorisasi JSON Web Token (JWT)](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-jwt-authorizer.html), yang memungkinkan beban kerja membatasi akses ke rute API dengan menggunakan JWT yang dikeluarkan dari penyedia identitas OIDC atau OAuth 2.0. Cakupan OAuth2 dapat digunakan sebagai sebuah sumber untuk keputusan otorisasi dasar, tetapi pemeriksaan otorisasi masih perlu diimplementasikan di lapisan aplikasi, dan cakupan OAuth2 saja tidak dapat mendukung kebutuhan otorisasi yang lebih kompleks.
### Langkah-langkah implementasi
+ **Tentukan dan dokumentasikan alur jaringan beban kerja Anda:** Langkah pertama yang harus dilakukan untuk menerapkan strategi pertahanan mendalam adalah menentukan arus lalu lintas beban kerja Anda.
+ Buatlah sebuah diagram alur data yang secara jelas menentukan bagaimana data ditransmisikan antara berbagai layanan yang membentuk beban kerja Anda. Diagram ini merupakan langkah pertama untuk menerapkan alur-alur tersebut melalui saluran jaringan yang diautentikasi.
+ Instrumentasikan beban kerja Anda dalam fase pengembangan dan pengujian untuk memvalidasi bahwa diagram alur data mencerminkan perilaku beban kerja secara akurat pada saat runtime.
+ Diagram alir data juga dapat berguna saat Anda melakukan latihan pemodelan ancaman, seperti yang dijelaskan dalam [SEC01-BP07 Mengidentifikasi ancaman dan memprioritaskan mitigasi dengan menggunakan sebuah model ancaman](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html).
+ **Tetapkan kontrol jaringan:** Pertimbangkan kemampuan AWS untuk membuat kontrol jaringan yang selaras dengan aliran data Anda. Meskipun batasan-batasan jaringan seharusnya tidak menjadi satu-satunya kontrol keamanan, batasan-batasan tersebut menyediakan lapisan pada strategi pertahanan mendalam untuk melindungi beban kerja Anda.
+ Gunakan [grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html) untuk menetapkan definisi dan membatasi aliran data antar sumber daya.
+ Pertimbangkan untuk menggunakan [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) untuk berkomunikasi dengan layanan AWS dan layanan pihak ketiga yang mendukung AWS PrivateLink. Data yang dikirim melalui suatu titik akhir antarmuka AWS PrivateLink tetap berada di dalam tulang punggung jaringan AWS dan tidak melintasi Internet publik.
+ **Menerapkan autentikasi dan otorisasi di seluruh layanan dalam beban kerja Anda:** Pilih rangkaian layanan AWS yang paling tepat untuk menyediakan arus lalu lintas terautentikasi dan terenkripsi dalam beban kerja Anda.
+ Pertimbangkan [Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-lattice.html) untuk mengamankan komunikasi layanan-ke-layanan. VPC Lattice dapat menggunakan autentikasi [SigV4 yang dikombinasikan dengan kebijakan autentikasi](https://docs.aws.amazon.com/vpc-lattice/latest/ug/auth-policies.html) untuk mengontrol akses layanan-ke-layanan.
+ Untuk komunikasi layanan-ke-layanan menggunakan mTLS, pertimbangkan [API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html) atau [Penyeimbang Beban Aplikasi](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/mutual-authentication.html). [AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) dapat digunakan untuk membuat hierarki CA privat yang mampu mengeluarkan sertifikat untuk digunakan dengan mTLS.
+ Saat mengintegrasikan dengan layanan menggunakan OAuth 2.0 atau OIDC, pertimbangkan [API Gateway yang menggunakan pemberi otorisasi JWT](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-jwt-authorizer.html).
+ Untuk komunikasi antara beban kerja Anda dan perangkat IoT, pertimbangkan untuk menggunakan [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/client-authentication.html), yang menyediakan beberapa opsi untuk enkripsi dan autentikasi lalu lintas jaringan.
+ **Memantau akses yang tidak sah:** Lakukan pemantauan secara terus-menerus terhadap saluran komunikasi yang tidak diinginkan, principal yang tidak sah yang mencoba mengakses sumber daya yang dilindungi, dan pola akses yang tidak tepat lainnya.
+ Jika Anda menggunakan VPC Lattice untuk mengelola akses ke layanan Anda, pertimbangkan untuk mengaktifkan dan memantau [log akses VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/monitoring-access-logs.html). Log akses ini mencakup informasi tentang entitas yang meminta, informasi jaringan termasuk VPC sumber dan tujuan, dan metadata permintaan.
+ Pertimbangkan untuk mengaktifkan [log aliran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) untuk merekam metadata pada alur jaringan dan meninjau anomali secara berkala.
+ Lihat [Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) dan [bagian Respons Insiden](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) pilar keamanan Kerangka Kerja AWS Well-Architected untuk membaca panduan lebih lanjut tentang perencanaan, simulasi, dan penanggulangan insiden keamanan.
## Sumber daya
**Praktik-praktik terbaik terkait:**
+ [ SEC03-BP07 Menganalisis akses publik dan lintas akun ](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [ SEC02-BP02 Menggunakan kredensial sementara ](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [ SEC01-BP07 Mengidentifikasi ancaman dan memprioritaskan mitigasi dengan menggunakan sebuah model ancaman ](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html)
**Dokumen terkait:**
+ [ Mengevaluasi metode kontrol akses untuk mengamankan API Amazon API Gateway ](https://aws.amazon.com/blogs/compute/evaluating-access-control-methods-to-secure-amazon-api-gateway-apis/)
+ [ Mengonfigurasi autentikasi TLS timbal balik untuk API REST ](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html)
+ [ Cara mengamankan titik akhir HTTP API Gateway dengan pemberi otorisasi JWT ](https://aws.amazon.com/blogs/security/how-to-secure-api-gateway-http-endpoints-with-jwt-authorizer/)
+ [ Mengotorisasi panggilan langsung ke layanan AWS menggunakan penyedia kredensial AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)
+ [Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)
**Video terkait:**
+ [AWS re:Invent 2022: Memperkenalkan Kisi VPC](https://www.youtube.com/watch?v=fRjD1JI0H5w)
+ [AWS re:Invent 2020: Autentikasi API nirserver untuk API HTTP di AWS](https://www.youtube.com/watch?v=AW4kvUkUKZ0)
**Contoh terkait:**
+ [ Lokakarya Amazon VPC Lattice ](https://catalog.us-east-1.prod.workshops.aws/workshops/9e543f60-e409-43d4-b37f-78ff3e1a07f5/en-US)
+ [ Zero-Trust Episode 1 – Lokakarya Perimeter Layanan Phantom ](https://catalog.us-east-1.prod.workshops.aws/workshops/dc413216-deab-4371-9e4a-879a4f14233d/en-US)