# Perlindungan infrastruktur
Perlindungan infrastruktur berkenaan dengan metodologi kontrol, seperti pertahanan mendalam, yang diperlukan untuk memenuhi praktik terbaik dan kewajiban organisasi atau peraturan. Penggunaan metodologi ini vital untuk keberhasilan dan keberlangsungan operasi di cloud.
Perlindungan infrastruktur adalah bagian penting dari sebuah program keamanan informasi. Fungsinya adalah untuk memastikan sistem dan layanan dalam beban kerja Anda terlindungi dari potensi kerentanan serta akses yang tidak diinginkan dan tidak sah. Sebagai contoh, Anda akan menetapkan batasan kepercayaan (misalnya batasan jaringan dan akun), konfigurasi dan pemeliharaan keamanan sistem (misalnya melakukan hardening, perampingan, dan penambalan), autentikasi dan otorisasi sistem operasi (misalnya pengguna, kunci, dan tingkat akses), dan titik-titik penegakan kebijakan yang tepat lainnya (misalnya firewall aplikasi dan/atau gateway API).
**Wilayah, Zona Ketersediaan, Zona Lokal AWS, dan Outposts AWS**
Pastikan Anda sudah familiar dengan Wilayah, Zona Ketersediaan, [Zona Lokal AWS](https://aws.amazon.com/about-aws/global-infrastructure/localzones/), dan [Outposts AWS](https://aws.amazon.com/outposts/), yang merupakan komponen infrastruktur global yang aman dari AWS.
AWS memiliki konsep Wilayah, yakni lokasi fisik di seluruh dunia tempat kami membuat klaster-klaster pusat-pusat data. Kami menyebut setiap kelompok pusat data ini dengan sebutan Zona Ketersediaan (AZ). Setiap Wilayah AWS terdiri dari beberapa AZ yang terisolasi dan dipisahkan secara fisik di sebuah area geografis. Jika Anda memiliki persyaratan residensi data, Anda dapat memilih Wilayah AWS yang dekat dengan lokasi yang Anda kehendaki. Anda mempertahankan dan memegang penuh kontrol dan kepemilikan atas Wilayah tempat data Anda disimpan secara fisik, dan ini bermanfaat untuk memenuhi persyaratan kepatuhan wilayah dan residensi data Anda. Masing-masing AZ memiliki daya, pendingin, dan keamanan fisik yang independen. Jika suatu aplikasi dipartisi secara lintas AZ, Anda akan lebih terisolasi dan terlindungi dari permasalahan-permasalahan yang mungkin dihadapi, misalnya pemadaman listrik, sambaran petir, angin topan, gempa bumi, dan lain-lain. AZ secara fisik terpisah dengan jarak yang cukup jauh, berkilo-kilo meter, dari AZ yang lain, meskipun semuanya berada dalam jarak 100 km (60 mil) dari satu sama lain. Semua AZ di sebuah Wilayah AWS saling terhubung dengan bandwidth yang tinggi, jaringan latensi yang rendah, menggunakan serat metro khusus yang sepenuhnya redundan, yang dapat menyediakan jaringan throughput yang tinggi dan latensi yang rendah antara AZ. Semua lalu lintas antara AZ dienkripsi. Pelanggan AWS yang berfokus pada ketersediaan tinggi dapat merancang aplikasi mereka agar berjalan di beberapa AZ guna mencapai toleransi kesalahan yang jauh lebih besar. AWS Wilayah memenuhi tingkat keamanan, kepatuhan, dan perlindungan data tertinggi.
Zona Lokal AWS menempatkan layanan komputasi, penyimpanan, basis data, dan layanan-layanan AWS terpilih lainnya lebih dekat dengan pengguna akhir. Dengan Zona Lokal AWS, Anda dapat dengan mudah menjalankan aplikasi yang sangat berat yang memerlukan latensi satu digit milidetik ke pengguna akhir, seperti pembuatan media dan konten hiburan, gaming waktu nyata, simulasi waduk, otomatisasi desain elektronik, dan machine learning. Setiap lokasi Zona Lokal AWS adalah perluasan Wilayah AWS di mana Anda dapat menjalankan aplikasi peka latensi, menggunakan layanan AWS seperti Amazon EC2, Amazon VPC, Amazon EBS, Amazon File Storage, dan Elastic Load Balancing di lokasi geografis yang dekat dengan pengguna akhir. AWS Zona Lokal menyediakan koneksi dengan bandwidth yang tinggi dan aman di antara beban kerja lokal, dan yang berjalan di Wilayah AWS, sehingga Anda dapat terhubung secara lancar ke berbagai layanan dalam wilayah melalui API dan set alat yang sama.
AWS Outposts menghadirkan layanan, infrastruktur, dan model operasi native AWS untuk melakukan virtualisasi terhadap semua pusat data, ruang kolokasi, atau fasilitas on-premise. Anda dapat menggunakan API, alat, dan infrastruktur AWS di semua fasilitas on-premise dan AWS Cloud untuk menghadirkan pengalaman hybrid yang benar-benar konsisten. AWS Outposts dirancang untuk lingkungan terkoneksi dan dapat digunakan untuk mendukung beban kerja yang harus tetap on-premise dikarenakan kebutuhan latensi yang rendah atau pemrosesan data lokal.
Di AWS, ada beberapa pendekatan perlindungan infrastruktur. Bagian-bagian berikutnya akan menjelaskan cara menggunakan pendekatan-pendekatan ini.
**Topics**
+ [Melindungi jaringan](protecting-networks.md)
+ [Melindungi komputasi](protecting-compute.md)
# Melindungi jaringan
Pengguna, baik dari tenaga kerja maupun pelanggan Anda, bisa berlokasi di mana saja. Anda perlu beralih dari model tradisional yang memberikan kepercayaan untuk semua orang dan semua hal yang memiliki akses ke jaringan Anda. Ketika Anda mengikuti prinsip penerapan keamanan di semua lapisan, berarti Anda menerapkan pendekatan [Zero Trust](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/). Keamanan dengan pendekatan Zero Trust adalah model di mana komponen-komponen aplikasi atau layanan mikro dianggap terpisah satu sama lain dan komponen-komponen atau layanan mikro tersebut tidak saling mempercayai satu sama lain.
Perencanaan dan manajemen yang cermat pada desain jaringan Anda akan membentuk fondasi bagi Anda untuk menyediakan pemisahan dan batasan untuk sumber daya yang ada dalam beban kerja Anda. Karena banyak sumber daya di beban kerja Anda beroperasi dalam sebuah VPC dan mewarisi properti-properti keamanan, Anda harus membuat desain yang didukung dengan mekanisme pengawasan dan perlindungan yang diperkuat oleh otomatisasi. Demikian juga, untuk beban kerja yang beroperasi di luar sebuah VPC, dengan menggunakan layanan murni edge dan/atau nirserver, praktik-praktik terbaik tersebut berlaku dalam pendekatan yang lebih sederhana. Lihat [Lensa Aplikasi Nirserver AWS Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/serverless-applications-lens/welcome.html) untuk panduan khusus tentang keamanan nirserver.
**Topics**
+ [SEC05-BP01 Buat lapisan jaringan](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Kontrol arus lalu lintas dalam lapisan jaringan Anda](sec_network_protection_layered.md)
+ [SEC05-BP03 Menerapkan perlindungan berbasis inspeksi](sec_network_protection_inspection.md)
+ [SEC05-BP04 Mengotomatiskan perlindungan jaringan](sec_network_auto_protect.md)
# SEC05-BP01 Buat lapisan jaringan
Segmentasikan topologi jaringan Anda ke dalam lapisan yang berbeda-beda berdasarkan pengelompokan logis komponen beban kerja Anda sesuai dengan sensitivitas data dan persyaratan aksesnya. Bedakan antara komponen yang memerlukan akses masuk dari internet, seperti titik akhir web publik, dan komponen yang hanya membutuhkan akses internal, seperti basis data.
**Hasil yang diinginkan:** Lapisan jaringan Anda adalah bagian dari pendekatan pertahanan mendalam dan merupakan bagian integral bagi keamanan yang melengkapi autentikasi identitas dan strategi otorisasi beban kerja Anda. Lapisan-lapisan diterapkan berdasarkan sensitivitas data dan persyaratan akses, dengan arus lalu lintas dan mekanisme kontrol yang sesuai.
**Anti-pola umum:**
+ Anda membuat semua sumber daya dalam satu VPC atau subnet.
+ Anda menyusun konsep lapisan-lapisan jaringan tanpa mempertimbangkan persyaratan sensitivitas data, perilaku komponen, atau fungsionalitas.
+ Anda menggunakan VPC dan subnet sebagai default untuk semua pertimbangan lapisan jaringan, dan Anda tidak mempertimbangkan pengaruh yang diberikan oleh layanan-layanan terkelola AWS terhadap topologi Anda.
**Manfaat menerapkan praktik terbaik ini:** Membangun lapisan jaringan adalah langkah pertama dalam membatasi jalur-jalur yang tidak perlu melalui jaringan, terutama jalur-jalur yang mengarah pada sistem dan data kritis. Hal ini akan mempersulit pelaku yang tidak sah untuk mendapatkan akses ke jaringan Anda dan menavigasi ke sumber daya tambahan di dalamnya. Lapisan-lapisan jaringan terpisah (discrete) bermanfaat dalam mengurangi cakupan analisis untuk sistem inspeksi, seperti untuk deteksi intrusi atau pencegahan malware. Hal ini dapat mengurangi potensi positif palsu dan overhead pemrosesan yang tidak perlu.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
Saat merancang arsitektur beban kerja, biasanya berbagai komponen dipisahkan menjadi lapisan yang berbeda-beda berdasarkan tanggung jawabnya. Misalnya, sebuah aplikasi web dapat memiliki lapisan presentasi, lapisan aplikasi, dan lapisan data. Anda dapat mengambil pendekatan yang serupa saat merancang desain topologi jaringan Anda. Kontrol jaringan yang mendasarinya dapat membantu Anda memberlakukan persyaratan akses data pada beban kerja Anda. Misalnya, dalam arsitektur aplikasi web tiga tingkat, Anda dapat menyimpan file lapisan presentasi statis di [Amazon S3](https://aws.amazon.com/s3/) dan menyajikannya dari jaringan pengiriman konten (CDN), seperti [Amazon CloudFront.](https://aws.amazon.com/cloudfront/) Lapisan aplikasi dapat memiliki titik akhir publik yang dilayani [Penyeimbang Beban Aplikasi (ALB)](https://aws.amazon.com/elasticloadbalancing/application-load-balancer/) di subnet publik [Amazon VPC](https://aws.amazon.com/vpc/) (serupa dengan zona demiliterisasi, atau DMZ), dengan layanan back-end yang di-deploy ke subnet privat. Lapisan data tersebut, yang merupakan sumber daya hosting seperti basis data dan sistem file bersama, dapat berada di subnet privat yang berbeda dari sumber daya lapisan aplikasi Anda. Pada setiap batas lapisan ini (CDN, subnet publik, subnet privat), Anda dapat menerapkan kontrol yang hanya mengizinkan lalu lintas sah yang dapat melintasi batas tersebut.
Serupa dengan pemodelan lapisan jaringan berdasarkan tujuan fungsional komponen beban kerja Anda, pertimbangkan juga sensitivitas data yang diproses. Menggunakan contoh aplikasi web tersebut, meskipun semua layanan beban kerja Anda mungkin berada dalam lapisan aplikasi, layanan yang berbeda dapat memproses data dengan tingkat sensitivitas yang berbeda. Dalam kasus ini, membagi lapisan aplikasi denan menggunakan beberapa subnet privat, VPC yang berbeda di Akun AWS yang sama, atau bahkan VPC yang berbeda di Akun AWS yang berbeda untuk setiap tingkat sensitivitas data, mungkin sesuai untuk dilakukan, berdasarkan persyaratan kontrol Anda.
Pertimbangan lebih lanjut yang harus dilakukan untuk lapisan jaringan adalah konsistensi perilaku dari komponen-komponen yang dimiliki oleh beban kerja Anda. Melanjutkan dengan contoh ini, di lapisan aplikasi, Anda mungkin memiliki layanan yang menerima input dari pengguna akhir atau integrasi sistem eksternal yang secara inheren lebih berisiko daripada input ke layanan lain. Contohnya termasuk unggahan file, skrip kode yang dijalankan, pemindaian email, dan sebagainya. Dengan menempatkan layanan-layanan tersebut di lapisan jaringannya sendiri, akan terbentuk batas isolasi yang lebih kuat di sekitarnya, dan perilaku uniknya dapat dicegah agar tidak menghasilkan peringatan positif palsu dalam sistem inspeksi.
Sebagai bagian dari desain Anda, pertimbangkan juga pengaruh yang diberikan oleh penggunaan layanan terkelola AWS terhadap topologi jaringan Anda. Jelajahi bagaimana layanan seperti [Amazon VPC Lattice](https://aws.amazon.com/vpc/lattice/) dapat membantu Anda dalam mempermudah interoperabilitas komponen beban kerja Anda di seluruh lapisan jaringan. Saat menggunakan [AWS Lambda](https://aws.amazon.com/lambda/), lakukan deployment di subnet VPC Anda kecuali ada alasan khusus untuk tidak melakukannya. Tentukan di mana titik akhir VPC dan [AWS PrivateLink](https://aws.amazon.com/privatelink/) dapat menyederhanakan kepatuhan terhadap kebijakan keamanan yang membatasi akses ke gateway internet.
### Langkah-langkah implementasi
1. Tinjau arsitektur beban kerja Anda. Kelompokkan komponen dan layanan secara logis berdasarkan fungsi yang dijalankan, sensitivitas data yang diproses, dan perilakunya.
1. Untuk komponen-komponen yang merespons permintaan dari internet, pertimbangkan untuk menggunakan penyeimbang beban atau perantara lainnya guna menyediakan titik akhir publik. Jelajahi pengalihan kontrol keamanan dengan menggunakan layanan terkelola, seperti CloudFront, [Amazon API Gateway](https://aws.amazon.com/api-gateway/), Penyeimbangan Beban Elastis, dan [AWS Amplify](https://aws.amazon.com/amplify/) untuk meng-host titik akhir publik.
1. Untuk komponen yang berjalan di lingkungan komputasi, seperti instans Amazon EC2, kontainer [AWS Fargate](https://aws.amazon.com/fargate/), atau fungsi Lambda, lakukan deployment terhadap semuanya ke subnet pribadi berdasarkan grup Anda dari langkah pertama.
1. Untuk layanan-layanan AWS yang terkelola sepenuhnya, seperti [Amazon DynamoDB](https://aws.amazon.com/dynamodb/), [Amazon Kinesis](https://aws.amazon.com/kinesis/), atau [Amazon SQS](https://aws.amazon.com/sqs/), pertimbangkan untuk menggunakan titik akhir VPC sebagai default untuk akses melalui alamat IP privat.
## Sumber daya
**Praktik-praktik terbaik terkait:**
+ [REL02 Merencanakan topologi jaringan Anda](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-your-network-topology.html)
+ [PERF04-BP01 Memahami bagaimana jaringan memengaruhi performa](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_networking_understand_how_networking_impacts_performance.html)
**Video terkait:**
+ [AWS re:Invent 2023 - Fondasi jaringan AWS](https://www.youtube.com/watch?v=8nNurTFy-h4)
**Contoh terkait:**
+ [Contoh VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-examples-intro.html)
+ [Akses aplikasi kontainer secara privat di Amazon ECS dengan menggunakan AWS Fargate, AWS PrivateLink, dan Penyeimbang Beban Jaringan](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/access-container-applications-privately-on-amazon-ecs-by-using-aws-fargate-aws-privatelink-and-a-network-load-balancer.html)
+ [Sajikan konten statis dalam sebuah bucket Amazon S3 melalui VPC dengan menggunakan Amazon CloudFront](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/serve-static-content-in-an-amazon-s3-bucket-through-a-vpc-by-using-amazon-cloudfront.html)
# SEC05-BP02 Kontrol arus lalu lintas dalam lapisan jaringan Anda
Dalam lapisan-lapisan jaringan Anda, gunakan segmentasi lebih lanjut untuk membatasi lalu lintas hanya ke arus yang diperlukan untuk masing-masing beban kerja. Pertama, fokus pada pengendalian lalu lintas antara internet atau sistem eksternal lainnya ke beban kerja dan lingkungan Anda (lalu lintas *utara-selatan*). Setelah itu, lihat arus yang terjadi antara komponen dan sistem yang berbeda (lalu lintas *timur-barat*).
**Hasil yang diinginkan:** Anda hanya mengizinkan arus jaringan yang diperlukan untuk komponen beban kerja Anda untuk melakukan komunikasi satu sama lain dan dan klien mereka dan layanan lain yang mereka andalkan. Desain Anda mempertimbangkan hal-hal seperti lalu lintas masuk dan keluar publik dibandingkan dengan privat, klasifikasi data, peraturan regional, dan persyaratan protokol. Jika memungkinkan, Anda menyukai arus point-to-point melalui peering jaringan sebagai bagian dari *prinsip desain hak akses paling rendah.*
**Anti-pola umum:**
+ Anda mengambil pendekatan berbasis perimeter untuk keamanan jaringan dan hanya mengontrol arus lalu lintas di batas lapisan-lapisan jaringan Anda.
+ Anda menganggap semua lalu lintas yang ada dalam sebuah lapisan jaringan sudah diautentikasi dan diotorisasi.
+ Anda dapat menerapkan kontrol untuk salah satu lalu lintas masuk atau lalu lintas keluar, tetapi tidak dapat menerapkan untuk keduanya.
+ Anda hanya mengandalkan komponen-komponen beban kerja dan kontrol jaringan untuk melakukan autentikasi dan meberikan otorisasi terhadap lalu lintas.
**Manfaat menerapkan praktik terbaik ini:** Praktik ini akan membantu Anda dalam mengurangi risiko pergerakan yang tidak sah dalam jaringan Anda dan menambahkan lapisan otorisasi tambahan ke beban kerja Anda. Dengan melakukan kontrol terhadap arus lalu lintas, Anda dapat membatasi cakupan dampak insiden keamanan serta mempercepat deteksi dan respons.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
Meskipun lapisan jaringan membantu menetapkan batas-batas di sekitar komponen beban kerja Anda yang memberikan fungsi, tingkat sensitivitas data, dan perilaku yang serupa, Anda dapat membuat tingkat kontrol lalu lintas yang jauh lebih terperinci menggunakan berbagai teknik untuk membagi komponen lebih lanjut dalam lapisan tersebut yang mengikuti prinsip hak akses paling rendah. Dalam AWS, lapisan jaringan sebagian besar ditentukan dengan menggunakan subnet sesuai dengan rentang alamat IP yang ada dalam Amazon VPC. Lapisan juga dapat ditentukan menggunakan VPC yang berbeda-beda, seperti untuk melakukan pengelompokan lingkungan layanan mikro berdasarkan domain bisnis. Saat menggunakan banyak VPC, mediasi perutean menggunakan [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/). Meskipun ini memberikan kontrol lalu lintas pada tingkat Layer 4 (alamat IP dan rentang port) menggunakan grup keamanan dan tabel rute, Anda dapat memperoleh kontrol lebih lanjut dengan menggunakan layanan tambahan, seperti [AWS PrivateLink](https://aws.amazon.com/privatelink/), [Amazon Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html), [AWS Network Firewall](https://aws.amazon.com/network-firewall/) dan [AWS WAF](https://aws.amazon.com/waf/).
Memahami dan menginventarisasi aliran data dan persyaratan komunikasi beban kerja Anda dalam hal pihak yang memulai koneksi, port, protokol, dan lapisan jaringan. Lakukan evaluasi terhadap protokol yang tersedia untuk membangun koneksi dan mentransmisikan data untuk memilih protokol yang memenuhi persyaratan perlindungan Anda (misalnya, HTTPS, bukan HTTP). Terapkan persyaratan-persyaratan ini di batas-batas jaringan Anda dan dalam masing-masing lapisan. Setelah persyaratan-persyaratan ini diidentifikasi, tinjau opsi-opsi untuk mengizinkan lalu lintas yang diperlukan saja yang dapat mengalir di setiap titik koneksi. Titik awal yang baik adalah menggunakan *grup keamanan* dalam VPC Anda, karena mereka dapat dilampirkan ke sumber daya yang menggunakan Antarmuka Jaringan Elastis (ENI), seperti instans Amazon EC2, tugas Amazon ECS, pod Amazon EKS, atau basi data Amazon RDS. Tidak seperti firewall Lapisan 4, sebuah grup keamanan dapat memiliki aturan yang mengizinkan lalu lintas dari grup keamanan lain berdasarkan pengidentifikasinya, sehingga hal itu akan meminimalkan pembaruan seiring berubahnya sumber daya dalam grup dari waktu ke waktu. Anda juga dapat memfilter lalu lintas dengan aturan masuk dan keluar dengan menggunakan grup keamanan.
Ketika lalu lintas bergerak di antara VPC, biasanya peering VPC digunakan untuk perutean sederhana atau AWS Transit Gateway untuk perutean yang kompleks. Dengan pendekatan ini, Anda memfasilitasi arus lalu lintas yang terjadi antara rentang alamat IP jaringan sumber dan tujuan. Namun demikian, jika beban kerja Anda hanya memerlukan arus lalu lintas antara komponen tertentu di VPC yang berbeda, sebaiknya Anda menggunakan koneksi point-to-point dengan menggunakan [AWS PrivateLink](https://aws.amazon.com/privatelink/). Untuk melakukan hal ini, identifikasi layanan mana yang harus bertindak sebagai produsen dan layanan mana yang harus bertindak sebagai konsumen. Lakukan deployment penyeimbang beban yang kompatibel untuk produsen, nyalakan PrivateLink sesuai dengan itu, dan kemudian terima permintaan koneksi oleh konsumen. Layanan produsen kemudian diberi alamat IP privat dari VPC konsumen yang dapat digunakan konsumen untuk membuat permintaan berikutnya. Pendekatan ini mengurangi kebutuhan untuk melakukan peering jaringan. Sertakan biaya untuk pemrosesan data dan penyeimbangan beban sebagai bagian dari evaluasi PrivateLink.
Meskipun grup keamanan dan PrivateLink dapt membantu mengontrol alur yang ada di antara komponen beban kerja Anda, hal lain yang juga harus dipertimbangkan adalah bagaimana mengontrol domain DNS mana yang diizinkan untuk diakses oleh sumber daya Anda (jika ada). Bergantung pada konfigurasi DHCP VPC Anda, Anda dapat mempertimbangkan dua layanan AWS berbeda untuk tujuan ini. Sebagian besar pelanggan menggunakan layanan DNS Route 53 Resolver default (juga disebut server DNS Amazon atau AmazonProvidedDNS) yang tersedia untuk VPC di alamat \$12 dari rentang CIDR-nya. Dengan pendekatan ini, Anda dapat membuat aturan Firewall DNS dan kemudian mengaitkan aturan tersebut ke VPC Anda yang menentukan tindakan apa yang harus diambil untuk daftar domain yang Anda berikan.
Jika Anda tidak menggunakan Route 53 Resolver, atau jika Anda ingin melengkapi Resolver dengan kemampuan inspeksi dan kontrol aliran yang lebih mendalam selain pemfilteran domain, pertimbangkan untuk melakukan deployment AWS Network Firewall. Layanan ini memeriksa masing-masing paket individual dengan menggunakan aturan stateless atau stateful untuk menentukan apakah akan menolak atau mengizinkan lalu lintas. Anda dapat mengambil pendekatan serupa untuk memfilter lalu lintas web masuk ke titik akhir publik Anda dengan menggunakan AWS WAF. Untuk membaca panduan lebih lanjut tentang layanan ini, lihat [SEC05-BP03 Menerapkan perlindungan berbasis inspeksi](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_network_protection_inspection.html).
### Langkah-langkah implementasi
1. Identifikasi aliran data yang diperlukan antara komponen-komponen beban kerja Anda.
1. Terapkan beberapa kontrol dengan pendekatan pertahanan mendalam untuk lalu lintas masuk dan keluar, termasuk penggunaan grup keamanan, dan tabel rute.
1. Gunakan firewall untuk menentukan kontrol terperinci terhadap lalu lintas jaringan masuk, keluar, dan di seluruh VPC Anda, seperti Firewall DNS Route 53 Resolver, AWS Network Firewall, dan AWS WAF. Pertimbangkan untuk menggunakan [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/) untuk mengonfigurasi dan mengelola aturan firewall secara terpusat di seluruh organisasi Anda.
## Sumber daya
**Praktik-praktik terbaik terkait:**
+ [REL03-BP01 Memilih cara untuk menyegmentasi beban kerja](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_service_architecture_monolith_soa_microservice.html)
+ [SEC09-BP02 Menerapkan enkripsi data bergerak](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_data_transit_encrypt.html)
**Dokumen terkait:**
+ [Praktik terbaik keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)
+ [Tips Optimalisasi Jaringan AWS](https://aws.amazon.com/blogs/networking-and-content-delivery/aws-network-optimization-tips/)
+ [Panduan untuk Keamanan Jaringan di AWS](https://aws.amazon.com/solutions/guidance/network-security-on-aws/)
+ [Amankan lalu lintas jaringan keluar VPC Anda di AWS Cloud](https://docs.aws.amazon.com/prescriptive-guidance/latest/secure-outbound-network-traffic/welcome.html)
**Alat terkait:**
+ [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/)
**Video terkait:**
+ [Arsitektur referensi AWS Transit Gateway untuk banyak VPC](https://youtu.be/9Nikqn_02Oc)
+ [Perlindungan dan Akselerasi Aplikasi dengan Amazon CloudFront, AWS WAF, dan AWS Shield](https://youtu.be/0xlwLEccRe0)
+ [AWS re:Inforce 2023: Firewall dan tempat meletakkannya](https://www.youtube.com/watch?v=lTJxWAiQrHM)
# SEC05-BP03 Menerapkan perlindungan berbasis inspeksi
Siapkan titik inspeksi lalu lintas di antara lapisan jaringan Anda untuk memastikan data bergerak cocok dengan kategori dan pola yang diharapkan. Lakukan analisis terhadap arus lalu lintas, metadata, dan pola untuk membantu Anda mengidentifikasi, mendeteksi, dan merespons peristiwa dengan lebih efektif.
**Hasil yang diinginkan:** Lalu lintas yang melintas antara lapisan jaringan Anda diperiksa dan diberi otorisasi. Keputusan izinkan (allow) dan tolak (deny) didasarkan pada aturan-aturan eksplisit, intelijen ancaman, dan penyimpangan dari perilaku acuan dasar. Perlindungan menjadi lebih ketat ketika lalu lintas makin mendekati data sensitif.
**Anti-pola umum:**
+ Hanya mengandalkan aturan-aturan firewall berdasarkan port dan protokol. Tidak memanfaatkan sistem cerdas.
+ Menulis aturan firewall berdasarkan pola ancaman spesifik saat ini yang masih dapat berubah.
+ Hanya memeriksa lalu lintas yang lalu lintasnya bergerak dari subnet privat ke publik, atau dari subnet publik ke Internet.
+ Tidak memiliki gambaran acuan dasar tentang lalu lintas jaringan Anda untuk dijadikan pembanding dengan anomali perilaku.
**Manfaat menerapkan praktik terbaik ini:** Sistem inspeksi akan memungkinkan Anda untuk membuat aturan cerdas, seperti mengizinkan atau menolak lalu lintas hanya ketika kondisi tertentu terjadi dalam data lalu lintas. Manfaatkan set aturan yang dikelola dari AWS dan mitra, berdasarkan intelijen ancaman terbaru, karena lanskap ancaman berubah seiring waktu. Hal ini akan menurunkan overhead pemeliharaan aturan dan pencarian indikator penyusupan, sehingga dapat mengurangi potensi positif palsu.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang
## Panduan implementasi
[Memiliki kontrol halus atas lalu lintas jaringan stateful dan stateless Anda menggunakan AWS Network Firewall, atau [Firewall](https://aws.amazon.com/marketplace/search/results?searchTerms=firewalls) dan [Intrusion Prevention Systems](https://aws.amazon.com/marketplace/search/results?searchTerms=Intrusion+Prevention+Systems) (IPS) lainnya yang AWS Marketplace dapat Anda gunakan di belakang Gateway Load Balancer (). GWLB](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/)AWS Network Firewall mendukung IPS spesifikasi open source yang [kompatibel dengan Suricata](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) untuk membantu melindungi beban kerja Anda.
Baik solusi AWS Network Firewall dan vendor yang menggunakan GWLB dukungan model penyebaran inspeksi inline yang berbeda. Misalnya, Anda dapat melakukan inspeksi per- VPC basis, memusatkan dalam inspeksiVPC, atau menerapkan dalam model hibrida di mana lalu lintas timur-barat mengalir melalui inspeksi VPC dan masuknya Internet diperiksa per-. VPC Pertimbangan lain adalah apakah solusi tersebut mendukung membuka bungkusan Transport Layer Security (TLS), memungkinkan inspeksi paket mendalam untuk arus lalu lintas yang dimulai di kedua arah. Untuk informasi selengkapnya dan detail mendalam tentang konfigurasi ini, lihat panduan [Praktik Terbaik AWS Network Firewall](https://aws.github.io/aws-security-services-best-practices/guides/network-firewall/).
[Jika Anda menggunakan solusi yang melakukan out-of-band inspeksi, seperti analisis pcap data paket dari antarmuka jaringan yang beroperasi dalam mode promiscuous, Anda dapat mengonfigurasi mirroring lalu lintas. VPC](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) Lalu lintas yang di-mirroring diperhitungkan terhadap bandwidth yang tersedia dari antarmuka Anda dan dikenai biaya transfer data yang sama dengan lalu lintas yang tidak di-mirroring. Anda dapat melihat apakah versi virtual dari peralatan ini tersedia di [AWS Marketplace](https://aws.amazon.com/marketplace/solutions/infrastructure-software/cloud-networking), yang dapat mendukung penyebaran sebaris di belakang file. GWLB
Untuk komponen yang bertransaksi melalui protokol HTTP berbasis, lindungi aplikasi Anda dari ancaman umum dengan firewall aplikasi web (). WAF [AWS WAF](https://aws.amazon.com/waf)adalah firewall aplikasi web yang memungkinkan Anda memantau dan memblokir HTTP permintaan yang sesuai dengan aturan yang dapat dikonfigurasi sebelum mengirim ke Amazon API Gateway, Amazon CloudFront, AWS AppSync atau Application Load Balancer. Pertimbangkan inspeksi paket mendalam ketika Anda mengevaluasi penerapan firewall aplikasi web Anda, karena beberapa mengharuskan Anda untuk menghentikan TLS sebelum inspeksi lalu lintas. Untuk memulai AWS WAF, Anda dapat menggunakan [Peraturan yang Dikelola AWS](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group)kombinasi dengan milik Anda sendiri, atau menggunakan [integrasi mitra](https://aws.amazon.com/waf/partners/) yang ada.
Anda dapat mengelola AWS WAF, AWS Shield Advanced AWS Network Firewall, dan grup VPC keamanan Amazon secara terpusat di seluruh AWS Organisasi Anda. [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/)
## Langkah-langkah implementasi
1. Tentukan apakah Anda dapat mencakup aturan inspeksi secara luas, seperti melalui inspeksiVPC, atau jika Anda memerlukan pendekatan per detail yang lebih terperinci. VPC
1. Untuk solusi-solusi inspeksi inline:
1. Jika menggunakan AWS Network Firewall, buat aturan, kebijakan firewall, dan firewall itu sendiri. Setelah ini dikonfigurasi, Anda dapat [merutekan lalu lintas ke titik akhir firewall](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) untuk mengaktifkan inspeksi.
1. Jika menggunakan alat pihak ketiga dengan Gateway Load Balancer (GWLB), gunakan dan konfigurasikan alat Anda di satu atau beberapa zona ketersediaan. Kemudian, buat, layanan titik akhirGWLB, titik akhir, dan konfigurasikan perutean untuk lalu lintas Anda.
1. Untuk solusi out-of-band inspeksi:
1. Aktifkan Pencerminan VPC Lalu Lintas pada antarmuka tempat lalu lintas masuk dan keluar harus dicerminkan. Anda dapat menggunakan EventBridge aturan Amazon untuk menjalankan AWS Lambda fungsi guna mengaktifkan pencerminan lalu lintas pada antarmuka saat sumber daya baru dibuat. Arahkan sesi traffic mirroring ke Penyeimbang Beban Jaringan di depan alat Anda yang memproses lalu lintas.
1. Untuk solusi lalu lintas web masuk:
1. Untuk mengkonfigurasi AWS WAF, mulailah dengan mengkonfigurasi daftar kontrol akses web (webACL). Web ACL adalah kumpulan aturan dengan tindakan default yang diproses secara serial (ALLOWatauDENY) yang menentukan bagaimana Anda WAF menangani lalu lintas. Anda dapat membuat aturan dan grup Anda sendiri atau menggunakan grup aturan AWS terkelola di web AndaACL.
1. Setelah web Anda ACL dikonfigurasi, kaitkan web ACL dengan AWS sumber daya (seperti Application Load Balancer, API Gateway RESTAPI, atau CloudFront distribusi) untuk mulai melindungi lalu lintas web.
## Sumber daya
**Dokumen terkait:**
+ [Apa itu Traffic Mirroring?](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
+ [Menerapkan inspeksi lalu lintas inline dengan menggunakan peralatan keamanan pihak ketiga](https://docs.aws.amazon.com/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/welcome.html)
+ [AWS Network Firewall contoh arsitektur dengan routing](https://docs.aws.amazon.com/network-firewall/latest/developerguide/architectures.html)
+ [Arsitektur inspeksi terpusat dengan AWS Gateway Load Balancer dan AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/)
**Contoh terkait:**
+ [Praktik terbaik untuk men-deploy Penyeimbang Beban Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/)
+ [TLSkonfigurasi inspeksi untuk lalu lintas jalan keluar terenkripsi dan AWS Network Firewall](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-egress-traffic-and-aws-network-firewall/)
**Alat terkait:**
+ [AWS Marketplace IDS/IPS](https://aws.amazon.com/marketplace/search/results?prevFilters=%257B%2522id%2522%3A%25220ed48363-5064-4d47-b41b-a53f7c937314%2522%257D&searchTerms=ids%2Fips)
# SEC05-BP04 Mengotomatiskan perlindungan jaringan
Otomatiskan penerapan perlindungan jaringan Anda menggunakan DevOps praktik, seperti *infrastruktur sebagai kode* (IAc) dan pipeline CI/CD. Praktik-praktik ini dapat membantu Anda melacak perubahan dalam perlindungan jaringan Anda melalui sistem kontrol versi, mengurangi waktu yang diperlukan untuk melakukan deployment perubahan, dan membantu Anda untuk mendeteksi apakah perlindungan jaringan Anda menyimpang dari konfigurasi yang Anda inginkan.
**Hasil yang diinginkan:** Anda menentukan perlindungan jaringan dengan templat dan memasukkannya ke dalam sistem kontrol versi. Pipeline otomatis dimulai ketika perubahan-perubahan baru dibuat yang mengorkestrasi pengujian dan deployment. Pemeriksaan kebijakan dan pengujian statis lainnya diterapkan untuk memvalidasi perubahan sebelum deployment. Anda melakukan deployment perubahan ke lingkungan pentahapan (staging) untuk memvalidasi bahwa berbagai kontrol beroperasi seperti yang diharapkan. Deployment ke lingkungan produksi Anda juga dilakukan secara otomatis setelah kontrol disetujui.
**Anti-pola umum:**
+ Mengandalkan masing-masing tim beban kerja untuk menentukan tumpukan jaringan lengkap, perlindungan, dan otomatisasinya. Tidak memublikasikan aspek-aspek standar dari tumpukan dan perlindungan jaringan secara terpusat yang akan digunakan oleh tim beban kerja.
+ Mengandalkan tim jaringan pusat untuk menentukan semua aspek jaringan, perlindungan, dan otomatisasi. Tidak mendelegasikan aspek-aspek spesifik beban kerja dari tumpukan dan perlindungan jaringan kepada tim beban kerja tersebut.
+ Mencapai keseimbangan yang tepat antara sentralisasi dan delegasi antara tim jaringan dan tim beban kerja, tetapi tidak menerapkan standar pengujian dan deployment yang konsisten ke seluruh templat IaC dan pipeline CI/CD Anda. Tidak mencatat konfigurasi yang diperlukan dalam peralatan yang memeriksa kepatuhan templat Anda.
**Manfaat menerapkan praktik terbaik ini:** Menggunakan templat untuk menentukan perlindungan jaringan Anda akan memungkinkan Anda untuk melacak dan membandingkan perubahan dari waktu ke waktu dengan sistem kontrol versi. Penggunaan otomatisasi untuk menguji dan melakukan deployment perubahan akan menghasilkan standardisasi dan prediktabilitas, sehingga akan meningkatkan peluang keberhasilan deployment dan mengurangi konfigurasi manual yang berulang.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang
## Panduan implementasi
Sejumlah kontrol perlindungan jaringan yang dijelaskan dalam [SEC05-BP02 Mengontrol arus lalu lintas dalam lapisan jaringan Anda](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_network_protection_layered.html) dan [SEC05-BP03 Menerapkan perlindungan berbasis inspeksi dilengkapi dengan sistem aturan terkelola yang dapat diperbarui secara otomatis berdasarkan](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_network_protection_inspection.html) intelijen ancaman terbaru. Contoh perlindungan endpoint web Anda termasuk [aturan AWS WAF terkelola](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html) dan [DDoSmitigasi lapisan aplikasi AWS Shield Advanced otomatis](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html). Gunakan [grup aturan terkelola AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/nwfw-managed-rule-groups.html) untuk tetap up to date dengan daftar domain yang memiliki reputasi rendah dan tanda tangan ancaman juga.
Selain aturan terkelola, kami sarankan Anda menggunakan DevOps praktik untuk mengotomatiskan penerapan sumber daya jaringan, perlindungan, dan aturan yang Anda tentukan. Anda dapat menangkap definisi ini di [AWS CloudFormation](https://aws.amazon.com/cloudformation/) atau alat *infrastruktur sebagai kode* (IaC) lain yang Anda pilih, meng-komit-nya ke sistem kontrol versi, dan men-deploynya menggunakan pipeline CI/CD. Gunakan pendekatan ini untuk mendapatkan manfaat tradisional DevOps untuk mengelola kontrol jaringan Anda, seperti rilis yang lebih dapat diprediksi, pengujian otomatis menggunakan alat seperti [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html), dan mendeteksi penyimpangan antara lingkungan yang Anda gunakan dan konfigurasi yang Anda inginkan.
Berdasarkan keputusan yang Anda buat sebagai bagian dari [SEC05-BP01 Buat lapisan jaringan](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_network_protection_create_layers.html), Anda mungkin memiliki pendekatan manajemen pusat untuk membuat VPCs yang didedikasikan untuk arus masuk, keluar, dan inspeksi. Seperti yang dijelaskan dalam [Arsitektur Referensi AWS Keamanan (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture), Anda dapat menentukan ini VPCs dalam [akun infrastruktur Jaringan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html) khusus. Anda dapat menggunakan teknik serupa untuk menentukan secara terpusat yang VPCs digunakan oleh beban kerja Anda di akun lain, grup keamanannya, AWS Network Firewall penerapan, aturan Resolver Route 53 dan konfigurasi DNS Firewall, dan sumber daya jaringan lainnya. Anda dapat berbagi sumber daya ini dengan akun Anda yang lain menggunakan [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html). Dengan pendekatan ini, Anda dapat menyederhanakan pengujian dan deployment otomatis atas kontrol jaringan Anda ke akun Jaringan, yang bisa Anda lakukan cukup dengan mengelola satu tujuan. Anda dapat melakukannya dalam model hibrida, yang akan memungkinkan Anda melakukan deployment dan membagikan kontrol tertentu secara terpusat serta mendelegasikan kontrol lainnya ke setiap tim beban kerja dan akun mereka masing-masing.
## Langkah-langkah implementasi
1. Tetapkan kepemilikan untuk aspek-aspek jaringan dan perlindungan yang ditentukan secara terpusat, dan yang dapat dipelihara oleh tim beban kerja Anda.
1. Buat lingkungan untuk melakukan pengujian dan deployment perubahan-perubahan yang hendak dibuat pada jaringan Anda dan perlindungannya. Misalnya, gunakan akun Pengujian Jaringan dan akun Produksi Jaringan.
1. Tentukan cara Anda akan menyimpan dan memelihara templat Anda dalam sebuah sistem kontrol versi. Simpan templat pusat dalam sebuah repositori yang berbeda dari repositori beban kerja, sedangkan templat beban kerja dapat disimpan dalam repositori-repositori khusus untuk beban kerja tersebut.
1. Buat pipeline CI/CD untuk melakukan pengujian dan deployment templat. Tentukan pengujian untuk memeriksa adanya kesalahan konfigurasi dan apakah templat tersebut mematuhi standar perusahaan Anda, atau tidak.
## Sumber daya
**Praktik-praktik terbaik terkait:**
+ [SEC01-BP06 Mengotomatiskan penerapan kontrol keamanan standar](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls)
**Dokumen terkait:**
+ [Arsitektur Referensi Keamanan AWS - Akun jaringan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html)
**Contoh terkait:**
+ [Arsitektur Referensi Pipeline Deployment AWS](https://pipelines.devops.aws.dev/)
+ [NetDevSecOpsuntuk memodernisasi penyebaran jaringan AWS](https://aws.amazon.com/blogs/networking-and-content-delivery/netdevsecops-to-modernize-aws-networking-deployments/)
+ [Mengintegrasikan tes AWS CloudFormation keamanan dengan AWS Security Hub CSPM dan laporan AWS CodeBuild](https://aws.amazon.com/blogs/security/integrating-aws-cloudformation-security-tests-with-aws-security-hub-and-aws-codebuild-reports/)
**Alat terkait:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html)
+ [cfn\$1nag](https://github.com/stelligent/cfn_nag)
# Melindungi komputasi
Sumber daya komputasi meliputi instans EC2, kontainer, fungsi AWS Lambda, layanan basis data, perangkat IoT, dan banyak lagi lainnya. Untuk mengamankan tiap-tiap tipe sumber daya komputasi ini, diperlukan pendekatan yang berbeda-beda. Namun demikian, semuanya memiliki strategi yang sama yang perlu Anda pertimbangkan: pertahanan yang mendalam, manajemen kerentanan, pengurangan permukaan serangan, otomatisasi konfigurasi dan operasi, dan melakukan tindakan dari jarak jauh. Pada bagian ini, Anda akan menemukan panduan umum yang bisa dilakukan untuk memproteksi sumber daya komputasi untuk layanan-layanan utama Anda. Untuk tiap-tiap layanan AWS yang digunakan, Anda harus memeriksa saran keamanan spesifik yang diuraikan dalam dokumentasi layanan.
**Topics**
+ [SEC06-BP01 Melakukan manajemen kerentanan](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 Komputasi ketentuan dari gambar yang diperkeras](sec_protect_compute_hardened_images.md)
+ [SEC06-BP03 Kurangi manajemen manual dan akses interaktif](sec_protect_compute_reduce_manual_management.md)
+ [SEC06-BP04 Validasi integritas perangkat lunak](sec_protect_compute_validate_software_integrity.md)
+ [SEC06-BP05 Otomatiskan perlindungan komputasi](sec_protect_compute_auto_protection.md)
# SEC06-BP01 Melakukan manajemen kerentanan
Seringlah memindai dan mem-patch kerentanan pada kode, dependensi, dan infrastruktur Anda untuk membantu mencegah ancaman baru.
**Hasil yang diinginkan:** Anda memiliki solusi yang terus-menerus memindai beban kerja Anda untuk menemukan kerentanan perangkat lunak, potensi kerusakan, dan paparan jaringan yang tidak diinginkan. Anda telah menetapkan proses dan prosedur untuk mengidentifikasi, memprioritaskan, dan memulihkan kerentanan ini berdasarkan kriteria penilaian risiko. Selain itu, Anda telah menerapkan manajemen patch otomatis untuk instans komputasi Anda. Program manajemen kerentanan Anda terintegrasi ke dalam siklus hidup pengembangan perangkat lunak Anda, dengan solusi untuk memindai kode sumber Anda selama pipeline CI/CD.
**Anti-pola umum:**
+ Tidak memiliki program manajemen kerentanan.
+ Menjalankan patching sistem tanpa mempertimbangkan tingkat keparahan atau penghindaran risiko.
+ Menggunakan perangkat lunak yang sudah lewat tanggal akhir masa pakainya (EOL) dari vendor.
+ Melakukan deployment kode ke dalam lingkungan produksi sebelum menganalisis masalah keamanan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
Manajemen kerentanan adalah aspek kunci untuk mempertahankan lingkungan cloud yang aman dan andal. Hal ini memerlukan proses komprehensif yang mencakup pemindaian keamanan, identifikasi dan prioritisasi masalah, serta operasi patch untuk mengatasi kerentanan yang teridentifikasi. Otomatisasi memainkan peran penting dalam proses ini karena memfasilitasi pemindaian beban kerja secara terus-menerus untuk menemukan potensi masalah dan paparan jaringan yang tidak diinginkan, serta upaya remediasi.
[Model Tanggung Jawab Bersama AWS](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/shared-responsibility.html) adalah konsep mendasar yang mendukung manajemen kerentanan. Menurut model ini, AWS bertanggung jawab untuk mengamankan infrastruktur yang mendasari, termasuk perangkat keras, perangkat lunak, jaringan, dan fasilitas yang menjalankan layanan AWS. Sebaliknya, Anda bertanggung jawab untuk mengamankan data, konfigurasi keamanan, dan tugas manajemen yang terkait dengan layanan, seperti instans Amazon EC2 dan objek Amazon S3.
AWS menawarkan berbagai layanan untuk mendukung program manajemen kerentanan. [Amazon Inspector](https://aws.amazon.com/inspector/) terus memindai beban kerja AWS untuk mencari kerentanan perangkat lunak dan akses jaringan yang tidak diinginkan, sementara [Manajer Patch AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html) membantu mengelola patching di seluruh instans Amazon EC2. Layanan-layanan ini dapat diintegrasikan dengan [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/), layanan manajemen postur keamanan cloud yang mengotomatiskan pemeriksaan keamanan AWS, memusatkan peringatan keamanan, dan memberikan gambaran komprehensif tentang postur keamanan organisasi. Selain itu, [Keamanan Amazon CodeGuru](https://aws.amazon.com/codeguru/) menggunakan analisis kode statis untuk mengidentifikasi potensi masalah dalam aplikasi Java dan Python selama fase pengembangan.
Dengan menggabungkan praktik manajemen kerentanan ke dalam siklus hidup pengembangan perangkat lunak, Anda dapat secara proaktif mengatasi kerentanan sebelum diteruskan ke lingkungan produksi, sehingga mengurangi risiko peristiwa keamanan dan meminimalkan potensi dampak kerentanan.
### Langkah-langkah implementasi
1. **Pahami model tanggung jawab bersama:** Tinjau model tanggung jawab bersama AWS untuk memahami tanggung jawab Anda dalam mengamankan beban kerja dan data Anda di cloud. AWS bertanggung jawab untuk mengamankan infrastruktur cloud yang mendasar, sementara Anda bertanggung jawab untuk mengamankan aplikasi, data, dan layanan yang Anda gunakan.
1. **Terapkan pemindaian kerentanan**: Konfigurasikan layanan pemindaian kerentanan, seperti Amazon Inspector, untuk memindai instans komputasi Anda secara otomatis (misalnya, mesin virtual, kontainer, atau fungsi nirserver) untuk menemukan kerentanan perangkat lunak, potensi kerusakan, dan paparan jaringan yang tidak diinginkan.
1. **Tetapkan proses manajemen kerentanan:** Tentukan proses dan prosedur untuk mengidentifikasi, memprioritaskan, dan memulihkan kerentanan. Hal ini mungkin mencakup pengaturan jadwal pemindaian kerentanan reguler, penetapan kriteria penilaian risiko, dan penentuan jadwal remediasi berdasarkan tingkat keparahan kerentanan.
1. **Siapkan manajemen patch:** Gunakan layanan manajemen patch untuk mengotomatiskan proses patching instans komputasi Anda, baik untuk sistem operasi maupun aplikasi. Anda dapat mengonfigurasi layanan untuk memindai instans guna mengetahui patch yang belum diterapkan dan menginstalnya secara otomatis sesuai jadwal. Pertimbangkan Manajer Patch AWS Systems Manager untuk menyediakan fungsi ini.
1. **Konfigurasikan perlindungan malware:** Terapkan mekanisme untuk mendeteksi perangkat lunak berbahaya di lingkungan Anda. Misalnya, Anda dapat menggunakan alat seperti [Amazon GuardDuty](https://aws.amazon.com/guardduty/) untuk menganalisis, mendeteksi, dan memperingatkan tentang malware dalam volume EC2 dan EBS. GuardDuty juga dapat memindai objek yang baru diunggah ke Amazon S3 untuk mencari potensi malware atau virus dan mengambil tindakan untuk mengisolasinya sebelum terserap ke dalam proses hilir.
1. **Integrasikan pemindaian kerentanan dalam pipeline CI/CD:** Jika Anda menggunakan pipeline CI/CD untuk deployment aplikasi, integrasikan alat pemindaian kerentanan ke dalam pipeline Anda. Alat seperti Keamanan Amazon CodeGuru dan opsi sumber terbuka dapat memindai kode sumber, dependensi, dan artefak Anda untuk mencari potensi masalah keamanan.
1. **Konfigurasikan layanan pemantauan keamanan:** Siapkan layanan pemantauan keamanan, seperti AWS Security Hub CSPM, untuk mendapatkan gambaran komprehensif tentang postur keamanan Anda di beberapa layanan cloud. Layanan tersebut harus mengumpulkan temuan keamanan dari berbagai sumber dan menyajikannya dalam format standar untuk mempermudah prioritisasi dan remediasi.
1. **Terapkan uji penetrasi aplikasi web**: Jika aplikasi Anda adalah aplikasi web, dan organisasi Anda memiliki keterampilan yang diperlukan atau dapat menyewa bantuan dari luar, pertimbangkan untuk menerapkan pengujian penetrasi aplikasi web untuk mengidentifikasi potensi kerentanan dalam aplikasi Anda.
1. **Otomatiskan dengan infrastruktur sebagai kode**: Gunakan alat infrastruktur sebagai kode (IaC), seperti [AWS CloudFormation](https://aws.amazon.com/cloudformation/), untuk mengotomatiskan deployment dan konfigurasi sumber daya Anda, termasuk layanan keamanan yang disebutkan sebelumnya. Praktik ini membantu Anda membuat arsitektur sumber daya yang lebih konsisten dan terstandardisasi di beberapa akun dan lingkungan.
1. **Pantau dan terus tingkatkan**: Terus pantau efektivitas program manajemen kerentanan Anda, dan lakukan peningkatan sesuai kebutuhan. Tinjau temuan keamanan, evaluasi efektivitas upaya remediasi Anda, serta sesuaikan proses dan alat Anda sesuai dengan itu.
## Sumber daya
**Dokumen terkait:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Gambaran Umum Keamanan AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
+ [ Amazon CodeGuru ](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [ Manajemen Kerentanan Otomatis dan Ditingkatkan untuk Beban Kerja Cloud dengan Amazon Inspector Baru ](https://aws.amazon.com/blogs/aws/improved-automated-vulnerability-management-for-cloud-workloads-with-a-new-amazon-inspector/)
+ [ Mengotomatiskan manajemen kerentanan dan remediasi dalam AWS menggunakan Amazon Inspector dan AWS Systems Manager – Bagian 1 ](https://aws.amazon.com/blogs/mt/automate-vulnerability-management-and-remediation-in-aws-using-amazon-inspector-and-aws-systems-manager-part-1/)
**Video terkait:**
+ [Mengamankan Layanan Kontainer dan Nirserver](https://youtu.be/kmSdyN9qiXY)
+ [Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2](https://youtu.be/2B5bhZzayjI)
# SEC06-BP02 Komputasi ketentuan dari gambar yang diperkeras
Kurangi peluang untuk akses yang tidak diinginkan ke lingkungan runtime Anda dengan melakukan deployment-nya dari citra yang diperkeras (hardened images). Dapatkan dependensi runtime, seperti citra kontainer dan pustaka aplikasi, hanya dari registri tepercaya dan verifikasikan tanda tangannya. Buat registri privat Anda sendiri untuk menyimpan citra dan pustaka tepercaya yang akan digunakan dalam proses build dan deployment Anda.
**Hasil yang diinginkan:** Sumber daya komputasi Anda disediakan dari image dasar yang diperkeras. Anda mengambil dependensi eksternal, seperti citra kontainer dan pustaka aplikasi, hanya dari registri tepercaya dan memverifikasi tanda tangannya. Image dan pustaka ini disimpan dalam registri privat untuk dirujuk oleh proses build dan deployment Anda. Anda memindai dan memperbarui citra dan dependensi secara rutin untuk membantu Anda melindungi terhadap kerentanan yang baru ditemukan.
**Anti-pola umum:**
+ Mendapatkan citra dan pustaka dari registri tepercaya, tetapi tidak memverifikasi tanda tangannya atau melakukan pemindaian kerentanan sebelum menggunakannya.
+ Melakukan pengerasan citra, tetapi tidak mengujinya secara rutin untuk menemukan kerentanan baru atau memperbaruinya ke versi terkini.
+ Menginstal atau tidak menghapus paket-paket perangkat lunak yang tidak diperlukan selama perkiraan siklus hidup citra.
+ Hanya mengandalkan patching untuk menjaga sumber daya komputasi produksi tetap mutakhir. Patching saja masih dapat menyebabkan sumber daya komputasi menyimpang dari standar yang diperkeras dari waktu ke waktu. Patching juga dapat gagal menghapus malware yang mungkin telah diinstal oleh pelaku ancaman selama terjadi peristiwa keamanan.
**Manfaat menerapkan praktik terbaik ini:** Pengerasan gambar akan membantu mengurangi jumlah jalur yang tersedia di lingkungan runtime Anda yang dapat memungkinkan akses yang tidak diinginkan ke pengguna atau layanan yang tidak sah. Hal ini juga dapat mengurangi cakupan dampak jika terjadi akses yang tidak diinginkan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
Untuk melakukan pengerasan terhadap sistem Anda, mulailah dari versi sistem operasi, citra kontainer, dan pustaka aplikasi terbaru. Terapkan patch untuk masalah yang diketahui. Minimalkan sistem dengan menghapus aplikasi-aplikasi, layanan, driver perangkat, pengguna default, dan kredensial lainnya yang tidak diperlukan. Lakukan tindakan-tindakan lain yang diperlukan, seperti menonaktifkan port untuk membuat lingkungan yang hanya memiliki sumber daya dan kemampuan yang dibutuhkan oleh beban kerja Anda. Dari acuan dasar ini, Anda kemudian dapat menginstal perangkat lunak, agen, atau proses lain yang Anda butuhkan untuk berbagai tujuan, seperti pemantauan beban kerja atau manajemen kerentanan.
Anda dapat mengurangi beban sistem pengerasan dengan menggunakan panduan yang disediakan sumber tepercaya, seperti [Center for Internet Security (CIS) dan Defense Information Systems Agency () Security](https://www.cisecurity.org/) [Technical Implementation Guides (STIGs)](https://public.cyber.mil/stigs/). DISA Kami menyarankan Anda memulai dengan [Amazon Machine Image](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) (AMI) yang diterbitkan oleh AWS atau APN mitra, dan menggunakan AWS [EC2Image Builder](https://aws.amazon.com/image-builder/) untuk mengotomatiskan konfigurasi sesuai dengan kombinasi CIS dan STIG kontrol yang sesuai.
Meskipun ada gambar keras yang tersedia dan resep EC2 Image Builder yang menerapkan CIS atau DISA STIG rekomendasi, Anda mungkin menemukan konfigurasi mereka mencegah perangkat lunak Anda berjalan dengan sukses. Dalam situasi ini, Anda dapat memulai dari gambar dasar yang tidak dikeraskan, menginstal perangkat lunak Anda, dan kemudian secara bertahap menerapkan CIS kontrol untuk menguji dampaknya. Untuk CIS kontrol apa pun yang mencegah perangkat lunak Anda berjalan, uji apakah Anda dapat menerapkan rekomendasi pengerasan berbutir halus sebagai gantinya. DISA Lacak berbagai CIS kontrol dan DISA STIG konfigurasi yang dapat Anda terapkan dengan sukses. Gunakan ini untuk menentukan resep pengerasan gambar Anda di EC2 Image Builder yang sesuai.
[Untuk beban kerja kontainer, gambar yang dikeraskan dari Docker tersedia di repositori publik [Amazon Elastic Container Registry](https://aws.amazon.com/ecr/) (). ECR](https://gallery.ecr.aws/docker) Anda dapat menggunakan EC2 Image Builder untuk mengeraskan gambar kontainer di sampingnyaAMIs.
Mirip dengan sistem operasi dan gambar kontainer, Anda dapat memperoleh paket kode (atau *pustaka*) dari repositori publik, melalui perkakas seperti pip, npm, Maven, dan. NuGet Kami menyarankan Anda untuk mengelola paket kode dengan mengintegrasikan repositori pribadi, seperti dalam [AWS CodeArtifact](https://aws.amazon.com/codeartifact/), dengan repositori publik tepercaya. Integrasi ini dapat menangani pengambilan, penyimpanan, dan penyimpanan paket up-to-date untuk Anda. Proses pembuatan aplikasi Anda kemudian dapat memperoleh dan menguji versi terbaru dari paket-paket ini bersama aplikasi Anda, menggunakan teknik seperti Analisis Komposisi Perangkat Lunak (SCA), Pengujian Keamanan Aplikasi Statis (SAST), dan Pengujian Keamanan Aplikasi Dinamis (DAST).
[Untuk beban kerja tanpa server yang digunakan AWS Lambda, sederhanakan pengelolaan dependensi paket menggunakan lapisan Lambda.](https://docs.aws.amazon.com/lambda/latest/dg/chapter-layers.html) Gunakan lapisan Lambda untuk mengonfigurasi sekumpulan dependensi standar yang ada di berbagai fungsi ke dalam arsip mandiri. Anda dapat membuat dan memelihara lapisan melalui proses pembuatannya sendiri, menyediakan cara sentral agar fungsi Anda tetap ada up-to-date.
## Langkah-langkah implementasi
+ Lakukan pengerasan terhadap sistem operasi. Gunakan gambar dasar dari sumber tepercaya sebagai fondasi untuk membangun pengerasan Anda. AMIs Gunakan [EC2Image Builder](https://aws.amazon.com/image-builder/) untuk membantu menyesuaikan perangkat lunak yang diinstal pada gambar Anda.
+ Lakukan pengerasan terhadap sumber daya terkontainerisasi. Konfigurasikan sumber daya terkontainerisasi untuk memenuhi praktik-praktik terbaik keamanan. Saat menggunakan kontainer, terapkan [Pemindaian ECR Gambar](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) di pipeline build Anda dan secara teratur terhadap repositori gambar Anda untuk dicari CVEs di container Anda.
+ Saat menggunakan implementasi tanpa server dengan AWS Lambda, gunakan [lapisan Lambda](https://docs.aws.amazon.com/lambda/latest/dg/chapter-layers.html) untuk memisahkan kode fungsi aplikasi dan pustaka dependen bersama. Konfigurasikan [penandatanganan kode](https://docs.aws.amazon.com/lambda/latest/dg/configuration-codesigning.html) untuk Lambda untuk memastikan bahwa hanya kode tepercaya yang berjalan dalam fungsi Lambda Anda.
## Sumber daya
**Praktik-praktik terbaik terkait:**
+ [OPS05-BP05 Lakukan manajemen tambalan](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_patch_mgmt.html)
**Video terkait:**
+ [Menyelam jauh ke dalam AWS Lambda keamanan](https://www.youtube.com/watch?v=FTwsMYXWGB0)
**Contoh terkait:**
+ [Membangun STIG -compliant dengan cepat AMI menggunakan EC2 Image Builder](https://aws.amazon.com/blogs/security/quickly-build-stig-compliant-amazon-machine-images-using-amazon-ec2-image-builder/)
+ [Membangun image kontainer yang lebih baik](https://aws.amazon.com/blogs/containers/building-better-container-images/)
+ [Menggunakan lapisan Lambda untuk menyederhanakan proses pengembangan Anda](https://aws.amazon.com/blogs/compute/using-lambda-layers-to-simplify-your-development-process/)
+ [Mengembangkan & Menyebarkan AWS Lambda Layers menggunakan Serverless Framework](https://github.com/aws-samples/aws-serverless-lambda-layers)
+ [Membangun pipa end-to-end AWS DevSecOps CI/CD dengan open sourceSCA, SAST dan alat DAST](https://aws.amazon.com/blogs/devops/building-end-to-end-aws-devsecops-ci-cd-pipeline-with-open-source-sca-sast-and-dast-tools/)
# SEC06-BP03 Kurangi manajemen manual dan akses interaktif
Gunakan otomatisasi sebisa mungkin untuk melakukan tugas deployment, konfigurasi, pemeliharaan, dan investigasi. Pertimbangkan akses manual ke sumber daya komputasi saat melakukan prosedur darurat atau berada dalam lingkungan yang aman (sandbox), ketika otomatisasi tidak tersedia.
**Hasil yang diinginkan:** Skrip terprogram dan dokumen otomatisasi (runbook) merekam tindakan resmi pada sumber daya komputasi Anda. Runbook ini dimulai baik secara otomatis, melalui sistem deteksi perubahan, maupun secara manual, ketika penilaian oleh manusia diperlukan. Akses langsung ke sumber daya komputasi hanya tersedia dalam situasi darurat ketika otomatisasi tidak tersedia. Semua aktivitas manual dicatat lognya dan dimasukkan ke dalam proses peninjauan untuk terus meningkatkan kemampuan-kemampuan otomatisasi Anda.
**Anti-pola umum:**
+ Akses interaktif ke instans Amazon EC2 dengan protokol seperti SSH atau RDP.
+ Mempertahankan login pengguna individu seperti `/etc/passwd` atau pengguna lokal Windows.
+ Berbagi kata sandi atau kunci privat untuk mengakses instans di antara beberapa pengguna.
+ Menginstal perangkat lunak dan membuat atau memperbarui file konfigurasi secara manual.
+ Memperbarui atau melakukan patching perangkat lunak secara manual.
+ Masuk ke instans untuk memecahkan masalah.
**Manfaat menerapkan praktik terbaik ini:** Melakukan tindakan dengan otomatisasi dapat membantu Anda mengurangi risiko operasional dari perubahan dan kesalahan konfigurasi yang tidak diinginkan. Penghentian penggunaan Secure Shell (SSH) dan Remote Desktop Protocol (RDP) untuk akses interaktif akan mengurangi cakupan akses ke sumber daya komputasi Anda. Hal ini akan menghilangkan jalur umum yang memungkinkan tindakan tidak sah. Pencatatan tugas manajemen sumber daya komputasi Anda dalam dokumen otomatisasi dan skrip programatis akan menyediakan sebuah mekanisme untuk menentukan dan mengaudit cakupan penuh aktivitas yang sah secara lebih mendetail.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang
## Panduan implementasi
Masuk ke instans adalah pendekatan klasik untuk administrasi sistem. Setelah menginstal sistem operasi server, pengguna biasanya akan masuk log in secara manual untuk mengonfigurasi sistem dan menginstal perangkat lunak yang diinginkan. Selama masa pakai server, pengguna mungkin masuk log in untuk melakukan pembaruan perangkat lunak, menerapkan patch, mengubah konfigurasi, dan memecahkan masalah.
Namun demikian, akses secara manual dapat menimbulkan sejumlah risiko. Hal ini membutuhkan server yang mendengarkan permintaan, seperti layanan SSH atau RDP, yang dapat memberikan jalur potensial untuk terjadinya akses tidak sah. Ini juga meningkatkan risiko kesalahan manusia yang terkait dengan pelaksanaan langkah-langkah secara manual. Hal ini dapat mengakibatkan insiden beban kerja, kerusakan atau pemusnahan data, atau masalah-masalah keamanan lainnya. Akses manusia juga memerlukan perlindungan dari tindakan berbagi kredensial, yang bisa menimbulkan biaya overhead manajemen tambahan.
[Untuk mengurangi risiko ini, Anda dapat menerapkan solusi akses jarak jauh berbasis agen, seperti AWS Systems Manager](https://aws.amazon.com/systems-manager/). AWS Systems Manager Agen (Agen SSM) memulai sebuah saluran terenkripsi, sehingga tidak perlu mendengarkan permintaan yang dimulai secara eksternal. Pertimbangkan untuk mengonfigurasi Agen SSM untuk [membuat saluran ini melalui sebuah titik akhir VPC](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html).
Systems Manager memberikan Anda kontrol terperinci tentang cara berinteraksi dengan instans terkelola. Anda dapat menentukan otomatisasi yang akan dijalankan, siapa yang bisa menjalankannya, dan kapan mereka bisa menjalankannya. Systems Manager dapat menerapkan patch, menginstal perangkat lunak, dan membuat perubahan konfigurasi tanpa akses interaktif ke instans. Systems Manager juga dapat menyediakan akses ke shell jarak jauh dan mencatat log dari setiap perintah yang diinvokasi, dan outputnya, selama sesi ke log dan [Amazon S3](https://aws.amazon.com/s3/). [AWS CloudTrail](https://aws.amazon.com/cloudtrail/) merekam invokasi API Systems Manager untuk inspeksi.
### Langkah-langkah implementasi
1. [Instal Agen AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-linux.html) (SSM Agent) di instans Amazon EC2 Anda. Periksa untuk melihat apakah Agen SSM disertakan dan dimulai secara otomatis sebagai bagian dari konfigurasi AMI dasar Anda.
1. Verifikasi bahwa Peran IAM yang dikaitkan dengan profil instans EC2 Anda menyertakan kebijakan [IAM terkelola](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) `AmazonSSMManagedInstanceCore`.
1. Non-aktifkan SSH, RDP, dan layanan akses jarak jauh lainnya yang berjalan di instans Anda. Anda dapat melakukannya dengan menjalankan skrip yang dikonfigurasi di bagian data pengguna untuk templat peluncuran Anda atau dengan membuat AMI yang disesuaikan dengan alat seperti EC2 Image Builder.
1. Pastikan bahwa aturan lalu lintas masuk grup keamanan yang berlaku untuk instans EC2 Anda tidak mengizinkan akses pada port 22/tcp (SSH) atau port 3389/tcp (RDP). Implementasikan deteksi dan peringatan terkait grup keamanan yang salah konfigurasi dengan menggunakan layanan-layanan seperti AWS Config.
1. Tentukan otomatisasi dan runbook yang sesuai, lalu jalankan perintah di Systems Manager. Gunakan kebijakan IAM untuk menentukan siapa yang dapat melakukan tindakan ini dan kondisi yang akan membuat mereka diizinkan. Uji otomatisasi ini secara menyeluruh di sebuah lingkungan non-produksi. Lakukan invokasi terhadap otomatisasi ini jika diperlukan, bukan mengakses instans secara interaktif.
1. Gunakan [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) untuk menyediakan akses interaktif ke instans bila diperlukan. Aktifkan pencatatan log aktivitas sesi untuk mempertahankan jejak audit di [Log Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) atau [Amazon S3](https://aws.amazon.com/s3/).
## Sumber daya
**Praktik-praktik terbaik terkait:**
+ [REL08-BP04 Melakukan deployment dengan menggunakan infrastruktur yang tidak bisa diubah](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_tracking_change_management_immutable_infrastructure.html)
**Contoh terkait:**
+ [Mengganti akses SSH untuk mengurangi overhead manajemen dan keamanan dengan AWS Systems Manager](https://aws.amazon.com/blogs/mt/vr-beneficios-session-manager/)
**Alat terkait:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
**Video terkait:**
+ [Mengontrol Akses Sesi Pengguna ke Instans di Manajer Sesi AWS Systems Manager](https://www.youtube.com/watch?v=nzjTIjFLiow)
# SEC06-BP04 Validasi integritas perangkat lunak
Gunakan verifikasi kriptografis untuk memvalidasi integritas artefak perangkat lunak (termasuk citra) yang digunakan beban kerja Anda. Tanda tangani perangkat lunak Anda secara kriptografis sebagai perlindungan terhadap perubahan-perubahan tidak sah yang berjalan di lingkungan komputasi Anda.
**Hasil yang diinginkan:** Semua artefak diperoleh dari sumber-sumber yang tepercaya. Sertifikat situs web vendor divalidasi. Artefak yang diunduh sudah diverifikasi secara kriptografis berdasarkan tanda tangannya. Perangkat lunak Anda sendiri ditandatangani secara kriptografis dan diverifikasi oleh lingkungan-lingkungan komputasi Anda.
**Anti-pola umum:**
+ Memercayai situs web vendor terkemuka untuk mendapatkan artefak perangkat lunak, tetapi mengabaikan pemberitahuan tentang sertifikat yang kedaluwarsa. Melanjutkan pengunduhan tanpa mengonfirmasi bahwa sertifikatnya valid.
+ Memvalidasi sertifikat situs web vendor, tetapi tidak secara kriptografis memverifikasi artefak yang diunduh dari situs web ini.
+ Hanya mengandalkan digest atau hash untuk memvalidasi integritas perangkat lunak. Hash menetapkan bahwa artefak belum dimodifikasi dari versi aslinya, tetapi tidak memvalidasi sumbernya.
+ Tidak menandatangani perangkat lunak, kode, atau pustaka Anda sendiri, meskipun hanya digunakan dalam deployment Anda sendiri.
**Manfaat menerapkan praktik terbaik ini:** Memvalidasi integritas artefak yang bergantung pada beban kerja Anda akan membantu Anda dalam mencegah malware memasuki lingkungan komputasi Anda. Menandatangani perangkat lunak Anda akan membantu melindungi dari eksekusi yang tidak sah di lingkungan komputasi Anda. Amankan rantai pasokan perangkat lunak Anda dengan menandatangani dan memverifikasi kodenya.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang
## Panduan implementasi
Citra sistem operasi, citra kontainer, dan artefak kode sering kali didistribusikan dengan pemeriksaan integritas yang tersedia, seperti melalui digest atau hash. Hal ini memungkinkan klien untuk memverifikasi integritas dengan melakukan komputasi hash atas payload mereka sendiri dan memastikan itu sama dengan yang dipublikasikan. *Meskipun pemeriksaan ini membantu Anda untuk memverifikasi bahwa muatan belum dirusak, namun pemeriksaan tersebut tidak memvalidasi muatan yang berasal dari sumber aslinya (asalnya*). Verifikasi asal-usul mengharuskan adanya sertifikat yang dikeluarkan oleh otoritas tepercaya untuk menandatangani artefaknya secara digital.
Jika Anda menggunakan sebuah perangkat lunak atau artefak unduhan dalam beban kerja Anda, periksa apakah penyedianya menyediakan kunci publik untuk verifikasi tanda tangan digital. Berikut ini adalah beberapa contoh cara AWS menyediakan kunci publik dan instruksi verifikasi untuk perangkat lunak yang kami publikasikan:
+ [EC2Image Builder: Verifikasi tanda tangan unduhan AWS TOE instalasi](https://docs.aws.amazon.com/imagebuilder/latest/userguide/awstoe-verify-sig.html)
+ [AWS Systems Manager: Memverifikasi tanda tangan SSM Agen](https://docs.aws.amazon.com/systems-manager/latest/userguide/verify-agent-signature.html)
+ [Amazon CloudWatch: Memverifikasi tanda tangan paket CloudWatch agen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/verify-CloudWatch-Agent-Package-Signature.html)
Masukkan verifikasi tanda tangan digital ke dalam proses yang Anda gunakan untuk memperoleh dan mengeraskan gambar, seperti yang dibahas dalam [SEC06-BP02 Komputasi ketentuan](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_hardened_images.html) dari gambar yang diperkeras.
Anda dapat menggunakannya [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) untuk membantu Anda mengelola verifikasi tanda tangan, serta siklus hidup penandatanganan kode Anda sendiri untuk perangkat lunak dan artefak Anda sendiri. Keduanya, [AWS Lambda](https://aws.amazon.com/lambda/) dan [Amazon Elastic Container Registry](https://aws.amazon.com/ecr/) menyediakan integrasi dengan Signer untuk memverifikasi tanda tangan kode dan image Anda. Menggunakan contoh di bagian Sumber Daya, Anda dapat menerapkan Signer ke dalam pipeline integrasi dan pengiriman berkelanjutan (CI/CD) untuk mengotomatiskan verifikasi tanda tangan serta penandatanganan kode dan image Anda sendiri.
## Sumber daya
**Dokumen terkait:**
+ [Penandatanganan Kriptografi untuk Kontainer](https://aws.amazon.com/blogs/containers/cryptographic-signing-for-containers/)
+ [Praktik Terbaik untuk membantu mengamankan pipeline build image container Anda dengan menggunakan AWS Signer](https://aws.amazon.com/blogs/security/best-practices-to-help-secure-your-container-image-build-pipeline-by-using-aws-signer/)
+ [Mengumumkan Penandatanganan Gambar Kontainer dengan AWS Signer dan Amazon EKS](https://aws.amazon.com/blogs/containers/announcing-container-image-signing-with-aws-signer-and-amazon-eks/)
+ [Mengkonfigurasi penandatanganan kode untuk AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-codesigning.html)
+ [Praktik-praktik terbaik dan pola lanjutan untuk penandatanganan kode Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/)
+ [Penandatanganan kode menggunakan CA AWS Certificate Manager Pribadi dan kunci AWS Key Management Service asimetris](https://aws.amazon.com/blogs/security/code-signing-aws-certificate-manager-private-ca-aws-key-management-service-asymmetric-keys/)
**Contoh terkait:**
+ [Otomatiskan penandatanganan kode Lambda dengan Amazon dan CodeCatalyst AWS Signer](https://aws.amazon.com/blogs/devops/automate-lambda-code-signing-with-amazon-codecatalyst-and-aws-signer/)
+ [Menandatangani dan Memvalidasi OCI Artefak dengan AWS Signer](https://aws.amazon.com/blogs/containers/signing-and-validating-oci-artifacts-with-aws-signer/)
**Alat terkait:**
+ [AWS Lambda](https://aws.amazon.com/lambda/)
+ [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html)
+ [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/)
+ [AWS Key Management Service](https://aws.amazon.com/kms/)
+ [AWS CodeArtifact](https://aws.amazon.com/codeartifact/)
# SEC06-BP05 Otomatiskan perlindungan komputasi
Lakukan otomatisasi terhadap operasi perlindungan komputasi untuk mengurangi kebutuhan akan intervensi manusia. Gunakan pemindaian otomatis untuk mendeteksi adanya potensi masalah yang mungkin terjadi dalam sumber daya komputasi Anda, dan lakukan remediasi dengan respons programatis otomatis atau operasi manajemen armada. Tambahkan otomatisasi dalam proses CI/CD Anda untuk melakukan deployment beban kerja tepercaya dengan dependensi terkini.
**Hasil yang diinginkan:** Sistem otomatis melakukan semua pemindaian dan penambalan atas sumber daya komputasi. Anda menggunakan verifikasi otomatis untuk memeriksa apakah image dan dependensi perangkat lunak berasal dari sumber tepercaya, dan belum dirusak. Beban kerja secara otomatis akan diperiksa apakah dependensi-nya sudah menggunakan yang terbaru atau tidak, dan ditandatangani untuk membangun kepercayaan di lingkungan komputasi AWS. Remediasi otomatis dimulai ketika ada sumber daya yang tidak mematuhi persyaratan terdeteksi.
**Anti-pola umum:**
+ Mengikuti praktik infrastruktur tak dapat diubah, tetapi tidak memiliki solusi untuk melakukan patching atau penggantian darurat sistem produksi.
+ Menggunakan otomatisasi untuk memperbaiki sumber daya yang salah konfigurasi, tetapi tidak memiliki mekanisme untuk melakukan penimpaan secara manual. Kesulitan mungkin akan muncul saat Anda perlu menyesuaikan persyaratan, dan Anda mungkin perlu menangguhkan otomatisasi sampai Anda membuat perubahan-perubahan ini.
**Manfaat menerapkan praktik terbaik ini:** Otomatisasi dapat mengurangi risiko akses dan penggunaan sumber daya komputasi Anda yang tidak sah. Hal ini akan membantu Anda mencegah terjadinya kesalahan konfigurasi yang masuk ke lingkungan produksi, serta mendeteksi dan memperbaiki kesalahan konfigurasi jika terjadi. Otomatisasi juga akan membantu Anda mendeteksi akses dan penggunaan yang tidak sah atas sumber daya komputasi untuk mempercepat waktu respons Anda. Hal ini pada gilirannya dapat mengurangi cakupan dampak yang ditimbulkan masalah secara keseluruhan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang
## Panduan implementasi
Anda dapat menerapkan otomatisasi yang dijelaskan dalam praktik Pilar Keamanan untuk memberikan proteksi terhadap melindungi sumber daya komputasi Anda. [SEC06-BP01 Melakukan manajemen kerentanan](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_vulnerability_management.html) menjelaskan cara-cara yang dapat Anda lakukan untuk menggunakan [Amazon Inspector](https://aws.amazon.com/inspector/) di pipeline CI/CD Anda dan untuk selalu memindai lingkungan runtime Anda untuk mencari Kerentanan Umum dan Eksposur (CVE) yang diketahui. Anda dapat menggunakan [AWS Systems Manager](https://aws.amazon.com/systems-manager/) untuk menerapkan pacth atau melakukan deployment ulang atas image gambar baru melalui runbook otomatis agar armada komputasi Anda diperbarui dengan perangkat lunak dan pustaka terbaru. Gunakan teknik-teknik ini untuk mengurangi kebutuhan akan proses-proses manual dan akses interaktif ke sumber daya komputasi Anda. Lihat [SEC06-BP03 Kurangi manajemen manual dan akses interaktif](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_reduce_manual_management.html) untuk mempelajari lebih lanjut.
Otomatisasi juga berperan dalam melakukan deployment beban kerja yang dapat dipercaya, sebagaimana dijelaskan dalam [SEC06-BP02 Penyediaan komputasi dari image yang diperkeras](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_hardened_images.html) dan [SEC06-BP04 Memvalidasi integritas perangkat lunak](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_validate_software_integrity.html). Anda dapat menggunakan layanan seperti [EC2 Image Builder](https://aws.amazon.com/image-builder/), [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html), [AWS CodeArtifact](https://aws.amazon.com/codeartifact/), dan [Amazon Elastic Container Registry (ECR](https://aws.amazon.com/ecr/)) untuk mengunduh, memverifikasi, membuat konsep, dan menyimpan kode image dan dependensi yang diperkeras dan sudah disetujui. Bersama Inspector, masing-masing layanan ini dapat memainkan peran dalam proses CI/CD Anda sehingga beban kerja Anda akan memasuki produksi hanya ketika dikonfirmasi bahwa dependensinya sudah terbaru dan berasal dari sumber tepercaya. Beban kerja Anda juga ditandatangani sehingga lingkungan komputasi AWS, seperti [AWS Lambda](https://aws.amazon.com/lambda/) dan [Amazon Elastic Kubernetes Service (EKS)](https://aws.amazon.com/eks/) dapat memverifikasi bahwa beban kerja belum dirusak sebelum mengizinkannya dijalankan.
Selain kontrol-kontrol preventif ini, Anda juga dapat menggunakan otomatisasi dalam kontrol-kontrol detektif untuk sumber daya komputasi Anda. Sebagai salah satu contoh, [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) menawarkan standar [NIST 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) yang mencakup pemeriksaan seperti [instans EC2 [EC2.8] harus menggunakan Instans Metadata Service Version 2 (IMDSv2)](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8). IMDSv2 menggunakan teknik autentikasi sesi, yang dapat memblokir permintaan yang berisi header HTTP X-Forwarded-For, dan TTL jaringan 1 untuk menghentikan lalu lintas yang berasal dari sumber eksternal yang hendak mengambil informasi tentang instans EC2. Pemeriksaan dalam CSPM Security Hub ini dapat mendeteksi kapan instans EC2 menggunakan IMDSv1 dan memulai remediasi otomatis. Pelajari lebih lanjut tentang deteksi dan remediasi otomatis di [SEC04-BP04 Mulai melakukan remediasi untuk sumber daya yang tidak mematuhi persyaratan](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html).
### Langkah-langkah implementasi
1. Otomatiskan pembuatan AMI yang aman, sesuai ketentuan, dan diperkeras dengan [EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/integ-compliance-products.html). Anda dapat menghasilkan citra yang menambahkan kontrol dari Tolok Ukur Center for Internet Security (CIS) atau standar Security Technical Implementation Guide (STIG) dari citra dasar AWS dan partner APN.
1. Melakukan otomatisasi manajemen konfigurasi. Berlakukan dan validasikan konfigurasi-konfigurasi yang aman di sumber daya komputasi Anda secara otomatis dengan menggunakan layanan atau alat manajemen konfigurasi.
1. Manajemen konfigurasi otomatis menggunakan [AWS Config](https://aws.amazon.com/config/)
1. Keamanan otomatis dan manajemen postur kepatuhan dengan menggunakan [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/)
1. Otomatiskan patching dan penggantian instans Amazon Elastic Compute Cloud (Amazon EC2). AWS Manajer Patch Systems Manager mengotomatiskan proses patching instans terkelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya. Anda dapat menggunakan Patch Manager untuk menerapkan patch untuk kedua sistem operasi dan aplikasi.
1. [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
1. Lakukan otomatisasi terhadap pemindaian sumber daya komputasi untuk menemukan kerentanan dan paparan umum (CVE), serta sematkan solusi pemindaian keamanan dalam pipeline build Anda.
1. [Amazon Inspector](https://aws.amazon.com/inspector/)
1. [Pemindaian Image ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html)
1. Pertimbangkan Amazon GuardDuty untuk mendeteksi malware dan ancaman otomatis untuk memberikan proteksi terhadap sumber daya komputasi. GuardDuty juga dapat mengidentifikasi masalah-masalah potensial ketika suatu fungsi [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) diinvokasi di lingkungan AWS Anda.
1. [Amazon GuardDuty](https://aws.amazon.com/guardduty/)
1. Pertimbangkan solusi Partner AWS. AWS Partner menawarkan berbagai produk yang terkemuka di industri yang setara, identik, atau dapat diintegrasikan dengan kontrol yang sudah ada di lingkungan on-premise Anda. Produk-produk ini akan melengkapi layanan-layanan AWS yang ada untuk memungkinkan Anda melakukan deployment arsitektur keamanan yang menyeluruh dan pengalaman yang lebih lancar di seluruh lingkungan cloud dan on-premise Anda.
1. [Keamanan infrastruktur](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Sumber daya
**Praktik-praktik terbaik terkait:**
+ [SEC01-BP06 Otomatiskan deployment kontrol keamanan standar](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html)
**Dokumen terkait:**
+ [Dapatkan manfaat penuh dari IMDSv2 dan nonaktifkan IMDSv1 di seluruh infrastruktur AWS Anda](https://aws.amazon.com/blogs/security/get-the-full-benefits-of-imdsv2-and-disable-imdsv1-across-your-aws-infrastructure/)
**Video terkait:**
+ [Praktik terbaik keamanan untuk layanan metadata instans Amazon EC2](https://youtu.be/2B5bhZzayjI)