# Melindungi data bergerak
<a name="protecting-data-in-transit"></a>

 *Data bergerak* adalah data yang dikirimkan dari satu sistem ke sistem lainnya. Ini mencakup komunikasi antarsumber daya di dalam beban kerja Anda juga komunikasi antara layanan lain dan pengguna akhir Anda. Dengan menyediakan tingkat perlindungan yang tepat untuk data bergerak, kerahasiaan dan integritas data di beban kerja Anda terlindungi. 

**Mengamankan data dari antara VPC atau lokasi on-premise:** Anda dapat menggunakan [AWS PrivateLink](https://aws.amazon.com/privatelink/)untuk membuat sebuah sambungan jaringan privat dan aman antara Amazon Virtual Private Cloud (Amazon VPC) atau konektivitas on-premise ke layanan yang di-hosting di AWS. Anda dapat mengakses layanan AWS, layanan pihak ketiga, dan layanan di Akun AWS lainnya seolah layanan tersebut berada di jaringan privat Anda. Dengan AWS PrivateLink, Anda dapat mengakses layanan lintas akun dengan CIDR IP yang tumpang tindih tanpa memerlukan Gateway Internet atau NAT. Anda juga tidak harus mengonfigurasikan aturan firewall, definisi jalur, atau tabel rute. Lalu lintas tetap berada di backbone Amazon dan tidak berjalan di internet, sehingga data Anda tetap terlindungi. Anda dapat mempertahankan kepatuhan dengan regulasi kepatuhan khusus industri, seperti HIPAA dan Perlindungan Privasi Uni Eropa/AS (EU/US Privacy Shield). AWS PrivateLink mudah bekerja dengan solusi pihak ketiga untuk membuat jaringan global yang disederhanakan, sehingga Anda dapat mempercepat migrasi ke cloud dan mengambil keuntungan dari layanan AWS yang tersedia.

**Topics**
+ [SEC09-BP01 Mengimplementasikan manajemen sertifikat dan kunci keamanan](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Menerapkan enkripsi data bergerak](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Autentikasikan komunikasi jaringan](sec_protect_data_transit_authentication.md)

# SEC09-BP01 Mengimplementasikan manajemen sertifikat dan kunci keamanan
<a name="sec_protect_data_transit_key_cert_mgmt"></a>

 Sertifikat Keamanan Lapisan Pengangkutan (TLS) digunakan untuk mengamankan komunikasi jaringan dan menetapkan identitas situs web, sumber daya, dan beban kerja di internet, serta jaringan privat. 

 **Hasil yang diinginkan:** Sistem manajemen sertifikat aman yang dapat menyediakan, men-deploy, menyimpan, dan memperpanjang sertifikat di dalam infrastruktur kunci publik (PKI). Mekanisme manajemen kunci dan sertifikat yang aman akan mencegah pengungkapan materi kunci privat sertifikat dan secara otomatis memperpanjang sertifikat secara berkala. Mekanisme ini juga terintegrasi dengan layanan-layanan lain untuk menyediakan komunikasi jaringan yang aman dan identitas untuk sumber daya mesin di dalam beban kerja Anda. Materi kunci tidak boleh diakses oleh identitas manusia. 

 **Anti-pola umum:** 
+  Melakukan langkah-langkah manual selama proses deployment atau perpanjangan sertifikat. 
+  Kurang memperhatikan hierarki otoritas sertifikat (CA) saat merancang CA privat. 
+  Menggunakan sertifikat yang ditandatangani sendiri untuk sumber daya publik. 

 **Manfaat menjalankan praktik terbaik ini: **
+  Sederhanakan manajemen sertifikat melalui deployment dan perpanjangan otomatis 
+  Dorong enkripsi data bergerak dengan menggunakan sertifikat TLS 
+  Peningkatan keamanan dan keterauditan tindakan-tindakan sertifikat yang dilakukan oleh otoritas sertifikat 
+  Manajemen tugas-tugas manajemen di berbagai lapisan hierarki CA 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi

## Panduan implementasi
<a name="implementation-guidance"></a>

 Beban kerja modern banyak memanfaatkan komunikasi jaringan terenkripsi dengan menggunakan protokol PKI seperti TLS. Manajemen sertifikat PKI mungkin kompleks, tetapi penyediaan, deployment, dan perpanjangan sertifikat secara otomatis dapat mengurangi gesekan yang berkaitan dengan manajemen sertifikat. 

 AWS menyediakan dua layanan untuk mengelola sertifikat PKI tujuan umum: [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) dan [AWS Private Certificate Authority (AWS Private CA)](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html). ACM adalah layanan primer yang digunakan oleh pelanggan untuk menyediakan, mengelola, dan melakukan deployment sertifikat untuk digunakan di beban kerja AWS publik maupun privat. ACM mengeluarkan sertifikat privat dengan menggunakan AWS Private CA dan [terintegrasi](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) dengan banyak layanan terkelola AWS lainnya untuk menyediakan sertifikat TLS yang aman untuk beban kerja. ACM juga dapat mengeluarkan sertifikat tepercaya publik dari [Amazon Trust Services](https://www.amazontrust.com/repository/). Sertifikat publik dari ACM dapat digunakan pada beban kerja sisi publik karena browser dan sistem operasi modern memercayai sertifikat ini secara default. 

 Dengan AWS Private CA, Anda dapat membuat otoritas sertifikat root atau subordinat Anda sendiri dan menerbitkan sertifikat TLS melalui API. Anda dapat menggunakan jenis-jenis sertifikat ini dalam skenario di mana Anda mengontrol dan mengelola rantai kepercayaan pada sisi klien koneksi TLS. Selain kasus penggunaan TLS, AWS Private CA dapat digunakan untuk menerbitkan sertifikat ke pod Kubernetes, atestasi produk perangkat Matter, penandatanganan kode, dan kasus penggunaan lain dengan [templat kustom](https://docs.aws.amazon.com/privateca/latest/userguide/UsingTemplates.html). Anda juga dapat menggunakan [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) untuk memberikan kredensial IAM sementara ke beban kerja on-premise yang telah diberikan sertifikat X.509 yang ditandatangani oleh CA Privat Anda. 

 Selain ACM dan AWS Private CA, [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/what-is-aws-iot.html) menyediakan dukungan khusus untuk penyediaan, pengelolaan, dan deployment sertifikat PKI ke perangkat IoT. AWS IoT Core menyediakan mekanisme khusus untuk melakukan [onboarding perangkat IoT](https://docs.aws.amazon.com/whitepapers/latest/device-manufacturing-provisioning/device-manufacturing-provisioning.html) ke infrastruktur kunci publik Anda dalam skala besar. 

 Beberapa layanan AWS, seperti [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) dan [Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html), menawarkan kemampuannya sendiri untuk menggunakan sertifikat guna mengamankan koneksi aplikasi. Misalnya, API Gateway dan Penyeimbang Beban Aplikasi (ALB) mendukung TLS mutual (mTLS) menggunakan sertifikat klien yang Anda buat dan ekspor menggunakan Konsol Manajemen AWS, CLI, atau API. 

**Pertimbangan untuk membangun hierarki CA privat **

 Ketika Anda perlu membuat CA privat, penting untuk berhati-hati dalam merancang hierarki CA dengan benar di awal. Salah satu praktik terbaiknya adalah men-deploy setiap tingkat hierarki CA Anda ke dalam Akun AWS yang terpisah saat membuat hierarki CA privat. Langkah sengaja ini mengurangi luas permukaan untuk setiap tingkat di dalam hierarki CA, sehingga mempermudah penemuan anomali dalam data log CloudTrail dan mengurangi ruang lingkup akses atau dampak jika terdapat akses tidak sah ke salah satu akun. CA root harus berada di akun terpisahnya sendiri dan hanya boleh digunakan untuk menerbitkan satu atau beberapa sertifikat CA perantara. 

 Kemudian, buatlah satu atau beberapa CA perantara di akun yang terpisah dari akun CA root untuk menerbitkan sertifikat bagi pengguna akhir, perangkat, atau beban kerja lainnya. Terakhir, terbitkan sertifikat dari CA root Anda ke CA perantara, yang pada gilirannya akan menerbitkan sertifikat kepada para pengguna akhir atau perangkat Anda. Untuk informasi selengkapnya tentang perencanaan deployment CA dan perancangan hierarki CA, termasuk perencanaan ketahanan, replikasi lintas wilayah, berbagi CA di seluruh organisasi, dan lainnya, lihat [Merencanakan deployment AWS Private CA Anda](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html). 

### Langkah-langkah implementasi
<a name="implementation-steps"></a>

1.  Tentukan layanan-layanan AWS yang relevan yang diperlukan untuk kasus penggunaan Anda: 
   +  Banyak kasus penggunaan dapat memanfaatkan infrastruktur kunci publik AWS yang sudah ada dengan menggunakan [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html). ACM dapat digunakan untuk melakukan deployment sertifikat TLS untuk server web, penyeimbang beban, atau penggunaan lain untuk sertifikat yang dipercaya secara publik. 
   +  Pertimbangkan [AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) ketika Anda perlu membuat hierarki otoritas sertifikat privat Anda sendiri atau memerlukan akses ke sertifikat yang dapat diekspor. ACM kemudian dapat digunakan untuk mengeluarkan [banyak jenis sertifikat entitas akhir](https://docs.aws.amazon.com/privateca/latest/userguide/PcaIssueCert.html) menggunakan AWS Private CA. 
   +  Untuk kasus penggunaan di mana sertifikat harus disediakan dalam skala besar untuk perangkat Internet untuk Segala (IoT) yang disematkan, pertimbangkan [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/x509-client-certs.html). 
   +  Pertimbangkan menggunakan fungsionalitas mTLS native dalam layanan seperti [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) atau [Penyeimbang Beban Aplikasi](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html). 

1.  Implementasikan perpanjangan sertifikat otomatis jika memungkinkan: 
   +  Gunakan [pembaruan terkelola ACM](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) untuk sertifikat yang diterbitkan oleh ACM bersama dengan layanan terkelola AWS yang terintegrasi. 

1.  Bangun jejak pencatatan log dan jejak audit: 
   +  Aktifkan [log CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html) untuk melacak akses ke akun yang memiliki otoritas sertifikat. Pertimbangkan untuk mengonfigurasi validasi integritas file log di CloudTrail untuk memverifikasi keaslian data log. 
   +  Buat dan tinjau secara berkala [laporan audit](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html) yang mencantumkan sertifikat yang telah dikeluarkan atau dicabut oleh CA privat Anda. Laporan-laporan ini dapat diekspor ke bucket S3. 
   +  Saat men-deploy CA pribadi, Anda juga perlu membuat bucket S3 untuk menyimpan Daftar Pencabutan Sertifikat (CRL). Untuk membaca panduan mengenai cara mengonfigurasi bucket S3 ini berdasarkan persyaratan beban kerja Anda, silakan lihat [Merencanakan daftar pencabutan sertifikat (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html). 

## Sumber daya
<a name="resources"></a>

 **Praktik-praktik terbaik terkait:** 
+  [SEC02-BP02 Menggunakan kredensial sementara](sec_identities_unique.md) 
+ [SEC08-BP01 Mengimplementasikan manajemen kunci yang aman](sec_protect_data_rest_key_mgmt.md)
+  [SEC09-BP03 Autentikasikan komunikasi jaringan](sec_protect_data_transit_authentication.md) 

 **Dokumen terkait:** 
+  [Cara meng-host dan mengelola seluruh infrastruktur sertifikat privat di AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/) 
+  [Cara mengamankan hierarki ACM Private CA skala korporasi untuk otomotif dan manufaktur](https://aws.amazon.com/blogs/security/how-to-secure-an-enterprise-scale-acm-private-ca-hierarchy-for-automotive-and-manufacturing/) 
+  [Praktik terbaik CA privat](https://docs.aws.amazon.com/privateca/latest/userguide/ca-best-practices.html) 
+  [Cara menggunakan AWS RAM untuk membagikan CA Privat ACM Anda secara lintas akun](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/) 

 **Video terkait:** 
+  [Mengaktifkan CA Privat AWS Certificate Manager (lokakarya)](https://www.youtube.com/watch?v=XrrdyplT3PE) 

 **Contoh terkait:** 
+  [Lokakarya CA privat](https://catalog.workshops.aws/certificatemanager/en-US/introduction) 
+  [Lokakarya Manajemen Perangkat IOT](https://iot-device-management.workshop.aws/en/) (termasuk penyediaan perangkat) 

 **Alat terkait:** 
+  [Plugin ke Kubernetes cert-manager untuk menggunakan AWS Private CA](https://github.com/cert-manager/aws-privateca-issuer) 

# SEC09-BP02 Menerapkan enkripsi data bergerak
<a name="sec_protect_data_transit_encrypt"></a>

Berlakukan persyaratan-persyaratan enkripsi yang Anda tetapkan berdasarkan kebijakan, kewajiban berdasarkan regulasi, dan standar organisasi Anda untuk membantu memenuhi persyaratan organisasi, hukum, dan kepatuhan. Hanya gunakan protokol yang dienkripsi ketika mengirimkan data sensitif di luar cloud privat virtual (VPC) Anda. Enkripsi akan membantu menjaga kerahasiaan data, bahkan ketika data berada di jaringan yang tidak tepercaya.

 **Hasil yang diinginkan:** Anda mengenkripsi lalu lintas jaringan antara sumber daya Anda dan internet untuk mengurangi akses tidak sah ke data. Anda mengenkripsi lalu lintas jaringan dalam lingkungan AWS internal Anda sesuai dengan persyaratan keamanan Anda. Anda mengenkripsi data bergerak menggunakan protokol TLS aman dan cipher suite. 

 **Anti-pola umum:** 
+  Menggunakan versi komponen SSL, TLS, rangkaian sandi yang tidak digunakan lagi (misalnya, SSL v3.0, kunci RSA 1024-bit, dan sandi RC4). 
+  Mengizinkan lalu lintas (HTTP) tidak terenkripsi ke atau dari sumber daya yang dapat diakses publik. 
+  Tidak memantau dan tidak mengganti sertifikat X.509 sebelum kedaluwarsa. 
+  Menggunakan sertifikat X.509 yang Anda buat sendiri untuk TLS. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Layanan-layanan AWS menyediakan titik akhir HTTPS menggunakan TLS untuk komunikasi, memberikan enkripsi data bergerak saat berkomunikasi dengan API AWS. Protokol HTTP yang tidak aman dapat diaudit dan diblokir di Cloud Privat Virtual (VPC) melalui penggunaan grup keamanan. Permintaan HTTP juga dapat secara otomatis dialihkan ke HTTPS di [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) atau di [Penyeimbang Beban Aplikasi](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Anda dapat menggunakan [kebijakan bucket Amazon Simple Storage Service (Amazon S3)](https://aws.amazon.com/blogs/storage/enforcing-encryption-in-transit-with-tls1-2-or-higher-with-amazon-s3/) untuk membatasi kemampuan mengunggah objek melalui HTTP, yang secara efektif menerapkan penggunaan HTTPS untuk pengunggahan objek ke bucket Anda. Anda memiliki kendali penuh atas sumber daya komputasi Anda untuk mengimplementasikan enkripsi data bergerak di seluruh layanan Anda. Selain itu, Anda dapat menggunakan sambungan VPN ke dalam VPC Anda dari jaringan eksternal atau [AWS Direct Connect](https://aws.amazon.com/directconnect/) untuk memudahkan enkripsi lalu lintas. Verifikasikan bahwa klien Anda melakukan panggilan ke API AWS menggunakan setidaknya TLS 1.2 karena [AWS telah menghentikan penggunaan versi TLS sebelumnya per Februari 2024](https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/). Kami menyarankan Anda menggunakan TLS 1.3. Jika Anda memiliki persyaratan khusus untuk enkripsi bergerak, Anda dapat menemukan solusi pihak ketiga yang tersedia di AWS Marketplace. 

### Langkah-langkah implementasi
<a name="implementation-steps"></a>
+  **Terapkan enkripsi data bergerak:** Persyaratan enkripsi yang Anda tetapkan harus didasarkan pada standar dan praktik terbaik paling baru dan hanya mengizinkan protokol yang aman. Misalnya, konfigurasikan grup keamanan untuk hanya mengizinkan protokol HTTPS ke penyeimbang beban aplikasi atau instans Amazon EC2. 
+  **Konfigurasikan protokol yang aman di layanan edge:** [Konfigurasikan HTTPS dengan Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html) dan gunakan [profil keamanan yang sesuai dengan postur keamanan dan kasus penggunaan Anda](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html#secure-connections-supported-ciphers). 
+  **Gunakan [VPN untuk sambungan eksternal](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html):** Pertimbangkan penggunaan VPN IPsec untuk mengamankan sambungan titik ke titik atau jaringan ke jaringan untuk membantu menyediakan privasi sekaligus integritas data. 
+  **Konfigurasikan protokol aman di penyeimbang beban:** Pilih sebuah kebijakan keamanan yang menyediakan cipher suite terkuat yang didukung oleh klien yang akan terhubung ke pendengar. [Buat pendengar HTTPS untuk Penyeimbang Beban Aplikasi Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html). 
+  **Konfigurasikan protokol yang aman di Amazon Redshift::** Konfigurasikan klaster Anda agar mewajibkan [koneksi lapisan soket aman (SSL) atau keamanan lapisan pengangkutan (TLS)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html). 
+  **Konfigurasikan protokol yang aman:** Tinjau dokumentasi layanan AWS untuk menentukan kemampuan enkripsi bergerak. 
+  **Konfigurasikan akses yang aman saat mengunggah ke bucket Amazon S3:** Gunakan kontrol kebijakan bucket Amazon S3 untuk [menerapkan akses yang aman](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) ke data. 
+  **Pertimbangkan untuk menggunakan [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/):** ACM akan memungkinkan Anda untuk menyediakan, mengelola, dan men-deploy sertifikat TLS publik untuk digunakan dengan layanan AWS. 
+  **Pertimbangkan untuk menggunakan [AWS Private Certificate Authority](https://aws.amazon.com/private-ca/) untuk kebutuhan PKI privat:** AWS Private CA akan memungkinkan Anda membuat hierarki otoritas sertifikat pribadi (CA) untuk mengeluarkan sertifikat X.509 entitas akhir yang dapat digunakan untuk membuat saluran TLS terenkripsi. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [ Menggunakan HTTPS dengan CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ [ Hubungkan VPC Anda ke jaringan jarak jauh menggunakan AWS Virtual Private Network](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)
+ [ Buat pendengar HTTPS untuk Penyeimbang Beban Aplikasi Anda ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ [ Tutorial: Mengonfigurasi SSL/TLS di Amazon Linux 2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html)
+ [ Menggunakan SSL/TLS untuk mengenkripsi koneksi ke instans DB ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ [ Mengonfigurasi opsi-opsi keamanan untuk koneksi ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)

# SEC09-BP03 Autentikasikan komunikasi jaringan
<a name="sec_protect_data_transit_authentication"></a>

 Verifikasikan identitas komunikasi menggunakan protokol yang mendukung autentikasi, seperti Keamanan Lapisan Pengangkutan (TLS) atau IPsec. 

 Rancang beban kerja Anda untuk menggunakan protokol jaringan yang aman dan terautentikasi setiap kali berkomunikasi antara layanan, aplikasi, atau ke pengguna. Menggunakan protokol jaringan yang mendukung autentikasi dan otorisasi memberikan kontrol yang lebih kuat atas alur jaringan dan mengurangi dampak akses yang tidak sah. 

 **Hasil yang diinginkan:** Beban kerja dengan bidang data yang terdefinisi dengan baik dan arus lalu lintas bidang kontrol antar layanan. Arus lalu lintas menggunakan protokol jaringan yang diautentikasi dan dienkripsi jika memungkinkan secara teknis. 

 **Anti-pola umum:** 
+  Arus lalu lintas yang tidak dienkripsi atau tidak diautentikasi dalam beban kerja Anda. 
+  Penggunaan kembali kredensial autentikasi oleh beberapa pengguna atau entitas. 
+  Hanya mengandalkan kontrol jaringan sebagai mekanisme kontrol akses. 
+  Membuat mekanisme autentikasi kustom, bukan mengandalkan mekanisme autentikasi standar industri. 
+  Arus lalu lintas yang terlalu permisif antara komponen layanan atau sumber daya lain di VPC. 

 **Manfaat menjalankan praktik terbaik ini:** 
+  Membatasi cakupan dampak untuk akses tidak sah ke satu bagian dari beban kerja. 
+  Memberikan tingkat jaminan yang lebih tinggi bahwa tindakan hanya dilakukan oleh entitas-entitas yang diautentikasi. 
+  Meningkatkan pemisahan layanan dengan menentukan dan menerapkan antarmuka transfer data yang diinginkan secara jelas. 
+  Meningkatkan pemantauan, pembuatan log, dan respons insiden melalui atribusi permintaan dan antarmuka komunikasi yang ditentukan dengan jelas. 
+  Memberikan pertahanan mendalam untuk beban kerja Anda dengan menggabungkan kontrol jaringan dengan kontrol autentikasi dan otorisasi. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Pola lalu lintas jaringan beban kerja Anda dapat dikelompokkan ke dalam dua kategori: 
+  *Lalu lintas timur-barat* mewakili arus lalu lintas yang terjadi antara layanan-layanan yang membentuk sebuah beban kerja. 
+  *Lalu lintas utara-selatan* mewakili arus lalu lintas yang terjadi antara beban kerja Anda dan konsumen. 

 Mengenkripsi lalu lintas utara-selatan adalah praktik yang umum, sedangkan pengamanan lalu lintas timur-barat menggunakan protokol yang diautentikasi merupakan hal yang kurang umum. Praktik keamanan modern menyebutkan bahwa desain jaringan saja tidak cukup untuk memberikan hubungan yang dapat dipercaya antara dua entitas. Ketika dua layanan dapat berada dalam batasan jaringan yang sama, sebaiknya enkripsi, autentikasi, dan otorisasi komunikasi di antara layanan-layanan tersebut tetap dilakukan, itulah praktik terbaiknya. 

 Sebagai contoh, API layanan AWS menggunakan protokol tanda tangan [AWS Signature Version 4 (SigV4)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html) untuk mengautentikasi pemanggil, tidak peduli dari jaringan mana permintaan itu berasal. Autentikasi ini memastikan bahwa API AWS dapat memverifikasi identitas yang meminta tindakan, dan identitas tersebut kemudian dapat digabungkan dengan kebijakan untuk membuat sebuah keputusan otorisasi guna menentukan apakah tindakan tersebut harus diizinkan atau tidak. 

 Layanan-layanan seperti [Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/access-management-overview.html) dan [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/permissions.html) akan memungkinkan Anda untuk menggunakan protokol tanda tangan SigV4 yang sama untuk menambahkan autentikasi dan otorisasi ke lalu lintas timur-barat yang ada di beban kerja Anda sendiri. Jika sumber daya di luar lingkungan AWS Anda perlu berkomunikasi dengan layanan yang memerlukan autentikasi dan otorisasi berbasis SIGV4, Anda dapat menggunakan [AWS Identity and Access Management (IAM) Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) pada sumber daya non-AWS untuk memperoleh kredensial AWS sementara. Kredensial ini dapat digunakan untuk menandatangani permintaan ke layanan dengan menggunakan SigV4 untuk memberi otorisasi akses. 

 Mekanisme umum lainnya untuk mengautentikasi lalu lintas timur-barat adalah autentikasi timbal balik TLS (mTLS). Banyak Internet untuk Segala (IoT), aplikasi bisnis-ke-bisnis, dan layanan mikro menggunakan mTLS untuk memvalidasi identitas kedua sisi komunikasi TLS dengan menggunakan sertifikat X.509 sisi klien dan server. Sertifikat ini dapat dikeluarkan oleh AWS Private Certificate Authority (AWS Private CA). Anda dapat menggunakan layanan seperti [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html) untuk menyediakan autentikasi mTLS untuk komunikasi antar atau intra-beban kerja. [Penyeimbang Beban Aplikasi juga mendukung mTLS](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/mutual-authentication.html) untuk beban kerja internal atau eksternal. Meskipun mTLS menyediakan informasi autentikasi untuk kedua sisi komunikasi TLS, mekanisme untuk otorisasi tidak disediakan. 

 Akhirnya, OAuth 2.0 dan OpenID Connect (OIDC) adalah dua protokol yang biasanya digunakan untuk mengendalikan akses ke layanan oleh pengguna, tetapi sekarang keduanya menjadi populer untuk lalu lintas layanan-ke-layanan juga. API Gateway menyediakan [pemberi otorisasi JSON Web Token (JWT)](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-jwt-authorizer.html), yang memungkinkan beban kerja membatasi akses ke rute API dengan menggunakan JWT yang dikeluarkan dari penyedia identitas OIDC atau OAuth 2.0. Cakupan OAuth2 dapat digunakan sebagai sebuah sumber untuk keputusan otorisasi dasar, tetapi pemeriksaan otorisasi masih perlu diimplementasikan di lapisan aplikasi, dan cakupan OAuth2 saja tidak dapat mendukung kebutuhan otorisasi yang lebih kompleks. 

### Langkah-langkah implementasi
<a name="implementation-steps"></a>
+  **Tentukan dan dokumentasikan alur jaringan beban kerja Anda:** Langkah pertama yang harus dilakukan untuk menerapkan strategi pertahanan mendalam adalah menentukan arus lalu lintas beban kerja Anda. 
  +  Buatlah sebuah diagram alur data yang secara jelas menentukan bagaimana data ditransmisikan antara berbagai layanan yang membentuk beban kerja Anda. Diagram ini merupakan langkah pertama untuk menerapkan alur-alur tersebut melalui saluran jaringan yang diautentikasi. 
  +  Instrumentasikan beban kerja Anda dalam fase pengembangan dan pengujian untuk memvalidasi bahwa diagram alur data mencerminkan perilaku beban kerja secara akurat pada saat runtime. 
  +  Diagram alir data juga dapat berguna saat Anda melakukan latihan pemodelan ancaman, seperti yang dijelaskan dalam [SEC01-BP07 Mengidentifikasi ancaman dan memprioritaskan mitigasi dengan menggunakan sebuah model ancaman](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html). 
+  **Tetapkan kontrol jaringan:** Pertimbangkan kemampuan AWS untuk membuat kontrol jaringan yang selaras dengan aliran data Anda. Meskipun batasan-batasan jaringan seharusnya tidak menjadi satu-satunya kontrol keamanan, batasan-batasan tersebut menyediakan lapisan pada strategi pertahanan mendalam untuk melindungi beban kerja Anda. 
  +  Gunakan [grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html) untuk menetapkan definisi dan membatasi aliran data antar sumber daya. 
  +  Pertimbangkan untuk menggunakan [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) untuk berkomunikasi dengan layanan AWS dan layanan pihak ketiga yang mendukung AWS PrivateLink. Data yang dikirim melalui suatu titik akhir antarmuka AWS PrivateLink tetap berada di dalam tulang punggung jaringan AWS dan tidak melintasi Internet publik. 
+  **Menerapkan autentikasi dan otorisasi di seluruh layanan dalam beban kerja Anda:** Pilih rangkaian layanan AWS yang paling tepat untuk menyediakan arus lalu lintas terautentikasi dan terenkripsi dalam beban kerja Anda. 
  +  Pertimbangkan [Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-lattice.html) untuk mengamankan komunikasi layanan-ke-layanan. VPC Lattice dapat menggunakan autentikasi [SigV4 yang dikombinasikan dengan kebijakan autentikasi](https://docs.aws.amazon.com/vpc-lattice/latest/ug/auth-policies.html) untuk mengontrol akses layanan-ke-layanan. 
  +  Untuk komunikasi layanan-ke-layanan menggunakan mTLS, pertimbangkan [API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html) atau [Penyeimbang Beban Aplikasi](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/mutual-authentication.html). [AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) dapat digunakan untuk membuat hierarki CA privat yang mampu mengeluarkan sertifikat untuk digunakan dengan mTLS. 
  +  Saat mengintegrasikan dengan layanan menggunakan OAuth 2.0 atau OIDC, pertimbangkan [API Gateway yang menggunakan pemberi otorisasi JWT](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-jwt-authorizer.html). 
  +  Untuk komunikasi antara beban kerja Anda dan perangkat IoT, pertimbangkan untuk menggunakan [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/client-authentication.html), yang menyediakan beberapa opsi untuk enkripsi dan autentikasi lalu lintas jaringan. 
+  **Memantau akses yang tidak sah:** Lakukan pemantauan secara terus-menerus terhadap saluran komunikasi yang tidak diinginkan, principal yang tidak sah yang mencoba mengakses sumber daya yang dilindungi, dan pola akses yang tidak tepat lainnya. 
  +  Jika Anda menggunakan VPC Lattice untuk mengelola akses ke layanan Anda, pertimbangkan untuk mengaktifkan dan memantau [log akses VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/monitoring-access-logs.html). Log akses ini mencakup informasi tentang entitas yang meminta, informasi jaringan termasuk VPC sumber dan tujuan, dan metadata permintaan. 
  +  Pertimbangkan untuk mengaktifkan [log aliran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) untuk merekam metadata pada alur jaringan dan meninjau anomali secara berkala. 
  +  Lihat [Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) dan [bagian Respons Insiden](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) pilar keamanan Kerangka Kerja AWS Well-Architected untuk membaca panduan lebih lanjut tentang perencanaan, simulasi, dan penanggulangan insiden keamanan. 

## Sumber daya
<a name="resources"></a>

 **Praktik-praktik terbaik terkait:** 
+ [ SEC03-BP07 Menganalisis akses publik dan lintas akun ](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [ SEC02-BP02 Menggunakan kredensial sementara ](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [ SEC01-BP07 Mengidentifikasi ancaman dan memprioritaskan mitigasi dengan menggunakan sebuah model ancaman ](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html)

 **Dokumen terkait:** 
+ [ Mengevaluasi metode kontrol akses untuk mengamankan API Amazon API Gateway ](https://aws.amazon.com/blogs/compute/evaluating-access-control-methods-to-secure-amazon-api-gateway-apis/)
+ [ Mengonfigurasi autentikasi TLS timbal balik untuk API REST ](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html)
+ [ Cara mengamankan titik akhir HTTP API Gateway dengan pemberi otorisasi JWT ](https://aws.amazon.com/blogs/security/how-to-secure-api-gateway-http-endpoints-with-jwt-authorizer/)
+ [ Mengotorisasi panggilan langsung ke layanan AWS menggunakan penyedia kredensial AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)
+ [Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)

 **Video terkait:** 
+ [AWS re:Invent 2022: Memperkenalkan Kisi VPC](https://www.youtube.com/watch?v=fRjD1JI0H5w)
+ [AWS re:Invent 2020: Autentikasi API nirserver untuk API HTTP di AWS](https://www.youtube.com/watch?v=AW4kvUkUKZ0)

 **Contoh terkait:** 
+ [ Lokakarya Amazon VPC Lattice ](https://catalog.us-east-1.prod.workshops.aws/workshops/9e543f60-e409-43d4-b37f-78ff3e1a07f5/en-US)
+ [ Zero-Trust Episode 1 – Lokakarya Perimeter Layanan Phantom ](https://catalog.us-east-1.prod.workshops.aws/workshops/dc413216-deab-4371-9e4a-879a4f14233d/en-US)