Blog AWS Indonesia
Implementasi Keamanan Siber bagi BUMN di AWS
Keamanan adalah prioritas utama di AWS (Amazon Web Services). Untuk memastikan penggunanya memiliki sistem keamanan yang memadai, AWS telah menerbitkan berbagai dokumen panduan, termasuk AWS Cloud Adoption Framework Security dan AWS Blueprint for Ransomware Defense.
Melalui blog ini, AWS ingin memberikan panduan khusus bagi pengguna AWS di Indonesia, terutama Badan Usaha Milik Negara (BUMN), dalam mengimplementasikan Prioritas Penerapan Keamanan Siber sesuai dengan ketentuan yang tercantum dalam Keputusan Menteri (Kepmen) BUMN Nomor SK-275/MBU/11/2024. Penting untuk dicatat bahwa di luar solusi teknologi yang akan dibahas, setiap organisasi perlu memastikan kesiapan sumber daya manusia (SDM) dan proses yang matang untuk menjalankan operasional keamanan secara efektif dan berkelanjutan.
Ringkasan
Kepmen Prioritas Penerapan Keamanan Siber mengatur dua kategori penerapan keamanan siber:
A. Penerapan 15 kontrol prioritas
B. Penerapan Kerangka Keamanan Siber (Security Framework) dengan standar internasional seperti NIST atau CIS
Kedua kategori tersebut dapat diterapkan secara simultan dan bersifat komplementer untuk menciptakan sistem keamanan yang komprehensif.
Implementasi
Penerapan (A): Kontrol Prioritas
Tabel 1 di bawah ini memberikan uraian singkat beserta contoh implementasi dari 15 kontrol prioritas dalam lingkungan AWS.
Tabel 1. Ringkasan Implementasi 15 Kontrol Prioritas di AWS
| No | Kontrol | Contoh Implementasi di AWS |
|---|---|---|
| 1 | Menetapkan dan Memelihara Inventaris Seluruh Aset Perusahaan | Menggunakan AWS Config dan Amazon Inspector untuk inventaris aset secara otomatis |
| 2 | Menetapkan dan Memelihara Inventaris Seluruh Akun | Menggunakan AWS Identity and Access Management (IAM) untuk mengelola inventaris pengguna dan administrator |
| 3 | Menetapkan dan Memelihara Inventaris Seluruh Akun Layanan | Menggunakan AWS IAM untuk mengelola inventaris akun layanan |
| 4 | Pembatasan Hak Akses Administrator yang telah ditetapkan | Menggunakan AWS IAM untuk mengelola hak akses pengguna dan administrator |
| 5 | Implementasi dan Memelihara Anti-Malware Software | Menggunakan fitur Malware Protection dari Amazon GuardDuty untuk perlindungan dan deteksi malware secara otomatis |
| 6 | Mengelola Kontrol Akses untuk Aset-Aset yang Terhubung dari Jarak Jauh | Menggunakan AWS Verified Access untuk mengamankan dan mengontrol akses jarak jauh secara aman |
| 7 | Pengumpulan Log Audit | Menggunakan AWS CloudTrail untuk mengumpulkan dan menyimpan log audit secara sistematis |
| 8 | Sentralisasi Log Audit | Menggunakan AWS CloudTrail pada akun manajemen untuk sentralisasi pengumpulan log audit dari seluruh akun |
| 9 | Meninjau Log Audit | Menggunakan Amazon Athena untuk menganalisis dan meninjau log audit yang tersentralisasi |
| 10 | Konfigurasi Pemindaian Anti-Malware Otomatis pada removable media | Kontrol terkait removable media tidak berlaku di AWS |
| 11 | Menonaktifkan Akun Tidak Aktif | Menggunakan AWS IAM Access Analyzer untuk mengidentifikasi dan mengelola akun-akun yang tidak aktif |
| 12 | Menentukan Personel dalam Pengelolaan Proses Penanganan Insiden Perusahaan | Kontrol bersifat proses yang diluar ranah teknologi |
| 13 | Menetapkan Dan Memelihara Proses Respon Insiden | Kontrol bersifat proses yang diluar ranah teknologi |
| 14 | Melakukan Backup Otomatis | Menggunakan AWS Backup untuk mengelola dan mengotomatisasi proses backup secara terpusat |
| 15 | Uji Pemulihan Cadangan | Menggunakan AWS Backup untuk melakukan dan memverifikasi proses pemulihan cadangan secara otomatis |
Kontrol 1. Menetapkan dan Memelihara Inventaris Seluruh Aset Perusahaan
AWS Config merupakan layanan yang memberikan visibilitas dan penilaian terhadap konfigurasi sumber daya AWS. Layanan ini secara otomatis mengevaluasi dan mencatat perubahan konfigurasi sumber daya AWS, serta memberikan catatan detail tentang konfigurasi dan hubungan antar sumber daya dari waktu ke waktu. Data tersebut tersimpan terpusat dan mudah diakses melalui konsol AWS atau API calls, sehingga memberikan pandangan komprehensif atas seluruh komponen infrastruktur.
Amazon Inspector dapat melengkapi AWS Config dalam mengidentifikasi kerentanan keamanan pada inventaris perangkat lunak. Amazon Inspector secara otomatis melakukan pemindaian keamanan pada instance EC2 dan container images untuk menemukan potensi kerentanan dalam sistem operasi dan aplikasi yang terpasang. Layanan ini memanfaatkan database kerentanan yang terus diperbarui untuk mendeteksi masalah keamanan seperti CVE (Common Vulnerabilities and Exposures), misconfigurations, dan eksposur yang tidak aman.
Kontrol 2, 3, & 4. Menetapkan dan Memelihara Inventaris Seluruh Akun dan Akun Layanan, Pembatasan Hak Akses Administrator yang telah ditetapkan
Catatan: IAM User merupakan identitas dengan kredensial permanen yang digunakan oleh pengguna manusia (dalam Kepmen disebut “akun”, dan selanjutnya akan dirujuk sebagai “IAM User”). Sementara itu, IAM Role adalah identitas dengan kredensial sementara yang diperuntukkan bagi aplikasi atau layanan (dalam Kepmen disebut “akun layanan”, dan selanjutnya akan dirujuk sebagai “IAM Role”). AWS Account sendiri berfungsi sebagai wadah terisolasi dengan identitas unik untuk mengelola berbagai sumber daya AWS, termasuk di dalamnya IAM User dan IAM Role yang mengatur hak akses layanan.
AWS menyediakan berbagai layanan terintegrasi untuk memudahkan inventarisasi IAM User dan Role. Salah satu layanan utamanya adalah IAM Credential Report yang dapat menghasilkan laporan komprehensif tentang seluruh pengguna, mencakup informasi detail seperti nama pengguna, tanggal pembuatan akun, status password, serta status MFA.
Dalam konteks pembatasan hak akses administrator, penerapan prinsip Least Privilege Access menjadi sangat krusial. Prinsip ini mengatur bahwa setiap pengguna atau sistem hanya diberikan hak akses minimum yang sesuai dengan kebutuhan tugas dan tanggung jawabnya – tidak lebih dan tidak kurang. Untuk mengimplementasikan prinsip ini secara efektif, Anda dapat memanfaatkan AWS IAM Access Analyzer untuk mengidentifikasi dan mengevaluasi hak akses yang berlebihan. Selanjutnya, buatlah kebijakan akses yang spesifik menggunakan IAM Policy dengan batasan yang jelas, misalnya pembatasan berdasarkan tag, waktu, atau lokasi IP. Khusus untuk pengguna dengan hak administrator, pastikan untuk mewajibkan penggunaan MFA dan menerapkan kebijakan kata sandi yang ketat.
Bagi organisasi yang mengelola beberapa AWS Account, AWS IAM Identity Center menawarkan solusi pengelolaan akses terpusat yang lebih komprehensif. Layanan ini memungkinkan manajemen akses yang lebih terstruktur dan efisien dalam skala yang lebih besar.
Kontrol 5. Implementasi dan Memelihara Anti-Malware Software
Amazon GuardDuty merupakan layanan keamanan terkelola AWS yang secara otomatis mendeteksi berbagai ancaman cybersecurity dalam workload AWS. Layanan ini mengintegrasikan tiga komponen utama: pembelajaran mesin (machine learning), analisis perilaku, dan threat intelligence untuk mengidentifikasi aktivitas mencurigakan yang berpotensi mengandung malware. Keunggulan utamanya terletak pada kemampuan pemindaian yang tidak berdampak pada performa workload serta tidak memerlukan instalasi agent tambahan.
Untuk memastikan kepatuhan berkelanjutan terhadap standar kontrol anti-malware, AWS menyediakan dua fitur utama: GuardDuty Malware Protection for EC2 dan GuardDuty Malware Protection for S3. Ketika sistem mendeteksi aktivitas mencurigakan, akan dihasilkan finding detail yang dapat dikirimkan melalui notifikasi. Setiap finding dilengkapi dengan informasi forensik yang komprehensif, memungkinkan tim keamanan untuk melakukan investigasi dan respons dengan cepat dan tepat. Sebagai tambahan, seluruh history findings akan tersimpan secara otomatis, mendukung kebutuhan audit dan analisis tren keamanan jangka panjang.
Kontrol 6. Mengelola Kontrol Akses untuk Aset-Aset yang Terhubung dari Jarak Jauh
AWS VPN hadir sebagai solusi akses jarak jauh yang telah teruji dan diadopsi secara luas di berbagai sistem. Sistem ini menerapkan mekanisme autentikasi yang sederhana namun efektif menggunakan kombinasi username dan password. Meski VPN merupakan fondasi keamanan yang mudah diterapkan, AWS merekomendasikan pendekatan Zero Trust untuk lingkungan yang membutuhkan tingkat keamanan yang lebih komprehensif.
Dalam mengadopsi model Zero Trust, AWS menghadirkan AWS Verified Access sebagai solusi unggulan. Layanan ini menerapkan verifikasi menyeluruh untuk setiap permintaan akses dengan mempertimbangkan berbagai parameter keamanan kritis – mulai dari identitas pengguna, status perangkat, lokasi, hingga konteks keamanan lainnya. Keunggulan utama layanan ini terletak pada fleksibilitas integrasinya dengan beragam identity provider, memungkinkan organisasi menerapkan kebijakan akses yang sangat terperinci untuk setiap aplikasi atau sumber daya. Penerapan kebijakan dapat mencakup pembatasan berdasarkan waktu akses, lokasi pengguna, serta status keamanan perangkat yang digunakan.
Kontrol 7, 8, & 9. Pengumpulan, Sentralisasi, dan Peninjauan Log Audit
AWS CloudTrail berfungsi sebagai sistem pencatatan terpusat yang secara komprehensif merekam seluruh API call dalam akun AWS, mulai dari aktivitas di web console hingga penggunaan CLI. Setiap entri log secara detail mencatat berbagai informasi penting, mencakup identitas pemanggil, waktu kejadian, parameter request, dan elemen respons. Untuk memastikan keamanan maksimal, seluruh log disimpan dalam format JSON yang terenkripsi di S3 bucket dengan fitur versioning yang aktif, serta dilengkapi dengan validasi integritas file untuk mencegah perubahan yang tidak diotorisasi.
Dalam implementasi multi-akun AWS, Organization Trail menawarkan solusi pengumpulan log terpusat yang efisien dari seluruh akun member dalam satu organisasi. Ketika trail diaktifkan pada akun manajemen, sistem secara otomatis mengumpulkan dan mencatat aktivitas dari semua akun (baik yang sudah ada maupun yang akan datang) ke dalam single S3 bucket dengan pengaturan permission yang ketat. Log-log tersebut disimpan dalam format yang terstandarisasi dan mendukung replikasi antar region untuk menjamin high availability dan disaster recovery.
Untuk keperluan analisis dan peninjauan log, Amazon Athena menyediakan kemampuan query yang powerful menggunakan sintaks SQL standar tanpa memerlukan infrastruktur tambahan. Athena dirancang untuk secara otomatis mengenali format log CloudTrail dan menyediakan schema yang siap pakai untuk kebutuhan query.
Kontrol 11. Menonaktifkan Akun Tidak Aktif
IAM Access Analyzer secara terus-menerus memantau penggunaan kredensial dan hak akses di seluruh akun AWS. Sistem ini memanfaatkan teknologi machine learning untuk menganalisis pola penggunaan dan mengidentifikasi akun-akun yang tidak aktif. Identifikasi dilakukan berdasarkan beberapa metrik utama, seperti waktu login terakhir, riwayat penggunaan kredensial, dan catatan aktivitas API.
Dalam prosesnya, IAM Access Analyzer menghasilkan laporan terperinci yang mencakup daftar akun tidak aktif beserta rekomendasi tindakan perbaikan yang diperlukan. Sistem ini dilengkapi kemampuan untuk mengotomatisasi proses penonaktifan akun dan mengirimkan notifikasi kepada administrator secara langsung. Untuk kepentingan audit dan kepatuhan (compliance), seluruh riwayat analisis tersimpan dalam sistem.
Kontrol 14 & 15. Melakukan Backup Otomatis dan Uji Pemulihan Cadangan
AWS Backup menyediakan solusi backup terpusat dengan otomatisasi melalui backup plans dan backup rules. Sistem mendukung berbagai sumber daya AWS dengan konfigurasi jadwal backup yang fleksibel dan retention periods yang dapat disesuaikan. Backup dilakukan secara konsisten dengan dukungan multiple availability zones untuk redundansi, serta menggunakan mekanisme snapshot yang mendukung enkripsi untuk keamanan data.
Melalui dashboard terpusat, sistem memudahkan pemantauan status backup dan pengorganisasian menggunakan tagging. Setiap aktivitas backup dan restore tercatat dalam audit trail lengkap untuk keperluan dokumentasi dan pelaporan.
Untuk memastikan keandalan backup, AWS Backup dilengkapi fitur restore testing yang memungkinkan validasi otomatis. Sistem dapat melakukan restore ke lingkungan terpisah dan memverifikasi integritas data secara otomatis. Pengujian dapat dijadwalkan secara reguler dan menghasilkan laporan detail yang mencakup durasi, status keberhasilan, dan hasil validasi integritas data. AWS Backup juga mendukung pengujian berbagai skenario pemulihan dan dapat diintegrasikan dengan sistem monitoring untuk notifikasi otomatis saat terjadi kegagalan pengujian.
Penerapan (B) Kerangka Keamanan NIST dengan AWS Security Hub
Melengkapi 15 kontrol prioritas yang telah dibahas sebelumnya, pemenuhan KepMen memerlukan penerapan standar keamanan siber internasional seperti NIST atau CIS. Dalam blog ini, kita akan membahas contoh implementasi standar NIST menggunakan AWS Security Hub.
AWS Security Hub adalah solusi keamanan terpusat yang memberikan visibilitas komprehensif terhadap postur keamanan di lingkungan AWS. Melalui pemeriksaan terus-menerus terhadap environment AWS, Security Hub menghasilkan dashboard informatif beserta skor keamanan dan rekomendasi perbaikan yang actionable.
Security Hub menyediakan dukungan bawaan untuk kontrol keamanan berstandar international seperti NIST dan CIS. Dengan pemetaan spesifik antara kontrol NIST dan pemeriksaan keamanan AWS, sistem memungkinkan evaluasi kepatuhan secara otomatis dan real-time. Saat mendeteksi ketidakpatuhan, Security Hub memberikan rekomendasi remediasi yang detail dan praktis untuk memudahkan tindakan perbaikan oleh tim keamanan.
Gambar 1. Contoh Penerapan NIST menggunakan Security Hub dengan skor kepatuhan 95%
Melalui fitur yang komprehensif, Security Hub memenuhi persyaratan keamanan dengan menyediakan otomatisasi pemeriksaan kepatuhan, visibilitas terpusat via dashboard informatif, dan panduan remediasi yang jelas. Kemampuan pelaporan yang kuat memungkinkan pembuatan dokumentasi kepatuhan untuk keperluan audit. Ditunjang integrasi dengan layanan AWS dan solusi keamanan pihak ketiga, sistem menjamin pemantauan keamanan yang menyeluruh dan efektif di seluruh lingkungan AWS.
Penutup
Tulisan ini telah membahas contoh implementasi Kontrol Prioritas Keamanan Siber dan Kerangka Kerja NIST di AWS. Penerapan Keamanan Siber sesuai ketentuan Keputusan Menteri BUMN Nomor SK-275/MBU/11/2024 dapat direalisasikan menggunakan berbagai layanan AWS diantaranya adalah AWS Security Hub, Amazon GuardDuty, Amazon Inspector, dan IAM Access Analyzer. Dengan mengimplementasikan layanan-layanan tersebut, Anda dapat menjalankan kepatuhan terhadap Kepmen tersebut sekaligus meminimalkan risiko serangan siber secara signifikan.
Meskipun pembahasan berfokus pada implementasi menggunakan layanan native AWS, sebagai alternatif Anda juga dapat mengimplementasikan solusi keamanan dari AWS Partner terkemuka seperti Crowdstrike, Fortinet, Palo Alto, Rapid7, Tenable, dan Trend Micro. Jika Anda sudah menggunakan solusi partner tersebut di lingkungan on-premise, Anda juga bisa menggunakan solusi tersebut di AWS sehingga mengurangi fase belajar.
Penting untuk diingat bahwa pembangunan kapabilitas keamanan siber yang handal memerlukan tiga komponen utama: People (SDM), Process (Proses), dan Technology (Teknologi). Meski tulisan ini telah membahas aspek teknologi melalui berbagai tools yang tersedia, setiap organisasi perlu memastikan kesiapan SDM dan proses yang matang untuk menjalankan operasional keamanan secara efektif dan berkelanjutan.
Untuk pengembangan lebih lanjut, kami merekomendasikan Anda memperdalam pengetahuan tentang Layanan Keamanan AWS melalui dokumentasi resmi dan mengikuti pelatihan yang tersedia di AWS Skill Builder.