Security by Design
Gambaran Umum
Keamanan Otomatis, Penyesuaian, dan Tata Kelola di AWS
Security by Design (SbD) adalah pendekatan jaminan keamanan yang meresmikan desain akun AWS, mengautomasi kontrol keamanan, dan menyederhanakan audit. Alih-alih mengandalkan audit keamanan secara retroaktif, SbD menyediakan kontrol keamanan yang tertanam di seluruh proses manajemen TI AWS. Dengan menggunakan templat SbD dalam AWS CloudFormation, keamanan dan kepatuhan di dalam Cloud bisa menjadi lebih efisien dan lebih luas.
SbD adalah pendekatan untuk keamanan dan kepatuhan pada skala yang mencakup banyak industri, standar, dan kriteria keamanan. Anda bisa menggunakan SbD AWS saat mendesain kapabilitas keamanan dan kepatuhan untuk semua fase dari keamanan untuk mendesain semua hal dalam ruang lingkup pelanggan AWS Anda: izin, logging, hubungan kepercayaan, pelaksanaan enkripsi, mewajibkan gambar mesin yang disetujui, dan masih banyak lagi. SbD memungkinkan Anda mengautomasi struktur front-end dari akun AWS, membuat coding keamanan dan kepatuhan yang andal ke dalam akun AWS anda, sehingga tak perlu lagi mengkhawatirkan ketidakpatuhan kontrol TI.
Pendekatan Security by Design
SbD menggarisbawahi kontrol tanggung jawab, automasi dasar keamanan, konfigurasi keamanan, dan audit pelanggan akan kontrol untuk infrastruktur pelanggan AWS, sistem operasi, layanan, dan aplikasi yang berjalan di AWS. Desain standar, otomatis, preskriptif, dan dapat diulang ini dapat diterapkan untuk penggunaan umum, standar keamanan, dan persyaratan audit di berbagai industri dan beban kerja.
AWS merekomendasikan membangun keamanan dan kepatuhan ke dalam akun AWS Anda dengan mengikuti pendekatan empat tahap:
Tahap 1 – Pahami kebutuhan Anda. Uraikan kebijakan Anda, lalu dokumentasikan kontrol yang Anda dapat dari AWS. Selanjutnya, dokumentasikan kontrol yang Anda miliki dan operasikan ke dalam lingkungan AWS Anda, dan tentukan aturan keamanan apa yang ingin Anda terapkan dalam lingkungan TI AWS anda.
Tahap 2 – Bangun lingkungan aman yang sesuai dengan kebutuhan dan implementasi Anda. Tentukan konfigurasi yang Anda butuhkan dalam bentuk nilai konfigurasi AWS, seperti kebutuhan enkripsi (contoh, mewajibkan enkripsi di sisi server untuk objek S3), perizinan terhadap sumber daya (peran mana yang berlaku untuk lingkungan tertentu), image komputasi mana yang diizinkan (berdasarkan image keras server yang sudah Anda izinkan), dan logging macam apa yang harus diaktifkan (seperti mengharuskan penggunaan Cloudtrail di sumber daya yang berlaku). AWS menyediakan opsi set konfigurasi yang sudah matang dengan layanan baru yang dirilis sepanjang waktu, dan AWS menyediakan templat untuk menyelaraskan lingkungan Anda dengan kontrol keamanan. Templat keamanan ini (dalam bentuk Templat AWS CloudFormation) menyediakan seperangkat aturan komprehensif yang bisa ditegakkan secara sistematis. AWS telah mengembangkan templat yang menyediakan aturan keamanan yang sesuai dengan berbagai kerangka kerja keamanan. Untuk informasi lebih lanjut, lihat di whitepaper Pendahuluan untuk Security by Design.
Bantuan lainnya untuk membuat lingkungan yang aman bagi Anda sekarang tersedia dari arsitek berpengalaman AWS, AWS Professional Services, dan AWS Partner Solutions. Tim tersebut dapat bekerja bersama staf dan tim audit Anda dalam membantu menerapkan lingkungan aman berkualitas tinggi dengan dukungan audit pihak ketiga.
Tahap 3 – Penerapan penggunaan templat. AWS Service Catalog memungkinkan Anda untuk mengharuskan penggunaan templat Anda di dalam katalog. Ini adalah langkah yang memastikan penggunaan lingkungan aman Anda di semua lingkungan baru yang dibuat, dan mencegah siapa pun dari menciptakan lingkungan yang tidak mematuhi aturan keamanan dari lingkungan aman Anda. Mewajibkan penggunaan templat Anda di katalog memastikan bahwa konfigurasi keamanan kontrol yang lainnya telah siap untuk audit.
Tahap 4 – Lakukan tindakan validasi. Menerapkan AWS lewat Service Catalog dan templat lingkungan aman membantu Anda membuat lingkungan yang siap untuk audit. Peraturan yang Anda tetapkan di dalam templat bisa digunakan sebagai panduan audit. AWS Config memungkinkan Anda mengetahui kondisi terkini dari lingkungan mana pun, yang dapat dibandingkan dengan aturan lingkungan aman Anda. Dengan menggunakan izin akses baca keamanan, beserta dengan skrip unik, Anda bisa mengaktifkan audit otomatis untuk pengumpulan bukti. Anda dapat mengonversi kontrol administratif manual tradisional menjadi kontrol yang diberlakukan secara teknis dengan jaminan bahwa, jika dirancang dan dicakup dengan benar, kontrol tersebut beroperasi 100 persen setiap waktu, yang tidak bisa dilakukan dengan metode pengambilan sampel audit tradisional atau peninjauan point-in-time.
Audit teknis ini bisa ditingkatkan dengan panduan pra-audit, seperti dukungan dan pelatihan untuk auditor Anda yang memastikan bahwa personel audit mengerti akan kapabilitias automasi audit unik yang disediakan oleh AWS Cloud.
Dampak dari Security by Design.
Pendekatan SbD bisa mencapai hal berikut:
- Pembuatan fungsi paksa yang tidak dapat ditimpa oleh pengguna yang tidak diizinkan untuk mengubah fungsi tersebut.
- Menetapkan operasi kontrol yang andal.
- Memungkinkan audit berkelanjutan dan real-time.
- Pembuatan skrip teknis untuk kebijakan tata kelola Anda.
Hasilnya adalah lingkungan terautomasi yang memungkinkan kemampuan keamanan, kepastian, tata kelola, dan kepatuhan lingkungan Anda. Sekarang Anda bisa menjalankan implementasi andal dari apa yang sebelumnya hanya tertulis di kebijakan, standar, dan peraturan. Sebagai tambahan, Anda dapat membuat keamanan dan kepatuhan yang dapat diberlakukan, yang kemudian menciptakan model tata kelola yang fungsional dan andal untuk lingkungan AWS Anda.
