Lewati ke Konten Utama

Keamanan AWS Cloud

Model Tanggung Jawab Bersama

Gambaran Umum

Keamanan dan Kepatuhan merupakan tanggung jawab bersama antara AWS dan pelanggan. Model bersama ini dapat membantu meringankan beban operasional pelanggan karena AWS mengoperasikan, mengelola, serta mengontrol komponen dari sistem operasi host dan lapisan virtualisasi hingga ke keamanan fisik fasilitas tempat layanan beroperasi. Pelanggan memiliki tanggung jawab dan akan mengelola sistem operasi tamu (termasuk pembaruan dan patch keamanan), perangkat lunak aplikasi terkait lainnya serta konfigurasi firewall grup keamanan yang disediakan AWS. Pelanggan harus mempertimbangkan dengan hati-hati layanan yang mereka pilih karena tanggung jawab mereka akan bervariasi tergantung pada layanan yang digunakan, integrasi layanan tersebut ke dalam lingkungan IT mereka, serta undang-undang dan peraturan yang berlaku. Sifat tanggung jawab bersama ini juga menyediakan fleksibilitas dan kontrol pelanggan yang memungkinkan penyebaran. Sebagaimana ditampilkan dalam bagan di bawah ini, perbedaan tanggung jawab ini secara umum dirujuk sebagai Keamanan “dari” Cloud versus Keamanan “di” Cloud.

Diagram illustrating the AWS shared responsibility model for security and compliance. The chart describes the division of security responsibilities between the customer (security 'in' the cloud: customer data, platform, applications, OS and firewall configuration, encryption, and traffic protection) and AWS (security 'of' the cloud: software, compute, storage, database, networking, hardware/infrastructure, regions, availability zones, edge locations).

Memahami Model Tanggung Jawab Bersama AWS

AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan semua layanan yang ditawarkan di AWS Cloud. Infrastruktur ini terdiri dari perangkat keras, perangkat lunak, jaringan, dan fasilitas yang menjalankan layanan AWS Cloud.

Tanggung jawab pelanggan akan ditentukan berdasarkan layanan AWS Cloud yang dipilih. Hal ini menentukan jumlah pekerjaan konfigurasi yang harus dilakukan pelanggan sebagai bagian dari tanggung jawab keamanan mereka. Misalnya, layanan seperti Amazon Elastic Compute Cloud (Amazon EC2) dikategorikan sebagai Infrastructure as a Service (IaaS) dan, dengan demikian, mengharuskan pelanggan untuk melakukan semua tugas konfigurasi dan manajemen keamanan yang diperlukan. Pelanggan yang menerapkan instans Amazon EC2 bertanggung jawab atas manajemen sistem operasi (termasuk pembaruan dan patch keamanan), perangkat lunak aplikasi atau utilitas yang diinstal oleh pelanggan di instans, dan konfigurasi firewall yang disediakan AWS (disebut sebagai grup keamanan) di setiap instans. Untuk layanan yang diabstraksi, seperti Amazon S3 dan Amazon DynamoDB, AWS mengoperasikan lapisan infrastruktur, sistem operasi, dan platform, serta pelanggan mengakses titik akhir untuk menyimpan dan mengambil data. Pelanggan bertanggung jawab untuk mengelola data mereka (termasuk opsi enkripsi), mengklasifikasikan aset mereka, dan menggunakan alat IAM untuk menerapkan izin yang sesuai.

Model tanggung jawab bersama pelanggan/AWS ini juga diperluas ke kontrol IT. AWS dan pelanggannya sama-sama bertanggung jawab untuk mengoperasikan lingkungan IT, begitu juga manajemen, operasi, dan verifikasi kontrol IT. AWS dapat membantu meringankan beban kontrol operasi pelanggan dengan mengelola kontrol yang terkait dengan infrastruktur fisik yang disebarkan di lingkungan AWS yang sebelumnya mungkin telah dikelola pelanggan. Mengingat setiap pelanggan disebarkan secara berbeda di AWS, pelanggan dapat mengambil keuntungan dari pengalihan manajemen kontrol IT tertentu ke AWS yang menghasilkan lingkungan kontrol terdistribusi (baru). Pelanggan kemudian dapat menggunakan dokumentasi kontrol dan kepatuhan AWS yang tersedia bagi mereka untuk melakukan prosedur evaluasi dan verifikasi kontrol mereka sebagaimana diperlukan. Berikut adalah contoh kontrol yang dikelola oleh AWS, Pelanggan AWS, dan/atau keduanya.

Kontrol yang sepenuhnya diwariskan pelanggan dari AWS.

  • Kontrol Fisik dan Lingkungan

Kontrol yang berlaku untuk lapisan infrastruktur dan lapisan pelanggan, tetapi dalam konteks atau perspektif yang benar-benar terpisah. Dalam kontrol bersama, AWS memberikan persyaratan untuk infrastruktur dan pelanggan harus menyediakan implementasi kontrol mereka sendiri dalam penggunaan layanan AWS. Contohnya meliputi:

  • Manajemen Patch – AWS bertanggung jawab untuk patching dan memperbaiki kelemahan dalam infrastruktur, namun pelanggan bertanggung jawab untuk melakukan patching OS tamu dan aplikasi mereka.
  • Manajemen Konfigurasi – AWS memelihara konfigurasi perangkat infrastrukturnya, namun pelanggan bertanggung jawab untuk mengonfigurasi sistem operasi tamu, database, dan aplikasi mereka.
  • Kesadaran & Pelatihan - AWS melatih karyawan AWS, tetapi pelanggan harus melatih karyawan mereka sendiri.

Kontrol yang sepenuhnya menjadi tanggung jawab pelanggan berdasarkan aplikasi yang mereka lakukan deployment dalam layanan AWS. Contohnya meliputi:

  • Perlindungan Layanan dan Komunikasi atau Keamanan Zona yang mungkin mengharuskan pelanggan untuk merutekan atau mengelompokkan data dalam lingkungan keamanan khusus.

Menerapkan Model Tanggung Jawab Bersama AWS dalam Praktik

Setelah pelanggan memahami Model Tanggung Jawab Bersama AWS dan cara penerapannya secara umum dalam pengoperasian di cloud, mereka harus menentukan cara penerapannya dalam kasus penggunaan mereka. Tanggung jawab pelanggan bervariasi, tergantung banyak faktor, termasuk layanan dan AWS Region yang mereka pilih, integrasi layanan tersebut ke dalam lingkungan IT, dan undang-undang serta regulasi yang berlaku untuk organisasi dan beban kerja mereka.

Latihan berikut dapat membantu pelanggan menentukan distribusi tanggung jawab berdasarkan kasus penggunaan spesifik:

Topik halaman

Mulai

Buka semua

Evaluasi layanan Keamanan, Identitas, dan Kepatuhan AWS untuk memahami cara layanan tersebut dapat digunakan dalam membantu memenuhi tujuan keamanan dan kepatuhan Anda.

Beri peluang pembelajaran khusus cloud bagi tim audit internal dan eksternal Anda dengan memanfaatkan program pelatihan Akademi Audit Cloud.

Tinjau dokumen pengesahan audit pihak ketiga untuk menentukan kontrol turunan dan kontrol yang diperlukan yang mungkin tersisa untuk Anda terapkan di lingkungan Anda.

Lakukan Tinjauan Well-Architected di beban kerja AWS Anda untuk mengevaluasi implementasi praktik terbaik untuk keamanan, keandalan, dan performa.

Jelajahi solusi yang tersedia di katalog digital AWS Marketplace yang berisi ribuan daftar perangkat lunak dari vendor perangkat lunak independen yang memungkinkan Anda menemukan, menguji, membeli, dan melakukan deployment perangkat lunak yang beroperasi di AWS.

Jelajahi Partner Kompetensi Keamanan AWS yang menawarkan keahlian dan bukti keberhasilan pelanggan dalam mengamankan tiap tahap adopsi cloud, dari migrasi awal hingga manajemen harian yang berkelanjutan.

Pertimbangkan penggunaan Kerangka Kerja Adopsi AWS Cloud (CAF) dan praktik terbaik Well-Architected untuk merencanakan dan menjalankan transformasi digital Anda dalam skala besar.

Tinjau opsi fungsionalitas dan konfigurasi keamanan layanan AWS individual dalam bab keamanan di dokumentasi layanan AWS.

 

Tentukan persyaratan dan tujuan keamanan eksternal dan internal serta kepatuhan terkait. Pertimbangkan juga kerangka kerja industri, seperti NIST Cybersecurity Framework (CSF) dan ISO.