Akses Operator di AWS

Banyak sistem dan layanan inti AWS dirancang tanpa akses operator, termasuk AWS Key Management Service (AWS KMS), Amazon EC2 (melalui AWS Nitro System), AWS Lambda, Amazon Elastic Kubernetes Service (Amazon EKS), dan AWS Wickr. Layanan ini tidak memiliki sarana teknis yang memungkinkan operator AWS mengakses data pelanggan. Sebagai gantinya, sistem serta layanan dikelola melalui otomatisasi dan API yang aman, dengan melindungi data pelanggan dari pengungkapan yang tidak disengaja atau bahkan yang dipaksakan.

AWS selalu menerapkan model hak akses paling rendah untuk meminimalkan jumlah individu yang memiliki akses ke sistem yang memproses data pelanggan. Artinya, kami memastikan setiap karyawan Amazon hanya memiliki akses ke sistem minimum yang diperlukan untuk menjalankan tugas atau tanggung jawab mereka, dan akses tersebut dibatasi hanya selama waktu yang diperlukan. Setiap akses ke sistem yang menyimpan atau memproses data atau metadata pelanggan dicatat, dipantau untuk mendeteksi anomali, dan diaudit. AWS melindungi terhadap segala tindakan yang dapat menonaktifkan atau melewati kontrol ini.

Kami juga menerapkan prinsip hak akses paling rendah pada konfigurasi sistem dan layanan AWS. AWS melampaui standar industri dalam hal ini. AWS Identity and Account Management (IAM) memungkinkan pelanggan untuk menetapkan izin dengan tingkat ketelitian tinggi menggunakan peran IAM - ini memungkinkan pelanggan untuk secara cermat mengontrol siapa yang memiliki akses ke apa. Kami juga menambahkan lapisan keamanan tambahan yang unik, yang disebut Forward Access Sessions (FAS), yang memastikan izin sensitif secara kriptografis bergantung pada otorisasi pelanggan. Layanan AWS, seperti Amazon EC2 dan Amazon Simple Storage Service (Amazon S3) juga memungkinkan pelanggan mengenkripsi data mereka, sehingga bahkan AWS tidak dapat menggunakan kunci enkripsi pelanggan tanpa otorisasi langsung dari pelanggan. Hal ini ditegakkan oleh Forward Access Sessions (FAS), yang membuktikan bahwa pelanggan telah memberikan otorisasi untuk operasi ini. Selain itu, tindakan ini, yang dikenal sebagai operasi layanan 'atas nama', dicatat dan dapat dilihat oleh pelanggan di AWS CloudTrail. Secara desain, tidak ada kunci pengguna super yang memungkinkan layanan AWS mengakses sumber daya pelanggan di layanan lain tanpa otorisasi implisit mereka.

Untuk mencegah akses operator yang tidak terpantau ke sistem yang berisi data pelanggan, AWS telah merancang sistem kami agar semua operasi administratif dicatat dan dipantau secara terpusat. Semua tindakan operator dapat ditelusuri secara forensik dengan detail tinggi hingga ke individu yang melakukan tindakan tersebut; tidak ada akun tim bersama yang memberikan anonimitas. Akses dipantau untuk aktivitas yang tidak biasa dalam waktu nyata, termasuk potensi kesalahan atau aktivitas mencurigakan, serta manajer dan tim kepemimpinan operator AWS, juga organisasi Keamanan AWS yang independen, diberikan ringkasan berkala tentang semua aktivitas tersebut. Pemantauan ini bersifat multilevel, termasuk agen pencatatan di host yang dengan cepat mengirimkan peristiwa lokal ke sistem agregasi log terpusat yang dioperasikan oleh tim keamanan AWS, serta peringatan waktu nyata jika agen di host berhenti berfungsi karena alasan apa pun. Pemantauan ini dilengkapi dengan pemantauan tingkat jaringan, pemantauan layanan bastion, dan kontrol lainnya.

Personel AWS melakukan semua operasi melalui antarmuka yang aman, dengan memastikan bahwa operator memiliki workstation yang mutakhir dan aman, token keamanan perangkat keras yang telah divalidasi FIPS, serta diautentikasi dengan benar. Antarmuka ini memberikan operator AWS kredensial sementara dengan masa berlaku singkat, serta memantau semua aktivitas menggunakan mekanisme yang tidak dapat diabaikan atau dilewati. Antarmuka operator yang aman ini hanya mengizinkan operasi terbatas yang tidak mengungkapkan data pelanggan serta menerapkan persetujuan multiorang untuk operasi yang sensitif.

Jika diperlukan akses ke sumber daya internal yang mungkin menyimpan atau memproses data pelanggan, seperti untuk menyelesaikan atau memperbaiki masalah terkait layanan, kami menambahkan lapisan kontrol tambahan untuk membatasi, mengevaluasi, dan memantau akses operator.

Personel dukungan AWS yang membantu pelanggan dengan permintaan dukungan mereka tidak memiliki akses ke data pelanggan. Semua izin AWS IAM yang digunakan untuk tujuan dukungan didokumentasikan sepenuhnya dan diakses melalui peran khusus yang dapat dinonaktifkan oleh setiap pelanggan AWS. Setiap penggunaan peran khusus ini juga dicatat di AWS CloudTrail.

AWS mengoperasikan pusat data yang aman untuk mengurangi risiko penyadapan jaringan, pencurian, atau serangan fisik lainnya. Kami menggunakan prinsip hak akses paling rendah untuk meninjau dan menyetujui permintaan akses. Permintaan tersebut harus menentukan lapisan pusat data mana yang perlu diakses oleh individu dan memiliki batasan waktu. keluar dari pusat data AWS tanpa terlebih dahulu dihancurkan secara fisik atau dihapus secara kriptografis menggunakan teknik yang dijelaskan dalam NIST 800-88. Layanan dan sistem AWS mendukung enkripsi selalu aktif untuk jaringan, memori, dan penyimpanan. Dalam banyak kasus, terdapat dua atau lebih lapisan enkripsi selalu aktif, memastikan bahwa satu-satunya akses ke data hanya dilakukan oleh sistem yang bertanggung jawab untuk memproses data tersebut bagi pelanggan.

AWS menerapkan pemeriksaan dan keseimbangan organisasi serta teknis untuk memastikan bahwa tidak ada peristiwa keamanan yang luput dari deteksi, dan tidak ada individu atau kelompok yang dapat melewati kontrol keamanan penting. Sistem kontrol akses dan sistem pemantauan akses AWS sengaja dibuat independen dan dioperasikan oleh tim yang terpisah.

Kami merancang AWS dengan langkah-langkah keamanan berlapis, termasuk kontrol perubahan, kemampuan pencatatan yang tidak dapat diubah, pemisahan tugas, persetujuan multipihak, mekanisme otorisasi bersyarat, dan alat operasional tanpa intervensi manual. Langkah-langkah keamanan ini melampaui praktik keamanan standar sehingga setiap tindakan yang dilakukan oleh operator AWS aman, transparan, dicatat, dan ditinjau.

Kami telah menerapkan grup izin untuk mengalokasikan akses ke sumber daya, alat izin untuk mengelola keanggotaan grup izin, serta alat yang aman yang memungkinkan operator yang berwenang melakukan pemeliharaan sistem dan pemecahan masalah tanpa akses langsung ke sumber daya layanan. Kami juga memperbarui keanggotaan secara otomatis saat karyawan berpindah peran atau keluar dari perusahaan.