Gambaran umum lab
Lab ini akan memandu Anda melalui langkah-langkah untuk mengaudit sumber daya AWS Anda dan untuk memastikan bahwa konfigurasi Anda sesuai dengan praktik terbaik keamanan dasar. Lab ini memanfaatkan AWS Trusted Advisor yang diterapkan untuk keamanan. Topik yang dibahas juga akan mencakup tentang bekerja dengan security group, Autentikasi Multi-faktor (MFA), dan AWS Identity and Access Management (IAM).
Tujuan
Di akhir lab ini, Anda akan mampu:
- Menggunakan Trusted Advisor untuk melakukan audit dasar pada sumber daya AWS.
- Memodifikasi Security Group Amazon Elastic Compute Cloud (Amazon EC2) untuk memenuhi praktik terbaik
- Mengonfigurasi Autentikasi Multi-Faktor (MFA) (Opsional, memerlukan instalasi perangkat lunak pada perangkat seluler).
Prasyarat pengetahuan teknis
Anda harus terbiasa dengan layanan AWS termasuk Amazon EC2 dan memiliki pemahaman dasar tentang security group agar berhasil menyelesaikan lab ini. Anda harus merasa nyaman masuk ke dan menggunakan AWS Management Console dan terbiasa dengan IAM.
Durasi
Untuk menyelesaikan lab ini dibutuhkan waktu 90 menit.
Kunci ikon
Beragam ikon digunakan di seluruh lab ini untuk menarik perhatian kepada berbagai jenis petunjuk dan catatan. Daftar berikut menjelaskan tujuan setiap ikon:
- Output sampel yang dapat Anda gunakan untuk memverifikasi output dari langkah/tugas yang dilakukan.
- Petunjuk, tips, atau panduan penting.
- Informasi tambahan: Tempat menemukan informasi selengkapnya.
Praktik Terbaik Keamanan AWS
Model Tanggung Jawab Bersama
Model Keamanan AWS adalah tanggung jawab bersama, yang mengharuskan AWS dan pelanggan bekerja sama untuk mencapai tujuan keamanan. AWS menyediakan infrastruktur dasar yang sangat aman dan tersedia yang menjadi tempat semua layanan AWS beroperasi. Lapisan keamanan AWS mencakup keamanan perangkat keras fisik, fasilitas, infrastruktur jaringan, dan infrastruktur virtualisasi.
Lapisan di luar kontrol langsung AWS mengharuskan pelanggan bertanggung jawab untuk mengamankan sumber daya yang mereka gunakan di infrastruktur cloud dengan benar.
Mengamankan Sumber Daya Cloud
AWS telah menyediakan sejumlah kontrol yang dapat digunakan pelanggan untuk melindungi aset informasi mereka di cloud. Kontrol tersebut termasuk IAM, Amazon Virtual Private Cloud (VPC), security groups, ACL jaringan, dan sertifikat.
Saat membangun dan memelihara infrastruktur berbasis cloud di AWS, penting untuk mengikuti praktik terbaik agar data dan sumber daya Anda tetap aman.
Praktik terbaik untuk Keamanan, Identitas, & Kepatuhan adalah panduan referensi berharga untuk memahami praktik terbaik keamanan di Amazon Web Services.
AWS Trusted Advisor
AWS Trusted Advisor memberikan praktik terbaik dalam lima kategori:
- Optimalisasi biaya
- Keamanan
- Toleransi kesalahan
- Peningkatan kinerja
- Batas layanan
Anda dapat menggunakan lebih dari 60 pemeriksaan AWS Trusted Advisor untuk memantau dan meningkatkan pen-deploy-an Amazon EC2, Elastic Load Balancing (ELB), Amazon Elastic Block Store (Amazon EBS), Amazon Simple Storage Service (Amazon S3), Amazon EC2 Auto Scaling, AWS Identity and Access Management (IAM), Amazon Relational Database Service (Amazon RDS), Amazon Route 53, dan layanan lainnya. Anda dapat melihat status keseluruhan sumber daya AWS dan estimasi penghematan Anda di halaman Rekomendasi AWS Trusted Advisor.
AWS Trusted Advisor sangat berguna dalam memastikan Anda mengikuti praktik terbaik keamanan. Dalam lab ini, Anda menggunakan pemeriksaan keamanan gratis AWS Trusted Advisor.
Harga AWS Trusted Advisor
Jika Anda memiliki paket Dukungan Dasar dan Dukungan Pengembang, Anda dapat menggunakan konsol Trusted Advisor untuk mengakses semua pemeriksaan dalam kategori Batas layanan dan pemeriksaan berikut dalam kategori keamanan:
Security Group - Port Khusus yang Tidak Dibatasi: Memeriksa security group untuk aturan yang mengizinkan akses yang tidak dibatasi (0.0.0.0/0) ke port tertentu. Akses yang tidak dibatasi meningkatkan peluang untuk aktivitas berbahaya (peretasan, serangan denial-of-service, kehilangan data). Port dengan risiko tertinggi ditandai merah, dan port dengan risiko lebih rendah ditandai kuning. Port yang ditandai hijau biasanya digunakan oleh aplikasi yang memerlukan akses yang tidak dibatasi, seperti HTTP dan SMTP.
Penggunaan IAM: Memeriksa penggunaan IAM Anda. Anda dapat menggunakan IAM untuk membuat pengguna, grup, dan role di AWS, dan Anda dapat menggunakan izin untuk mengontrol akses ke sumber daya AWS.
Autentikasi Multifaktor (MFA) pada Akun Root: Memeriksa akun root dan memperingatkan jika autentikasi multi-faktor (MFA) tidak diaktifkan. Untuk meningkatkan keamanan, AWS menyarankan agar Anda melindungi akun dengan menggunakan MFA yang mengharuskan pengguna memasukkan kode autentikasi unik dari perangkat keras MFA atau perangkat virtual mereka saat berinteraksi dengan konsol AWS dan situs web terkait.
Snapshot Publik Amazon EBS: Memeriksa pengaturan izin untuk snapshot volume Amazon EBS dan memperingatkan Anda jika ada snapshot yang ditandai sebagai publik. Saat membuat snapshot menjadi publik, Anda memberi akses semua akun dan pengguna AWS ke semua data di snapshot. Jika Anda ingin berbagi snapshot dengan pengguna atau akun tertentu, tandai snapshot sebagai privat, lalu tentukan pengguna atau akun yang ingin Anda bagikan data snapshot.
Snapshot Publik Amazon EBS: Memeriksa pengaturan izin untuk snapshot DB Amazon RDS dan memperingatkan Anda jika ada snapshot yang ditandai sebagai publik. Saat membuat snapshot menjadi publik, Anda memberi akses semua akun dan pengguna AWS ke semua data di snapshot. Jika Anda ingin berbagi snapshot dengan pengguna atau akun tertentu, tandai snapshot sebagai privat, lalu tentukan pengguna atau akun yang ingin Anda bagikan data snapshot.
Autentikasi Multifaktor (MFA) di Akun Root: Memeriksa akun root dan memperingatkan jika autentikasi multi-faktor (MFA) tidak diaktifkan.
Beberapa dari pemeriksaan ini dapat digunakan sebagai audit yang sangat mendasar dari konfigurasi keamanan Anda. Untuk memiliki akses penuh ke semua 60+ pemeriksaan, Anda harus meningkatkan akun ke paket dukungan Bisnis atau Korporasi.
Informasi selengkapnya tentang harga AWS Support dapat ditemukan di Paket AWS Support
Perangkat MFA
Perangkat Autentikasi Multi-faktor (MFA) dapat berupa virtual atau fisik. MFA fisik mengharuskan pembelian keyfob perangkat keras atau kartu layar Gemalto. Selain itu, Anda dapat menggunakan salah satu dari beberapa aplikasi MFA virtual gratis yang didukung yang tersedia untuk perangkat seluler Android, iPhone, Windows, dan Blackberry. Di lab ini, Anda akan memandu penyiapan aplikasi MFA virtual pada perangkat seluler. Jika merasa tidak nyaman dengan langkah ini, Anda dapat melewatinya.
Silakan periksa daftar aplikasi MFA virtual yang didukung ini, untuk melihat apakah ada opsi untuk perangkat seluler Anda: Multi-Factor Authentication (MFA) for IAM