Blog AWS Indonesia
AWS Security Reference Architecture: Panduan mendesain dengan layanan keamanan AWS
Amazon Web Services (AWS) dengan senang hati mengumumkan publikasi AWS Security Reference Architecture (AWS SRA). Ini adalah serangkaian contoh, panduan, dan pertimbangan desain yang komprehensif yang dapat Anda gunakan untuk deploy layanan keamanan AWS secara lengkap dalam lingkungan multi-akun yang Anda kelola melalui AWS Organizations. Arsitektur dan rekomendasi yang menyertainya didasarkan pada pengalaman kami dengan para pelanggan di AWS. AWS SRA dibangun berdasarkan satu halaman diagram arsitektur web tiga tingkat sederhana, dan menunjukkan kepada Anda bagaimana layanan keamanan AWS membantu Anda mencapai tujuan keamanan Anda; bagaimana cara terbaik untuk men-deploy dan mengelola layanan keamanan tersebut di akun AWS Anda, dan bagaimana layanan kemanan AWS tersebut berinteraksi dengan layanan keamanan lainnya. Panduan ini selaras dengan fondasi keamanan AWS, termasuk AWS Cloud Adoption Framework (AWS CAF), AWS Well-Architected, dan AWS Shared Responsibility Model.
Para eksekutif, arsitek, dan engineer yang bertanggungjawab terhadap aspek keamanan dapat menggunakan AWS SRA untuk mendapatkan pemahaman tentang layanan dan fitur keamanan AWS. Mereka dapat melihat penjelasan yang lebih rinci tentang pengaturan akun-akun fungsional dalam arsitektur dan layanan individual dalam masing-masing akun AWS. Dokumen dan repositori kode yang tersedia dapat digunakan dengan dua cara. Pertama, Anda dapat menggunakan AWS SRA sebagai panduan praktis untuk menerapkan layanan keamanan AWS—dimulai dengan panduan keamanan dasar, dilanjutkan dengan pembahasan tentang setiap layanan dan perannya dalam arsitektur, dan diakhiri dengan diskusi tentang contoh kode yang dapat diimplementasikan. Atau, AWS SRA dapat berfungsi sebagai titik awal untuk merancang arsitektur keamanan pada lingkungan multi-akun Anda. AWS SRA dirancang untuk mendorong Anda mempertimbangkan keputusan keamanan Anda sendiri. Misalnya, Anda dapat memikirkan cara memanfaatkan Virtual Private Cloud (VPC) Endpoints sebagai lapisan kontrol keamanan, atau mempertimbangkan kontrol mana yang dikelola di akun aplikasi, dan bagaimana caranya agar informasi yang tepat mengalir ke tim keamanan pusat.
Dokumen referensi disertai dengan GitHub code repository yang memberikan contoh bagaimana cara men-deploy berbagai layanan keamanan AWS. Contoh-contoh yang ada menggunakan platform deployment umum seperti Customizations for AWS Control Tower, AWS CloudFormation StackSets, dan solusi AWS Landing Zone. Semua contoh solusi di-deploy dengan konfigurasi yang direkomendasikan dan dengan sengaja dibatasi untuk menunjukkan pola dalam panduan AWS SRA. AWS akan terus menambahkan tambahan contoh solusi untuk layanan baru dan yang sudah ada secara teratur.
Dokumen dan repositori kode AWS SRA adalah artefak hidup dan akan diperbarui secara berkala, didorong oleh perilisan layanan dan fitur baru, umpan balik pelanggan, dan praktik terbaik terbaru.
Preview
Diagram arsitektur di bawah merupakan inti dari panduan ini: AWS SRA dalam bentuknya yang paling sederhana. Arsitektur ini sengaja dibuat modular dan menyediakan tampilan abstrak tingkat tinggi yang mewakili aplikasi web generik. Struktur organisasi dan akun AWS dirancang mengikuti panduan AWS terbaru untuk menggunakan beberapa akun AWS.
Gambar 1: AWS Security Reference Architecture (AWS SRA)
Cara menggunakan AWS SRA
Panduan AWS SRA dapat digunakan sebagai suatu narasi atau referensi. Topik-topiknya diatur sebagai sebuah cerita, sehingga Anda dapat membacanya dari awal (panduan keamanan dasar) sampai akhir (diskusi tentang contoh kode yang dapat diimplementasikan). Atau, Anda dapat menelusuri dokumen untuk fokus pada prinsip keamanan, layanan, jenis akun, panduan, dan contoh yang paling relevan dengan kebutuhan Anda.
Dokumentasi AWS SRA memiliki lima bagian utama yang memandu Anda dari dasar-dasar keamanan AWS ke deployment contoh kode:
- Security foundations – Meninjau AWS CAF, AWS Well-Architected Framework, dan AWS Shared Responsibility Model dan menyoroti elemen yang sangat relevan dengan AWS SRA.
- AWS Organizations and account strategy – Memperkenalkan layanan AWS Organizations, membahas kemampuan dan pembatas keamanan dasarnya, dan memberikan gambaran umum tentang strategi multi-akun yang kami rekomendasikan.
- The AWS Security Reference Architecture – Diagram arsitektur yang menunjukkan semua layanan dan fitur keamanan AWS, termasuk penjelasan terperinci tentang akun fungsional dan layanan individual dalam setiap akun.
- IAM resources – Menyajikan ringkasan dan serangkaian petunjuk untuk rekomendasi penting terkait AWS Identity and Access Management (IAM).
- Code repository for the AWS SRA examples – Memberikan gambaran umum terkait repo Github publik yang berisi contoh AWS CloudFormation templates dan kode untuk men-deploy beberapa pola yang dibahas di dalam AWS SRA.
AWS SRA menyediakan sebuah Design Considerations untuk setiap elemen. Bagian ini membahas fitur atau konfigurasi opsional yang mungkin memiliki implikasi keamanan penting atau menjabarkan berbagai variasi umum untuk menerapkan elemen tersebut—biasanya sebagai akibat dari persyaratan atau kendala alternatif.
Kapan menggunakan AWS SRA?
Anda dapat merujuk ke AWS SRA pada berbagai tahap migrasi Anda ke AWS Cloud. Selama fase awal, Anda dapat menggunakan dokumen ini untuk merancang lingkungan multi-akun AWS Anda sendiri dan memanfaatkan berbagai layanan keamanan yang ditawarkan AWS. Jika Anda telah menggunakan AWS selama beberapa waktu, Anda dapat menggunakan AWS SRA untuk mengevaluasi arsitektur Anda saat ini dan membuat penyesuaian untuk meningkatkan postur keamanan Anda dengan menggunakan potensi penuh dari berbagai layanan keamanan AWS. Jika Anda berada dalam tahap akhir adopsi AWS Cloud, Anda dapat menggunakan AWS SRA untuk memvalidasi arsitektur keamanan Anda secara independen terhadap arsitektur yang direkomendasikan AWS.
Langkah berikutnya
Anda tidak dapat meng-hosting workload Anda di atas kertas, jadi langkah selanjutnya adalah mulai membangun sesuai referensi arsitektur. Anda dapat menggunakan arsitektur dan contoh kode terkait dan menggabungkannya dengan praktik terbaik organisasi Anda, untuk mulai membangun arsitektur produksi Anda. Jika Anda membutuhkan bantuan, Anda dapat menghubungi AWS Professional Services, Account Manager atau Solution Architect AWS Anda, atau AWS Partner Network, yang dapat bekerja sama dengan Anda untuk menerjemahkan referensi arsitektur ke dalam lingkungan AWS khusus yang kemudian dapat Anda operasikan.
Jika Anda memerlukan bantuan untuk merancang atau menerapkan sebuah lingkungan AWS yang aman, hubungi AWS Professional Services.
Artikel ini merupakan terjemahan dari blog yang dibuat oleh Avik Mukherjee pada 30 June 2021 berjudul AWS Security Reference Architecture: A guide to designing with AWS security services