KEAMANAN DAN KEPATUHAN AWS PANDUAN REFERENSI RINGKAS

KEAMANAN DAN KEPATUHAN AWS PANDUAN REFERENSI RINGKAS 2017 1

2

Ikhtisar

1

Program

3

Industri

7

Cara Kami Berbagi Tanggung Jawab

9



AWS - Kepatuhan Cloud



Pelanggan - Kepatuhan di Cloud

Konten Anda

Lokasi Penyimpanan Konten Anda



Keberlanjutan Bisnis

13

Keamanan

19

Sumber Daya

21



Mitra dan Marketplace

Pelatihan

IKHTISAR

4

IKHTISAR Ketika memigrasi beban kerja teregulasi Anda ke cloud, Anda mendapatkan akses ke banyak fitur pendukung tata kelola kami yang dapat digunakan untuk memperoleh tingkat keamanan yang lebih tinggi sesuai skala. Tata kelola berbasis cloud menawarkan biaya entri yang lebih rendah, operasi yang lebih mudah, dan agilitas yang ditingkatkan dengan memberikan lebih banyak pengawasan, kontrol keamanan, dan otomatisasi terpusat. Bermigrasi ke cloud berarti bahwa Anda dapat memanfaatkan AWS untuk mengurangi jumlah kontrol keamanan yang perlu dipertahankan. Lingkungan yang patuh terhadap standar adalah hasil dari lingkungan yang diamankan secara tepat. Kami memberikan serangkaian kontrol infrastruktur andal yang telah divalidasi melalui sejumlah pengesahan dan sertifikasi. Masing-masing sertifikasi berarti bahwa auditor telah memverifikasi bahwa kontrol keamanan tertentu diterapkan dan beroperasi sebagaimana dimaksudkan. Anda dapat mempelajari lebih lanjut tentang semua pengesahan dan sertifikasi yang kami dukung pada halaman AWS Assurance Program. Kami juga menyediakan serangkaian layanan dan alat beragam yang dapat Anda gunakan untuk membantu mencapai kepatuhan di cloud, termasuk Amazon Inspector, AWS Artifact, AWS Service Catalog, AWS CloudTrail, AWS Config, dan AWS Config Rules.

1

PROGRAM

2

PROGRAM

Lingkungan kami diaudit terus-menerus dan infrastruktur serta layanan kami disetujui untuk beroperasi berdasarkan beberapa standar kepatuhan dan sertifikasi industri di seluruh negara dan pasar vertikal. Anda dapat menggunakan sertifikasi tersebut untuk memvalidasi implementasi dan efektivitas kontrol keamanan kami.

Gambar 1: Assurance Program Catatan: Program kami akan terus bertambah. Kunjungi situs web kami untuk melihat daftar AWS Assurance Program terbaru.

Sertifikasi/Pengesahan dilakukan oleh auditor independen pihak ketiga. Sertifikasi, laporan audit, atau pengesahan kepatuhan kami didasarkan pada hasil kerja auditor. Undang-Undang/Regulasi/Privasi dan Keselarasan/Kerangka Kerja bersifat khusus untuk industri atau fungsi Anda. Kami mendukung Anda dengan menyediakan fungsionalitas (seperti fitur keamanan) dan pendukung (termasuk pedoman kepatuhan,

3

PROGRAM

dokumen pemetaan, dan buku putih). Sertifikasi "langsung" yang resmi terkait undang-undang, regulasi, dan program tersebut 1) tidak tersedia untuk penyedia cloud atau 2) merupakan subkumpulan persyaratan lebih kecil yang sudah dipenuhi oleh program sertifikasi/pengesahan resmi kami saat ini. Beberapa program terpopuler kami mencakup: PCI DSS – Payment Card Industry (PCI) Data Security Standards (DSS) adalah standar keamanan ketat untuk mencegah penipuan dan melindungi data pemegang kartu bagi penjual yang memproses pembayaran kartu kredit. ISO 27001 – ISO 27001 adalah standar keamanan global yang diadopsi secara luas yang menguraikan persyaratan untuk sistem manajemen keamanan informasi. ISO 27001 menyediakan pendekatan sistematik untuk mengelola informasi perusahaan dan pelanggan yang didasarkan pada penilaian risiko berkala. SOC – Laporan AWS Service Organization Control (SOC) adalah laporan pemeriksaan pihak ketiga yang menunjukkan cara AWS mencapai kontrol dan sasaran kepatuhan utama. Tujuan dari laporan tersebut adalah untuk membantu Anda dan auditor memahami kontrol AWS yang ditetapkan guna mendukung operasi dan kepatuhan. Ada empat jenis Laporan AWS SOC: Laporan AWS SOC 1, Laporan AWS SOC 2: Keamanan & Ketersediaan, Laporan AWS SOC 2: Kerahasiaan, dan Laporan AWS SOC 3: Keamanan & Ketersediaan. FedRAMP – Program pemerintah AS untuk memastikan standar dalam penilaian keamanan, otorisasi, dan pemantauan berkelanjutan. FedRAMP mengikuti standar kontrol keamanan NIST 800-53.

4

PROGRAM DoD Cloud Security Model (CSM) – Standar untuk komputasi cloud yang dikeluarkan oleh Lembaga Sistem Informasi Pertahanan (DISA) AS dan didokumentasikan dalam Panduan Persyaratan Keamanan (SRG) Departemen Pertahanan (DoD). Menyediakan proses otorisasi untuk pemilik beban kerja DoD yang memiliki persyaratan arsitektur unik berdasarkan tingkat dampak. HIPAA – Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) berisi standar keamanan dan kepatuhan ketat untuk organisasi yang memproses atau menyimpan Informasi Kesehatan Terlindungi (PHI). Anda dapat menemukan deskripsi lengkap untuk masing-masing program yang kami ikuti di halaman web AWS Assurance Program. AWS Artifact Portal AWS Artifact menyediakan akses berdasarkan permintaan ke dokumen keamanan dan kepatuhan kami yang juga dikenal sebagai artefak audit. Anda dapat menggunakan artefak untuk menunjukkan keamanan dan kepatuhan infrastruktur serta layanan AWS Anda kepada auditor atau regulator. Contoh artefak audit mencakup laporan Service Organization Control (SOC), laporan Payment Card Industry (PCI), dan sertifikasi dari badan akreditasi di seluruh negara dan pasar vertikal kepatuhan yang memvalidasi implementasi dan efektivitas operasi kontrol keamanan AWS. Anda dapat mengakses portal AWS Artifact secara langsung dari AWS Management Console.

5

INDUSTRI

6

INDUSTRI Pelanggan di industri berikut menggunakan AWS untuk memenuhi kebutuhan kepatuhan regulasi mereka: • Pertanian dan Pertambangan

• Real Estat dan Konstruksi • Ritel, Grosir, dan Distribusi

• Analitika dan Big Data • Komputer dan Elektronik

• Perangkat Lunak dan Internet • Telekomunikasi

• E-commerce

• Transportasi dan Logistik

• Pendidikan

• Perjalanan dan Perhotelan

• Energi dan Utilitas • Layanan Keuangan • Makanan dan Minuman • Game • Pemerintahan • Kesehatan dan Ilmu Hayati • Asuransi • Manufaktur • Media dan Hiburan • Organisasi Nirlaba

7

CARA KAMI BERBAGI TANGGUNG JAWAB

8

8

CARA KAMI BERBAGI TANGGUNG JAWAB Ketika memigrasi infrastruktur TI Anda ke AWS, Anda akan mengadopsi model tanggung jawab bersama yang ditampilkan di Gambar 2. Karena kami mengoperasikan, mengelola, dan mengontrol komponen TI dari sistem operasi host dan lapisan virtualisasi hingga keamanan fisik fasilitas tempat layanan beroperasi, model bersama ini meringankan beban operasional Anda.

PELANGGAN

DATA PELANGGAN

BERTANGGUNG JAWAB ATAS KEAMANAN “DI” CLOUD

PENGELOLAAN PLATFORM, APLIKASI, IDENTITAS, & AKSES

KONFIGURASI SISTEM OPERASI, JARINGAN, & FIREWALL

AWS

DATA SISI KLIEN ENKRIPSI & DATA AUTENTIKASI INTEGRITAS

BERTANGGUNG JAWAB ATAS KEAMANAN “UNTUK” CLOUD

KOMPUTASI

ENKRIPSI SISI SERVER (SISTEM DAN/ATAU DATA FILE)

PENYIMPANAN

INFRASTRUKTUR GLOBAL AWS

PERLINDUNGAN LALU LINTAS JARINGAN (ENKRIPSI/ INTEGRITAS/IDENTITAS)

DATABASE

WILAYAH ZONA KETERSEDIAAN

JARINGAN

LOKASI EDGE

Gambar 2: Model Tanggung Jawab Bersama Model tanggung jawab bersama ini juga mencakup kontrol TI. Seperti Anda berbagi tanggung jawab untuk mengoperasikan lingkungan TI dengan kami, Anda juga berbagi manajemen, operasi, dan verifikasi kontrol TI. Kami mengurangi beban Anda pada kontrol operasi dengan mengelola kontrol tersebut yang dikaitkan dengan infrastruktur fisik yang disebar di lingkungan AWS. Anda dapat memanfaatkan dokumentasi kontrol dan kepatuhan AWS untuk menjalankan prosedur evaluasi dan verifikasi kontrol sebagaimana diperlukan berdasarkan standar kepatuhan yang berlaku.

9

AWS - KEPATUHAN CLOUD

Kami bertanggung jawab untuk membantu Anda mempertahankan lingkungan yang aman dan siap mematuhi standar. Secara umum, kami: Memvalidasi bahwa layanan dan fasilitas kami di seluruh dunia mempertahankan lingkungan kontrol yang tersedia di mana saja dan beroperasi secara efektif. Lingkungan kontrol kami mencakup kebijakan, proses, dan aktivitas kontrol yang memanfaatkan berbagai aspek lingkungan kontrol keseluruhan Amazon. Lingkungan kontrol kolektif mencakup orang, proses, dan teknologi yang diperlukan untuk menetapkan dan mempertahankan lingkungan yang mendukung efektivitas operasi kerangka kerja kontrol kami. Kami telah mengintegrasikan kontrol khusus cloud terapan yang diidentifikasi oleh badan industri komputasi cloud terkemuka ke dalam kerangka kerja kontrol kami. Kami memantau grup industri tersebut untuk mengidentifikasi praktik unggulan yang dapat diimplementasikan dan untuk lebih membantu Anda mengelola lingkungan kontrol mereka. Menunjukkan sikap kepatuhan kami untuk membantu Anda memverifikasi kepatuhan dengan persyaratan industri dan pemerintahan. Kami melibatkan badan sertifikasi eksternal dan auditor independen untuk memberi Anda informasi yang cukup banyak terkait kebijakan, proses, dan kontrol yang ditetapkan dan dioperasikan oleh kami. Memantau bahwa melalui penggunaan ribuan persyaratan kontrol keamanan, kami mempertahankan kepatuhan terhadap standar dan praktik terbaik global.

10

PELANGGAN - KEPATUHAN DI CLOUD

Sama seperti pusat data biasa, Anda bertanggung jawab untuk mengelola sistem operasi tamu (termasuk tanggung jawab atas pembaruan dan patch keamanan) dan perangkat lunak aplikasi terkait lainnya, serta konfigurasi firewall grup keamanan yang disediakan AWS. Anda harus berhati-hati dalam mempertimbangkan layanan yang dipilih karena tanggung jawab Anda akan berbeda-beda tergantung pada layanan yang Anda gunakan, integrasi layanan tersebut ke dalam lingkungan TI Anda, dan undang-undang serta regulasi yang berlaku. Agar dapat mengelola sumber daya AWS secara aman, Anda perlu mengetahui sumber daya apa yang Anda gunakan (inventaris aset), mengonfigurasi OS dan aplikasi tamu secara aman di sumber daya Anda (mengamankan pengaturan konfigurasi, patching, dan anti-malware), dan mengontrol perubahan pada sumber daya (mengubah manajemen). Anda dapat menggunakan informasi yang kami sediakan tentang program risiko dan kepatuhan kami untuk diterapkan ke dalam kerangka kerja tata kelola Anda.

11

KONTEN ANDA

12

KONTEN ANDA

Kami sengaja memberi Anda kepemilikan dan kontrol atas konten Anda. Dengan menggunakan alat yang sederhana namun canggih, Anda dapat menentukan lokasi konten Anda akan disimpan, mengamankan konten saat transit atau saat disimpan, dan mengelola akses pengguna Anda ke layanan dan sumber daya AWS. Catatan: Kami tidak mengakses atau menggunakan konten Anda untuk tujuan apa pun selain memberikan layanan AWS tertentu kepada Anda dan pengguna akhir Anda. Kami tidak pernah menggunakan konten Anda untuk tujuan pribadi, termasuk pemasaran atau periklanan.

Akses – Dengan menggunakan serangkaian fitur akses, enkripsi, dan pencatatan canggih kami (seperti AWS CloudTrail), Anda dapat mengelola akses ke konten Anda dan layanan serta sumber daya AWS. Kami tidak mengakses atau menggunakan konten Anda untuk tujuan apa pun selain sebagaimana diwajibkan oleh hukum untuk mempertahankan layanan AWS dan menyediakan layanan tersebut kepada Anda dan pengguna akhir Anda. Penyimpanan – Anda dapat memilih wilayah untuk menyimpan konten Anda. Kami tidak akan memindahkan atau menggandakan konten Anda di luar wilayah yang dipilih pelanggan, kecuali sebagaimana diwajibkan oleh hukum dan diperlukan untuk mempertahankan layanan AWS dan menyediakan layanan tersebut kepada Anda dan pengguna akhir Anda. Misalnya, jika Anda adalah pelanggan Eropa, Anda dapat memilih untuk menyebarkan layanan AWS hanya di Wilayah UE (Jerman).

13

KONTEN ANDA

Keamanan – Anda memilih cara mengamankan konten. Kami menawari Anda enkripsi kuat untuk konten Anda saat transit atau saat disimpan dan kami memberi Anda opsi untuk mengelola kunci enkripsi Anda sendiri. Pengungkapan konten Anda – Kami tidak mengungkapkan konten Anda, kecuali kami diwajibkan untuk melakukannya guna mematuhi hukum atau perintah yang mengikat dan sah dari badan pemerintahan atau regulator. Jika kami diwajibkan untuk mengungkapkan konten Anda, kami akan memberi tahu Anda terlebih dulu sehingga Anda dapat meminta perlindungan dari pihak pengungkap. Penting: Jika kami dilarang memberi tahu Anda atau ada indikasi tindakan ilegal yang jelas sehubungan dengan penggunaan produk atau layanan Amazon, kami tidak akan memberi tahu Anda sebelum mengungkapkan konten Anda.

Jaminan Keamanan – Untuk membantu Anda menetapkan, mengoperasikan, dan memanfaatkan lingkungan kontrol keamanan kami, kami telah mengembangkan program jaminan keamanan yang menggunakan praktik terbaik perlindungan privasi dan data global. Proses perlindungan dan kontrol keamanan ini secara independen divalidasi oleh beberapa penilaian independen pihak ketiga. Catatan: Agar dapat memvalidasi bahwa kami mengelola keamanan cloud dengan kontrol teknis dan fisik yang didesain untuk mencegah akses tidak sah ke atau pengungkapan konten pelanggan, auditor independen telah mensertifikasi bahwa kami telah menyatakan keselarasan dengan standar industri.

14

LOKASI PENYIMPANAN KONTEN ANDA

Pusat data AWS dibangun dalam sejumlah klaster di berbagai negara di seluruh dunia. Kami menyebut masing-masing klaster pusat data di negara tertentu sebagai "Wilayah". Anda memiliki akses ke sejumlah Wilayah AWS di seluruh dunia dan dapat memilih untuk menggunakan satu Wilayah, semua Wilayah, atau kombinasi Wilayah apa pun.

Gambar 3: Wilayah Anda memiliki kontrol dan kepemilikan penuh atas wilayah tempat data Anda ditempatkan secara fisik, sehingga memudahkan untuk memenuhi persyaratan kepatuhan dan data residency regional. Anda dapat memilih Wilayah AWS tempat Anda ingin menyimpan konten. Hal ini bermanfaat jika Anda memiliki persyaratan geografi khusus. Misalnya, jika Anda adalah pelanggan Eropa, Anda dapat memilih untuk menyebarkan layanan AWS hanya di Wilayah UE (Jerman). Jika Anda menentukan pilihan ini, konten Anda akan disimpan di Jerman kecuali jika Anda memilih Wilayah AWS lainnya.

15

KEBERLANJUTAN BISNIS

Infrastruktur kami memiliki tingkat ketersediaan tinggi dan kami memberi Anda fitur yang Anda perlukan untuk menyebarkan arsitektur TI yang memiliki ketahanan. Sistem kami didesain untuk menoleransi kegagalan sistem atau perangkat keras dengan dampak minimal bagi pelanggan. Ketahanan adalah mengurangi kemungkinan aset menjadi tidak tersedia. Pemulihan adalah mengurangi dampak ketika aset menjadi tidak tersedia. Pencadangan adalah strategi untuk menangani kehilangan data, baik tanpa disengaja maupun disengaja. Pemulihan bencana adalah proses persiapan dan pemulihan bencana. Kejadian apa pun yang memiliki dampak negatif pada keberlanjutan atau keuangan bisnis Anda dapat disebut sebagai bencana. AWS Cloud dapat mendukung banyak arsitektur pemulihan bencana populer yang berkisar dari lingkungan "pilot light" yang siap ditingkatkan skalanya dengan segera hingga lingkungan "hot standby" yang memungkinkan failover cepat. Untuk mempelajari lebih lanjut tentang Pemulihan Bencana di AWS, buka https://aws.amazon.com/disaster-recovery/. Pusat data kami dibangun dalam sejumlah klaster di berbagai wilayah di dunia. Semua pusat data beroperasi online dan melayani pelanggan; tidak ada pusat data yang "diam". Jika terjadi kegagalan, proses otomatis akan memindahkan lalu lintas data pelanggan dari area yang terpengaruh. Kami memberi Anda fleksibilitas untuk menempatkan instans dan menyimpan data dalam beberapa wilayah geografi, serta di seluruh zona ketersediaan dalam masing-masing wilayah. Dengan mendistribusikan aplikasi di seluruh zona ketersediaan, Anda dapat terus memiliki ketahanan dalam menghadapi sebagian besar mode kegagalan, termasuk bencana alam atau kegagalan sistem. 16

KEBERLANJUTAN BISNIS

Anda dapat membangun sistem berdaya tahan tinggi di cloud dengan menerapkan beberapa instans di beberapa zona ketersediaan dan menggunakan replikasi data untuk mencapai waktu pemulihan dan sasaran titik pemulihan yang sangat tinggi. Anda bertanggung jawab untuk mengelola dan menguji pencadangan serta pemulihan sistem informasi Anda yang dibangun di infrastruktur AWS. Anda dapat menggunakan infrastruktur AWS untuk memungkinkan pemulihan bencana sistem TI kritis Anda secara lebih cepat tanpa menimbulkan biaya infrastruktur dari situs fisik kedua. AWS Cloud mendukung banyak arsitektur pemulihan bencana populer dari lingkungan "pilot light" yang siap ditingkatkan skalanya dengan segera hingga lingkungan "hot standby" yang memungkinkan failover cepat.

17

KEAMANAN

18

KEAMANAN

Keamanan cloud di AWS adalah prioritas tertinggi kami. AWS Security Center memberi Anda detail keamanan dan kepatuhan tentang AWS. Kami mengoperasikan infrastruktur cloud global yang Anda gunakan untuk menyediakan berbagai sumber daya komputasi dasar seperti pemrosesan dan penyimpanan. Infrastruktur global kami mencakup fasilitas, jaringan, perangkat keras, dan perangkat lunak operasional (mis. OS host, perangkat lunak virtualisasi, dsb.) yang mendukung penyediaan dan penggunaan sumber daya tersebut. Infrastruktur global kami didesain dan dikelola sesuai dengan praktik terbaik keamanan serta berbagai standar kepatuhan keamanan. Sebagai pelanggan AWS, Anda dapat yakin bahwa Anda membangun arsitektur web di salah satu infrastruktur komputasi yang paling aman di dunia.

19

SUMBER DAYA

20

SUMBER DAYA Anda dapat mengakses semua halaman web dan buku putih yang direferensikan dalam dokumen ini di Pusat Sumber Daya Referensi Ringkas Keamanan dan Kepatuhan AWS https://aws. amazon.com/compliance/reference/.

MITRA DAN MARKETPLACE AWS Partner Network (APN) adalah program mitra global untuk AWS. Program ini membantu Mitra APN membangun bisnis atau solusi berbasis AWS yang sukses dengan menyediakan dukungan bisnis, teknis, pemasaran, dan masuk pasar. Untuk informasi lebih lanjut, kunjungi https://aws.amazon.com/partners/. AWS Marketplace adalah saluran penjualan yang mempermudah AWS Seller untuk menawarkan solusi perangkat lunak yang berjalan di AWS cloud. Untuk informasi lebih lanjut, kunjungi https://aws.amazon.com/marketplace/.

PELATIHAN Baik Anda baru saja memulai, mengembangkan keterampilan TI yang ada, maupun mempertajam pengetahuan cloud, Pelatihan AWS dapat membantu Anda dan tim Anda memajukan pengetahuan sehingga Anda dapat menggunakan cloud dengan lebih efektif. Untuk informasi lebih lanjut, kunjungi https://aws. amazon.com/training/.

21

22