Lewati ke konten
Cloud ArchitectureInterpretasi Rekomendasi AWS Trusted Advisor: 5 Contoh dari Module 9
Latihan membaca rekomendasi AWS Trusted Advisor: MFA root account, IAM password policy, security groups unrestricted access, EBS snapshots, dan S3 bucket logging.
Dalam Module 9, kita tidak hanya belajar definisi AWS Trusted Advisor. Kita juga diminta untuk menginterpretasikan rekomendasi.
Artinya, kamu harus bisa membaca:
- apa masalahnya,
- kenapa masalah itu penting,
- resource mana yang terdampak,
- seberapa serius statusnya,
- dan tindakan apa yang harus dilakukan.
Cara membaca rekomendasi Trusted Advisor
Gunakan urutan ini:
- Category — rekomendasi ini masuk Cost, Security, Performance, Fault Tolerance, atau Service Limits?
- Check name — nama pemeriksaan yang gagal atau perlu investigasi.
- Status — hijau, kuning, atau merah.
- Affected resource — resource mana yang terdampak.
- Reason — kenapa resource dianggap bermasalah.
- Recommended action — langkah perbaikan.
- Priority — mana yang harus diperbaiki dulu.
Recommendation #1: MFA on Root Account
Masalah
Root account belum menggunakan Multi-Factor Authentication atau MFA.
Root account adalah akun dengan akses penuh ke seluruh AWS account. Karena itu, root account harus dilindungi sekuat mungkin.
Kenapa berbahaya?
Jika password root bocor dan MFA tidak aktif, penyerang bisa mengambil alih akun AWS.
Dampaknya bisa berupa:
- resource dihapus,
- data bocor,
- tagihan membengkak,
- akses IAM dimodifikasi,
- akun terkunci dari pemilik asli.
Alert criteria
MFA tidak aktif di root account.
Recommended action
Aktifkan MFA untuk root account.
Langkah umum:
- Login sebagai root user.
- Buka security credentials.
- Pilih MFA.
- Tambahkan virtual/hardware MFA device.
- Simpan recovery code atau prosedur akses darurat dengan aman.
Prioritas
Sangat tinggi. Ini harus diperbaiki segera.
Recommendation #2: IAM Password Policy
Masalah
Password policy untuk IAM user belum aktif atau belum cukup kuat.
Kenapa berbahaya?
Password yang lemah lebih mudah ditebak atau di-crack.
password123
admin123
companyname2026
Alert criteria
- tidak ada password policy, atau
- password policy tidak mengaktifkan requirement penting.
Recommended action
Aktifkan dan perkuat IAM password policy.
- minimum 12 karakter,
- wajib huruf besar,
- wajib huruf kecil,
- wajib angka,
- wajib simbol,
- password expiration jika sesuai kebijakan organisasi,
- cegah reuse password lama.
Prioritas
Tinggi, terutama jika masih memakai IAM user berbasis password.
Recommendation #3: Security Groups — Unrestricted Access
Masalah
Security Group mengizinkan akses terlalu luas.
Protocol: TCP
Port: 22
Source: 0.0.0.0/0
Artinya, siapa pun di internet bisa mencoba mengakses port SSH.
Kenapa berbahaya?
Port sensitif yang terbuka ke internet meningkatkan risiko:
- brute force attack,
- unauthorized login,
- exploitation,
- denial-of-service,
- lateral movement jika instance berhasil ditembus.
Alert criteria
Security Group memiliki source IP /0 untuk port selain port yang memang umum dibuka seperti 80 atau 443.
Recommended action
Batasi akses hanya ke IP yang membutuhkan.
Sebelum:
0.0.0.0/0
Sesudah:
203.0.113.10/32
Atau gunakan pendekatan yang lebih aman:
- AWS Systems Manager Session Manager untuk akses instance,
- VPN atau bastion host terbatas,
- security group khusus admin,
- private subnet untuk resource internal.
Prioritas
Sangat tinggi jika port sensitif seperti 22, 3389, 3306, 5432, atau 6379 terbuka ke internet.
Recommendation #4: Amazon EBS Snapshots
Masalah
EBS volume tidak memiliki snapshot atau snapshot terakhir terlalu lama.
Kenapa berbahaya?
Jika volume rusak, terhapus, atau datanya corrupt, kamu mungkin tidak punya titik pemulihan.
Alert criteria
| Status | Kondisi |
|---|
| Yellow | Snapshot terakhir berumur 7–30 hari |
| Red | Snapshot terakhir lebih dari 30 hari |
| Red | Volume tidak punya snapshot |
Recommended action
Buat snapshot secara berkala.
- snapshot harian untuk volume kritis,
- snapshot mingguan untuk volume non-kritis,
- lifecycle policy untuk menghapus snapshot lama,
- gunakan AWS Backup untuk pengelolaan terpusat.
Prioritas
Tinggi jika volume menyimpan data penting.
Recommendation #5: Amazon S3 Bucket Logging
Masalah
S3 bucket belum mengaktifkan server access logging.
Kenapa penting?
Logging membantu kamu mengetahui:
- siapa mengakses bucket,
- kapan request dilakukan,
- object apa yang diminta,
- pola penggunaan bucket,
- data pendukung saat audit atau investigasi keamanan.
Alert criteria
- bucket tidak mengaktifkan server access logging,
- atau permission target bucket tidak memungkinkan status logging diperiksa.
Recommended action
Aktifkan server access logging untuk bucket yang penting.
- gunakan target bucket khusus untuk log,
- jangan menyimpan log ke bucket yang sama tanpa pertimbangan matang,
- atur lifecycle policy untuk mengelola biaya log,
- lindungi log agar tidak mudah dihapus atau dimodifikasi.
Prioritas
Sedang sampai tinggi, tergantung sensitivitas bucket.
Cara menentukan prioritas perbaikan
Jika semua rekomendasi muncul bersamaan, urutkan seperti ini:
- Risiko security kritis.
- Risiko kehilangan data.
- Risiko downtime/fault tolerance.
- Risiko service quota.
- Risiko biaya dan optimasi performa.
| Prioritas | Rekomendasi | Alasan |
|---|
| 1 | MFA on Root Account | Melindungi akun utama |
| 2 | Security Groups unrestricted | Mencegah akses publik berbahaya |
| 3 | EBS Snapshots | Melindungi data penting |
| 4 | S3 Bucket Logging | Mendukung audit dan investigasi |
| 5 | Service Limits | Mencegah kegagalan scaling |
Latihan
| Check | Status | Resource | Reason |
|---|
| MFA on Root Account | Red | AWS Account | MFA not enabled |
| Security Groups Unrestricted | Red | sg-123 | TCP 22 open to 0.0.0.0/0 |
| EBS Snapshots | Yellow | vol-456 | Snapshot 14 days old |
| S3 Bucket Logging | Yellow | assets-bucket | Logging disabled |
- Masalah mana yang harus diperbaiki paling dulu?
- Apa tindakan untuk Security Group?
- Apakah EBS snapshot harus langsung dibuat?
- Kenapa S3 bucket logging penting?
- MFA root dan Security Group unrestricted.
- Batasi source IP, gunakan
/32, VPN, atau Session Manager. - Ya, terutama jika volume menyimpan data penting. Status yellow artinya perlu investigasi.
- Logging membantu audit akses dan investigasi security event.
Kesimpulan
Trusted Advisor bukan hanya dashboard warna-warni. Tool ini membantu kita menemukan risiko nyata di AWS environment.
Saat membaca rekomendasi, jangan berhenti di status warna. Pahami:
- apa masalahnya,
- kenapa penting,
- resource mana yang terdampak,
- dan tindakan apa yang harus dilakukan.
Dengan begitu, kamu tidak hanya tahu teori, tapi juga bisa berpikir seperti cloud architect yang sedang memperbaiki environment nyata.