Protection des données IAMautorisations Exécuter des tâches en tant qu'utilisateurs et en tant que groupes Réseaux Données relatives aux emplois Structure de la ferme Files d'attente pour les offres d'emploi Buckets logiciels personnalisés Hôtes de travail Stations de travail

Bonnes pratiques de sécurité pour Deadline Cloud

AWS Deadline Cloud (Deadline Cloud) fournit un certain nombre de fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.

Note

Pour plus d'informations sur l'importance de nombreux sujets liés à la sécurité, consultez le modèle de responsabilité partagée.

Protection des données

Pour des raisons de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer des comptes individuels avec AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

Utilisez l'authentification multifactorielle (MFA) pour chaque compte.
UtilisezSSL/TLSpour communiquer avec les AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.
Configuration API et journalisation de l'activité des utilisateurs avec AWS CloudTrail.
Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
Utilisez des services de sécurité gérés avancés tels qu'Amazon Macie, qui vous aident à découvrir et à sécuriser les données personnelles stockées dans Amazon Simple Storage Service (Amazon S3).
Si vous avez besoin de FIPS 140 à 2 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un point de terminaison. FIPS Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-2.

Nous vous recommandons vivement de ne jamais placer d’informations identifiables sensibles, telles que les numéros de compte de vos clients, dans des champs de formulaire comme Nom. Cela inclut lorsque vous travaillez avec AWS Deadline Cloud ou autre Services AWS à l'aide de la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous saisissez dans Deadline Cloud ou dans d'autres services peuvent être récupérées pour être incluses dans les journaux de diagnostic. Lorsque vous fournissez un URL à un serveur externe, n'incluez pas d'informations d'identification dans le URL pour valider votre demande auprès de ce serveur.

AWS Identity and Access Management autorisations

Gérez l'accès aux AWS ressources à l'aide d'utilisateurs, AWS Identity and Access Management (IAM) de rôles et en accordant le moins de privilèges aux utilisateurs. Établissez des politiques et des procédures de gestion des informations d'identification pour la création, la distribution, la rotation et la révocation des informations AWS d'accès. Pour plus d'informations, consultez la section IAMBonnes pratiques du guide de IAM l'utilisateur.

Exécuter des tâches en tant qu'utilisateurs et en tant que groupes

Lorsque vous utilisez la fonctionnalité de file d'attente dans Deadline Cloud, il est recommandé de spécifier un utilisateur du système d'exploitation (OS) et son groupe principal afin que l'utilisateur du système d'exploitation dispose des autorisations les moins privilégiées pour les tâches de la file d'attente.

Lorsque vous spécifiez un « Exécuter en tant qu'utilisateur » (et un groupe), tous les processus relatifs aux tâches soumises à la file d'attente seront exécutés à l'aide de cet utilisateur du système d'exploitation et hériteront des autorisations de système d'exploitation associées à cet utilisateur.

Les configurations de flotte et de file d'attente se combinent pour établir une posture de sécurité. Du côté de la file d'attente, le « Job exécuté en tant qu'utilisateur » et IAM le rôle peuvent être spécifiés pour utiliser le système d'exploitation et AWS les autorisations pour les tâches de la file d'attente. Le parc définit l'infrastructure (hôtes de travail, réseaux, stockage partagé monté) qui, lorsqu'elle est associée à une file d'attente particulière, exécute les tâches au sein de cette file. Les données disponibles sur les hôtes de travail doivent être accessibles par les jobs depuis une ou plusieurs files d'attente associées. La spécification d'un utilisateur ou d'un groupe permet de protéger les données des tâches contre les autres files d'attente, les autres logiciels installés ou les autres utilisateurs ayant accès aux hôtes de travail. Lorsqu'une file d'attente n'a pas d'utilisateur, elle s'exécute en tant qu'utilisateur agent qui peut se faire passer pour (sudo) n'importe quel utilisateur de la file d'attente. Ainsi, une file d'attente sans utilisateur peut transférer des privilèges à une autre file d'attente.

Réseaux

Pour éviter que le trafic ne soit intercepté ou redirigé, il est essentiel de sécuriser comment et où le trafic de votre réseau est acheminé.

Nous vous recommandons de sécuriser votre environnement réseau de la manière suivante :

Sécurisez les tables de routage du sous-réseau Amazon Virtual Private Cloud (AmazonVPC) pour contrôler la manière dont le trafic de la couche IP est acheminé.
Si vous utilisez Amazon Route 53 (Route 53) comme DNS fournisseur pour la configuration de votre parc ou de votre station de travail, sécurisez l'accès à la Route 53API.
Si vous vous connectez à Deadline Cloud en dehors de celui-ci, par AWS exemple en utilisant des postes de travail sur site ou d'autres centres de données, sécurisez toute infrastructure réseau sur site. Cela inclut DNS les serveurs et les tables de routage sur les routeurs, les commutateurs et autres périphériques réseau.

Emplois et données sur les emplois

Les tâches Deadline Cloud s'exécutent dans le cadre de sessions sur des hôtes de travail. Chaque session exécute un ou plusieurs processus sur l'hôte de travail, qui nécessitent généralement que vous saisissiez des données pour produire une sortie.

Pour sécuriser ces données, vous pouvez configurer les utilisateurs du système d'exploitation avec des files d'attente. L'agent de travail utilise l'utilisateur du système d'exploitation de la file d'attente pour exécuter les sous-processus de session. Ces sous-processus héritent des autorisations de l'utilisateur du système d'exploitation de la file d'attente.

Nous vous recommandons de suivre les meilleures pratiques pour sécuriser l'accès aux données auxquelles ces sous-processus accèdent. Pour de plus amples informations, veuillez consulter Modèle de responsabilité partagée.

Structure de la ferme

Vous pouvez organiser les flottes et les files d'attente de Deadline Cloud de nombreuses manières. Cependant, certains arrangements ont des implications en matière de sécurité.

Une ferme possède l'une des limites les plus sécurisées, car elle ne peut pas partager les ressources de Deadline Cloud avec d'autres fermes, notamment les flottes, les files d'attente et les profils de stockage. Cependant, vous pouvez partager AWS des ressources externes au sein d'un parc de serveurs, ce qui compromet les limites de sécurité.

Vous pouvez également établir des limites de sécurité entre les files d'attente d'une même batterie de serveurs à l'aide de la configuration appropriée.

Suivez ces bonnes pratiques pour créer des files d'attente sécurisées dans le même parc de serveurs :

Associez une flotte uniquement aux files d'attente situées dans la même limite de sécurité. Notez ce qui suit :
- Une fois la tâche exécutée sur l'hôte de travail, les données peuvent rester, par exemple dans un répertoire temporaire ou dans le répertoire personnel de l'utilisateur de la file d'attente.
- Le même utilisateur du système d'exploitation exécute toutes les tâches sur un hôte de flotte appartenant au service, quelle que soit la file d'attente à laquelle vous soumettez la tâche.
- Une tâche peut laisser des processus s'exécuter sur un hôte de travail, ce qui permet aux tâches d'autres files d'attente d'observer d'autres processus en cours d'exécution.
Assurez-vous que seules les files d'attente situées dans la même limite de sécurité partagent un compartiment Amazon S3 pour les pièces jointes aux tâches.
Assurez-vous que seules les files d'attente situées dans les mêmes limites de sécurité partagent un même utilisateur du système d'exploitation.
Sécurisez toutes les autres AWS ressources intégrées à la ferme jusqu'à la limite.

Files d'attente pour les offres d'emploi

Les pièces jointes aux tâches sont associées à une file d'attente qui utilise votre compartiment Amazon S3.

Les pièces jointes aux tâches sont écrites et lues à partir d'un préfixe racine du compartiment Amazon S3. Vous spécifiez ce préfixe racine dans l'CreateQueueAPIappel.
Le bucket a un correspondantQueue Role, qui spécifie le rôle qui accorde aux utilisateurs de la file d'attente l'accès au bucket et au préfixe racine. Lorsque vous créez une file d'attente, vous spécifiez le nom de la ressource Queue Role Amazon (ARN) à côté du compartiment des pièces jointes aux tâches et du préfixe racine.
Les appels autorisés vers le AssumeQueueRoleForReadAssumeQueueRoleForUser, et les AssumeQueueRoleForWorker API opérations renvoient un ensemble d'informations d'identification de sécurité temporaires pour leQueue Role.

Si vous créez une file d'attente et que vous réutilisez un compartiment Amazon S3 et un préfixe racine, des informations risquent d'être divulguées à des tiers non autorisés. Par exemple, QueueA et QueueB partagent le même bucket et le même préfixe racine. Dans un flux de travail sécurisé, ArtistA a accès à QueueA mais pas à QueueB. Toutefois, lorsque plusieurs files d'attente partagent un bucket, ArtistA peut accéder aux données contenues dans QueueB car il utilise le même bucket et le même préfixe racine que QueueA.

La console configure des files d'attente sécurisées par défaut. Assurez-vous que les files d'attente comportent une combinaison distincte de compartiment Amazon S3 et de préfixe racine, sauf si elles font partie d'une limite de sécurité commune.

Pour isoler vos files d'attente, vous devez configurer le Queue Role pour n'autoriser l'accès aux files d'attente qu'au bucket et au préfixe racine. Dans l'exemple suivant, remplacez chaque placeholder avec les informations spécifiques à vos ressources.


{
  "Version": "2012-10-17",
  "Statement": [ 
    {
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:ListBucket",
        "s3:GetBucketLocation"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::JOB_ATTACHMENTS_BUCKET_NAME",
        "arn:aws:s3:::JOB_ATTACHMENTS_BUCKET_NAME/JOB_ATTACHMENTS_ROOT_PREFIX/*"
      ],
      "Condition": {
        "StringEquals": { "aws:ResourceAccount": "ACCOUNT_ID" }
      }
    },
    {
      "Action": ["logs:GetLogEvents"],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:REGION:ACCOUNT_ID:log-group:/aws/deadline/FARM_ID/*"
    }
  ]
}

Vous devez également définir une politique de confiance pour le rôle. Dans l'exemple suivant, remplacez placeholder texte contenant les informations spécifiques à votre ressource.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": ["sts:AssumeRole"],
      "Effect": "Allow",
      "Principal": { "Service": "deadline.amazonaws.com" },
      "Condition": {
        "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:REGION:ACCOUNT_ID:farm/FARM_ID"
        }
      }
    },
    {
      "Action": ["sts:AssumeRole"],
      "Effect": "Allow",
      "Principal": { "Service": "credentials.deadline.amazonaws.com" },
      "Condition": {
        "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:REGION:ACCOUNT_ID:farm/FARM_ID"
        }
      }
    }
  ]
}

Buckets Amazon S3 logiciels personnalisés

Vous pouvez ajouter l'instruction suivante à votre compte Queue Role pour accéder aux logiciels personnalisés de votre compartiment Amazon S3. Dans l'exemple suivant, remplacez SOFTWARE_BUCKET_NAME avec le nom de votre compartiment S3.


"Statement": [ 
    {
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::SOFTWARE_BUCKET_NAME",
            "arn:aws:s3:::SOFTWARE_BUCKET_NAME/*"
        ]
    }
]

Pour plus d'informations sur les meilleures pratiques de sécurité d'Amazon S3, consultez la section Meilleures pratiques de sécurité pour Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Hôtes de travail

Sécurisez les hôtes de travail pour garantir que chaque utilisateur ne peut effectuer des opérations que pour le rôle qui lui est assigné.

Nous recommandons les meilleures pratiques suivantes pour sécuriser les hôtes de travail :

N'utilisez pas la même jobRunAsUser valeur avec plusieurs files d'attente, sauf si les tâches soumises à ces files d'attente se situent dans la même limite de sécurité.
Ne définissez pas la file jobRunAsUser d'attente sur le nom de l'utilisateur du système d'exploitation sous lequel l'agent de travail s'exécute.
Accordez aux utilisateurs de la file d'attente les autorisations de système d'exploitation les moins privilégiées requises pour les charges de travail de file d'attente prévues. Assurez-vous qu'ils ne disposent pas d'autorisations d'écriture dans le système de fichiers pour accéder aux fichiers du programme de l'agent de travail ou à d'autres logiciels partagés.
Assurez-vous que seul l'utilisateur root est activé Linux et le compte du Administrator propriétaire sur Windows possède et peut modifier les fichiers du programme de l'agent de travail.
Activé Linux hôtes de travail, envisagez de configurer une umask dérogation permettant à /etc/sudoers l'utilisateur de l'agent de travail de lancer des processus en tant qu'utilisateurs de la file d'attente. Cette configuration permet de garantir que les autres utilisateurs ne peuvent pas accéder aux fichiers écrits dans la file d'attente.
Accordez à des personnes de confiance un accès moins privilégié aux hôtes professionnels.
Restreindre les autorisations aux fichiers de DNS configuration de remplacement locaux (activé /etc/hosts Linux et ainsi de C:\Windows\system32\etc\hosts suite Windows), et pour acheminer des tables sur les postes de travail et les systèmes d'exploitation hôtes du poste de travail.
Limitez les autorisations de DNS configuration sur les postes de travail et les systèmes d'exploitation hôtes des travailleurs.
Appliquez régulièrement des correctifs au système d'exploitation et à tous les logiciels installés. Cette approche inclut les logiciels spécifiquement utilisés avec Deadline Cloud, tels que les émetteurs, les adaptateurs, les agents de travail, OpenJD packages, et autres.
Utilisez des mots de passe forts pour Windows queue.jobRunAsUser
Changez régulièrement les mots de passe de votre file d'attentejobRunAsUser.
Garantissez un accès avec le moindre privilège à Windows le mot de passe secrète et supprime les secrets non utilisés.
N'jobRunAsUserautorisez pas la file d'attente à exécuter les commandes de planification à l'avenir :
- Activé Linux, refusez à ces comptes l'accès à cron etat.
- Activé Windows, refusez à ces comptes l'accès au Windows planificateur de tâches.

Note

Pour plus d'informations sur l'importance d'appliquer régulièrement des correctifs au système d'exploitation et aux logiciels installés, consultez le modèle de responsabilité partagée.

Stations de travail

Il est important de sécuriser les postes de travail ayant accès à Deadline Cloud. Cette approche permet de garantir que les tâches que vous soumettez à Deadline Cloud ne peuvent pas exécuter des charges de travail arbitraires facturées à votre compte. Compte AWS

Nous recommandons de suivre les bonnes pratiques suivantes pour sécuriser les postes de travail des artistes. Pour plus d'informations, consultez le Modèle de responsabilité partagée .

Sécurisez toutes les informations d'identification persistantes donnant accès à Deadline Cloud AWS, y compris. Pour plus d'informations, consultez la section Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de IAM l'utilisateur.
Installez uniquement des logiciels fiables et sécurisés.
Exigez que les utilisateurs se fédérent avec un fournisseur d'identité pour accéder à l' AWS aide d'informations d'identification temporaires.
Utilisez des autorisations sécurisées sur les fichiers du programme d'envoi de Deadline Cloud pour éviter toute falsification.
Accordez à des personnes de confiance un accès moins privilégié aux postes de travail des artistes.
N'utilisez que des émetteurs et des adaptateurs que vous obtenez via le Deadline Cloud Monitor.
Restreindre les autorisations aux fichiers de DNS configuration de remplacement locaux (activé /etc/hosts Linux and macOS, et ainsi de C:\Windows\system32\etc\hosts suite Windows), et pour acheminer des tables sur les postes de travail et les systèmes d'exploitation hôtes du poste de travail.
Limitez les autorisations /etc/resolve.conf aux postes de travail et aux systèmes d'exploitation hôtes des travailleurs.
Appliquez régulièrement des correctifs au système d'exploitation et à tous les logiciels installés. Cette approche inclut les logiciels spécifiquement utilisés avec Deadline Cloud, tels que les émetteurs, les adaptateurs, les agents de travail, OpenJD packages, et autres.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS PrivateLink

Surveillance