Keamanan di AWS OpsWorks Manajemen Konfigurasi (CM) - AWS OpsWorks
Enkripsi dataPrivasi Lalu Lintas Kerja InternetPembuatan Log dan PemantauanAnalisis Konfigurasi dan KelemahanPraktik Terbaik Keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan di AWS OpsWorks Manajemen Konfigurasi (CM)

Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.

Keamanan adalah tanggung jawab bersama antara AWS dan kamu. Model tanggung jawab bersama menjelaskan hal ini sebagai keamanan cloud dan keamanan dalam cloud:

  • Keamanan Cloud — AWS Bertanggung jawab untuk melindungi infrastruktur yang berjalan AWS layanan di AWS Awan. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari AWS program kepatuhan. Untuk mempelajari tentang program kepatuhan yang berlaku untuk AWS OpsWorks CM, lihat AWS Layanan dalam Lingkup oleh Program Kepatuhan.

  • Keamanan di cloud — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS OpsWorks CM. Topik berikut menunjukkan cara mengkonfigurasi AWS OpsWorks CM untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan AWS OpsWorks Sumber daya CM.

Topik

Enkripsi data

AWS OpsWorks CM mengenkripsi cadangan server dan komunikasi antara yang berwenang AWS pengguna dan mereka AWS OpsWorks Server CM. Namun, EBS volume root Amazon dari AWS OpsWorks Server CM tidak dienkripsi.

Enkripsi saat Data Tidak Berpindah

AWS OpsWorks Cadangan server CM dienkripsi. Namun, EBS volume root Amazon dari AWS OpsWorks Server CM tidak dienkripsi. Ini tidak dapat dikonfigurasi pengguna.

Enkripsi Saat Data Berpindah

AWS OpsWorks CM menggunakan HTTP dengan TLS enkripsi. AWS OpsWorks CM default ke sertifikat yang ditandatangani sendiri untuk menyediakan dan mengelola server, jika tidak ada sertifikat yang ditandatangani yang disediakan oleh pengguna. Kami menyarankan Anda menggunakan sertifikat yang ditandatangani oleh otoritas sertifikat (CA).

Manajemen kunci

AWS Key Management Service kunci terkelola pelanggan dan kunci AWS terkelola saat ini tidak didukung oleh AWS OpsWorks CM.

Privasi Lalu Lintas Kerja Internet

AWS OpsWorks CM menggunakan protokol keamanan transmisi yang sama yang umumnya digunakan oleh AWS:HTTPS, atau HTTP dengan TLS enkripsi.

Logging dan Monitoring di AWS OpsWorks CM

AWS OpsWorks CM mencatat semua API tindakan ke CloudTrail. Untuk informasi selengkapnya, lihat topik berikut.

Analisis Konfigurasi dan Kerentanan di AWS OpsWorks CM

AWS OpsWorks CM melakukan pembaruan kernel dan keamanan berkala ke sistem operasi yang berjalan pada Anda AWS OpsWorks Server CM. Pengguna dapat mengatur jendela waktu agar pembaruan otomatis terjadi hingga dua minggu dari tanggal saat ini. AWS OpsWorks CM mendorong pembaruan otomatis versi minor Chef dan Puppet Enterprise. Untuk informasi selengkapnya tentang mengonfigurasi pembaruan untuk AWS OpsWorks for Chef Automate, lihat Pemeliharaan Sistem (Chef) dalam panduan ini. Untuk informasi selengkapnya tentang mengonfigurasi pembaruan OpsWorks untuk Puppet Enterprise, lihat Pemeliharaan Sistem (Boneka) dalam panduan ini.

Praktik Terbaik Keamanan untuk AWS OpsWorks CM

AWS OpsWorks CM, seperti semua AWS Layanan, menawarkan fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.

  • Amankan Starter Kit Anda dan download kredenal login. Saat Anda membuat yang baru AWS OpsWorks CM server atau download Starter Kit baru dan kredensional dari AWS OpsWorks Konsol CM, simpan item ini di lokasi aman yang memerlukan setidaknya satu faktor otentikasi minimal. Kredensialnya menyediakan akses tingkat administrator ke server Anda.

  • Amankan kode konfigurasi Anda. Amankan kode konfigurasi Chef atau Puppet Anda (buku masak dan modul) menggunakan protokol yang direkomendasikan untuk repositori sumber Anda. Misalnya, Anda dapat membatasi izin ke repositori di AWS CodeCommit, atau ikuti pedoman di GitHub situs web untuk mengamankan GitHub repositori.

  • Gunakan sertifikat yang ditandatangani CA untuk terhubung ke node. Meskipun Anda dapat menggunakan sertifikat yang ditandatangani sendiri saat Anda mendaftar atau mem-bootstrapping node di AWS OpsWorks Server CM, sebagai praktik terbaik, menggunakan sertifikat yang ditandatangani CA. Kami menyarankan Anda menggunakan sertifikat yang ditandatangani oleh otoritas sertifikat (CA).

  • Jangan bagikan kredenal masuk konsol manajemen Chef atau Puppet dengan pengguna lain. Administrator harus membuat pengguna terpisah untuk setiap pengguna situs web konsol Chef atau Puppet.

  • Konfigurasikan backup otomatis dan pembaruan pemeliharaan sistem. Mengkonfigurasi pembaruan pemeliharaan otomatis pada Anda AWS OpsWorks Server CM membantu memastikan bahwa server Anda menjalankan pembaruan sistem operasi terkait keamanan terbaru. Mengkonfigurasi backup otomatis membantu memudahkan pemulihan bencana dan mempercepat waktu pemulihan jika terjadi insiden atau kegagalan. Batasi akses ke bucket Amazon S3 yang menyimpan Anda AWS OpsWorks Cadangan server CM; tidak memberikan akses ke Semua Orang. Berikan akses baca atau tulis ke pengguna lain secara individual sesuai kebutuhan, atau buat grup keamanan IAM untuk pengguna tersebut, dan tetapkan akses ke grup keamanan.