Crittografia dei dati Riservatezza del traffico Internet Registrazione e monitoraggio Analisi della configurazione e delle vulnerabilità Best practice di sicurezza

Sicurezza in AWS OpsWorks Gestione della configurazione (CM)

Sicurezza nel cloud presso AWS è la massima priorità. Come AWS cliente, trarrai vantaggio da un'architettura di data center e rete progettata per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.

La sicurezza è una responsabilità condivisa tra AWS e tu. Il modello di responsabilità condivisa descrive questo come sicurezza del cloud e sicurezza nel cloud:

Sicurezza del cloud — AWS è responsabile della protezione dell'infrastruttura in esecuzione AWS servizi in AWS Cloud. AWS ti offre anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito del AWS programmi di conformità. Per conoscere i programmi di conformità applicabili a AWS OpsWorks CM, vedi AWS Servizi rientranti nell'ambito del programma di conformità.
Sicurezza nel cloud: la tua responsabilità è determinata dal AWS servizio che utilizzi. Sei anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della tua azienda e le leggi e normative vigenti.

Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo AWS OpsWorks CM. I seguenti argomenti mostrano come configurare AWS OpsWorks CM per raggiungere i tuoi obiettivi di sicurezza e conformità. Imparerai anche a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere i AWS OpsWorks Risorse CM.

Argomenti

Crittografia dei dati

AWS OpsWorks CM crittografa i backup dei server e le comunicazioni tra utenti autorizzati AWS gli utenti e i loro AWS OpsWorks server CM. Tuttavia, i EBS volumi Amazon root di AWS OpsWorks I server CM non sono crittografati.

Crittografia dei dati inattivi

AWS OpsWorks I backup dei server CM sono crittografati. Tuttavia, i EBS volumi Amazon root di AWS OpsWorks I server CM non sono crittografati. Questa opzione non è configurabile dall'utente.

Crittografia in transito

AWS OpsWorks CM utilizza HTTP la TLS crittografia. AWS OpsWorks CM utilizza per impostazione predefinita i certificati autofirmati per fornire e gestire i server, se gli utenti non forniscono alcun certificato firmato. Si consiglia di utilizzare un certificato firmato di un'autorità di certificazione (CA).

Gestione delle chiavi

AWS Key Management Service le chiavi gestite dai clienti e le chiavi AWS gestite non sono attualmente supportate da AWS OpsWorks CM.

Riservatezza del traffico Internet

AWS OpsWorks CM utilizza gli stessi protocolli di sicurezza della trasmissione generalmente utilizzati da AWS:HTTPS, o HTTP con TLS crittografia.

Registrazione e monitoraggio AWS OpsWorks CM

AWS OpsWorks CM registra tutte le API azioni in. CloudTrail Per ulteriori informazioni, consulta i seguenti argomenti:

Analisi della configurazione e delle vulnerabilità in AWS OpsWorks CM

AWS OpsWorks CM esegue aggiornamenti periodici del kernel e della sicurezza del sistema operativo in esecuzione sul AWS OpsWorks Server CM. Gli utenti possono impostare una finestra temporale per gli aggiornamenti automatici per un massimo di due settimane dalla data corrente. AWS OpsWorks CM invia aggiornamenti automatici delle versioni secondarie di Chef e Puppet Enterprise. Per ulteriori informazioni sulla configurazione degli aggiornamenti per AWS OpsWorks for Chef Automate, consulta System Maintenance (Chef) in questa guida. Per ulteriori informazioni sulla configurazione degli aggiornamenti OpsWorks per Puppet Enterprise, consulta System Maintenance (Puppet) in questa guida.

Best practice di sicurezza per AWS OpsWorks CM

AWS OpsWorks CM, come tutti AWS servizi, offre funzionalità di sicurezza da considerare durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni.

Proteggi il tuo Starter Kit e le credenziali di accesso scaricate. Quando ne crei uno nuovo AWS OpsWorks Server CM o scaricate un nuovo Starter Kit e le credenziali dal AWS OpsWorks Console CM, archivia questi elementi in un luogo sicuro che richieda almeno un fattore di autenticazione. Le credenziali forniscono l'accesso a livello di amministratore al server.
Proteggi il tuo codice di configurazione. Proteggi il tuo codice di configurazione Chef o Puppet (libri di ricette e moduli) utilizzando i protocolli consigliati per i tuoi repository di origine. Ad esempio, è possibile limitare le autorizzazioni ai repository in AWS CodeCommit, oppure segui le linee guida sul GitHub sito Web per proteggere GitHub i repository.
Utilizza i certificati firmati dall'autorità di certificazione per la connessione ai nodi. Tuttavia, è possibile utilizzare certificati autofirmati durante la registrazione o l'avvio di nodi sul AWS OpsWorks Il server CM, come best practice, utilizza certificati firmati da un'autorità di certificazione. Si consiglia di utilizzare un certificato firmato di un'autorità di certificazione (CA).
Non condividere le credenziali di accesso alla console di gestione Chef o Puppet con altri utenti. Un amministratore deve creare utenti separati per ogni utente dei siti Web della console Chef o Puppet.
- Gestione degli utenti in Chef Automate
- Gestione degli utenti in Puppet Enterprise
Configura backup automatici e aggiornamenti di manutenzione del sistema. Configurazione degli aggiornamenti di manutenzione automatici sul tuo AWS OpsWorks Il server CM aiuta a garantire che sul server vengano eseguiti gli aggiornamenti più recenti del sistema operativo relativi alla sicurezza. La configurazione dei backup automatici facilita il disaster recovery e velocizza i tempi di ripristino in caso di incidente o di errore. Limita l'accesso al bucket Amazon S3 in cui sono archiviati i AWS OpsWorks Backup dei server CM; non concedere l'accesso a tutti. Concedi l'accesso in lettura o scrittura ad altri utenti singolarmente, se necessario, oppure crea un gruppo di sicurezza IAM per tali utenti e assegna l'accesso al gruppo di sicurezza.
- Manutenzione del sistema (Chef)
- Manutenzione del sistema (Puppet)
- Backup e ripristino di un AWS OpsWorks for Chef Automate server
- Esegui il backup e il ripristino di un OpsWorks server Puppet Enterprise
- Creazione del primo utente e gruppo IAM delegati in AWS Identity and Access Management Guida per l'utente
- Best practice di sicurezza per Amazon S3 nella Amazon Simple Storage Service Developer Guide

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Risoluzione dei problemi

Protezione dei dati