Segurança em AWS OpsWorks Gerenciamento de configuração (CM) - AWS OpsWorks
Criptografia de dadosPrivacidade do tráfego entre redesRegistro e MonitoramentoAnálise de configuração e vulnerabilidadePráticas recomendadas de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança em AWS OpsWorks Gerenciamento de configuração (CM)

Segurança na nuvem em AWS é a maior prioridade. Como um AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.

A segurança é uma responsabilidade compartilhada entre AWS e você. O modelo de responsabilidade compartilhada descreve isto como segurança da nuvem e segurança na nuvem:

  • Segurança da nuvem — AWS é responsável por proteger a infraestrutura que funciona AWS serviços no AWS Nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte do AWS programas de conformidade. Para saber mais sobre os programas de conformidade que se aplicam ao AWS OpsWorks CM, veja AWS Serviços no escopo do Programa de Conformidade.

  • Segurança na nuvem — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.

Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar AWS OpsWorks CM. Os tópicos a seguir mostram como configurar AWS OpsWorks CM para atender aos seus objetivos de segurança e conformidade. Você também aprende a usar outros AWS serviços que ajudam você a monitorar e proteger seu AWS OpsWorks Recursos de CM.

Tópicos

Criptografia de dados

AWS OpsWorks O CM criptografa os backups do servidor e a comunicação entre os autorizados AWS usuários e seus AWS OpsWorks Servidores CM. No entanto, os EBS volumes raiz da Amazon de AWS OpsWorks Os servidores CM não são criptografados.

Criptografia em repouso

AWS OpsWorks Os backups do servidor CM são criptografados. No entanto, os EBS volumes raiz da Amazon de AWS OpsWorks Os servidores CM não são criptografados. Isso não é configurável pelo usuário.

Criptografia em trânsito

AWS OpsWorks O CM usa HTTP com TLS criptografia. AWS OpsWorks O CM assume como padrão certificados autoassinados para provisionar e gerenciar servidores, se nenhum certificado assinado for fornecido pelos usuários. Recomendamos que utilize um certificado assinado por uma autoridade de certificação (CA).

Gerenciamento de chaves

AWS Key Management Service as chaves gerenciadas pelo cliente e as chaves AWS gerenciadas não são atualmente suportadas pelo AWS OpsWorks CM.

Privacidade do tráfego entre redes

AWS OpsWorks O CM usa os mesmos protocolos de segurança de transmissão geralmente usados pelo AWS:HTTPS, ou HTTP com TLS criptografia.

Registro e monitoramento em AWS OpsWorks CM

AWS OpsWorks O CM registra todas API as ações em CloudTrail. Para obter mais informações, consulte os tópicos a seguir.

Análise de configuração e vulnerabilidade em AWS OpsWorks CM

AWS OpsWorks O CM executa atualizações periódicas de kernel e segurança no sistema operacional que está sendo executado em seu AWS OpsWorks Servidor CM. Os usuários podem definir uma janela de tempo para que as atualizações automáticas ocorram por até duas semanas a partir da data atual. AWS OpsWorks O CM envia atualizações automáticas das versões secundárias do Chef e do Puppet Enterprise. Para obter mais informações sobre como configurar atualizações para AWS OpsWorks for Chef Automate, consulte Manutenção do sistema (Chef) neste guia. Para obter mais informações sobre como configurar atualizações OpsWorks para o Puppet Enterprise, consulte Manutenção do sistema (Puppet) neste guia.

Melhores práticas de segurança para AWS OpsWorks CM

AWS OpsWorks CM, como todos AWS serviços, oferece recursos de segurança a serem considerados ao desenvolver e implementar suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas melhores práticas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.

  • Proteja o Starter kit e as credenciais de login obtidas por download. Quando você cria um novo AWS OpsWorks Servidor CM ou baixe um novo Starter Kit e credenciais do AWS OpsWorks Console CM, armazene esses itens em um local seguro que exija pelo menos um fator de autenticação no mínimo. As credenciais concedem acesso de nível de administrador ao servidor.

  • Proteja o código de configuração. Proteja o código de configuração do Chef ou do Puppet (livros de receitas e módulos) usando os protocolos recomendados para os repositórios de origem. Por exemplo, você pode restringir as permissões aos repositórios no AWS CodeCommitou siga as diretrizes do GitHub site para proteger GitHub repositórios.

  • Use certificados assinados pela CA para se conectar aos nós. Embora você possa usar certificados autoassinados ao registrar ou inicializar nós no seu AWS OpsWorks O servidor CM, como prática recomendada, usa certificados assinados pela CA. Recomendamos que utilize um certificado assinado por uma autoridade de certificação (CA).

  • Não compartilhe as credenciais de login do console de gerenciamento do Chef ou do Puppet com outros usuários. Um administrador deve criar usuários separados para cada usuário dos sites do console do Chef ou do Puppet.

  • Configurar backups e atualizações de manutenção do sistema automáticos. Configurando atualizações automáticas de manutenção em seu AWS OpsWorks O servidor CM ajuda a garantir que seu servidor esteja executando as atualizações mais recentes do sistema operacional relacionadas à segurança. A configuração de backups automáticos ajuda a facilitar a recuperação de desastres e a acelerar o tempo de restauração em caso de incidente ou falha. Limite o acesso ao bucket do Amazon S3 que armazena seu AWS OpsWorks Backups do servidor CM; não conceda acesso a todos. Conceda acesso de leitura ou gravação a outros usuários individualmente, conforme necessário, ou crie um grupo de segurança IAM para esses usuários e atribua acesso ao grupo de segurança.