AWS OpsWorks 組態管理 (CM) 中的安全性 - AWS OpsWorks
資料加密網際網路流量隱私權記錄和監控組態與漏洞分析安全最佳實務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS OpsWorks 組態管理 (CM) 中的安全性

的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以從資料中心和網路架構中受益,該架構旨在滿足最安全敏感組織的需求。

安全性是 AWS 和 之間的共同責任。‬共同責任模型‭‬ 將此描述為雲端‬的‭‬安全和雲端‬內‬的安全:

  • 雲端的安全性 – AWS 負責保護在 Cloud AWS 中執行 AWS 服務的基礎設施。 AWS 也提供您可以安全使用的服務。在 AWS 合規計畫中,第三方稽核員會定期測試並驗證我們的安全功效。若要了解適用於 AWS OpsWorks CM 的合規計劃,請參閱合規計劃範圍內的AWS 服務

  • 雲端安全 – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。

本文件可協助您了解如何在使用 CM AWS OpsWorks 時套用共同的責任模型。下列主題說明如何設定 AWS OpsWorks CM 以符合您的安全和合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 AWS OpsWorks CM 資源。

主題

資料加密

AWS OpsWorks CM 會加密授權 AWS 使用者與其 AWS OpsWorks CM 伺服器之間的伺服器備份和通訊。不過,不會加密 CM 伺服器的根 Amazon EBS AWS OpsWorks 磁碟區。

靜態加密

AWS OpsWorks CM 伺服器備份會加密。不過,不會加密 CM 伺服器的根 Amazon EBS AWS OpsWorks 磁碟區。這不是使用者可設定的。

傳輸中加密

AWS OpsWorks CM 使用 HTTP 搭配 TLS 加密。如果使用者未提供已簽章的憑證, AWS OpsWorks CM 會預設為自我簽署的憑證來佈建和管理伺服器。我們建議您使用憑證授權單位 (CA) 所簽署的憑證。

金鑰管理

AWS Key Management Service CM 目前不支援客戶受管金鑰和 AWS AWS OpsWorks 受管金鑰。

網際網路流量隱私權

AWS OpsWorks CM 使用與 AWS HTTPS 或 HTTP 搭配 TLS 加密一般使用的相同傳輸安全通訊協定。

在 CM AWS OpsWorks 中記錄和監控

AWS OpsWorks CM 會將所有 API 動作記錄到 CloudTrail。如需詳細資訊,請參閱下列主題:

CM AWS OpsWorks 中的組態和漏洞分析

AWS OpsWorks CM 會對在 AWS OpsWorks CM 伺服器上執行的作業系統執行定期核心和安全性更新。使用者可以為自動更新設定從目前日期算起最多兩週的時段。 AWS OpsWorks CM 會推送 Chef 和 Puppet Enterprise 次要版本的自動更新。如需設定 更新的詳細資訊 AWS OpsWorks for Chef Automate,請參閱本指南中的系統維護 (Chef)。如需設定 OpsWorks for Puppet Enterprise 更新的詳細資訊,請參閱本指南中的系統維護 (Puppet)

CM AWS OpsWorks 的安全最佳實務

AWS OpsWorks CM 與所有 AWS 服務一樣,提供安全功能供您在開發和實作自己的安全政策時考慮。以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。