Sicherheit in AWS OpsWorks Configuration Management (CM) - AWS OpsWorks

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit in AWS OpsWorks Configuration Management (CM)

Die Sicherheit in der Cloud hat für AWS höchste Priorität. Als AWS-Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die zur Erfüllung der Anforderungen von Organisationen entwickelt wurden, für die Sicherheit eine kritische Bedeutung hat.

Sicherheit gilt zwischen AWS und Ihnen eine geteilte Verantwortung. Das Modell der geteilten Verantwortung beschreibt dies als Sicherheit der Cloud und Sicherheit in der Cloud:

  • Sicherheit der Cloud – AWS ist dafür verantwortlich, die Infrastruktur zu schützen, mit der AWS-Services in der AWS-Cloud ausgeführt werden. AWS stellt Ihnen außerdem Services bereit, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der AWS-Compliance-Programme regelmäßig. Informationen zu den Compliance-Programmen, die für AWS OpsWorks CM gelten, finden Sie unter Vom Compliance-Programm abgedeckte AWS-Services.

  • Sicherheit in der Cloud – Ihr Verantwortungsumfang wird durch den AWS-Dienst bestimmt, den Sie verwenden. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.

In dieser Dokumentation wird erläutert, wie das Modell der übergreifenden Verantwortlichkeit bei der Verwendung von AWS OpsWorks CM zum Tragen kommt. Die folgenden Themen zeigen Ihnen, wie Sie AWS OpsWorks CM zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie erfahren auch, wie Sie andere AWS-Services nutzen können, die Ihnen helfen, Ihre AWS OpsWorks CM-Ressourcen zu überwachen und zu sichern.

Datenverschlüsselung

AWS OpsWorks CM verschlüsselt Serversicherungen und die Kommunikation zwischen autorisierten AWS-Benutzern und ihren AWS OpsWorks CM-Servern. Die Amazon EBS-Root-Volumes von AWS OpsWorks CM-Servern sind jedoch nicht verschlüsselt.

Verschlüsselung im Ruhezustand

AWS OpsWorks CM-Server-Sicherungen werden verschlüsselt. Die Amazon EBS-Root-Volumes von AWS OpsWorks CM-Servern sind jedoch nicht verschlüsselt. Dies ist nicht vom Benutzer konfigurierbar.

Verschlüsselung während der Übertragung

AWS OpsWorksCM verwendet HTTP mit TLS-Verschlüsselung. AWS OpsWorks CM verwendet standardmäßig selbstsignierte Zertifikate für die Bereitstellung und Verwaltung von Servern, wenn kein signiertes Zertifikat von Benutzern bereitgestellt wird. Es wird empfohlen, ein Zertifikat zu verwenden, das von einer Zertifizierungsstelle (Certificate Authority, CA) signiert wurde.

Schlüsselverwaltung

Kundenverwaltete AWS Key Management Service-Schlüssel und von AWS verwaltete Schlüssel werden derzeit nicht von AWS OpsWorks CM unterstützt.

Richtlinie für den Datenverkehr zwischen Netzwerken

AWS OpsWorks CM verwendet dieselben Übertragungssicherheitsprotokolle, die üblicherweise von AWS verwendet werden: HTTPS oder HTTP mit TLS-Verschlüsselung.

Protokollierung und Überwachung in AWS OpsWorks CM

AWS OpsWorksCM protokolliert alle API-Aktionen unter. CloudTrail Weitere Informationen finden Sie unter den folgenden Themen:

Konfigurations- und Schwachstellenanalyse in AWS OpsWorks CM

AWS OpsWorks CM führt regelmäßige Kernel- und Sicherheitsupdates für das Betriebssystem durch, das auf dem AWS OpsWorks CM-Server ausgeführt wird. Benutzer können ein Zeitfenster für automatische Updates festlegen, das bis zu zwei Wochen ab dem aktuellen Datum gültig ist. AWS OpsWorks CM veröffentlicht automatische Updates der Nebenversionen von Chef und Puppet Enterprise. Weitere Informationen zum Konfigurieren von Updates für AWS OpsWorks for Chef Automate finden Sie unter Systemwartung (Chef) in diesem Handbuch. Weitere Informationen zur Konfiguration von Updates OpsWorks für Puppet Enterprise finden Sie unter Systemwartung (Puppet) in diesem Handbuch.

Bewährte Sicherheitsmethoden für AWS OpsWorksCM

AWS OpsWorks CM bietet wie alle anderen AWS-Services Sicherheitsfunktionen, die beim Entwickeln und Implementieren Ihrer eigenen Sicherheitsrichtlinien zu berücksichtigen sind. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

  • Sichern Sie Ihr Starter Kit und laden Sie die Anmeldeinformationen herunter. Wenn Sie einen neuen AWS OpsWorks CM-Server erstellen oder ein neues Starter Kit und Anmeldeinformationen von der AWS OpsWorks CM-Konsole herunterladen, speichern Sie diese Elemente an einem sicheren Speicherort, der mindestens einen Authentifizierungsfaktor erfordert. Die Anmeldeinformationen bieten Zugriff auf Administratorebene auf Ihren Server.

  • Sichern Sie Ihren Konfigurationscode. Sichern Sie Ihren Chef- oder Puppet-Konfigurationscode (Rezeptbücher und Module) mithilfe der empfohlenen Protokolle für Ihre Quell-Repositorys. Sie können beispielsweise die Berechtigungen auf Repositorys in AWS CodeCommit einschränken oder die Richtlinien auf der GitHub Website zur Sicherung von Repositorys befolgen. GitHub

  • Verwenden Sie CA-signierte Zertifikate, um eine Verbindung mit Knoten herzustellen. Obwohl Sie selbstsignierte Zertifikate beim Registrieren oder Bootstrapping von Knoten auf dem AWS OpsWorks CM-Server verwenden können, verwenden Sie als bewährte Methode CA-signierte Zertifikate. Es wird empfohlen, ein Zertifikat zu verwenden, das von einer Zertifizierungsstelle (Certificate Authority, CA) signiert wurde.

  • Geben Sie keine Anmeldeinformationen für die Chef- oder Puppet-Verwaltungskonsole für andere Benutzern frei. Ein Administrator sollte für jeden Benutzer der Chef- oder Puppet-Konsolen-Websites separate Benutzer erstellen.

  • Konfigurieren Sie automatische Sicherungen und Aktualisierungen der Systemwartung. Durch das Konfigurieren von automatischen Wartungsaktualisierungen auf dem AWS OpsWorks CM-Server wird sichergestellt, dass auf dem Server die neuesten sicherheitsrelevanten Betriebssystemupdates ausgeführt werden. Die Konfiguration automatischer Sicherungen erleichtert die Notfallwiederherstellung und verkürzte Wiederherstellungszeit im Falle eines Vorfalls oder eines Fehlers. Beschränken Sie den Zugriff auf den Amazon S3 S3-Bucket, in dem Ihre AWS OpsWorks CM-Server-Backups gespeichert sind. Gewähren Sie nicht Jedem Zugriff. Gewähren Sie anderen Benutzern nach Bedarf einzeln Lese- oder Schreibzugriff oder erstellen Sie eine Sicherheitsgruppe in IAM für diese Benutzer und weisen Sie der Sicherheitsgruppe Zugriff zu.