Prácticas recomendadas de seguridad para Deadline Cloud - AWS Nube de plazos
Protección de los datosPermisos de IAMEjecute trabajos como usuarios y gruposRedDatos de trabajoEstructura de la granjaColas de adjuntos de trabajosDepósitos de software personalizadosLos trabajadores son anfitrionesEstaciones de trabajo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas de seguridad para Deadline Cloud

AWS Deadline Cloud (Deadline Cloud) ofrece una serie de características de seguridad que debes tener en cuenta a la hora de desarrollar e implementar tus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

nota

Para obtener más información sobre la importancia de muchos temas de seguridad, consulte el Modelo de responsabilidad compartida.

Protección de los datos

Para proteger los datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure cuentas individuales con AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utiliza la autenticación multifactor (MFA) en cada cuenta.

  • Utilice SSL/TLS para comunicarse con los recursos. AWS Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.

  • Configure la API y el registro de actividad de los usuarios con. AWS CloudTrail

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.

  • Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que lo ayuden a detectar y proteger los datos personales almacenados en Amazon Simple Storage Service (Amazon S3).

  • Si necesita módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de conexión de FIPS. Para obtener más información acerca de los puntos de conexión de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-2.

Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, números de cuenta de sus clientes, en los campos de formato libre, como el campo Nombre. Esto incluye cuando trabajas con AWS Deadline Cloud u otro dispositivo Servicios de AWS mediante la consola AWS CLI, la API o AWS SDKs. Cualquier dato que introduzcas en Deadline Cloud u otros servicios puede recopilarse para incluirlo en los registros de diagnóstico. Cuando le proporcione una URL a un servidor externo, no incluya información sobre las credenciales en la URL para validar la solicitud en ese servidor.

AWS Identity and Access Management permisos

Gestione el acceso a los AWS recursos mediante los usuarios, las funciones AWS Identity and Access Management (IAM) y concediendo el mínimo de privilegios a los usuarios. Establezca políticas y procedimientos de administración de credenciales para crear, distribuir, rotar y revocar AWS las credenciales de acceso. Para obtener más información, consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.

Ejecute trabajos como usuarios y grupos

Al utilizar la funcionalidad de colas en Deadline Cloud, se recomienda especificar un usuario del sistema operativo (SO) y su grupo principal para que el usuario del sistema operativo tenga los permisos con menos privilegios para los trabajos de la cola.

Si especificas la opción «Ejecutar como usuario» (y grupo), todos los procesos de los trabajos enviados a la cola se ejecutarán con ese usuario del sistema operativo y heredarán los permisos del sistema operativo asociados a ese usuario.

Las configuraciones de flota y cola se combinan para establecer una postura de seguridad. Por el lado de la cola, se pueden especificar el rol «Job run as user» y el rol de IAM para usar el sistema operativo y AWS los permisos para los trabajos de la cola. La flota define la infraestructura (servidores de los trabajadores, redes, almacenamiento compartido montado) que, cuando se asocia a una cola determinada, ejecuta los trabajos dentro de la cola. Los trabajos de una o más colas asociadas deben acceder a los datos disponibles en los hosts de los trabajadores. La especificación de un usuario o un grupo ayuda a proteger los datos de los trabajos frente a otras colas, otro software instalado u otros usuarios con acceso a los hosts de los trabajadores. Cuando una cola no tiene un usuario, se ejecuta como el usuario agente, que puede hacerse pasar por (sudo) cualquier usuario de la cola. De esta forma, una cola sin un usuario puede escalar los privilegios a otra cola.

Red

Para evitar que el tráfico sea interceptado o redirigido, es fundamental proteger cómo y hacia dónde se enruta el tráfico de la red.

Le recomendamos que proteja su entorno de red de las siguientes maneras:

  • Proteja las tablas de enrutamiento de subred de Amazon Virtual Private Cloud (Amazon VPC) para controlar cómo se enruta el tráfico de la capa IP.

  • Si utiliza Amazon Route 53 (Route 53) como proveedor de DNS en la configuración de su granja o estación de trabajo, asegure el acceso a la API de Route 53.

  • Si se conecta a Deadline Cloud desde fuera, por AWS ejemplo, mediante estaciones de trabajo locales u otros centros de datos, proteja cualquier infraestructura de red local. Esto incluye los servidores DNS y las tablas de enrutamiento en enrutadores, conmutadores y otros dispositivos de red.

Trabajos y datos de trabajos

Los trabajos de Deadline Cloud se ejecutan dentro de las sesiones en los anfitriones de los trabajadores. Cada sesión ejecuta uno o más procesos en el host del trabajador, que por lo general requieren la introducción de datos para generar resultados.

Para proteger estos datos, puede configurar los usuarios del sistema operativo con colas. El agente de trabajo utiliza el usuario del sistema operativo de colas para ejecutar los subprocesos de la sesión. Estos subprocesos heredan los permisos del usuario del sistema operativo de colas.

Le recomendamos que siga las mejores prácticas para proteger el acceso a los datos a los que acceden estos subprocesos. Para obtener más información, consulte el Modelo de responsabilidad compartida.

Estructura de la granja

Puedes organizar las flotas y colas de Deadline Cloud de muchas maneras. Sin embargo, algunos acuerdos tienen implicaciones de seguridad.

Una granja tiene uno de los límites más seguros porque no puede compartir los recursos de Deadline Cloud con otras granjas, incluidas las flotas, las colas y los perfiles de almacenamiento. Sin embargo, puedes compartir AWS recursos externos dentro de una granja, lo que pone en peligro el límite de seguridad.

También puede establecer límites de seguridad entre las colas de la misma granja mediante la configuración adecuada.

Siga estas prácticas recomendadas para crear colas seguras en la misma granja:

  • Asocie una flota únicamente a las colas que se encuentren dentro del mismo límite de seguridad. Tenga en cuenta lo siguiente:

    • Una vez que el trabajo se ejecuta en el host de trabajo, es posible que los datos permanezcan ocultos, por ejemplo, en un directorio temporal o en el directorio principal del usuario de la cola.

    • El mismo usuario del sistema operativo ejecuta todos los trabajos en un host de trabajadores de flota propiedad del servicio, independientemente de la cola a la que envíe el trabajo.

    • Un trabajo puede dejar los procesos ejecutándose en un host de trabajo, lo que permite que los trabajos de otras colas observen otros procesos en ejecución.

  • Asegúrese de que solo las colas que se encuentren dentro del mismo límite de seguridad compartan un bucket de Amazon S3 para adjuntar trabajos.

  • Asegúrese de que solo las colas que se encuentren dentro del mismo límite de seguridad compartan un usuario del sistema operativo.

  • Proteja cualquier otro AWS recurso que esté integrado en la granja hasta el límite.

Colas de adjuntos de trabajos

Los adjuntos de trabajos se asocian a una cola, que utiliza tu bucket de Amazon S3.

  • Los adjuntos de trabajo se escriben y se leen desde un prefijo raíz del bucket de Amazon S3. Este prefijo raíz se especifica en la llamada a la CreateQueue API.

  • El bucket tiene una correspondienteQueue Role, que especifica la función que concede a los usuarios de la cola acceso al bucket y al prefijo raíz. Al crear una cola, debe especificar el nombre del recurso de Queue Role Amazon (ARN) junto con el depósito de adjuntos de trabajos y el prefijo raíz.

  • Las llamadas autorizadas a las operaciones de AssumeQueueRoleForReadAssumeQueueRoleForUser, y AssumeQueueRoleForWorker API devuelven un conjunto de credenciales de seguridad temporales para. Queue Role

Si crea una cola y reutiliza un bucket y un prefijo raíz de Amazon S3, existe el riesgo de que la información se divulgue a terceros no autorizados. Por ejemplo, QueueA y QueueB comparten el mismo bucket y el mismo prefijo raíz. En un flujo de trabajo seguro, Artista tiene acceso a QueueA pero no a QueueB. Sin embargo, cuando varias colas comparten un depósito, Artista puede acceder a los datos de los datos de QueueB porque utiliza el mismo depósito y el mismo prefijo raíz que QueuEa.

La consola configura colas que son seguras de forma predeterminada. Asegúrese de que las colas tengan una combinación distinta de bucket de Amazon S3 y prefijo raíz, a menos que formen parte de un límite de seguridad común.

Para aislar las colas, debe configurarlas de manera que solo se permita el Queue Role acceso de las colas al bucket y al prefijo raíz. En el siguiente ejemplo, sustituya cada uno por la información específica del placeholder recurso.

{
  "Version": "2012-10-17",
  "Statement": [ 
    {
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:ListBucket",
        "s3:GetBucketLocation"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::JOB_ATTACHMENTS_BUCKET_NAME",
        "arn:aws:s3:::JOB_ATTACHMENTS_BUCKET_NAME/JOB_ATTACHMENTS_ROOT_PREFIX/*"
      ],
      "Condition": {
        "StringEquals": { "aws:ResourceAccount": "ACCOUNT_ID" }
      }
    },
    {
      "Action": ["logs:GetLogEvents"],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:REGION:ACCOUNT_ID:log-group:/aws/deadline/FARM_ID/*"
    }
  ]
}

También debe establecer una política de confianza para el rol. En el siguiente ejemplo, sustituya el placeholder texto por la información específica del recurso.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": ["sts:AssumeRole"],
      "Effect": "Allow",
      "Principal": { "Service": "deadline.amazonaws.com" },
      "Condition": {
        "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:REGION:ACCOUNT_ID:farm/FARM_ID"
        }
      }
    },
    {
      "Action": ["sts:AssumeRole"],
      "Effect": "Allow",
      "Principal": { "Service": "credentials.deadline.amazonaws.com" },
      "Condition": {
        "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:REGION:ACCOUNT_ID:farm/FARM_ID"
        }
      }
    }
  ]
}

Buckets Amazon S3 de software personalizados

Puede añadir la siguiente declaración para acceder Queue Role al software personalizado de su bucket de Amazon S3. En el siguiente ejemplo, SOFTWARE_BUCKET_NAME sustitúyalo por el nombre de su bucket de S3.

"Statement": [ 
    {
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::SOFTWARE_BUCKET_NAME",
            "arn:aws:s3:::SOFTWARE_BUCKET_NAME/*"
        ]
    }
]

Para obtener más información sobre las prácticas recomendadas de seguridad de Amazon S3, consulte las prácticas recomendadas de seguridad para Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

Los trabajadores son anfitriones

Proteja los hosts de los trabajadores para garantizar que cada usuario solo pueda realizar operaciones para el rol que se le ha asignado.

Recomendamos las siguientes prácticas recomendadas para proteger los anfitriones de los trabajadores:

  • No utilices el mismo jobRunAsUser valor con varias colas, a menos que los trabajos enviados a esas colas estén dentro del mismo límite de seguridad.

  • No jobRunAsUser defina la cola con el nombre del usuario del sistema operativo en el que se ejecuta el agente de trabajo.

  • Otorgue a los usuarios de la cola los permisos de sistema operativo con menos privilegios necesarios para las cargas de trabajo de cola previstas. Asegúrese de que no tengan permisos de escritura en el sistema de archivos para trabajar, agentes, archivos de programas u otro software compartido.

  • Asegúrese de que solo el usuario root esté activado Linux y Administrator es propietario de la cuenta en Windows es propietario de los archivos del programa del agente trabajador y puede modificarlos.

  • Activado Linux anfitriones de trabajo: considere la posibilidad de umask configurar una alternativa /etc/sudoers que permita al usuario del agente de trabajo iniciar procesos como usuarios de cola. Esta configuración ayuda a garantizar que otros usuarios no puedan acceder a los archivos escritos en la cola.

  • Otorgue a las personas de confianza con menos privilegios el acceso a los anfitriones de los trabajadores.

  • Restrinja los permisos al DNS local, anule los archivos de configuración (activado). /etc/hosts Linux y así sucesivamente C:\Windows\system32\etc\hosts Windows) y para enrutar tablas en estaciones de trabajo y sistemas operativos hospedados por trabajadores.

  • Restrinja los permisos a la configuración de DNS en las estaciones de trabajo y los sistemas operativos anfitriones de los trabajadores.

  • Aplica parches periódicos al sistema operativo y a todo el software instalado. Este enfoque incluye el software que se utiliza específicamente con Deadline Cloud, como los remitentes, los adaptadores, los agentes de trabajo, OpenJD paquetes y otros.

  • Utilice contraseñas seguras para Windows queue.jobRunAsUser

  • Cambia las contraseñas de tu lista con regularidad. jobRunAsUser

  • Asegúrese de que el acceso con los privilegios mínimos a Windows secreta la contraseña y elimina los secretos no utilizados.

  • No dé jobRunAsUser permiso a la cola para que los comandos de programación se ejecuten en el futuro:

    • Activado Linux, deniegue a estas cuentas el acceso a cron yat.

    • Activado Windows, denegar a estas cuentas el acceso a Windows programador de tareas.

nota

Para obtener más información sobre la importancia de actualizar periódicamente el sistema operativo y el software instalado, consulte el Modelo de responsabilidad compartida.

Estaciones de trabajo

Es importante proteger las estaciones de trabajo con acceso a Deadline Cloud. Este enfoque ayuda a garantizar que los trabajos que envíes a Deadline Cloud no puedan ejecutar cargas de trabajo arbitrarias que se te facturen. Cuenta de AWS

Recomendamos las siguientes prácticas recomendadas para proteger las estaciones de trabajo de los artistas. Para obtener más información, consulte Modelo de responsabilidad compartida de .

  • Proteja todas las credenciales persistentes a las que pueda acceder AWS, incluida Deadline Cloud. Para obtener más información, consulte Administración de claves de acceso para usuarios de IAM en la Guía del usuario de IAM.

  • Instale únicamente software seguro y confiable.

  • Exija a los usuarios que se federen con un proveedor de identidad para acceder AWS con credenciales temporales.

  • Utilice permisos seguros en los archivos del programa de envío de Deadline Cloud para evitar su manipulación.

  • Conceda a las personas de confianza con menos privilegios el acceso a las estaciones de trabajo de los artistas.

  • Utilice únicamente los remitentes y adaptadores que obtenga a través del Deadline Cloud Monitor.

  • Restrinja los permisos a los archivos de configuración de anulación del DNS local (activado) /etc/hosts Linux y macOS, y así sucesivamente C:\Windows\system32\etc\hosts Windows) y para enrutar tablas en estaciones de trabajo y sistemas operativos hospedados por trabajadores.

  • Restrinja los permisos a /etc/resolve.conf las estaciones de trabajo y a los sistemas operativos anfitriones de los trabajadores.

  • Aplica parches periódicos al sistema operativo y a todo el software instalado. Este enfoque incluye el software que se utiliza específicamente con Deadline Cloud, como los remitentes, los adaptadores, los agentes de trabajo, OpenJD paquetes y otros.