Seguridad en la administración de la configuración (CM) de AWS OpsWorks

La seguridad en la nube de AWS es la máxima prioridad. Como cliente de AWS, se beneficia de una arquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de las organizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y el usuario. El modelo de responsabilidad compartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta los servicios de AWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura. Auditores independientes prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los programas de conformidad de AWS. Para obtener más información acerca de los programas de conformidad que se aplican a CM de AWS OpsWorks, consulte AWS Servicios en el ámbito del programa de conformidad.

• Seguridad en la nube: su responsabilidad viene determinada por el servicio de AWS que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.

Esta documentación le ayuda a comprender cómo puede aplicar el modelo de responsabilidad compartida cuando se utiliza CM de AWS OpsWorks. En los siguientes temas, aprenderá a configurar CM de AWS OpsWorks para satisfacer sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros servicios de AWS que le ayudarán a monitorizar y proteger sus recursos de CM de AWS OpsWorks.

Temas

• Protección de los datos en CM de AWS OpsWorks
• Cifrado de datos
• Identity and Access Management para AWS OpsWorks CM
• Privacidad del tráfico entre redes
• Registro y monitorización en CM de AWS OpsWorks
• Validación de la conformidad para CM de AWS OpsWorks
• Resiliencia en CM de AWS OpsWorks
• Seguridad de la infraestructura en CM de AWS OpsWorks
• Configuración y análisis de vulnerabilidades en CM de AWS OpsWorks
• Prácticas recomendadas de seguridad para CM de AWS OpsWorks

Cifrado de datos

CM de AWS OpsWorks cifra las copias de seguridad del servidor y la comunicación entre los usuarios de AWS autorizados y sus servidores CM de AWS OpsWorks. Sin embargo, los volúmenes raíz de Amazon EBS de los servidores CM de AWS OpsWorks no están cifrados.

Cifrado en reposo

Las copias de seguridad del servidor CM de AWS OpsWorks están cifradas. Sin embargo, los volúmenes raíz de Amazon EBS de los servidores CM de AWS OpsWorks no están cifrados. Esto no es configurable por el usuario.

Cifrado en tránsito

CM de AWS OpsWorks utiliza HTTP con cifrado TLS. AWS OpsWorks Si los usuarios no proporcionan ningún certificado firmado, CM toma de forma predeterminada certificados autofirmados para aprovisionar y administrar servidores. Se recomienda utilizar un certificado firmado por una entidad de certificación (CA).

Administración de claves

Las claves administradas por el cliente de AWS Key Management Service y las claves administradas por AWS no son compatibles actualmente con CM de AWS OpsWorks.

Privacidad del tráfico entre redes

CM de AWS OpsWorks utiliza los mismos protocolos de seguridad de transmisión que suele utilizar AWS: HTTPS o HTTP con cifrado TLS.

Registro y monitorización en CM de AWS OpsWorks

CM de AWS OpsWorks registra todas las acciones de la API en CloudTrail. Para obtener más información, consulte los temas siguientes:

• Registro de llamadas OpsWorks a la API de Puppet Enterprise con AWS CloudTrail

• Registrar llamadas a la AWS OpsWorks for Chef Automate API con AWS CloudTrail

Configuración y análisis de vulnerabilidades en CM de AWS OpsWorks

CM de AWS OpsWorks realiza actualizaciones periódicas del núcleo y de seguridad en el sistema operativo que se ejecuta en el servidor de CM de AWS OpsWorks. Los usuarios pueden establecer un margen de tiempo para que se produzcan actualizaciones automáticas durante un máximo de dos semanas a partir de la fecha actual. AWS OpsWorks CM impulsa las actualizaciones automáticas de las versiones menores de Chef y Puppet Enterprise. Para obtener más información acerca de la configuración de actualizaciones de AWS OpsWorks for Chef Automate, consulte Mantenimiento del sistema (Chef) en esta guía. Para obtener más información acerca de la configuración de actualizaciones para OpsWorks para Puppet Enterprise, consulte Mantenimiento del sistema (Puppet) en esta guía.

Prácticas recomendadas de seguridad para CM de AWS OpsWorks

CM de AWS OpsWorks, como todos los servicios de AWS, ofrece una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

• Proteja su kit de inicio y sus credenciales de inicio de sesión descargadas. Cuando cree un nuevo servidor de CM de AWS OpsWorks o descargue un nuevo kit de inicio y credenciales desde la consola de CM de AWS OpsWorks, almacene estos elementos en una ubicación segura que requiera al menos un factor de autenticación. Las credenciales proporcionan acceso de nivel de administrador al servidor.

• Proteja su código de configuración. Proteja su código de configuración Chef o Puppet (libros de recetas y módulos) mediante protocolos recomendados para sus repositorios de origen. Por ejemplo, puede restringir los permisos a los repositorios en AWS CodeCommit,o seguir las directrices del sitio web de GitHub para proteger los repositorios de GitHub.

• Utilice certificados firmados por CA para conectarse a nodos. Aunque puede utilizar certificados autofirmados al registrar o iniciar nodos en el servidor de CM de AWS OpsWorks, como práctica recomendada, utilice certificados firmados por CA. Se recomienda utilizar un certificado firmado por una entidad de certificación (CA).

• No comparta las credenciales de inicio de sesión de la consola de administración de Chef o Puppet con otros usuarios. Un administrador debe crear cuentas de usuario independientes para cada usuario de los sitios web de la consola de Chef o Puppet.

  • Administrar usuarios en Chef Automate

  • Administrar usuarios en Puppet Enterprise

• Configure copias de seguridad automáticas y actualizaciones de mantenimiento del sistema. La configuración de actualizaciones de mantenimiento automáticas en el servidor de CM de AWS OpsWorks ayuda a garantizar que el servidor ejecuta las actualizaciones más recientes del sistema operativo relacionadas con la seguridad. La configuración de copias de seguridad automáticas ayuda a facilitar la recuperación ante desastres y acelerar el tiempo de restauración en caso de que se produzca un incidente o un fallo. Limite el acceso al bucket de Amazon S3 que almacena las copias de seguridad del servidor CM de AWS OpsWorks; no conceda acceso a todos. Conceda acceso de lectura o escritura a otros usuarios individualmente según sea necesario, o cree un grupo de seguridad en IAM para esos usuarios y asigne acceso al grupo de seguridad.

  • Mantenimiento del sistema (Chef)

  • Mantenimiento del sistema (Puppet)

  • Realizar copias de seguridad y restaurar un AWS OpsWorks for Chef Automate servidor

  • Realizar copias de seguridad y restaurar un OpsWorks servidor para Puppet Enterprise

  • Creación del primer usuario y grupo delegado de IAM en la Guía del usuario de AWS Identity and Access Management

  • Prácticas recomendadas de seguridad de Amazon S3 en la guía del desarrollador de Amazon Simple Storage Service