Seguridad en la gestión de la AWS OpsWorks configuración (CM)

La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.

La seguridad es una responsabilidad compartida entre usted AWS y usted. El modelo de responsabilidad compartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores independientes prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los programas de conformidad de AWS. Para obtener más información acerca de los programas de conformidad que se aplican a CM de OpsWorks , consulte AWS Servicios en el ámbito del programa de conformidad.

• Seguridad en la nube: su responsabilidad viene determinada por el AWS servicio que utilice. También eres responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida al utilizar OpsWorks CM. Los siguientes temas muestran cómo configurar OpsWorks CM para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros servicios de AWS que le ayudan a supervisar y proteger sus recursos de OpsWorks CM.

Temas

• Protección de datos en OpsWorks CM

• Cifrado de datos

• Identity and Access Management para OpsWorks CM

• Privacidad del tráfico entre redes

• Registro y supervisión en CM OpsWorks

• Validación de la conformidad para CM de OpsWorks

• Resiliencia en OpsWorks CM

• Seguridad de la infraestructura en CM de AWS OpsWorks

• Análisis de configuración y vulnerabilidad en CM OpsWorks

• Prácticas recomendadas de seguridad para CM OpsWorks

Cifrado de datos

OpsWorks CM cifra las copias de seguridad del servidor y la comunicación entre AWS los usuarios autorizados y sus servidores OpsWorks CM. Sin embargo, los volúmenes raíz de Amazon EBS de los servidores OpsWorks CM no están cifrados.

Cifrado en reposo

OpsWorks Las copias de seguridad de los servidores CM están cifradas. Sin embargo, los volúmenes raíz de Amazon EBS de los servidores OpsWorks CM no están cifrados. Esto no es configurable por el usuario.

Cifrado en tránsito

OpsWorks CM utiliza HTTP con cifrado TLS. OpsWorks De forma predeterminada, CM utiliza certificados autofirmados para aprovisionar y administrar los servidores, si los usuarios no proporcionan ningún certificado firmado. Se recomienda utilizar un certificado firmado por una entidad de certificación (CA).

Administración de claves

AWS Key Management Service OpsWorks CM no admite actualmente las claves administradas por el cliente y las claves administradas por AWS.

Privacidad del tráfico entre redes

OpsWorks CM usa los mismos protocolos de seguridad de transmisión que suelen utilizar AWS: HTTPS o HTTP con cifrado TLS.

Registro y supervisión en CM OpsWorks

OpsWorks CM registra todas las acciones de la API en CloudTrail. Para obtener más información, consulte los temas siguientes:

• Registro de llamadas OpsWorks a la API de Puppet Enterprise con AWS CloudTrail

• Registrar llamadas a la AWS OpsWorks for Chef Automate API con AWS CloudTrail

Análisis de configuración y vulnerabilidad en CM OpsWorks

OpsWorks CM actualiza periódicamente el núcleo y la seguridad del sistema operativo que se ejecuta en su servidor OpsWorks CM. Los usuarios pueden establecer un período de tiempo para que se produzcan las actualizaciones automáticas de hasta dos semanas a partir de la fecha actual. OpsWorks CM actualiza automáticamente las versiones secundarias de Chef y Puppet Enterprise. Para obtener más información sobre cómo configurar las actualizaciones AWS OpsWorks for Chef Automate, consulte Mantenimiento del sistema (Chef) en esta guía. Para obtener más información sobre la configuración de las actualizaciones OpsWorks para Puppet Enterprise, consulte Mantenimiento del sistema (Puppet) en esta guía.

Prácticas recomendadas de seguridad para CM OpsWorks

OpsWorks CM, como todos los AWS servicios, ofrece características de seguridad que debe tener en cuenta al desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

• Proteja su kit de inicio y sus credenciales de inicio de sesión descargadas. Cuando cree un nuevo servidor de OpsWorks CM o descargue un nuevo kit de inicio y credenciales de la consola de OpsWorks CM, guarde estos elementos en un lugar seguro que requiera al menos un factor de autenticación como mínimo. Las credenciales proporcionan acceso de nivel de administrador al servidor.

• Proteja su código de configuración. Proteja su código de configuración Chef o Puppet (libros de recetas y módulos) mediante protocolos recomendados para sus repositorios de origen. Por ejemplo, puede restringir los permisos a los repositorios o seguir las instrucciones del GitHub sitio web para proteger los GitHub repositorios. AWS CodeCommit

• Utilice certificados firmados por CA para conectarse a nodos. Si bien puede utilizar certificados autofirmados al registrar o iniciar nodos en su servidor OpsWorks CM, se recomienda utilizar certificados firmados por CA. Se recomienda utilizar un certificado firmado por una entidad de certificación (CA).

• No comparta las credenciales de inicio de sesión de la consola de administración de Chef o Puppet con otros usuarios. Un administrador debe crear cuentas de usuario independientes para cada usuario de los sitios web de la consola de Chef o Puppet.

  • Administrar usuarios en Chef Automate

  • Administrar usuarios en Puppet Enterprise

• Configure copias de seguridad automáticas y actualizaciones de mantenimiento del sistema. La configuración de actualizaciones de mantenimiento automáticas en el servidor de CM de OpsWorks ayuda a garantizar que el servidor ejecuta las actualizaciones más recientes del sistema operativo relacionadas con la seguridad. La configuración de copias de seguridad automáticas ayuda a facilitar la recuperación ante desastres y acelerar el tiempo de restauración en caso de que se produzca un incidente o un fallo. Limite el acceso al depósito de Amazon S3 que almacena las copias de seguridad de sus servidores OpsWorks CM; no conceda acceso a Everyone. Conceda acceso de lectura o escritura a otros usuarios individualmente según sea necesario, o cree un grupo de seguridad en IAM para esos usuarios y asigne acceso al grupo de seguridad.

  • Mantenimiento del sistema (Chef)

  • Mantenimiento del sistema (Puppet)

  • Creación de una copia de seguridad y restauración de un AWS OpsWorks for Chef Automate servidor

  • Creación de una copia de seguridad y restauración de un OpsWorks servidor para Puppet Enterprise

  • Creación del primer usuario y grupo delegado de IAM en la Guía del usuario de AWS Identity and Access Management

  • Prácticas recomendadas de seguridad de Amazon S3 en la guía del desarrollador de Amazon Simple Storage Service