Praktik terbaik keamanan untuk Deadline Cloud - AWS Batas Waktu Cloud
Perlindungan dataIzin IAMJalankan pekerjaan sebagai pengguna dan grupJaringanData JobStruktur pertanianAntrian lampiran pekerjaanBucket perangkat lunak khususTuan rumah pekerjaWorkstation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik keamanan untuk Deadline Cloud

AWS Deadline Cloud (Deadline Cloud) menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.

catatan

Untuk informasi selengkapnya tentang pentingnya banyak topik keamanan, lihat Model Tanggung Jawab Bersama.

Perlindungan data

Untuk tujuan perlindungan data, kami menyarankan Anda untuk melindungi Akun AWS kredensyal dan menyiapkan akun individual dengan AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

  • Gunakan autentikasi multi-faktor (MFA) pada setiap akun.

  • Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.

  • Siapkan API dan logging aktivitas pengguna dengan AWS CloudTrail.

  • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.

  • Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data pribadi yang disimpan di Amazon Simple Storage Service (Amazon S3).

  • Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 ketika mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Untuk informasi lebih lanjut tentang titik akhir FIPS yang tersedia, lihat Standar Pemrosesan Informasi Federal (FIPS) 140-2.

Kami sangat merekomendasikan agar Anda tidak memasukkan informasi identifikasi sensitif apapun, seperti nomor rekening pelanggan Anda, ke dalam kolom isian teks bebas seperti kolom Nama. Ini termasuk saat Anda bekerja dengan AWS Deadline Cloud atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDK. Data apa pun yang Anda masukkan ke Deadline Cloud atau layanan lain mungkin diambil untuk dimasukkan dalam log diagnostik. Saat Anda memberikan URL ke server eksternal, jangan sertakan informasi kredensyal di URL untuk memvalidasi permintaan Anda ke server tersebut.

AWS Identity and Access Management izin

Kelola akses ke AWS sumber daya menggunakan pengguna, peran AWS Identity and Access Management (IAM), dan dengan memberikan hak istimewa paling sedikit kepada pengguna. Menetapkan kebijakan dan prosedur manajemen kredensyal untuk membuat, mendistribusikan, memutar, dan mencabut AWS kredensyal akses. Untuk informasi selengkapnya, lihat Praktik Terbaik IAM dalam Panduan Pengguna IAM.

Jalankan pekerjaan sebagai pengguna dan grup

Saat menggunakan fungsionalitas antrian di Deadline Cloud, ini adalah praktik terbaik untuk menentukan pengguna sistem operasi (OS) dan grup utamanya sehingga pengguna OS memiliki izin hak istimewa paling sedikit untuk pekerjaan antrian.

Saat Anda menentukan “Jalankan sebagai pengguna” (dan grup), proses apa pun untuk pekerjaan yang dikirimkan ke antrian akan dijalankan menggunakan pengguna OS tersebut dan akan mewarisi izin OS terkait pengguna tersebut.

Konfigurasi armada dan antrian bergabung untuk membangun postur keamanan. Di sisi antrian, peran “Job run as user” dan IAM dapat ditentukan untuk menggunakan OS dan AWS izin untuk pekerjaan antrian. Armada mendefinisikan infrastruktur (host pekerja, jaringan, penyimpanan bersama yang dipasang) yang, ketika dikaitkan dengan antrian tertentu, menjalankan pekerjaan dalam antrian. Data yang tersedia pada host pekerja perlu diakses oleh pekerjaan dari satu atau lebih antrian terkait. Menentukan pengguna atau grup membantu melindungi data dalam pekerjaan dari antrian lain, perangkat lunak lain yang diinstal, atau pengguna lain dengan akses ke host pekerja. Ketika antrian tanpa pengguna, itu berjalan sebagai pengguna agen yang dapat meniru (sudo) setiap pengguna antrian. Dengan cara ini, antrian tanpa pengguna dapat meningkatkan hak istimewa ke antrian lain.

Jaringan

Untuk mencegah lalu lintas dicegat atau dialihkan, penting untuk mengamankan bagaimana dan di mana lalu lintas jaringan Anda diarahkan.

Kami menyarankan Anda mengamankan lingkungan jaringan Anda dengan cara berikut:

  • Amankan tabel rute subnet Amazon Virtual Private Cloud (Amazon VPC) untuk mengontrol bagaimana lalu lintas lapisan IP dirutekan.

  • Jika Anda menggunakan Amazon Route 53 (Route 53) sebagai penyedia DNS di penyiapan farm atau workstation Anda, amankan akses ke API Route 53.

  • Jika Anda terhubung ke Deadline Cloud di luar AWS seperti menggunakan workstation lokal atau pusat data lainnya, amankan infrastruktur jaringan lokal. Ini termasuk server DNS dan tabel rute pada router, switch, dan perangkat jaringan lainnya.

Pekerjaan dan data pekerjaan

Tenggat waktu pekerjaan Cloud berjalan dalam sesi pada host pekerja. Setiap sesi menjalankan satu atau lebih proses pada host pekerja, yang umumnya mengharuskan Anda memasukkan data untuk menghasilkan output.

Untuk mengamankan data ini, Anda dapat mengonfigurasi pengguna sistem operasi dengan antrian. Agen pekerja menggunakan pengguna OS antrian untuk menjalankan sub-proses sesi. Sub-proses ini mewarisi izin pengguna OS antrian.

Kami menyarankan Anda mengikuti praktik terbaik untuk mengamankan akses ke data akses sub-proses ini. Untuk informasi selengkapnya, lihat Model tanggung jawab bersama.

Struktur pertanian

Anda dapat mengatur armada Deadline Cloud dan antrian banyak cara. Namun, ada implikasi keamanan dengan pengaturan tertentu.

Sebuah peternakan memiliki salah satu batas paling aman karena tidak dapat berbagi sumber daya Deadline Cloud dengan peternakan lain, termasuk armada, antrian, dan profil penyimpanan. Namun, Anda dapat berbagi AWS sumber daya eksternal di dalam peternakan, yang membahayakan batas keamanan.

Anda juga dapat menetapkan batas keamanan antara antrian dalam peternakan yang sama menggunakan konfigurasi yang sesuai.

Ikuti praktik terbaik ini untuk membuat antrian aman di peternakan yang sama:

  • Kaitkan armada hanya dengan antrian dalam batas keamanan yang sama. Perhatikan hal berikut:

    • Setelah pekerjaan berjalan di host pekerja, data mungkin tetap tertinggal, seperti di direktori sementara atau direktori home pengguna antrian.

    • Pengguna OS yang sama menjalankan semua pekerjaan pada host pekerja armada milik layanan, terlepas dari antrian mana Anda mengirimkan pekerjaan.

    • Pekerjaan mungkin membiarkan proses berjalan pada host pekerja, sehingga memungkinkan pekerjaan dari antrian lain untuk mengamati proses berjalan lainnya.

  • Pastikan hanya antrian dalam batas keamanan yang sama yang berbagi bucket Amazon S3 untuk lampiran pekerjaan.

  • Pastikan bahwa hanya antrian dalam batas keamanan yang sama berbagi pengguna OS.

  • Amankan AWS sumber daya lain yang terintegrasi ke dalam pertanian hingga batas.

Antrian lampiran pekerjaan

Lampiran Job dikaitkan dengan antrian, yang menggunakan bucket Amazon S3 Anda.

  • Lampiran Job menulis dan membaca dari awalan root di bucket Amazon S3. Anda menentukan awalan root ini dalam panggilan CreateQueue API.

  • Bucket memiliki kode yang sesuaiQueue Role, yang menentukan peran yang memberi pengguna antrian akses ke awalan bucket dan root. Saat membuat antrian, Anda menentukan Nama Sumber Daya Queue Role Amazon (ARN) di samping bucket lampiran pekerjaan dan awalan root.

  • Panggilan resmi keAssumeQueueRoleForRead,AssumeQueueRoleForUser, dan operasi AssumeQueueRoleForWorker API mengembalikan satu set kredenial keamanan sementara untuk. Queue Role

Jika Anda membuat antrian dan menggunakan kembali bucket Amazon S3 dan awalan root, ada risiko informasi diungkapkan kepada pihak yang tidak berwenang. Misalnya, QueueA dan QueueB berbagi bucket dan awalan root yang sama. Dalam alur kerja yang aman, ArtisTA memiliki akses ke QueueA tetapi tidak QueueB. Namun, ketika beberapa antrian berbagi bucket, ArtisTA dapat mengakses data dalam data QueueB karena menggunakan bucket dan awalan root yang sama dengan QueueA.

Konsol mengatur antrian yang aman secara default. Pastikan antrian memiliki kombinasi yang berbeda antara bucket Amazon S3 dan awalan root kecuali mereka merupakan bagian dari batas keamanan umum.

Untuk mengisolasi antrian Anda, Anda harus mengonfigurasi Queue Role untuk hanya mengizinkan akses antrian ke bucket dan awalan root. Dalam contoh berikut, ganti setiap placeholder dengan informasi spesifik sumber daya Anda.

{
  "Version": "2012-10-17",
  "Statement": [ 
    {
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:ListBucket",
        "s3:GetBucketLocation"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::JOB_ATTACHMENTS_BUCKET_NAME",
        "arn:aws:s3:::JOB_ATTACHMENTS_BUCKET_NAME/JOB_ATTACHMENTS_ROOT_PREFIX/*"
      ],
      "Condition": {
        "StringEquals": { "aws:ResourceAccount": "ACCOUNT_ID" }
      }
    },
    {
      "Action": ["logs:GetLogEvents"],
      "Effect": "Allow",
      "Resource": "arn:aws:logs:REGION:ACCOUNT_ID:log-group:/aws/deadline/FARM_ID/*"
    }
  ]
}

Anda juga harus menetapkan kebijakan kepercayaan tentang peran tersebut. Dalam contoh berikut, ganti teks placeholder dengan informasi spesifik sumber daya Anda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": ["sts:AssumeRole"],
      "Effect": "Allow",
      "Principal": { "Service": "deadline.amazonaws.com" },
      "Condition": {
        "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:REGION:ACCOUNT_ID:farm/FARM_ID"
        }
      }
    },
    {
      "Action": ["sts:AssumeRole"],
      "Effect": "Allow",
      "Principal": { "Service": "credentials.deadline.amazonaws.com" },
      "Condition": {
        "StringEquals": { "aws:SourceAccount": "ACCOUNT_ID" },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:REGION:ACCOUNT_ID:farm/FARM_ID"
        }
      }
    }
  ]
}

Bucket Amazon S3 perangkat lunak khusus

Anda dapat menambahkan pernyataan berikut ke perangkat lunak khusus Queue Role untuk mengakses perangkat lunak khusus di bucket Amazon S3 Anda. Dalam contoh berikut, ganti SOFTWARE_BUCKET_NAME dengan nama bucket S3 Anda.

"Statement": [ 
    {
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::SOFTWARE_BUCKET_NAME",
            "arn:aws:s3:::SOFTWARE_BUCKET_NAME/*"
        ]
    }
]

Untuk informasi selengkapnya tentang praktik terbaik keamanan Amazon S3, lihat Praktik terbaik keamanan untuk Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Tuan rumah pekerja

Host pekerja aman untuk membantu memastikan bahwa setiap pengguna hanya dapat melakukan operasi untuk peran yang ditetapkan.

Kami merekomendasikan praktik terbaik berikut untuk mengamankan host pekerja:

  • Jangan gunakan jobRunAsUser nilai yang sama dengan beberapa antrian kecuali pekerjaan yang dikirimkan ke antrian tersebut berada dalam batas keamanan yang sama.

  • Jangan atur antrian jobRunAsUser ke nama pengguna OS yang dijalankan oleh agen pekerja.

  • Berikan izin OS dengan hak istimewa paling sedikit kepada pengguna antrian yang diperlukan untuk beban kerja antrian yang dimaksud. Pastikan bahwa mereka tidak memiliki izin menulis sistem file untuk bekerja file program agen atau perangkat lunak bersama lainnya.

  • Pastikan hanya pengguna root Linux dan akun Administrator milik sendiri dan dapat memodifikasi file program agen pekerja. Windows

  • Pada host Linux pekerja, pertimbangkan untuk mengonfigurasi umask penggantian /etc/sudoers yang memungkinkan pengguna agen pekerja meluncurkan proses sebagai pengguna antrian. Konfigurasi ini membantu memastikan pengguna lain tidak dapat mengakses file yang ditulis ke antrian.

  • Berikan individu tepercaya akses paling tidak istimewa ke host pekerja.

  • Batasi izin untuk mengganti file konfigurasi DNS lokal (/etc/hostsaktif dan aktifWindows, Linux dan untuk merutekan tabel C:\Windows\system32\etc\hosts di workstation dan sistem operasi host pekerja.

  • Batasi izin untuk konfigurasi DNS pada workstation dan sistem operasi host pekerja.

  • Secara teratur menambal sistem operasi dan semua perangkat lunak yang diinstal. Pendekatan ini mencakup perangkat lunak yang khusus digunakan dengan Deadline Cloud seperti submitter, adaptor, agen pekerja, OpenJD paket, dan lain-lain.

  • Gunakan kata sandi yang kuat untuk Windows antrianjobRunAsUser.

  • Putar kata sandi untuk antrian jobRunAsUser Anda secara teratur.

  • Pastikan akses hak istimewa paling sedikit ke rahasia Windows kata sandi dan hapus rahasia yang tidak digunakan.

  • Jangan berikan jobRunAsUser izin antrian perintah jadwal untuk dijalankan di masa mendatang:

    • LinuxAktif, tolak akses akun ini ke cron danat.

    • WindowsAktif, tolak akses akun ini ke penjadwal Windows tugas.

catatan

Untuk informasi selengkapnya tentang pentingnya menambal sistem operasi dan perangkat lunak yang diinstal secara teratur, lihat Model Tanggung Jawab Bersama.

Workstation

Sangat penting untuk mengamankan workstation dengan akses ke Deadline Cloud. Pendekatan ini membantu memastikan bahwa pekerjaan apa pun yang Anda kirimkan ke Deadline Cloud tidak dapat menjalankan beban kerja sewenang-wenang yang ditagih ke Anda. Akun AWS

Kami merekomendasikan praktik terbaik berikut untuk mengamankan workstation artis. Untuk informasi selengkapnya, lihat Model Tanggung Jawab Bersama.

  • Amankan semua kredensil tetap yang menyediakan akses ke AWS, termasuk Deadline Cloud. Untuk informasi lebih lanjut, lihat Mengelola access key untuk pengguna IAM dalam Panduan Pengguna IAM.

  • Hanya instal perangkat lunak tepercaya dan aman.

  • Mengharuskan pengguna berfederasi dengan penyedia identitas untuk mengakses AWS dengan kredensi sementara.

  • Gunakan izin aman pada file program submitter Deadline Cloud untuk mencegah gangguan.

  • Berikan individu tepercaya akses paling tidak istimewa ke workstation artis.

  • Hanya gunakan pengirim dan adaptor yang Anda dapatkan melalui Deadline Cloud Monitor.

  • Batasi izin /etc/hosts dan rute tabel pada workstation dan sistem operasi host pekerja.

  • Batasi izin /etc/resolv.conf pada workstation dan sistem operasi host pekerja.

  • Secara teratur menambal sistem operasi dan semua perangkat lunak yang diinstal. Pendekatan ini mencakup perangkat lunak yang khusus digunakan dengan Deadline Cloud seperti submitter, adaptor, agen pekerja, OpenJD paket, dan lain-lain.