Praktik terbaik keamanan untuk Amazon GameLift Servers - Amazon GameLift Servers
Perbarui lingkungan runtime armadaAmankan konfigurasi port AndaSumber daya keamanan tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik keamanan untuk Amazon GameLift Servers

Jika Anda menggunakan Amazon GameLift Servers FleetIQ fitur mandiri dengan Amazon EC2, lihat Keamanan di Amazon EC2 di Panduan EC2 Pengguna Amazon.

Amazon GameLift Servers menyediakan sejumlah fitur keamanan untuk dipertimbangkan ketika Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau cukup untuk lingkungan Anda, anggap sebagai pertimbangan yang membantu dan bukan sebagai resep.

Perbarui lingkungan runtime armada

Amazon GameLift Serverssangat menyarankan agar Anda secara teratur mengganti armada terkelola (termasuk armada kontainer yang dikelola EC2 dan dikelola) untuk menjaga lingkungan runtime yang aman untuk server game Anda. Armada yang berjalan untuk waktu yang lama tanpa pembaruan runtime dapat berisi dependensi usang dan kerentanan keamanan yang dapat membahayakan server game Anda. Untuk detail tentang bagaimana tanggung jawab dibagikan untuk perangkat lunak yang digunakan ke Amazon GameLift Servers armada, lihat. Analisis konfigurasi dan kerentanan dalam Amazon GameLift Servers

Lingkungan runtime armada terkelola ditentukan oleh versi Amazon Machine Image (AMI). Saat armada baru dibuat, tetapkan versi Amazon GameLift Servers AMI terbaru yang tersedia ke armada, dan semua instance komputasi dalam armada tersebut dikerahkan dengan versi tersebut. Untuk memperbarui versi AMI, Anda harus membuat armada baru. Untuk detail tentang versi AMI saat ini, lihatAmazon GameLift ServersVersi AMI.

Praktik yang direkomendasikan:

  • Pantau usia armada dan ganti armada yang berusia di atas 30 hari — Anda dapat melacak tanggal pembuatan armada di Amazon GameLift Servers konsol atau menggunakan CLI untuk mengambil atribut armada. Amazon GameLift Serversmenampilkan peringatan di konsol untuk armada yang berusia lebih dari 90 hari, dan memberi tahu pemegang akun melalui email untuk armada yang lebih tua dari satu tahun.

    catatan

    Memperbarui armada (seperti menggunakan UpdateFleetAttributesatau UpdateContainerFleet) tidak mengubah versi AMI. Anda harus membuat armada baru.

  • Ganti armada secara teratur berdasarkan kesehatan keamanan - Siapkan jadwal reguler untuk membuat armada baru dan pensiun armada lama. Pertimbangkan untuk menggunakan layanan seperti Amazon Q untuk meninjau kode game Anda dengan versi AMI saat ini, mendeteksi masalah keamanan, dan menyarankan langkah-langkah perbaikan.

  • Server uji dibangun dengan versi AMI terbaru sebelum penerapan — Anda mungkin perlu memodifikasi build server dan mengunggahnya Amazon GameLift Servers sebelum membuat armada baru.

  • Kelola kuota armada untuk AWS akun Anda — Anda dapat meminta kenaikan batas jika diperlukan untuk membuat armada pengganti. Untuk informasi selengkapnya, lihat Titik akhir dan kuota Amazon GameLift Servers.

  • Pertimbangkan untuk mengotomatiskan penggantian armada — Anda dapat mengotomatiskan proses untuk membuat armada baru dan memigrasi lalu lintas pemain dari armada lama. Misalnya:

    • Gunakan AWS CloudFormation untuk mengotomatiskan pembuatan dan manajemen armada. Pertahankan konfigurasi armada Anda sebagai AWS CloudFormation templat dan gunakan untuk meluncurkan tumpukan sumber daya.

    • Manfaatkan fitur Amazon GameLift Servers alias untuk mengabstraksi armada IDs tertentu. Alias armada memudahkan untuk mengalihkan lalu lintas pemain dari armada yang ada ke armada baru tanpa gangguan pada sesi permainan yang sedang berlangsung. Lihat perinciannya di Abstrak sebuah Amazon GameLift Servers penunjukan armada dengan alias.

    • Gunakan strategi blue/green penerapan untuk mengurangi risiko migrasi dan mempertahankan waktu henti nol. Dengan dua lingkungan produksi yang identik, Anda dapat memanfaatkan lingkungan pengujian seperti produksi penuh, memberikan kontrol yang lebih besar atas proses migrasi, dan memastikan kemunduran instan.

Amankan konfigurasi port Anda

Kami sangat menyarankan agar tidak membuka port ke Internet karena hal itu menimbulkan risiko keamanan. Misalnya, konfigurasi berikut membuka port desktop jarak jauh yang memungkinkan siapa pun di Internet mengakses instance:

{
  "FleetId": "<fleet identifier>",
  "InboundPermissionAuthorizations": [ 
      { 
        "FromPort": 3389,
        "IpRange": "0.0.0.0/0",
        "Protocol": "RDP",
        "ToPort": 3389
      }
  ]
}

Sebagai gantinya, gunakan UpdateFleetPortSettingsuntuk membuka port dengan alamat IP atau rentang alamat tertentu, seperti yang ditunjukkan dalam contoh ini: 

{
  "FleetId": "<fleet identifier>",
  "InboundPermissionAuthorizations": [ 
      { 
        "FromPort": 3389,
        "IpRange": "54.186.139.221/32",
        "Protocol": "TCP",
        "ToPort": 3389
      }
  ]
}

Sumber daya keamanan tambahan

Untuk informasi selengkapnya tentang cara memanfaatkan penggunaan yang Amazon GameLift Servers lebih aman, lihat pilar AWS Well-Architected Tool Keamanan. .