Keamanan dalam Manajemen AWS OpsWorks Konfigurasi (CM)

Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. Model tanggung jawab bersama menggambarkan hal ini sebagai keamanan dari cloud dan keamanan di cloud:

• Keamanan cloud — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara berkala menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari Program kepatuhan AWS. Untuk mempelajari tentang program kepatuhan yang berlaku untuk OpsWorks CM, lihat AWS Layanan dalam Lingkup berdasarkan Program Kepatuhan.

• Keamanan di cloud — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan OpsWorks CM. Topik berikut menunjukkan cara mengonfigurasi OpsWorks CM untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan layanan AWS lain yang membantu Anda memantau dan mengamankan sumber daya OpsWorks CM Anda.

Topik

• Perlindungan Data di OpsWorks CM

• Enkripsi data

• Identity and Access Management untuk OpsWorks CM

• Privasi Lalu Lintas Kerja Internet

• Penebangan dan Pemantauan di OpsWorks CM

• Validasi Kepatuhan untuk CM OpsWorks

• Ketahanan dalam CM OpsWorks

• Keamanan Infrastruktur di AWS OpsWorks CM

• Analisis Konfigurasi dan Kerentanan di CM OpsWorks

• Praktik Terbaik Keamanan untuk OpsWorks CM

Enkripsi data

OpsWorks CM mengenkripsi cadangan server dan komunikasi antara AWS pengguna yang berwenang dan server CM mereka. OpsWorks Namun, volume root Amazon EBS server OpsWorks CM tidak dienkripsi.

Enkripsi saat Data Tidak Berpindah

OpsWorks Cadangan server CM dienkripsi. Namun, volume root Amazon EBS server OpsWorks CM tidak dienkripsi. Ini tidak dapat dikonfigurasi pengguna.

Enkripsi Saat Data Berpindah

OpsWorks CM menggunakan HTTP dengan enkripsi TLS. OpsWorks CM default ke sertifikat yang ditandatangani sendiri untuk menyediakan dan mengelola server, jika tidak ada sertifikat yang ditandatangani yang disediakan oleh pengguna. Kami menyarankan Anda menggunakan sertifikat yang ditandatangani oleh otoritas sertifikat (CA).

Manajemen kunci

AWS Key Management Service kunci terkelola pelanggan dan kunci terkelola AWS saat ini tidak didukung oleh OpsWorks CM.

Privasi Lalu Lintas Kerja Internet

OpsWorks CM menggunakan protokol keamanan transmisi yang sama yang umumnya digunakan oleh AWS: HTTPS, atau HTTP dengan enkripsi TLS.

Penebangan dan Pemantauan di OpsWorks CM

OpsWorks CM mencatat semua tindakan API ke CloudTrail. Untuk informasi selengkapnya, lihat topik berikut:

• Logging OpsWorks untuk Panggilan API Perusahaan Boneka dengan AWS CloudTrail

• Pencatatan Panggilan AWS OpsWorks for Chef Automate API dengan AWS CloudTrail

Analisis Konfigurasi dan Kerentanan di CM OpsWorks

OpsWorks CM melakukan pembaruan kernel dan keamanan berkala ke sistem operasi yang berjalan di server OpsWorks CM Anda. Pengguna dapat mengatur jendela waktu agar pembaruan otomatis terjadi hingga dua minggu dari tanggal saat ini. OpsWorks CM mendorong pembaruan otomatis versi minor Chef dan Puppet Enterprise. Untuk informasi selengkapnya tentang mengonfigurasi pembaruan AWS OpsWorks for Chef Automate, lihat Pemeliharaan Sistem (Chef) dalam panduan ini. Untuk informasi selengkapnya tentang mengonfigurasi pembaruan OpsWorks untuk Puppet Enterprise, lihat Pemeliharaan Sistem (Boneka) dalam panduan ini.

Praktik Terbaik Keamanan untuk OpsWorks CM

OpsWorks CM, seperti semua AWS layanan, menawarkan fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.

• Amankan Starter Kit Anda dan download kredenal login. Saat Anda membuat server OpsWorks CM baru atau mengunduh Starter Kit dan kredensil baru dari konsol OpsWorks CM, simpan item ini di lokasi aman yang memerlukan setidaknya satu faktor otentikasi minimal. Kredensialnya menyediakan akses tingkat administrator ke server Anda.

• Amankan kode konfigurasi Anda. Amankan kode konfigurasi Chef atau Puppet Anda (buku masak dan modul) menggunakan protokol yang direkomendasikan untuk repositori sumber Anda. Misalnya, Anda dapat membatasi izin ke repositori AWS CodeCommit, atau mengikuti panduan di GitHub situs web untuk mengamankan repositori. GitHub

• Gunakan sertifikat yang ditandatangani CA untuk terhubung ke node. Meskipun Anda dapat menggunakan sertifikat yang ditandatangani sendiri saat mendaftar atau mem-boot node di server OpsWorks CM Anda, sebagai praktik terbaik, gunakan sertifikat yang ditandatangani CA. Kami menyarankan Anda menggunakan sertifikat yang ditandatangani oleh otoritas sertifikat (CA).

• Jangan bagikan kredenal masuk konsol manajemen Chef atau Puppet dengan pengguna lain. Administrator harus membuat pengguna terpisah untuk setiap pengguna situs web konsol Chef atau Puppet.

  • Kelola Pengguna di Chef Automate

  • Mengelola Pengguna di Perusahaan Boneka

• Konfigurasikan backup otomatis dan pembaruan pemeliharaan sistem. Mengkonfigurasi pembaruan pemeliharaan otomatis pada server OpsWorks CM Anda membantu memastikan bahwa server Anda menjalankan pembaruan sistem operasi terkait keamanan terbaru. Mengkonfigurasi backup otomatis membantu memudahkan pemulihan bencana dan mempercepat waktu pemulihan jika terjadi insiden atau kegagalan. Batasi akses ke bucket Amazon S3 yang menyimpan cadangan server OpsWorks CM Anda; jangan berikan akses ke Semua Orang. Berikan akses baca atau tulis ke pengguna lain secara individual sesuai kebutuhan, atau buat grup keamanan di IAM untuk pengguna tersebut, dan tetapkan akses ke grup keamanan.

  • Pemeliharaan Sistem (Chef)

  • Pemeliharaan Sistem (Boneka)

  • Membuat cadangan dan Memulihkan AWS OpsWorks for Chef Automate Server

  • Cadangkan dan Kembalikan Server OpsWorks untuk Puppet Enterprise

  • Membuat Pengguna dan Grup Delegasi IAM Pertama Anda di Panduan Pengguna AWS Identity and Access Management

  • Praktik Terbaik Keamanan untuk Amazon S3 di Panduan Pengembang Layanan Penyimpanan Sederhana Amazon