Keamanan dalam Manajemen AWS OpsWorks Konfigurasi (CM)

Keamanan cloud di AWS merupakan prioritas tertinggi. Sebagai seorang pelanggan AWS, Anda mendapatkan manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan dari organisasi yang paling sensitif terhadap keamanan.

Keamanan adalah tanggung jawab bersama antara AWS dan Anda. Model tanggung jawab bersama menggambarkan ini sebagai keamanan dari cloud dan keamanan di dalam cloud:

• Keamanan cloud – AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan layanan AWS di dalam AWS Cloud. AWS juga memberi layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari program kepatuhan AWS. Untuk mempelajari tentang program kepatuhan yang berlaku untuk AWS OpsWorks CM, lihat AWSLayanan dalam Lingkup berdasarkan Program Kepatuhan.

• Keamanan di cloud – Tanggung jawab Anda ditentukan menurut layanan AWS yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain termasuk sensitivitas data Anda, persyaratan perusahaan Anda, serta hukum dan peraturan yang berlaku.

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS OpsWorks CM. Topik berikut menunjukkan cara mengonfigurasi AWS OpsWorks CM untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan layanan AWS lain yang membantu Anda memantau dan mengamankan sumber daya AWS OpsWorks CM Anda.

Topik

• Perlindungan Data di AWS OpsWorks CM
• Enkripsi data
• Identity and Access Management untuk AWS OpsWorks CM
• Privasi Lalu Lintas Kerja Internet
• Penebangan dan Pemantauan di AWS OpsWorks CM
• Validasi Kepatuhan untuk CM AWS OpsWorks
• Ketahanan dalam CM AWS OpsWorks
• Keamanan Infrastruktur di AWS OpsWorks CM
• Analisis Konfigurasi dan Kerentanan di CM AWS OpsWorks
• Praktik Terbaik Keamanan untuk AWS OpsWorks CM

Enkripsi data

AWS OpsWorksCM mengenkripsi cadangan server dan komunikasi antara AWS pengguna yang berwenang dan server CM mereka. AWS OpsWorks Namun, volume root Amazon EBS server AWS OpsWorks CM tidak dienkripsi.

Enkripsi saat Data Tidak Berpindah

AWS OpsWorksCadangan server CM dienkripsi. Namun, volume root Amazon EBS server AWS OpsWorks CM tidak dienkripsi. Ini tidak dapat dikonfigurasi pengguna.

Enkripsi Saat Data Berpindah

AWS OpsWorksCM menggunakan HTTP dengan enkripsi TLS. AWS OpsWorks CM default ke sertifikat yang ditandatangani sendiri untuk menyediakan dan mengelola server, jika tidak ada sertifikat yang ditandatangani yang disediakan oleh pengguna. Kami menyarankan Anda menggunakan sertifikat yang ditandatangani oleh otoritas sertifikat (CA).

Manajemen kunci

AWS Key Management Servicekunci terkelola pelanggan dan kunci terkelola AWS saat ini tidak didukung oleh AWS OpsWorks CM.

Privasi Lalu Lintas Kerja Internet

AWS OpsWorksCM menggunakan protokol keamanan transmisi yang sama yang umumnya digunakan olehAWS: HTTPS, atau HTTP dengan enkripsi TLS.

Penebangan dan Pemantauan di AWS OpsWorks CM

AWS OpsWorksCM mencatat semua tindakan API ke CloudTrail. Untuk informasi lain, lihat topik berikut:

• Logging OpsWorks untuk Panggilan API Perusahaan Boneka dengan AWS CloudTrail

• Pencatatan Panggilan AWS OpsWorks for Chef Automate API dengan AWS CloudTrail

Analisis Konfigurasi dan Kerentanan di CM AWS OpsWorks

AWS OpsWorksCM melakukan pembaruan kernel dan keamanan berkala ke sistem operasi yang berjalan di server AWS OpsWorks CM Anda. Pengguna dapat mengatur jendela waktu agar pembaruan otomatis terjadi hingga dua minggu dari tanggal saat ini. AWS OpsWorks CM mendorong pembaruan otomatis versi minor Chef dan Puppet Enterprise. Untuk informasi selengkapnya tentang mengonfigurasi pembaruanAWS OpsWorks for Chef Automate, lihat Pemeliharaan Sistem (Chef) dalam panduan ini. Untuk informasi selengkapnya tentang mengonfigurasi pembaruan OpsWorks untuk Puppet Enterprise, lihat Pemeliharaan Sistem (Boneka) dalam panduan ini.

Praktik Terbaik Keamanan untuk AWS OpsWorks CM

AWS OpsWorksCM, seperti semua AWS layanan, menawarkan fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau cukup untuk lingkungan Anda, anggap praktik terbaik tersebut sebagai pertimbangan yang membantu dan bukan sebagai rekomendasi.

• Amankan Starter Kit Anda dan unduh kredensyal login. Saat Anda membuat server AWS OpsWorks CM baru atau mengunduh Starter Kit dan kredensyal baru dari konsol AWS OpsWorks CM, simpan item ini di lokasi aman yang memerlukan setidaknya satu faktor otentikasi minimal. Kredensialnya menyediakan akses tingkat administrator ke server Anda.

• Amankan kode konfigurasi Anda. Amankan kode konfigurasi Chef atau Puppet Anda (buku masak dan modul) menggunakan protokol yang direkomendasikan untuk repositori sumber Anda. Misalnya, Anda dapat membatasi izin ke repositoriAWS CodeCommit, atau mengikuti panduan di GitHub situs web untuk mengamankan repositori. GitHub

• Gunakan sertifikat yang ditandatangani CA untuk terhubung ke node. Meskipun Anda dapat menggunakan sertifikat yang ditandatangani sendiri saat mendaftar atau mem-boot node di server AWS OpsWorks CM Anda, sebagai praktik terbaik, gunakan sertifikat yang ditandatangani CA. Kami menyarankan Anda menggunakan sertifikat yang ditandatangani oleh otoritas sertifikat (CA).

• Jangan bagikan kredensyal masuk konsol manajemen Chef atau Puppet dengan pengguna lain. Administrator harus membuat pengguna terpisah untuk setiap pengguna situs web konsol Chef atau Puppet.

  • Kelola Pengguna di Chef Automate

  • Mengelola Pengguna di Perusahaan Boneka

• Konfigurasikan backup otomatis dan pembaruan pemeliharaan sistem. Mengkonfigurasi pembaruan pemeliharaan otomatis pada server AWS OpsWorks CM Anda membantu memastikan bahwa server Anda menjalankan pembaruan sistem operasi terkait keamanan terbaru. Mengkonfigurasi backup otomatis membantu memudahkan pemulihan bencana dan mempercepat waktu pemulihan jika terjadi insiden atau kegagalan. Batasi akses ke bucket Amazon S3 yang menyimpan cadangan server AWS OpsWorks CM Anda; jangan berikan akses ke Semua Orang. Berikan akses baca atau tulis ke pengguna lain secara individual sesuai kebutuhan, atau buat grup keamanan di IAM untuk pengguna tersebut, dan tetapkan akses ke grup keamanan.

  • Pemeliharaan Sistem (Chef)

  • Pemeliharaan Sistem (Boneka)

  • Cadangkan dan Kembalikan AWS OpsWorks for Chef Automate Server

  • Cadangkan dan Kembalikan Server OpsWorks untuk Puppet Enterprise

  • Membuat Pengguna dan Grup Delegasi IAM Pertama Anda di Panduan Pengguna AWS Identity and Access Management

  • Praktik Terbaik Keamanan untuk Amazon S3 di Panduan Pengembang Layanan Penyimpanan Sederhana Amazon