Sicurezza nella gestione della AWS OpsWorks configurazione (CM)

La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.

La sicurezza è una responsabilità condivisa tra AWS te e te. Il modello di responsabilità condivisa descrive questo come sicurezza del cloud e sicurezza nel cloud:

• Sicurezza del cloud: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei programmi di conformitàAWS. Per ulteriori informazioni sui programmi di conformità che si applicano ad OpsWorks CM, consulta Servizi coperti dal programma di conformitàAWS.

• Sicurezza nel cloud: la tua responsabilità è determinata dal AWS servizio che utilizzi. Sei anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della tua azienda e le leggi e normative vigenti.

Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa quando si utilizza OpsWorks CM. I seguenti argomenti mostrano come configurare OpsWorks CM per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a usare altri servizi AWS che ti aiutano a monitorare e proteggere le tue risorse OpsWorks CM.

Argomenti

• Protezione dei dati in OpsWorks CM

• Crittografia dei dati

• Identity and Access Management per OpsWorks CM

• Riservatezza del traffico Internet

• Registrazione e monitoraggio in CM OpsWorks

• Convalida della conformità per OpsWorks CM

• Resilienza nel CM OpsWorks

• Sicurezza dell'infrastruttura in AWS OpsWorks CM

• Analisi della configurazione e delle vulnerabilità in CM OpsWorks

• Best practice di sicurezza per CM OpsWorks

Crittografia dei dati

OpsWorks CM crittografa i backup dei server e le comunicazioni tra AWS gli utenti autorizzati e i relativi server CM. OpsWorks Tuttavia, i volumi root Amazon EBS dei server OpsWorks CM non sono crittografati.

Crittografia dei dati inattivi

OpsWorks I backup dei server CM sono crittografati. Tuttavia, i volumi root Amazon EBS dei server OpsWorks CM non sono crittografati. Questa opzione non è configurabile dall'utente.

Crittografia in transito

OpsWorks CM utilizza HTTP con crittografia TLS. OpsWorks CM utilizza per impostazione predefinita i certificati autofirmati per il provisioning e la gestione dei server, se gli utenti non forniscono alcun certificato firmato. Si consiglia di utilizzare un certificato firmato di un'autorità di certificazione (CA).

Gestione delle chiavi

AWS Key Management Service le chiavi gestite dai clienti e le chiavi gestite da AWS non sono attualmente supportate da OpsWorks CM.

Riservatezza del traffico Internet

OpsWorks CM utilizza gli stessi protocolli di sicurezza della trasmissione generalmente utilizzati da AWS: HTTPS o HTTP con crittografia TLS.

Registrazione e monitoraggio in CM OpsWorks

OpsWorks CM registra tutte le azioni API su. CloudTrail Per ulteriori informazioni, consulta i seguenti argomenti:

• Registrazione OpsWorks per le chiamate API Puppet Enterprise con AWS CloudTrail

• Registrazione delle chiamate AWS OpsWorks for Chef Automate API con AWS CloudTrail

Analisi della configurazione e delle vulnerabilità in CM OpsWorks

OpsWorks CM esegue aggiornamenti periodici del kernel e della sicurezza del sistema operativo in esecuzione sul OpsWorks server CM. Gli utenti possono impostare una finestra temporale per gli aggiornamenti automatici fino a due settimane dalla data corrente. OpsWorks CM invia aggiornamenti automatici delle versioni secondarie di Chef e Puppet Enterprise. Per ulteriori informazioni sulla configurazione degli aggiornamenti per AWS OpsWorks for Chef Automate, consulta System Maintenance (Chef) in questa guida. Per ulteriori informazioni sulla configurazione degli aggiornamenti OpsWorks per Puppet Enterprise, consulta System Maintenance (Puppet) in questa guida.

Best practice di sicurezza per CM OpsWorks

OpsWorks CM, come tutti i AWS servizi, offre funzionalità di sicurezza da considerare durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni.

• Proteggi il tuo Starter Kit e le credenziali di accesso scaricate. Quando crei un nuovo server OpsWorks CM o scarichi un nuovo Starter Kit e credenziali dalla console OpsWorks CM, archivia questi elementi in un luogo sicuro che richieda almeno un fattore di autenticazione. Le credenziali forniscono l'accesso a livello di amministratore al server.

• Proteggi il tuo codice di configurazione. Proteggi il tuo codice di configurazione Chef o Puppet (libri di ricette e moduli) utilizzando i protocolli consigliati per i tuoi repository di origine. Ad esempio, è possibile limitare le autorizzazioni agli archivi o seguire le linee guida sul GitHub sito Web per proteggere gli archivi. AWS CodeCommit GitHub

• Utilizza i certificati firmati dall'autorità di certificazione per la connessione ai nodi. Sebbene sia possibile utilizzare certificati autofirmati durante la registrazione o l'avvio di nodi sul server OpsWorks CM, come best practice è consigliabile utilizzare certificati firmati da un'autorità di certificazione. Si consiglia di utilizzare un certificato firmato di un'autorità di certificazione (CA).

• Non condividere le credenziali di accesso alla console di gestione Chef o Puppet con altri utenti. Un amministratore deve creare utenti separati per ogni utente dei siti Web della console Chef o Puppet.

  • Gestione degli utenti in Chef Automate

  • Gestione degli utenti in Puppet Enterprise

• Configura backup automatici e aggiornamenti di manutenzione del sistema. La configurazione degli aggiornamenti automatici di manutenzione sul server OpsWorks CM garantisce che il server esegua gli aggiornamenti più recenti relativi alla sicurezza del sistema operativo. La configurazione dei backup automatici facilita il disaster recovery e velocizza i tempi di ripristino in caso di incidente o di errore. Limita l'accesso al bucket Amazon S3 che archivia i backup del server OpsWorks CM; non concedere l'accesso a tutti. Concedi l'accesso in lettura o scrittura ad altri utenti singolarmente, se necessario, oppure crea un gruppo di sicurezza in IAM per tali utenti e assegna l'accesso al gruppo di sicurezza.

  • Manutenzione del sistema (Chef)

  • Manutenzione del sistema (Puppet)

  • Backup e ripristino di un AWS OpsWorks for Chef Automate server

  • Esegui il backup e il ripristino di un OpsWorks server Puppet Enterprise

  • Creazione del primo utente delegato e gruppo IAM nella Guida per l'utente di AWS Identity and Access Management

  • Best practice di sicurezza per Amazon S3 nella Amazon Simple Storage Service Developer Guide