AWS OpsWorks 設定管理 (CM) のセキュリティ

のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。

セキュリティは、 AWS とお客様の間の責任共有です。責任共有モデルでは、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。

• クラウドのセキュリティ – クラウドで AWS AWS サービスを実行するインフラストラクチャを保護する AWS 責任があります。 AWS また、 では、安全に使用できるサービスも提供しています。「AWS 」 コンプライアンスプログラムの一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。 OpsWorks CM に適用されるコンプライアンスプログラムの詳細については、「コンプライアンスプログラムによるAWS 対象範囲内のサービス」を参照してください。

• クラウド内のセキュリティ – お客様の責任は、使用する AWS サービスによって決まります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。

このドキュメントは、CM OpsWorks を使用する際の責任共有モデルの適用方法を理解するのに役立ちます。以下のトピックでは、セキュリティとコンプライアンスの目的を達成するように OpsWorks CM を設定する方法について説明します。また、CM リソースのモニタリングや保護に役立つ他の AWS OpsWorks のサービスの使用方法についても説明します。

トピック

• CM OpsWorks でのデータ保護

• データ暗号化

• CM OpsWorks の Identity and Access Management

• インターネットトラフィックのプライバシー

• CM OpsWorks でのログ記録とモニタリング

• OpsWorks CM のコンプライアンス検証

• CM OpsWorks の耐障害性

• AWS OpsWorks CM のインフラストラクチャセキュリティ

• CM OpsWorks の設定と脆弱性の分析

• CM OpsWorks のセキュリティのベストプラクティス

データ暗号化

OpsWorks CM は、承認された AWS ユーザーとその CM OpsWorks サーバー間のサーバーのバックアップと通信を暗号化します。ただし、CM サーバーのルート Amazon EBS OpsWorks ボリュームは暗号化されません。

保管時の暗号化

OpsWorks CM サーバーのバックアップは暗号化されます。ただし、CM サーバーのルート Amazon EBS OpsWorks ボリュームは暗号化されません。これはユーザーが設定できません。

転送時の暗号化

OpsWorks CM は、TLS 暗号化で HTTP を使用します。ユーザーが署名付き証明書を提供していない場合、 OpsWorks CM はデフォルトで自己署名証明書を使用してサーバーをプロビジョニングおよび管理します。証明機関 (CA) によって署名された証明書を使用することをお勧めします。

キーの管理

AWS Key Management Service カスタマーマネージドキーと AWS マネージドキーは、現在 CM OpsWorks ではサポートされていません。

インターネットトラフィックのプライバシー

OpsWorks CM は、HTTPS または TLS 暗号化を使用した HTTP AWSで一般的に使用されるのと同じ送信セキュリティプロトコルを使用します。

CM OpsWorks でのログ記録とモニタリング

OpsWorks CM は、すべての API アクションを CloudTrail に記録します。詳細については、以下の各トピックを参照してください。

• を使用した OpsWorks for Puppet Enterprise API コールのログ記録 AWS CloudTrail

• を使用した AWS OpsWorks for Chef Automate API コールのログ記録 AWS CloudTrail

CM OpsWorks の設定と脆弱性の分析

OpsWorks CM は、 OpsWorks CM サーバーで実行されているオペレーティングシステムに対してカーネルとセキュリティの定期的な更新を実行します。ユーザーは、現在の日付から最大 2 週間自動更新が行われるように時間枠を設定できます。 OpsWorks CM は Chef および Puppet Enterprise のマイナーバージョンの自動更新をプッシュします。の更新の設定の詳細については AWS OpsWorks for Chef Automate、このガイドの「システムメンテナンス (Chef)」を参照してください。OpsWorks for Puppet Enterprise の更新の設定の詳細については、このガイドの「System Maintenance (Puppet)」(システムメンテナンス (Puppet)) を参照してください。

CM OpsWorks のセキュリティのベストプラクティス

OpsWorks CM は、すべての AWS サービスと同様に、独自のセキュリティポリシーを開発および実装する際に考慮すべきセキュリティ機能を提供します。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。

• スターターキットとダウンロードしたログイン認証情報を保護します。新しい OpsWorks CM サーバーを作成するか、CM コンソールから新しいスターターキットと認証情報をダウンロードするときは、少なくとも 1 OpsWorks つの認証要素を必要とする安全な場所にこれらの項目を保存します。認証情報は、サーバーへの管理者レベルのアクセスを提供します。

• 設定コードを保護します。ソースリポジトリ用の推奨プロトコルを使用して Chef または Puppet 設定コード (クックブックとモジュール) を保護します。例えば、AWS CodeCommitでリポジトリへのアクセス許可を制限したり、GitHub リポジトリを保護するための GitHub ウェブサイトのガイドラインを適用したりすることができます。

• CA 署名付き証明書を使用してノードに接続します。 OpsWorks CM サーバーでノードを登録またはブートストラップするときに自己署名証明書を使用できますが、ベストプラクティスとして、CA 署名証明書を使用します。証明機関 (CA) によって署名された証明書を使用することをお勧めします。

• Chef または Puppet 管理コンソールのサインイン認証情報は他のユーザーと共有しません。管理者は、ChefまたはPuppetコンソールウェブサイトのユーザごとに別々のユーザを作成する必要があります。

  • Chef Automate でのユーザーの管理

  • Puppet Enterprise でのユーザーの管理

• バックアップとシステムメンテナンスの自動更新を設定します。 OpsWorks CM サーバーでメンテナンスの自動更新を設定すると、サーバーで最新のセキュリティ関連のオペレーティングシステム更新が実行されていることを確認できます。自動バックアップを設定すると、災害対策が容易になり、インシデントや障害発生時の復元時間が短縮されます。CM サーバーのバックアップを保存する Amazon S3 OpsWorks バケットへのアクセスを制限します。すべてのユーザーにアクセス権を付与しないでください。必要に応じて他のユーザーに個別に読み取りまたは書き込みアクセス権を付与するか、これらのユーザーのセキュリティグループを IAM に作成して、このセキュリティグループにアクセス権を割り当てます。

  • システムメンテナンス (Chef)

  • システムメンテナンス (Puppet)

  • AWS OpsWorks for Chef Automate サーバーのバックアップと復元

  • OpsWorks for Puppet Enterprise サーバーのバックアップと復元

  • 「AWS Identity and Access Management ユーザーガイド」の 「IAM が委任した最初のユーザーおよびグループの作成」

  • 「Amazon Simple Storage Service Developer Guide (Amazon Simple Storage Service 開発者ガイド)」の「Security Best Practices for Amazon S3」(Amazon S3 のセキュリティベストプラクティス)]