AWS OpsWorks 配置管理中的安全性 (CM)

云安全 AWS 是重中之重。作为 AWS 客户，您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。

安全是双方共同承担 AWS 的责任。责任共担模式将其描述为云的 安全性和云中 的安全性：

• 云安全 — AWS 负责保护在 AWS 云中运行 AWS 服务的基础架构。 AWS 还为您提供可以安全使用的服务。作为 AWS 合规性计划的一部分，第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 OpsWorks CM 的合规性计划，请参阅合规性计划范围内的AWS 服务。

• 云端安全-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责，包括您的数据的敏感性、您公司的要求以及适用的法律法规。

本文档可帮助您了解在使用 OpsWorks CM 时如何应用分担责任模型。以下主题向您展示如何配置 OpsWorks CM 以满足您的安全和合规性目标。您还将学习如何使用其他 AWS 服务来帮助您监控和保护您的 OpsWorks CM 资源。

主题

• OpsWorks CM 中的数据保护

• 数据加密

• 适用于 CM 的 Identity and A OpsWorks ccess 管理

• 互联网络流量保密性

• 在 OpsWorks CM 中进行日志记录和监控

• OpsWorks CM 的合规性验证

• OpsWorks CM 中的弹性

• AWS OpsWorks CM 中的基础设施安全性

• OpsWorks CM 中的配置和漏洞分析

• OpsWorks CM 安全最佳实践

数据加密

OpsWorks CM 对服务器备份以及授权 AWS 用户与其 OpsWorks CM 服务器之间的通信进行加密。但是， OpsWorks CM 服务器的 Amazon EBS 根卷并未加密。

静态加密

OpsWorks CM 服务器备份已加密。但是， OpsWorks CM 服务器的 Amazon EBS 根卷并未加密。用户无法对其进行配置。

传输中加密

OpsWorks CM 使用带有 TLS 加密的 HTTP。 OpsWorks 如果用户未提供签名证书，则 CM 默认使用自签名证书来配置和管理服务器。我们建议您使用由证书颁发机构 (CA) 签名的证书。

密钥管理

AWS Key Management Service OpsWorks CM 目前不支持客户托管密钥和 AWS 托管密钥。

互联网络流量保密性

OpsWorks CM 使用的传输安全协议与通常使用的传输安全协议相同 AWS：HTTPS 或带有 TLS 加密的 HTTP。

在 OpsWorks CM 中进行日志记录和监控

OpsWorks CM 将所有 API 操作记录到 CloudTrail。有关更多信息，请参阅以下主题：

• 使用登录 OpsWorks Puppet 企业 API 调用 AWS CloudTrail

• 使用记录 AWS OpsWorks for Chef Automate API 调用 AWS CloudTrail

OpsWorks CM 中的配置和漏洞分析

OpsWorks CM 会定期对 C OpsWorks M 服务器上运行的操作系统执行内核和安全更新。用户可以设置从当前日期起最多两周内进行自动更新的时间窗口。 OpsWorks CM 推送 Chef 和 Puppet Enterprise 次要版本的自动更新。有关为配置更新的更多信息 AWS OpsWorks for Chef Automate，请参阅本指南中的系统维护 (Chef)。有关为 Puppet Enterprise 配置更新的 OpsWorks 更多信息，请参阅本指南中的系统维护 (Puppet)。

OpsWorks CM 安全最佳实践

OpsWorks 与所有 AWS 服务一样，CM 提供安全功能，供您在制定和实施自己的安全策略时考虑。以下最佳实践是一般指导原则，并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求，请将其视为有用的考虑因素而不是惯例。

• 保护您的初学者工具包和下载的登录凭证。当您创建新的 OpsWorks CM 服务器或从 C OpsWorks M 控制台下载新的入门套件和凭据时，请将这些项目存储在至少需要一个身份验证因素的安全位置。凭证提供对服务器的管理员级别访问权限。

• 保护您的配置代码。使用针对源存储库的推荐协议来保护您的 Chef 或 Puppet 配置代码（说明书和模块）。例如，您可以限制对中存储库的权限 AWS CodeCommit，或者遵循 GitHub 网站上的指南来保护 GitHub存储库。

• 使用 CA 签名证书连接到节点。尽管在 OpsWorks CM 服务器上注册或引导节点时可以使用自签名证书，但最佳做法是使用 CA 签名证书。我们建议您使用由证书颁发机构 (CA) 签名的证书。

• 请勿与其他用户共享 Chef 或 Puppet 管理控制台登录凭证。管理员应为 Chef 或 Puppet 控制台网站的每个用户创建单独的用户。

  • 在 Chef Automate 中管理用户

  • 在 Puppet Enterprise 中管理用户

• 配置自动备份和系统维护更新。在 OpsWorks CM 服务器上配置自动维护更新可帮助确保您的服务器正在运行与安全相关的最新操作系统更新。配置自动备份有助于在发生事故或故障时减小灾难恢复的难度并缩短恢复时间。限制对存储 OpsWorks CM 服务器备份的 Amazon S3 存储桶的访问权限；不要向所有人授予访问权限。根据需要向其他用户单独授予读取或写入访问权限，或在 IAM 中为这些用户创建一个安全组，并将访问权限分配给该安全组。

  • 系统维护 (Chef)

  • 系统维护 (Puppet)

  • 备份和还原 AWS OpsWorks for Chef Automate 服务器

  • 备份和还原 for Puppe OpsWorks t Enterprise 服务器

  • 在AWS Identity and Access Management 用户指南中创建您的第一个 IAM 委派用户和组

  • 《Amazon Simple Storage Service 开发人员指南》中的 Amazon S3 安全最佳实践