Prácticas recomendadas de seguridad para Amazon GameLift Servers - Amazon GameLift Servers
Mantener actualizados los entornos de tiempo de ejecución de la flotaProtección de las configuraciones de puertoRecursos de seguridad adicionales

Prácticas recomendadas de seguridad para Amazon GameLift Servers

Si utiliza Amazon GameLift Servers FleetIQ como característica independiente con Amazon EC2, consulte Seguridad en Amazon EC2 en la Guía del usuario de Amazon EC2.

Amazon GameLift Servers proporciona un número de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, plantéeselas como consideraciones útiles en lugar de como normas.

Mantener actualizados los entornos de tiempo de ejecución de la flota

Amazon GameLift Servers recomienda que sustituya periódicamente las flotas administradas (incluidas las flotas de EC2 administradas y las flotas de contenedores administradas) para mantener entornos de tiempo de ejecución seguros para los servidores de juegos. Las flotas que se ejecutan durante periodos de tiempo prolongados sin actualizaciones de tiempo de ejecución pueden contener dependencias obsoletas y vulnerabilidades de seguridad que podrían poner en peligro los servidores de juegos. Para obtener más información sobre cómo se comparte la responsabilidad del software implementado en flotas de Amazon GameLift Servers, consulte Configuración y análisis de vulnerabilidades en Amazon GameLift Servers.

El entorno de tiempo de ejecución de una flota administrada viene determinado por su versión de la imagen de máquina de Amazon (AMI). Cuando se crea una nueva flota, Amazon GameLift Servers le asigna la versión de la AMI más reciente disponible, y todas las instancias de computación de esa flota se implementan con esa versión. Para actualizar la versión de la AMI, debe crear una nueva flota. Para obtener más información sobre las versiones actuales de la AMI, consulte Versiones de AMI de Amazon GameLift Servers.

Prácticas recomendadas:

  • Supervise la antigüedad de la flota y sustituya las flotas que tengan más de 30 días de antigüedad: puede monitorizar la fecha de creación de una flota en la consola de Amazon GameLift Servers o utilizar la CLI para recuperar los atributos de la flota. Amazon GameLift Servers muestra en la consola advertencias para las flotas que tienen más de 90 días de antigüedad, y notifica a los titulares de las cuentas por correo electrónico para las flotas que tienen más de un año de antigüedad.

    nota

    La actualización de una flota (por ejemplo, mediante UpdateFleetAttributes o UpdateContainerFleet) no cambia la versión de la AMI. Debe crear una flota nueva.

  • Sustituya las flotas periódicamente en función de su estado de seguridad: establezca un calendario regular para crear flotas nuevas y retirar las antiguas. Considere la posibilidad de utilizar un servicio como Amazon Q para revisar el código del juego con la versión actual de la AMI, detectar problemas de seguridad y sugerir medidas correctivas.

  • Pruebe las compilaciones de servidor con las versiones más recientes de la AMI antes de la implementación: es posible que deba modificar la compilación del servidor y cargarla en Amazon GameLift Servers antes de crear una flota nueva.

  • Administre las cuotas de flota de su cuenta de AWS: puede solicitar aumentos de límite si es necesario para crear flotas de sustitución. Para obtener más información, consulte Cuotas y puntos de conexión de Amazon GameLift Servers.

  • Considere la posibilidad de automatizar la sustitución de las flotas: puede automatizar los procesos para crear nuevas flotas y migrar el tráfico de jugadores de las flotas más antiguas. Por ejemplo:

    • Utilice AWS CloudFormation para automatizar la creación y administración de las flotas. Mantenga las configuraciones de flota como plantillas de CloudFormation y utilícelas para lanzar pilas de recursos.

    • Aproveche la característica de alias de Amazon GameLift Servers para abstraer ID de flota específicos. Los alias de flota permiten cambiar fácilmente el tráfico de jugadores de una flota existente a una nueva sin interrumpir las sesiones de juego en curso. Para obtener más información, consulte Abstracción de una designación de flota de Amazon GameLift Servers con un alias.

    • Utilice estrategias de implementación azul/verde para reducir el riesgo de migración y evitar cualquier tiempo de inactividad. Con dos entornos de producción idénticos, puede beneficiarse de entorno de prueba similar un entorno de producción completo, ejercer un mayor control del proceso de migración y garantizar las reversiones instantáneas.

Protección de las configuraciones de puerto

Recomendamos encarecidamente no abrir puertos a Internet, ya que eso supone un riesgo para la seguridad. Por ejemplo, la siguiente configuración abre un puerto de escritorio remoto que permite a cualquier usuario de Internet acceder a la instancia:

{
  "FleetId": "<fleet identifier>",
  "InboundPermissionAuthorizations": [ 
      { 
        "FromPort": 3389,
        "IpRange": "0.0.0.0/0",
        "Protocol": "RDP",
        "ToPort": 3389
      }
  ]
}

En su lugar, utilice UpdateFleetPortSettings para abrir un puerto con una dirección IP o un rango de direcciones IP específicos, tal como se muestra en este ejemplo: 

{
  "FleetId": "<fleet identifier>",
  "InboundPermissionAuthorizations": [ 
      { 
        "FromPort": 3389,
        "IpRange": "54.186.139.221/32",
        "Protocol": "TCP",
        "ToPort": 3389
      }
  ]
}

Recursos de seguridad adicionales

Para obtener más información sobre cómo puede hacer que el uso de Amazon GameLift Servers sea más seguro, consulte el Pilar de seguridad de AWS Well-Architected Tool.