Melhores práticas de segurança do Amazon GameLift Servers - Amazon GameLift Servers
Mantenha os ambientes de runtime da frota atualizadosProteja suas configurações de portaRecursos adicionais sobre segurança

Melhores práticas de segurança do Amazon GameLift Servers

Se estiver usando o Amazon GameLift Servers FleetIQ como um atributo independente do Amazon EC2, consulte Segurança no Amazon EC2 no Guia do usuário do Amazon EC2.

Amazon GameLift ServersO oferece uma série de recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.

Mantenha os ambientes de runtime da frota atualizados

O Amazon GameLift Servers recomenda veementemente que você substitua regularmente as frotas gerenciadas (incluindo EC2 gerenciado e frotas de contêineres gerenciados) para manter ambientes de runtime seguros para seus servidores de jogos. Frotas que funcionam por longos períodos sem atualizações de runtime podem conter dependências desatualizadas e vulnerabilidades de segurança que podem comprometer seus servidores de jogos. Para obter detalhes sobre como a responsabilidade é compartilhada pelo software implantado em frotas do Amazon GameLift Servers, consulte Análise de vulnerabilidade e configuração no Amazon GameLift Servers.

O ambiente de runtime de uma frota gerenciada é determinado pela versão da imagem de máquina da Amazon (AMI). Quando uma nova frota é criada, o Amazon GameLift Servers atribui a versão mais recente da AMI disponível à frota, e todas as instâncias computacionais dessa frota são implantadas com essa versão. Para atualizar a versão da AMI, você deve criar uma nova frota. Para obter detalhes sobre as versões atuais da AMI, consulte Versões da Amazon GameLift Servers AMI.

Práticas recomendadas:

  • Monitore a idade da frota e substitua frotas com mais de 30 dias — Você pode rastrear a data de criação de uma frota no console do Amazon GameLift Servers ou usar a CLI para recuperar os atributos da frota. O Amazon GameLift Servers exibe avisos no console para frotas com mais de 90 dias e notifica os titulares da conta por e-mail para frotas com mais de um ano.

    nota

    Atualizar uma frota (como usar UpdateFleetAttributes ou UpdateContainerFleet) não altera a versão da AMI. É necessário criar uma nova frota.

  • Substitua frotas regularmente com base na integridade da segurança — Estabeleça um cronograma regular para criar novas frotas e aposentar frotas antigas. Considere usar um serviço como o Amazon Q para revisar o código do jogo com a versão atual da AMI, detectar problemas de segurança e sugerir etapas de correção.

  • Teste as compilações de servidores com as versões mais recentes da AMI antes da implantação — talvez seja necessário modificar a compilação do servidor e carregá-la para o Amazon GameLift Servers antes de criar uma nova frota.

  • Gerencie cotas de frota para sua conta da AWS — Você pode solicitar aumentos de limite, se necessário, para criar frotas substitutas. Para obter mais informações, consulte Amazon GameLift ServersEndpoints e cotas do .

  • Considere automatizar a substituição da frota — Você pode automatizar processos para criar novas frotas e migrar o tráfego de jogadores de frotas mais antigas. Por exemplo:

    • Use AWS CloudFormation para automatizar a criação e o gerenciamento de frotas. Mantenha as configurações da sua frota como modelos CloudFormation e use-as para lançar pilhas de recursos.

    • Aproveite o atributo do Amazon GameLift Servers alias para abstrair IDs de frota específicos. Os aliases de frota facilitam a troca do tráfego de jogadores de uma frota existente para uma nova, sem interromper as sessões de jogo em andamento. Para obter detalhes, consulte Resumir uma designação de frota do Amazon GameLift Servers com um alias.

    • Use estratégias de implantação azul/verde para reduzir o risco de migração e manter o tempo de inatividade zero. Com dois ambientes de produção idênticos, você pode tirar proveito de um ambiente de teste totalmente semelhante ao de produção, exercer maior controle sobre o processo de migração e garantir reversões instantâneas.

Proteja suas configurações de porta

É altamente recomendável não abrir portas para a internet, pois isso representa um risco à segurança. Por exemplo, a configuração a seguir abre uma porta de desktop remoto que permite que qualquer pessoa na Internet acesse a instância:

{
  "FleetId": "<fleet identifier>",
  "InboundPermissionAuthorizations": [ 
      { 
        "FromPort": 3389,
        "IpRange": "0.0.0.0/0",
        "Protocol": "RDP",
        "ToPort": 3389
      }
  ]
}

Em vez disso, use UpdateFleetPortSettings para abrir uma porta com um endereço IP específico ou um intervalo de endereços, conforme mostrado neste exemplo: 

{
  "FleetId": "<fleet identifier>",
  "InboundPermissionAuthorizations": [ 
      { 
        "FromPort": 3389,
        "IpRange": "54.186.139.221/32",
        "Protocol": "TCP",
        "ToPort": 3389
      }
  ]
}

Recursos adicionais sobre segurança

Para obter mais informações sobre como é possível tornar o uso do Amazon GameLift Servers mais seguro, consulte Pilar segurança do AWS Well-Architected Tool..