在建置和營運遊戲時,考慮到安全性問題,確保玩家獲得有趣、安全的體驗。
歡迎來到在 AWS 上建置遊戲系列,在此 YouTube 系列集合中,我們將向您展示如何在 AWS 上建置遊戲。本系列將會討論在 AWS 上託管遊戲工作負載的安全性考量。
確保您的遊戲和玩家資料安全無虞
自訂建置安全解決方案
AWS 遊戲雲端方案:帳戶接管嘗試
身分是每位玩家一切的開始,因此,保護玩家的帳戶和身分是 AWS 首要任務的一部分。這就是我們建立 AWS WAF 詐騙控制帳戶接管防護 (ATP) 的眾多原因之一。ATP 有助於減少欺詐,並防止我們所說的帳戶接管。帳戶接管是指未經授權的用戶獲得對其他玩家帳戶的控制權。我們知道,遊戲玩家和開發人員付出了相當努力,尤其是在電競領域。因此,我們用兩種方式解決這個問題:調查傳入的回應,以及分析傳出的回應。當玩家登入您的遊戲時,我們會查看這些憑證是否為從暗網中竊取,並查看先前的登入資訊以判斷異常情況並提醒您注意可疑活動。在回應方面,我們會查看您的遊戲對登錄嘗試的反應,如果有人試圖暴力破解密碼組合或有其他攻擊類型,我們可以採取措施阻止這種情況。安全是我們的首要任務,我們歡迎遊戲玩家和遊戲開發人員透過 AWS 提升安全性。
客戶案例
了解我們的一些遊戲開發好友和客戶對 AWS 安全性解決方案的看法。
「在遊戲產業中,SaaS 解決方案的安全性和完善程度非常重要。在許多情況下,安全漏洞可能損害業務。AWS 解決方案可讓我們控制基礎設施中最敏感的領域。我們廣泛使用 AWS WAF 以清除危險弱點,並掃描伺服器流量和定期查閱 Guard Duty 洞見,從而及早識別並修復潛在問題。」
PatchKit 首席技術長與軟體開發者 Piotr Korzuszek
使用案例
單打獨鬥太危險了......把這個拿去吧。從前人的經驗中學習,他們希望看到我們的產業變得更強大、更安全,同時為客戶提供最佳的體驗。
利用 AWS WAF Security Automations,對可疑使用者作出動態反應。
針對特定應用程式的攻擊或試圖詐騙行為通常不會突然出現。當不法分子準備入侵應用程式時,他們會留下痕跡,例如嘗試登錄失敗、錯誤代碼率增加、超出 API 限制等。惡意軟體一般會抓取它們可以存取的所有內容,包括連真實用戶也不會或很少用到的端點。
AWS WAF Security Automations 正好針對這個問題:只需點擊一下,您便能在現有的 HTTP API 上部署解決方案,並對其進行設定,以偵測應用程式中的異常行為。您甚至可以建立誘捕機制,以檢測爬蟲程式和軟體。這套解決方案會部署 AWS WAF Web ACL,其可以直接連接到 Amazon CloudFront、Application Load Balancers (ALB)、Amazon API Gateway 和 AWS AppSync。
由於解決方案設有詳細的記錄,因此您可以輕鬆地從其元件中擷取有用的資料,以便在整個工作負載中使用資料。例如,您可以向 Amazon Athena 查詢過去一小時內的可疑 IP 清單。這項資料可讓您建立用於配對的自訂檢查清單,確保潛在的惡意玩家遠離遊戲,您也可以將他們送到專屬的遊戲伺服器,避免他們影響善意的玩家。
使用 Amazon GuardDuty 保護遊戲伺服器的執行個體憑證
使用 Amazon GuardDuty 持續監控是否有惡意活動和未經授權的行為,以保護遊戲、AWS 帳戶、工作負載以及在 Amazon Simple Storage Service (Amazon S3) 中存放的資料。
與主要產業合作夥伴一起創新
從廣泛的產業領先 AWS 合作夥伴網路中探索專用 AWS for Games 解決方案與服務,這些合作夥伴在 AWS 上建置解決方案方面展示了技術專長和客戶成功案例。
合作夥伴焦點:Teradici
安全靈活的高效能遠端遊戲開發
Teradici 提供安全、靈活、高效能、低延遲的雲端遠端遊戲開發服務,帶來互動式遠端遊戲開發體驗。Teradici 能夠幫助您進行遠端工作、加速遊戲製作、保護敏感資產,同時提供無損且無與倫比的色彩準確度。
合作夥伴焦點:CrowdStrike, Inc.
一個平台。 適合所有行業。 卓越的保護能力。
CrowdStrike 為推動現代企業發展的人才、流程和技術提供保護。憑藉世界級的安全性專業知識和深厚的產業經驗,CrowdStrike 的單一代理解決方案可以填補漏洞、阻止勒索軟體和防範網路攻擊。
合作夥伴焦點:Lacework, Inc.
Lacework:適用於遊戲產業的現代雲端安全性方針
你是在開發遊戲,而不是在玩遊戲。Lacework 也跟您一樣。從建置到執行的過程中,我們會自動化和持續監控您的合規性和安全性,讓您跑得更快、跳得更高並順利擴展您的帝國。整合工具、最佳化 SIEM、保護您的容器安全。我們識英雄,重英雄。
合作夥伴焦點:Druva
透過多層資料彈性保護您的遊戲
使用 Druva Data Resiliency Cloud,隨時隨地確保資料安全可用。針對網路事件,自動執行萬無一失的回應和復原程序,透過永久的增量備份確保資料的可用性,並通過全球可用的實體隔離架構保護資料。
隨時隨地應您所需
插入鍵盤、滑鼠、平板電腦或遊戲手柄,Parsec 即可讓您在幾秒內以接近零的延遲和無與倫比的輸入準確性存取您的硬體。影片串流如絲般流暢,60FPS 4K 影片可在多達 3 部顯示器上呈現豔麗的色彩。讓您如臨其境。
資源
與許多應用程式相比,建置遊戲面臨著不同的挑戰。尋找 AWS 文件和遊戲特定範例、參考架構等,以協助您在雲端建置遊戲。
DDoS 白皮書
一般 AWS 安全白皮書
免費的 AWS 安全性學習計劃
AWS Foundations: Securing Your AWS Cloud
安全性研討會中心
AWS T&C 建立升級安全性指南
在此建立您的安全性解決方案
為客戶提供安全可靠的體驗,是遊戲和業務的成功和成長關鍵,但要弄清楚如何開始實施解決方案和最佳實務可不容易。我們已經列出幾個重要步驟,
協助您展開旅程。
步驟 1
「首先要建立威脅模型」。
遵循威脅建模的步驟,當進行至文章的第 9 項時,同時考慮風險與開銷的平衡。風險分為剩餘風險 (被視為「業務營運風險」的一部分) 和重大風險 (需要通過補償控制將其轉化為剩餘風險)。正如文章所述,您應制定政策、技術和程序控制措施,並將其分類,以將風險減少至可接受水平 (您可藉助法律團隊的詮釋制定法規和法例,並加入其中要求的控制措施),然後將控制措施應用到有助於實現目標的服務和功能。
若要應用控制措施,請參考下列文件:
步驟 2
您可能希望使用自己的程式碼、AWS 服務或開放原始碼提供部分功能,但是對於您不希望管理或是在 AWS 服務範圍之外的功能,您需要使用自己的政策和控制架構,以識別您打算聘請並提供功能的合作夥伴。例如,如果遊戲要求使用者為您的環境進行驗證,您打算支援哪些聯合身分識別供應商呢?
如果您使用 EC2,您的控制架構將要求您實作 SELinux 功能設定檔以外的執行個體反惡意程式碼工具。那麼,AWS Marketplace 中有哪些工具可以滿足您的需求呢?您需要考慮到,您也許要自動擴展和縮減執行個體群組的規模。
步驟 3
除非您是剛開始探索 AWS 的業餘愛好者,或正在使用空閒的時間學習,否則您將需要一個設計完善的多帳戶環境來學習、開發、建置、測試和部署,同時確保不同環境和當中的資料擁有適當的區隔。
遵循使用多個帳戶組織 AWS 環境,以設計您的多帳戶結構。由於某些類型的遊戲會佔用大量的非用戶端資源,如果您的遊戲屬於其中之一,請考慮在遊戲變得受歡迎時可能需要如何迅速地擴展環境。 擴展環境的方式取決於託管遊戲所用的 AWS 服務類型,但您必須留意每個帳戶的服務配額。 如果您的控制架構有需要,請依照 AWS DDoS 彈性最佳實務白皮書中所述,在整個組織部署 DDoS 緩解措施。
步驟 4
現在,您可以在組織政策中定義和執行標記策略 (請參閱標記政策),並根據您的政策和威脅模型設定監控和事件回應架構,包括忽略可能與您的特定需求無關的發現。
有關事件回應架構的建議,請參考 AWS 安全性事件回應指南,特定事件案例的範例執行手冊可在 GitHub 上查閱。
如果您選擇的回應政策包含可根據監控事件自動化的活動,請參閱 AWS Security Hub 自動回應和補救實作指南,以了解協助達成目標的架構和自動化集合。
完成上述所有操作後,您需要建立 CI/CD 管道,並按照控制架構的要求,將安全性工具與管道整合 (靜態分析、依賴性分析、滲透測試環境等),然後您便可以上傳黃金基準圖像 (如適用) 和遊戲代碼,再開始建置、測試和部署您的遊戲!