在充分考虑安全性的情况下构建和运营游戏,确保玩家获得有趣、安全的体验。
欢迎观看 Building Games on AWS,这是 YouTube 系列视频集合,在其中我们将向您展示如何使用 AWS 制作游戏。在本系列中,我们将介绍在 AWS 上托管游戏工作负载的安全注意事项。
确保您的游戏和玩家数据安全可靠
定制的安全解决方案
AWS 游戏行业解决方案:账户盗用尝试
每个玩家的游戏之旅都是从一个身份开始的,保护玩家的账户和身份是 AWS 的头等大事。这就是我们创建 AWS WAFFraud Control 账户盗用防护 (ATP) 的诸多原因之一。ATP 有助于减少欺诈并防止我们所谓的账户盗用。账户盗用是指未经授权的用户获得对其他玩家账户的控制权。我们认可我们的游戏玩家和开发人员所做的努力,尤其是在电子竞技领域。因此,我们通过两种方式来解决这个问题:调查收到的回应,以及分析发出的回应。当玩家登录您的游戏时,我们会检查这些凭证是否是从暗网上盗取的,并查看以前的登录信息以确定异常情况并提醒您注意可疑活动。在响应方面,我们会研究您的游戏对登录尝试的反应,如果有人在尝试暴力攻击密码组合或其他攻击类型,我们可以采取措施来阻止这种情况。保证安全性是我们的首要任务,我们欢迎我们的游戏玩家和游戏开发人员通过 AWS 来提高安全性。
客户案例
了解我们的一些开发游戏的朋友和客户对 AWS 安全解决方案的看法。
“在游戏行业中,SaaS 解决方案的安全性和有效性至关重要。在许多情况下,安全漏洞对我们来说可能意味着失败。AWS 解决方案使我们能够控制基础设施中最敏感的点。我们广泛使用 AWS WAF 清除危险漏洞,扫描来自服务器的流量并定期查看 Guard Duty 见解,以便尽早发现和修复潜在问题。”
PatchKit 首席技术官兼软件开发人员 Piotr Korzuszek
应用场景
独自行动有点危险…带上这个吧!向经历过这段旅程的其他人学习经验,希望看到我们的行业变得更强大、更安全,同时为我们的客户提供卓越体验。
利用 AWS WAF Security Automations 动态应对可疑用户。
特定于应用程序的攻击或欺骗尝试通常不会突如其来。当恶意行为者准备入侵应用程序时,他们会留下痕迹:登录尝试失败、错误代码率增加、超过 API 限制等。恶意机器人通常会抓取他们可以访问的所有内容,哪怕是真正的用户永远不会或很少使用的端点也不会放过。
这就是 AWS WAF Security Automations 的用武之地:您可一键将解决方案部署到现有的 HTTP API,并将其配置为检测应用程序中的异常行为。它甚至允许您创建可用于检测爬网程序和机器人的蜜罐。该解决方案会部署 AWS WAF Web ACL,AWS WAF Web ACL 可以直接附加到 Amazon CloudFront、应用程序负载均衡器(ALB)、Amazon API Gateway 和 AWS AppSync。
由于该解决方案具有完善的记录,您可以轻松地从其组件中提取有意义的数据,以便在整个工作负载中使用。例如,您可以通过查询 Amazon Athena 获取过去一小时内的可疑 IP 列表。利用此类数据,您可以构建自定义检查列表,以便在配对中使用,让这些潜在的恶意玩家远离您的游戏,或者干脆将他们发送到与友好玩家群隔离的专用游戏服务器。
使用 Amazon GuardDuty 保护游戏服务器的实例凭证
使用 Amazon GuardDuty 持续监控恶意活动和未经授权的行为,保护您的游戏、AWS 账户、工作负载,以及 Amazon Simple Storage Service(Amazon S3)中存储的数据。
与主要行业合作伙伴携手创新
通过由行业领先的 AWS 合作伙伴组成的广泛网络,了解专门构建的 AWS 游戏解决方案和服务,这些合作伙伴已展现出在 AWS 上构建解决方案的专业技术知识和客户成功经验。
合作伙伴聚焦:Teradici
安全、灵活的高性能远程游戏开发
利用 Teradici 安全、灵活、高性能、低延迟的云端远程游戏开发,打造交互式远程游戏开发体验。远程办公、加快游戏制作,并确保敏感资产具有无损、出色的色彩精度。
合作伙伴聚焦:CrowdStrike, Inc.
一个平台, 适用于每个行业, 提供卓越保护。
CrowdStrike 可保护推动现代企业发展的人员、流程和技术。其单一座席解决方案由世界一流的安全专业知识和深厚的行业经验提供支持,可阻止漏洞、勒索软件和网络攻击。
合作伙伴聚焦:Lacework, Inc.
Lacework:游戏行业的现代云安全方法
您是在开发游戏,而不是在玩游戏。Lacework 不属于这两种情况。从构建到运行时,我们会自动持续监控您的合规性和安全性,这样您就可以跑得更快,跳得更远,不断开疆拓土。整合工具,优化您的 SIEM,保护您的容器。游戏之间互通互联。
合作伙伴聚焦:Druva
利用多层数据弹性保护您的游戏
使用 Druva Data Resiliency Cloud 确保您的数据随时随地都安全可用。针对网络事件,自动执行万无一失的响应和恢复流程,通过永久增量备份确保数据可用性,并使用物理隔离的全球可用架构保护数据。
从任何地方做您需要做的事
当您插入键盘、鼠标、平板电脑或游戏板时,Parsec 可让您在几秒内以接近零的延迟和无与伦比的输入准确性访问您的硬件。视频流看起来如丝般流畅,60FPS 4K 视频在多达 3 台显示器上呈现鲜艳的颜色。忘记您在别的地方。
达到与 Prisma Cloud 的合规性
Prisma Cloud 通过一致的监控和一键式报告简化了 Pokémon 的 PCI 合规路径。
资源
与许多应用程序相比,构建游戏面临的挑战各不相同。查找 AWS 文档和游戏特定示例、参考架构等,以帮助您在云中构建游戏。
DDoS 白皮书
AWS 安全常规白皮书
AWS 安全免费学习计划
AWS Foundations: Securing Your AWS Cloud
安全研讨会中心
AWS T&C 创建增强版安全指南
在此开启您的安全解决方案
为我们的客户提供安全可靠的体验对于我们游戏和业务的成功和发展至关重要,但弄清楚如何开始实施解决方案和最佳实践有时并非易事。我们汇总了几个关键流程步骤
以帮助您入门。
第 1 步
“一切都始于威胁模型”。
参阅威胁建模,当您读到文章中的第 9 项时,还要考虑风险与开销之间的平衡。风险分为剩余风险(被视为“业务运营风险”的一部分)和重大风险(需要采取补偿控制措施,将其转化为剩余风险)。正如文章所述,构建和划分您的策略、技术和程序控制措施,以降低风险,令您满意(纳入符合监管和立法要求的控制措施,您可能需要根据法律团队的解释得出这些控制措施),并将这些控制措施映射到有助于实现它们的服务和功能。
为帮助您构建此映射,请使用以下内容:
第 2 步
虽然您希望使用自己的代码、AWS 服务以及可能的开源代码为自己提供一些功能,但请使用您的策略和控制框架来确定您打算聘请的合作伙伴,以提供您不想管理的功能或不在 AWS 服务范围内的功能。例如,如果您的游戏要求用户在进入您的环境前进行身份验证,那么您打算支持哪些联合身份提供商?
如果您在使用 EC2,您的控制框架要求您在 SELinux 功能配置文件之外实施实例内反恶意软件工具,那么 AWS Marketplace 中有哪些工具可以满足您的要求(请记住,您可能需要自动扩缩实例组)?
第 3 步
除非您刚刚开始作为业余爱好者或在空闲时间探索 AWS,否则您需要设计合理的多账户环境来学习、开发、构建、测试和部署,同时确保不同的环境及其持有的数据彼此得到适当隔离。
参阅使用多个账户组织您的 AWS 环境,设计您的多账户结构。由于某些类型的游戏会消耗大量的非客户端资源,如果您的游戏正是这样,请思考当您的游戏变得受欢迎时,您的环境可能需要如何快速扩展。 实现方式取决于负责托管游戏的 AWS 服务的类型,但请务必注意每个账户的服务限额。 如果您的控制框架需要,则按照实现 DDoS 弹性的 AWS 最佳实践白皮书中所述,在组织范围内部署 DDoS 缓解措施。
第 4 步
现在,您可以考虑在组织策略中定义和执行标记策略(请参阅标签策略),并根据您的策略和威胁模型配置监控和事件响应框架,包括阻止可能与您的特定需求无关的结果。
有关事件响应框架的建议,请参阅此 AWS 安全事件响应指南 – GitHub 上提供了特定事件场景的示例运行手册。
如果您选择的响应策略包括可根据监控事件自动执行的活动,请参阅 AWS Security Hub 自动响应和修复实施指南,了解有助于实现这一目标的框架和自动化集。
完成上述所有操作后,构建 CI/CD 管道并将控制框架所需的安全工具(静态分析、依赖关系分析、渗透测试环境等)与之集成,之后,您可以上传黄金基线映像(如果适用)和游戏代码,然后开始构建、测试和部署您的游戏!