Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Sicherheitsmethoden für Elastic Beanstalk
AWS Elastic Beanstalk bietet mehrere Sicherheitsfunktionen, die Sie beim Entwickeln und Implementieren Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
Andere Elastic Beanstalk-Sicherheitsthemen finden Sie unter AWS Elastic Beanstalk Sicherheit.
Bewährte Methoden für vorbeugende Sicherheitsmaßnahmen
Vorbeugende Sicherheitskontrollen versuchen, Vorfälle zu verhindern, bevor sie auftreten.
Implementieren der geringstmöglichen Zugriffsrechte
Elastic Beanstalk bietet von AWS Identity and Access Management (IAM) verwaltete Richtlinien für Instance-Profile, Servicerollen und IAM-Benutzer. Diese verwalteten Richtlinien geben alle Berechtigungen an, die möglicherweise für den korrekten Betrieb Ihrer Umgebung und Anwendung erforderlich sind.
Ihre Anwendung benötigt möglicherweise nicht alle Berechtigungen in unseren verwalteten Richtlinien. Sie können sie anpassen und nur die Berechtigungen erteilen, die für die Instances Ihrer Umgebung, den Elastic Beanstalk-Service und Ihre Benutzer zum Ausführen ihrer Aufgaben erforderlich sind. Dies ist besonders relevant für Benutzerrichtlinien, in denen unterschiedliche Benutzerrollen möglicherweise unterschiedliche Berechtigungsanforderungen haben. Die Implementierung der geringstmöglichen Zugriffsrechte ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten.
Aktualisieren Sie Ihre Plattformen regelmäßig
Elastic Beanstalk veröffentlicht regelmäßig neue Plattformversionen, um alle Plattformen zu aktualisieren. Neue Plattformversionen bieten Betriebssystem-, Laufzeit-, Anwendungsserver- und Webserver-Updates sowie Updates für Elastic Beanstalk-Komponenten. Viele dieser Plattformaktualisierungen enthalten wichtige Sicherheitskorrekturen. Stellen Sie sicher, dass Ihre Elastic Beanstalk-Umgebungen auf einer unterstützten Plattformversion ausgeführt werden (in der Regel die neueste Version für Ihre Plattform). Details dazu finden Sie unter Aktualisieren der Plattformversion für die Elastic Beanstalk-Umgebung.
Die einfachste Möglichkeit, die Plattform Ihrer Umgebung auf dem neuesten Stand zu halten, besteht darin, die Umgebung so zu konfigurieren, dass verwaltete Plattformaktualisierungen verwendet werden.
Erzwingen von IMDSv2 auf Umgebungs-Instances
Amazon Elastic Compute Cloud (Amazon EC2)-Instances in Ihren Elastic Beanstalk-Umgebungen verwenden den Instance Metadata Service (IMDS), eine Instances-Komponente, um sicher auf Instances-Metadaten zuzugreifen. IMDS unterstützt zwei Methoden für den Datenzugriff: IMDSv1 und IMDSv2. IMDSv2 verwendet sitzungsorientierte Anfragen und mildert verschiedene Arten von Sicherheitsschwachstellen, über die versucht werden kann, auf das IMDS zuzugreifen. Ausführliche Informationen zu den Vorteilen von IMDSv2 finden Sie unter Verbesserungen, um den EC2-Instance-Metadatendienst umfassend zu verteidigen
IMDSv2 ist sicherer, daher empfiehlt es sich, die Verwendung von IMDSv2 auf Ihren Instances zu erzwingen. Um IMDSv2 zu erzwingen, stellen Sie sicher, dass alle Komponenten Ihrer Anwendung IMDSv2 unterstützen, und deaktivieren Sie dann IMDSv1. Weitere Informationen finden Sie unter Konfiguration der Instances IMDS in Ihrer Elastic Beanstalk Beanstalk-Umgebung.
Bewährte Methoden für aufdeckende Sicherheitsmaßnahmen
Aufdeckende Sicherheitskontrollen identifizieren Sicherheitsverstöße, nachdem sie aufgetreten sind. Sie können Ihnen dabei helfen, potenzielle Sicherheitsbedrohungen oder -vorfälle zu erkennen.
Implementieren der Überwachung
Die Überwachung ist wichtig, um Zuverlässigkeit, Sicherheit, Verfügbarkeit und Leistung Ihrer Elastic Beanstalk-Lösungen aufrechtzuerhalten. AWS bietet mehrere Tools und Services, mit deren Hilfe Sie Ihre AWS-Services überwachen können.
Es folgen einige Beispiele für zu überwachende Elemente:
-
Amazon CloudWatch-Metriken für Elastic Beanstalk – Legen Sie Alarme für wichtige Elastic Beanstalk-Metriken und für die benutzerdefinierten Metriken Ihrer Anwendung fest. Details dazu finden Sie unter Verwenden von Elastic Beanstalk mit Amazon CloudWatch.
-
AWS CloudTrail-Einträge: Verfolgen Sie Aktionen, die sich auf die Verfügbarkeit auswirken können, wie z. B.
UpdateEnvironment
oderTerminateEnvironment
. Details dazu finden Sie unter Protokollieren von Elastic Beanstalk-API-Aufrufen mit AWS CloudTrail.
Aktivieren von AWS Config
AWS Config bietet eine detaillierte Ansicht der Konfiguration der AWS-Ressourcen in Ihrem Konto. Sie können Ressourcenbeziehungen betrachten, einen Verlauf der Konfigurationsänderungen anzeigen und feststellen, wie sich Beziehungen und Konfigurationen im Lauf der Zeit ändern.
Sie können AWS Config verwenden, um Regeln zu definieren, die Ressourcenkonfigurationen auf Datenkonformität auswerten. AWS Config-Regeln stellen die idealen Konfigurationseinstellungen für Ihre Elastic Beanstalk-Ressourcen dar. Wenn eine Ressource gegen eine Regel verstößt und als nicht konform gekennzeichnet ist, kann AWS Config Sie mit einem Amazon Simple Notification Service (Amazon SNS)-Thema benachrichtigen. Details dazu finden Sie unter Suchen und Verfolgen von Elastic Beanstalk-Ressourcen mit AWS Config.