Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Elastic Beanstalk
Estos AWS Security Hub controles evalúan el AWS Elastic Beanstalk servicio y los recursos.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados
Requisitos relacionados: NIST.800-53.r5 CA-7 .800-53.r5 SI-2 NIST
Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones
Gravedad: baja
Tipo de recurso: AWS::ElasticBeanstalk::Environment
Regla de AWS Config : beanstalk-enhanced-health-reporting-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si los informes de estado mejorados están habilitados para sus entornos AWS Elastic Beanstalk .
Los informes de estado mejorados de Elastic Beanstalk permiten una respuesta más rápida a los cambios en el estado de la infraestructura subyacente. Estos cambios podrían provocar una falta de disponibilidad de la aplicación.
Los informes de estado mejorados de Elastic Beanstalk proporcionan un descriptor de estado para evaluar la gravedad de los problemas detectados e identificar las posibles causas que se deben investigar. El agente de estado de Elastic Beanstalk, incluido en Amazon Machine AMIs Images () compatible, evalúa los registros y las métricas de las instancias del entorno. EC2
Para obtener información adicional, consulte la Supervisión y los informes de estado mejorados en la Guía para desarrolladores de AWS Elastic Beanstalk .
Corrección
Para obtener instrucciones sobre cómo habilitar los informes de estado mejorados, consulte Habilitar los informes de estado mejorados mediante la consola de Elastic Beanstalk en la Guía para desarrolladores de AWS Elastic Beanstalk .
[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas
Requisitos relacionados: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5), v4.0.1/6.3.3 NIST NIST PCI DSS
Categoría: Identificar > Administración de vulnerabilidades, parches y versiones
Gravedad: alta
Tipo de recurso: AWS::ElasticBeanstalk::Environment
Regla de AWS Config : elastic-beanstalk-managed-updates-enabled
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Nivel de actualización de la versión |
Enum |
|
Sin valor predeterminado |
Este control comprueba si las actualizaciones de la plataforma administradas están habilitadas para un entorno de Elastic Beanstalk. Se produce un error en el control si no están habilitadas las actualizaciones de la plataforma administradas. De manera predeterminada, el control pasa si algún tipo de actualización de la plataforma está habilitado. De manera opcional, puede proporcionar un valor personalizado de parámetro para requerir un nivel de actualización específico.
Al habilitar las actualizaciones de plataforma administradas, se garantiza que se instalen las últimas correcciones, actualizaciones y funciones de la plataforma disponibles para el entorno. Mantenerse al día con la instalación de los parches es un paso importante para proteger los sistemas.
Corrección
Para habilitar las actualizaciones de la plataforma administradas, consulte Configuración de las actualizaciones de la plataforma administradas en la sección Actualizaciones de la plataforma administradas de la Guía para desarrolladores de AWS Elastic Beanstalk .
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
Requisitos relacionados: v4.0.1/10.4.2 PCI DSS
Categoría: Identificar - Registro
Gravedad: alta
Tipo de recurso: AWS::ElasticBeanstalk::Environment
Regla de AWS Config : elastic-beanstalk-logs-to-cloudwatch
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Cantidad de días que se van a conservar los eventos de registro antes de que expiren |
Enum |
|
Sin valor predeterminado |
Este control comprueba si un entorno de Elastic Beanstalk está configurado para enviar registros a Logs. CloudWatch El control falla si el entorno de Elastic Beanstalk no está configurado para enviar registros a Logs. CloudWatch De manera opcional, puede proporcionar un valor personalizado para el parámetro RetentionInDays si quiere que el control pase únicamente si los registros se retienen durante la cantidad de días especificada antes de que expiren.
CloudWatch le ayuda a recopilar y monitorear diversas métricas para sus aplicaciones y recursos de infraestructura. También se puede utilizar CloudWatch para configurar acciones de alarma en función de métricas específicas. Recomendamos integrar Elastic CloudWatch Beanstalk con para obtener una mayor visibilidad del entorno de Elastic Beanstalk. Los registros de Elastic Beanstalk incluyen el archivo eb-activity.log, los registros de acceso del entorno nginx o el servidor proxy Apache y los registros específicos de un entorno.
Corrección
Para integrar Elastic CloudWatch Beanstalk con Logs, consulte Transmitir registros de instancias a Logs en la Guía para CloudWatch desarrolladores.AWS Elastic Beanstalk
