Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Elastic Beanstalk
Ces AWS Security Hub contrôles évaluent le AWS Elastic Beanstalk service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés
Exigences connexes : NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-2
Catégorie : Détecter > Services de détection > Surveillance des applications
Gravité : Faible
Type de ressource : AWS::ElasticBeanstalk::Environment
Règle AWS Config : beanstalk-enhanced-health-reporting-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les rapports de santé améliorés sont activés pour vos AWS Elastic Beanstalk environnements.
Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application.
Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier. L'agent de santé Elastic Beanstalk, inclus dans les Amazon Machine AMIs Images () compatibles, évalue les journaux et les métriques des instances d'environnement. EC2
Pour plus d'informations, consultez la section Rapports et surveillance de l'état améliorés dans le Guide du AWS Elastic Beanstalk développeur.
Correction
Pour savoir comment activer les rapports de santé améliorés, consultez la section Activation des rapports de santé améliorés à l'aide de la console Elastic Beanstalk dans le manuel du développeur.AWS Elastic Beanstalk
[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées
Exigences associées : NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5), NIST v4.0.1/6.3.3 NIST PCI DSS
Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions
Gravité : Élevée
Type de ressource : AWS::ElasticBeanstalk::Environment
Règle AWS Config : elastic-beanstalk-managed-updates-enabled
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Niveau de mise à jour de version |
Enum |
|
Aucune valeur par défaut |
Ce contrôle vérifie si les mises à jour de plateforme gérées sont activées pour un environnement Elastic Beanstalk. Le contrôle échoue si aucune mise à jour de plateforme gérée n'est activée. Par défaut, le contrôle est transmis si un type de mise à jour de plateforme est activé. Vous pouvez éventuellement fournir une valeur de paramètre personnalisée pour exiger un niveau de mise à jour spécifique.
L'activation des mises à jour de plate-forme gérées garantit que les derniers correctifs, mises à jour et fonctionnalités de plate-forme disponibles pour l'environnement sont installés. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes.
Correction
Pour activer les mises à jour de plateformes gérées, voir Pour configurer les mises à jour de plateformes gérées sous Mises à jour de plateformes gérées dans le guide du AWS Elastic Beanstalk développeur.
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
Exigences connexes : PCI DSS v4.0.1/10.4.2
Catégorie : Identifier - Journalisation
Gravité : Élevée
Type de ressource : AWS::ElasticBeanstalk::Environment
Règle AWS Config : elastic-beanstalk-logs-to-cloudwatch
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Nombre de jours pendant lesquels consigner les événements avant leur expiration |
Enum |
|
Aucune valeur par défaut |
Ce contrôle vérifie si un environnement Elastic Beanstalk est configuré pour envoyer des journaux à Logs. CloudWatch Le contrôle échoue si un environnement Elastic Beanstalk n'est pas configuré pour envoyer des journaux à Logs. CloudWatch Vous pouvez éventuellement fournir une valeur personnalisée pour le RetentionInDays paramètre si vous souhaitez que le contrôle soit transmis uniquement si les journaux sont conservés pendant le nombre de jours spécifié avant leur expiration.
CloudWatch vous aide à collecter et à surveiller diverses mesures relatives à vos applications et à vos ressources d'infrastructure. Vous pouvez également l'utiliser CloudWatch pour configurer des actions d'alarme en fonction de métriques spécifiques. Nous vous recommandons d'intégrer Elastic CloudWatch Beanstalk pour améliorer la visibilité de votre environnement Elastic Beanstalk. Les journaux Elastic Beanstalk incluent le fichier eb-activity.log, les journaux d'accès depuis l'environnement nginx ou le serveur proxy Apache, et les journaux spécifiques à un environnement.
Correction
Pour intégrer Elastic CloudWatch Beanstalk à Logs, consultez la section Streaming des logs d'instance vers Logs dans le Guide du CloudWatch développeur.AWS Elastic Beanstalk
