Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Elastic Beanstalk
Ces AWS Security Hub les contrôles évaluent le AWS Elastic Beanstalk service et ressources.
Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.
[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés
Exigences connexes : NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-2
Catégorie : Détecter > Services de détection > Surveillance des applications
Gravité : Faible
Type de ressource : AWS::ElasticBeanstalk::Environment
AWS Config règle : beanstalk-enhanced-health-reporting-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les rapports de santé améliorés sont activés pour votre AWS Elastic Beanstalk environnements.
Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application.
Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier. L'agent de santé Elastic Beanstalk, inclus dans les Amazon Machine AMIs Images () compatibles, évalue les journaux et les métriques des instances d'environnement. EC2
Pour plus d'informations, consultez la section Rapports et surveillance de l'état de santé améliorés dans le AWS Elastic Beanstalk Guide du développeur.
Correction
Pour savoir comment activer les rapports de santé améliorés, voir Activer les rapports de santé améliorés à l'aide de la console Elastic Beanstalk dans le AWS Elastic Beanstalk Guide du développeur.
[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées
Exigences connexes : NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST
Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions
Gravité : Élevée
Type de ressource : AWS::ElasticBeanstalk::Environment
AWS Config règle : elastic-beanstalk-managed-updates-enabled
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
|
Niveau de mise à jour de version |
Enum |
|
Aucune valeur par défaut |
Ce contrôle vérifie si les mises à jour de plateforme gérées sont activées pour un environnement Elastic Beanstalk. Le contrôle échoue si aucune mise à jour de plateforme gérée n'est activée. Par défaut, le contrôle est transmis si un type de mise à jour de plateforme est activé. Vous pouvez éventuellement fournir une valeur de paramètre personnalisée pour exiger un niveau de mise à jour spécifique.
L'activation des mises à jour de plate-forme gérées garantit que les derniers correctifs, mises à jour et fonctionnalités de plate-forme disponibles pour l'environnement sont installés. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes.
Correction
Pour activer les mises à jour de plateformes gérées, voir Pour configurer les mises à jour de plateformes gérées sous Mises à jour de plate-forme gérées dans le AWS Elastic Beanstalk Guide du développeur.
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
Catégorie : Identifier - Journalisation
Gravité : Élevée
Type de ressource : AWS::ElasticBeanstalk::Environment
AWS Config règle : elastic-beanstalk-logs-to-cloudwatch
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
|
Nombre de jours pendant lesquels consigner les événements avant leur expiration |
Enum |
|
Aucune valeur par défaut |
Ce contrôle vérifie si un environnement Elastic Beanstalk est configuré pour envoyer des journaux à Logs. CloudWatch Le contrôle échoue si un environnement Elastic Beanstalk n'est pas configuré pour envoyer des journaux à Logs. CloudWatch Vous pouvez éventuellement fournir une valeur personnalisée pour le RetentionInDays
paramètre si vous souhaitez que le contrôle soit transmis uniquement si les journaux sont conservés pendant le nombre de jours spécifié avant leur expiration.
CloudWatch vous aide à collecter et à surveiller diverses mesures relatives à vos applications et à vos ressources d'infrastructure. Vous pouvez également l'utiliser CloudWatch pour configurer des actions d'alarme en fonction de métriques spécifiques. Nous vous recommandons d'intégrer Elastic CloudWatch Beanstalk pour améliorer la visibilité de votre environnement Elastic Beanstalk. Les journaux Elastic Beanstalk incluent le fichier eb-activity.log, les journaux d'accès depuis l'environnement nginx ou le serveur proxy Apache, et les journaux spécifiques à un environnement.
Correction
Pour intégrer Elastic CloudWatch Beanstalk à Logs, consultez Streaming les logs d'instance vers Logs dans le CloudWatch AWS Elastic Beanstalk Guide du développeur.