Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik keamanan untuk Elastic Beanstalk
AWS Elastic Beanstalk menyediakan sejumlah fitur keamanan untuk dipertimbangkan ketika Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau cukup untuk lingkungan Anda, anggap sebagai pertimbangan yang membantu, dan bukan sebagai resep.
Untuk topik keamanan Elastic Beanstalk lainnya, lihat AWS Elastic BeanstalkKeamanan .
Praktik terbaik keamanan pencegahan
Kontrol keamanan preventif berusaha mencegah insiden sebelum terjadi.
Terapkan akses hak istimewa yang paling rendah
Elastic Beanstalk menyediakan kebijakan terkelola AWS Identity and Access Management (IAM) untuk profil instans, peran layanan, dan pengguna IAM. Kebijakan terkelola ini menentukan semua izin yang mungkin diperlukan untuk pengoperasian lingkungan dan aplikasi yang benar.
Aplikasi Anda mungkin tidak memerlukan semua izin dalam kebijakan terkelola kami. Anda dapat menyesuaikan mereka dan memberikan hanya izin yang diperlukan untuk lingkungan instans Anda, layanan Elastic Beanstalk, dan pengguna Anda untuk melakukan tugas-tugas mereka. Hal ini sangat relevan untuk kebijakan pengguna, di mana peran pengguna yang berbeda mungkin memiliki kebutuhan izin yang berbeda. Menerapkan akses hak istimewa yang terkecil adalah hal mendasar dalam mengurangi risiko keamanan dan dampak yang dapat diakibatkan oleh kesalahan atau niat jahat.
Perbarui platform Anda secara teratur
Elastic Beanstalk secara teratur merilis versi platform baru untuk memperbarui semua platformnya. Versi platform baru menyediakan sistem operasi, waktu aktif, server aplikasi, dan pembaruan server web, dan pembaruan komponen Elastic Beanstalk. Banyak pembaruan platform ini mencakup perbaikan keamanan yang penting. Pastikan lingkungan Elastic Beanstalk Anda berjalan pada versi platform yang didukung (biasanya versi terbaru untuk platform Anda). Untuk rincian selengkapnya, lihat Memperbarui versi platform lingkungan Elastic Beanstalk Anda.
Cara termudah untuk menjaga platform lingkungan Anda tetap up to date adalah mengonfigurasi lingkungan untuk menggunakan pembaruan platform terkelola.
Menegakkan IMDSv2 pada instans lingkungan
Instans Amazon Elastic Compute Cloud (Amazon EC2) di lingkungan Elastic Beanstalk Anda menggunakan layanan metadata instans (IMDS), komponen instans, untuk mengakses metadata instans dengan aman. IMDS mendukung dua metode untuk mengakses data: IMDSv1 dan IMDSv2. IMDSv2 menggunakan permintaan berorientasi sesi dan mengurangi beberapa jenis kerentanan yang dapat digunakan untuk mencoba mengakses IMDS. Untuk detail tentang keunggulan IMDSv2, lihat peningkatan untuk menambahkan pertahanan secara mendalam ke Layanan Metadata Instans EC2
IMDSv2 lebih aman, jadi itu ide yang baik untuk menegakkan penggunaan IMDSv2 pada instans Anda. Untuk menegakkan IMDSv2, pastikan bahwa semua komponen aplikasi Anda mendukung IMDSv2, dan kemudian menonaktifkan IMDSv1. Untuk informasi selengkapnya, lihat Mengonfigurasi layanan metadata instans pada instans lingkungan Anda.
Praktik terbaik keamanan detective
Kontrol keamanan detective mengidentifikasi pelanggaran keamanan setelah mereka telah terjadi. Mereka dapat membantu Anda mendeteksi potensi ancaman keamanan atau insiden.
Melaksanakan pemantauan
Pemantauan adalah bagian penting dari pemeliharaan keandalan, keamanan, ketersediaan, dan kinerja solusi Elastic Beanstalk Anda. AWS menyediakan beberapa alat dan layanan untuk membantu Anda memantau layanan AWS Anda.
Berikut adalah beberapa instans item yang perlu dipantau:
-
AmazonCloudWatchmetrik untuk Elastic Beanstalk— Atur alarm untuk metrik Elastic Beanstalk dan metrik khusus aplikasi Anda. Untuk rincian selengkapnya, lihat Menggunakan Elastic Beanstalk dengan AmazonCloudWatch.
-
Entri AWS CloudTrail – Melacak tindakan yang mungkin berdampak pada ketersediaan, seperti
UpdateEnvironmentatauTerminateEnvironment. Untuk rincian selengkapnya, lihat Pencatatan panggilan API Elastic Beanstalk dengan AWS CloudTrail.
Aktifkan AWS Config
AWS Config menyediakan tampilan rinci dari konfigurasi sumber daya AWS di akun Anda. Anda dapat melihat bagaimana sumber daya terkait, mendapatkan riwayat perubahan konfigurasi, dan melihat bagaimana hubungan dan konfigurasi berubah seiring waktu.
Anda dapat menggunakan AWS Config untuk menentukan aturan yang mengevaluasi konfigurasi sumber daya untuk kepatuhan data. Aturan AWS Config mewakili pengaturan konfigurasi yang ideal untuk sumber Elastic Beanstalk Anda. Jika sumber daya melanggar aturan dan ditandai sebagai tidak patuh, AWS Config dapat mengingatkan Anda menggunakan topik Amazon Simple Notification Service (Amazon SNS). Untuk rincian selengkapnya, lihat Menemukan dan melacak sumber daya Elastic Beanstalk dengan AWS Config.
