Best practice relative alla sicurezza preventiva Best practice relative alla sicurezza di rilevamento

Best practice relative alla sicurezza di Elastic Beanstalk

AWS Elastic Beanstalk fornisce una serie di caratteristiche di sicurezza che occorre valutare durante lo sviluppo e l'implementazione delle policy di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per il tuo ambiente, gestiscile come considerazioni utili anziché prescrizioni.

Per altri argomenti sulla sicurezza di Elastic Beanstalk, consulta Sicurezza di AWS Elastic Beanstalk.

Best practice relative alla sicurezza preventiva

I controlli di sicurezza preventivi tentano di prevenire gli incidenti prima che si verifichino.

Implementazione dell'accesso con privilegi minimi

Elastic Beanstalk fornisce policy gestite (IAM) AWS Identity and Access Management per profili di istanza,ruoli di servizio e utenti IAM. Queste policy gestite specificano tutte le autorizzazioni che potrebbero essere necessarie per il corretto funzionamento dell'ambiente e dell'applicazione.

La tua applicazione potrebbe non richiedere tutte le autorizzazioni nelle nostre policy gestite. Puoi personalizzarle e concedere solo le autorizzazioni necessarie per le istanze del tuo ambiente, il servizio Elastic Beanstalk e gli utenti per eseguire le loro attività. Ciò è particolarmente rilevante per le policy utente, dove ruoli utente diversi potrebbero avere esigenze di autorizzazione diverse. L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi di sicurezza e l'impatto risultante da errori o intenzioni dannose.

Aggiorna regolarmente le tue piattaforme

Elastic Beanstalk rilascia regolarmente nuove versioni della piattaforma per aggiornare tutte le sue piattaforme. Le nuove versioni della piattaforma forniscono aggiornamenti del sistema operativo, del runtime, del server applicazioni e del server Web e aggiornamenti ai componenti Elastic Beanstalk. Molti di questi aggiornamenti della piattaforma includono importanti correzioni di sicurezza. Assicurati che gli ambienti Elastic Beanstalk siano in esecuzione su una versione della piattaforma supportata (in genere la versione più recente per la tua piattaforma). Per informazioni dettagliate, consulta Aggiornamento della versione della piattaforma dell'ambiente Elastic Beanstalk.

Il modo più semplice per mantenere aggiornata la piattaforma del tuo ambiente è configurare l'ambiente in modo che utilizzi gli aggiornamenti gestiti della piattaforma.

Applicare IMDSv2 sulle istanze di ambiente

Le istanze Amazon Elastic Compute Cloud (Amazon EC2) negli ambienti Elastic Beanstalk utilizzano il servizio di metadati dell'istanza (IMDS), un componente su istanza, per accedere in modo sicuro ai metadati dell'istanza. IMDS supporta due metodi di accesso ai dati: IMDSv1 e IMDSv2. IMDSv2 utilizza le richieste orientate alla sessione e attenua diversi tipi di vulnerabilità che potrebbero essere utilizzate per tentare di accedere a IMDS. Per ulteriori informazioni sui vantaggi di IMDSv2, consulta i miglioramenti per aggiungere protezione in profondità al servizio metadati dell'istanza EC2.

IMDSv2 è più sicuro, quindi è consigliabile applicare l'uso di IMDSv2 sulle istanze. Per applicare IMDSv2, assicurati che tutti i componenti dell'applicazione supportino IMDSv2 e quindi disabilita IMDSv1. Per ulteriori informazioni, consulta Configurazione del servizio di metadati dell'istanza nelle istanze dell'ambiente.

Best practice relative alla sicurezza di rilevamento

I controlli di sicurezza di rilevamento identificano le violazioni della sicurezza dopo che si sono verificate. Possono aiutarti a rilevare potenziali minacce o incidenti alla sicurezza.

Implementazione del monitoraggio

Il monitoraggio è importante per mantenere l'affidabilità, la sicurezza, la disponibilità e le prestazioni delle soluzioni Elastic Beanstalk. AWS offre vari strumenti e servizi che consentono di monitorare i servizi AWS.

Di seguito sono elencati alcuni esempi di elementi da monitorare:

Parametri di Amazon CloudWatch per Elastic Beanstalk: imposta gli allarmi per i parametri chiave Elastic Beanstalk e per i parametri personalizzati della tua applicazione. Per informazioni dettagliate, consulta Utilizzo di Elastic Beanstalk con Amazon CloudWatch.
voci AWS CloudTrail Monitora le operazioni che potrebbero influire sulla disponibilità, ad esempio UpdateEnvironment o TerminateEnvironment. Per informazioni dettagliate, consulta Registrazione delle chiamate all'API Elastic Beanstalk con AWS CloudTrail.

Abilitazione di AWS Config

AWS Config fornisce una panoramica dettagliata della configurazione delle risorse AWS nel tuo account. Puoi vedere in che modo le risorse sono correlate, ottenere una cronologia delle modifiche alla configurazione ed esaminare come cambiano le relazioni e le configurazioni nel tempo.

Puoi utilizzare AWS Config per definire regole che valutano le configurazioni delle risorse per la conformità dei dati. Le regole AWS Config rappresentano le impostazioni di configurazione ideali per le risorse Elastic Beanstalk. Se una risorsa viola una regola e viene contrassegnata come non conforme, AWS Config può avvisare l'utente utilizzando un argomento Amazon Simple Notification Service (Amazon SNS). Per informazioni dettagliate, consulta Ricerca e monitoraggio delle risorse Elastic Beanstalk con AWS Config.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Modello di responsabilità condivisa

Risoluzione dei problemi