Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli del Security Hub per Elastic Beanstalk
Questi AWS Security Hub controlli valutano il AWS Elastic Beanstalk servizio e le risorse.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata
Requisiti correlati:, .800-53.r5 SI-2 NIST.800-53.r5 CA-7 NIST
Categoria: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni
Gravità: bassa
Tipo di risorsa: AWS::ElasticBeanstalk::Environment
Regola AWS Config : beanstalk-enhanced-health-reporting-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i report avanzati sullo stato di salute sono abilitati per gli AWS Elastic Beanstalk ambienti in uso.
La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione.
Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. L'agente sanitario Elastic Beanstalk, incluso nelle Amazon Machine AMIs Images () supportate, valuta i log e i parametri delle istanze di ambiente. EC2
Per ulteriori informazioni, consulta Reporting and health monitoring avanzati nella Developer Guide.AWS Elastic Beanstalk
Correzione
Per istruzioni su come abilitare la reportistica sanitaria avanzata, consulta Enhanced Health Reporting using the Elastic Beanstalk console nella Developer Guide.AWS Elastic Beanstalk
[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati
Requisiti correlati: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5), v4.0.1/6.3.3 NIST NIST PCI DSS
Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni
Gravità: alta
Tipo di risorsa: AWS::ElasticBeanstalk::Environment
Regola AWS Config : elastic-beanstalk-managed-updates-enabled
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Livello di aggiornamento della versione |
Enum |
|
Nessun valore predefinito |
Questo controllo verifica se gli aggiornamenti della piattaforma gestita sono abilitati per un ambiente Elastic Beanstalk. Il controllo fallisce se non sono abilitati gli aggiornamenti gestiti della piattaforma. Per impostazione predefinita, il controllo passa se è abilitato qualsiasi tipo di aggiornamento della piattaforma. Facoltativamente, è possibile fornire un valore di parametro personalizzato per richiedere un livello di aggiornamento specifico.
L'abilitazione degli aggiornamenti gestiti della piattaforma garantisce l'installazione delle correzioni, degli aggiornamenti e delle funzionalità più recenti disponibili per l'ambiente. Mantenersi aggiornati sull'installazione delle patch è un passaggio importante per proteggere i sistemi.
Correzione
Per abilitare gli aggiornamenti gestiti della piattaforma, consulta Configurare gli aggiornamenti gestiti della piattaforma in Aggiornamenti gestiti della piattaforma nella Guida per gli AWS Elastic Beanstalk sviluppatori.
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
Requisiti PCI DSS correlati: v4.0.1/10.4.2
Categoria: Identificazione > Registrazione
Gravità: alta
Tipo di risorsa: AWS::ElasticBeanstalk::Environment
Regola AWS Config : elastic-beanstalk-logs-to-cloudwatch
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Numero di giorni in cui conservare gli eventi di registro prima della scadenza |
Enum |
|
Nessun valore predefinito |
Questo controllo verifica se un ambiente Elastic Beanstalk è configurato per inviare log a Logs. CloudWatch Il controllo fallisce se un ambiente Elastic Beanstalk non è configurato per inviare log a Logs. CloudWatch Facoltativamente, puoi fornire un valore personalizzato per il RetentionInDays parametro se desideri che il controllo passi solo se i log vengono conservati per il numero di giorni specificato prima della scadenza.
CloudWatch consente di raccogliere e monitorare varie metriche per le applicazioni e le risorse dell'infrastruttura. È inoltre possibile utilizzarlo CloudWatch per configurare le azioni di allarme in base a metriche specifiche. Ti consigliamo di integrare Elastic Beanstalk con per ottenere una maggiore visibilità nel tuo ambiente Elastic CloudWatch Beanstalk. I log di Elastic Beanstalk includono eb-activity.log, i log di accesso dall'ambiente nginx o dal server proxy Apache e i log specifici di un ambiente.
Correzione
Per integrare Elastic CloudWatch Beanstalk con Logs, consulta Streaming dei log delle istanze CloudWatch su Logs nella Developer Guide.AWS Elastic Beanstalk
