翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Elastic Beanstalk の Security Hub コントロール
これらの AWS Security Hub コントロールは、 AWS Elastic Beanstalk サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります
関連する要件: NIST.800-53.r5 CA-7,NIST.800-53.r5 SI-2
カテゴリ: 検出 > 検出サービス > アプリケーションモニタリング
重要度: 低
リソースタイプ : AWS::ElasticBeanstalk::Environment
AWS Config ルール : beanstalk-enhanced-health-reporting-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、 AWS Elastic Beanstalk 環境で拡張ヘルスレポートが有効になっているかどうかをチェックします。
Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。
Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。サポートされている Amazon マシンイメージ (AMIs) に含まれている Elastic Beanstalk ヘルスエージェントは、環境EC2インスタンスのログとメトリクスを評価します。
詳細については、「AWS Elastic Beanstalk 開発者ガイド」の「拡張ヘルスレポートおよびモニタリング」を参照してください。
修正
拡張ヘルスレポートを有効にする手順については、「AWS Elastic Beanstalk 開発者ガイド」の「Elastic Beanstalk コンソールを使用した拡張ヘルスレポートの有効化」を参照してください。
〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります
関連する要件: NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCIDSSv4.0.1/6.3.3
カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理
重要度: 高
リソースタイプ : AWS::ElasticBeanstalk::Environment
AWS Config ルール : elastic-beanstalk-managed-updates-enabled
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
|
|
バージョン更新レベル |
列挙型 |
|
デフォルト値なし |
このコントロールは、Elastic Beanstalk 環境でマネージドプラットフォームの更新が有効になっているかどうかをチェックします。マネージドプラットフォームの更新が有効になっていない場合、コントロールは失敗します。デフォルトでは、何らかのプラットフォーム更新が有効になっていればコントロールは成功します。必要に応じて、特定の更新レベルを要求するカスタムパラメータ値を指定できます。
マネージドプラットフォームの更新を有効にすると、環境で使用可能な最新のプラットフォームの修正、更新、および機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。
修正
マネージドプラットフォームの更新を有効にするには、「AWS Elastic Beanstalk 開発者ガイド」の「マネージドプラットフォームの更新でマネージドプラットフォームの更新を設定するには」を参照してください。
〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch
関連する要件: PCI DSS v4.0.1/10.4.2
カテゴリ: 識別 > ログ記録
重要度: 高
リソースタイプ : AWS::ElasticBeanstalk::Environment
AWS Config ルール : elastic-beanstalk-logs-to-cloudwatch
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
|
|
有効期限が切れるまでログイベントを保持する日数 |
列挙型 |
|
デフォルト値なし |
このコントロールは、Elastic Beanstalk 環境が CloudWatch ログにログを送信するように設定されているかどうかを確認します。Elastic Beanstalk 環境が CloudWatch Logs にログを送信するように設定されていない場合、コントロールは失敗します。有効期限が切れる前の指定された日数だけログが保持される場合にのみコントロールを成功させたい場合は、必要に応じて RetentionInDays パラメータにカスタム値を指定できます。
CloudWatch は、アプリケーションとインフラストラクチャリソースのさまざまなメトリクスの収集とモニタリングに役立ちます。 CloudWatch を使用して、特定のメトリクスに基づいてアラームアクションを設定することもできます。Elastic Beanstalk 環境の可視性を高めるため CloudWatch に、Elastic Beanstalk を と統合することをお勧めします。Elastic Beanstalk のログには、eb-activity.log、その環境の nginx または Apache プロキシサーバーからのアクセスログ、および環境に固有のログが含まれます。
修正
Elastic Beanstalk を CloudWatch ログと統合するには、「 AWS Elastic Beanstalk デベロッパーガイド」の「インスタンスログを CloudWatch ログにストリーミングする」を参照してください。
