Melhores práticas de segurança para Elastic Beanstalk

O AWS Elastic Beanstalk fornece vários recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes no seu ambiente, trate-as como considerações úteis, não como requisitos.

Para outros tópicos de segurança do Elastic Beanstalk, consulte AWS Elastic Beanstalk segurança.

Práticas recomendadas de segurança preventiva

Os controles de segurança preventiva tentam evitar incidentes antes que ocorram.

Implemente o privilégio de acesso mínimo

O Elastic Beanstalk fornece políticas gerenciadas do AWS Identity and Access Management (IAM) para perfis de instância, funções de serviço e usuários do IAM. Essas políticas gerenciadas especificam todas as permissões que podem ser necessárias para a operação correta do ambiente e do aplicativo.

O aplicativo pode não exigir todas as permissões em nossas políticas gerenciadas. É possível personalizá-los e conceder apenas as permissões necessárias para que as instâncias do ambiente, o serviço do Elastic Beanstalk e os usuários executem suas tarefas. Isso é especialmente relevante para políticas de usuário, em que diferentes funções de usuário podem ter diferentes necessidades de permissão. A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.

Atualizar as plataformas regularmente

O Elastic Beanstalk lança regularmente novas versões de plataforma para atualizar todas as suas plataformas. As novas versões de plataforma fornecem atualizações de sistema operacional, tempo de execução, servidor de aplicações, servidor Web e atualizações de componentes do Elastic Beanstalk. Muitas dessas atualizações de plataforma incluem correções de segurança importantes. Certifique-se de que os ambientes do Elastic Beanstalk estejam em execução em uma versão compatível da plataforma (normalmente a versão mais recente da plataforma). Para obter mais detalhes, consulte Atualizar a versão de plataforma do ambiente Elastic Beanstalk.

A maneira mais fácil de manter a plataforma do ambiente atualizada é configurar o ambiente para usar atualizações gerenciadas de plataforma.

Aplicar o IMDSv2 em instâncias de ambiente

As instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em seus ambientes do Elastic Beanstalk usam o serviço de metadados da instância (IMDS), um componente na instância, para acessar com segurança os metadados da instância. O IMDS oferece suporte a dois métodos para acessar dados: IMDSv1 e IMDSv2. O IMDSv2 usa solicitações orientadas para sessão e mitiga vários tipos de vulnerabilidades que podem ser usadas para tentar acessar o IMDS. Para obter detalhes sobre as vantagens do IMDSv2, consulte melhorias na adição de defesa profunda ao serviço de metadados da instância do EC2.

O IMDSv2 é mais seguro, por isso é uma boa ideia aplicar o uso do IMDSv2 em suas instâncias. Para aplicar o IMDSv2, verifique se todos os componentes do aplicativo oferecem suporte ao IMDSv2 e desabilite o IMDSv1. Para obter mais informações, consulte Configurar o serviço de metadados da instância nas instâncias do ambiente.

Práticas recomendadas de segurança de detecção

Os controles de segurança de detecção identificam violações de segurança depois de ocorrerem. Eles podem ajudar a detectar uma possível ameaça ou incidente de segurança.

Implementar o monitoramento

O monitoramento é uma parte importante para manter a confiabilidade, a segurança, a disponibilidade e a performance das soluções do Elastic Beanstalk. A AWS fornece várias ferramentas e serviços para ajudar a monitorar os serviços da AWS.

Veja a seguir alguns exemplos de itens a serem monitorados:

Métricas do Amazon CloudWatch para Elastic Beanstalk: defina alarmes para as principais métricas do Elastic Beanstalk e para as métricas personalizadas da sua aplicação. Para obter mais detalhes, consulte Usar o Elastic Beanstalk com o Amazon CloudWatch.
Entradas do AWS CloudTrail - Acompanhe as ações que podem afetar a disponibilidade, como UpdateEnvironment ou TerminateEnvironment. Para obter mais detalhes, consulte Registro em log de chamadas da API do Elastic Beanstalk com AWS CloudTrail.

Habilitar o AWS Config

O AWS Config fornece uma visão detalhada da configuração dos recursos da AWS na conta. Você pode ver como os recursos estão relacionados, obter um histórico de alterações de configuração e ver como os relacionamentos e as configurações foram alterados ao longo do tempo.

É possível usar o AWS Config para definir regras que avaliam configurações de recursos para compatibilidade de dados. As regras do AWS Config representam as definições de configuração ideais para os recursos do Elastic Beanstalk. Se um recurso violar uma regra e for sinalizado como não compatível, o AWS Config poderá alertá-lo usando um tópico do Amazon Simple Notification Service (Amazon SNS). Para obter mais detalhes, consulte Localizar e acompanhar recursos do Elastic Beanstalk com o AWS Config.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Modelo de responsabilidade compartilhada

Solução de problemas