Elastic Beanstalk 的安全最佳實務 - AWS Elastic Beanstalk

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Elastic Beanstalk 的安全最佳實務

在您開發與實作自己的安全政策時,可考慮使用 AWS Elastic Beanstalk 提供的多種安全功能。以下最佳實務為一般準則,並不代表完整的安全解決方案。因為這些最佳實務可能不適合或無法滿足您的環境,所以請將它們視為實用建議,不要當成指示。

如需其他 Elastic Beanstalk 安全性主題,請參閱AWS Elastic Beanstalk 安全

預防性安全最佳實務

預防性安全控制會嘗試在事件發生前防止事件發生。

實作最低權限存取

Elastic Beanstalk 為執行個體描述檔服務角色IAM 使用者提供 AWS Identity and Access Management (IAM) 受管政策。這些受管政策會指定讓環境和應用程式正確操作可能需要的所有許可。

您的應用程式可能不需要受管政策中的所有許可。您可以自訂它們,並只授予您環境執行個體、Elastic Beanstalk 服務和使用者執行任務所需的許可。這特別關係到不同使用者角色可能有不同許可需求的使用者政策。對降低錯誤或惡意意圖所引起的安全風險和影響而言,實作最低權限存取是相當重要的一環。

定期更新您的平台

Elastic Beanstalk 會定期發佈新的平台版本,以更新其所有平台。新的平台版本會提供作業系統、執行時間、應用程式伺服器和 Web 伺服器更新,以及 Elastic Beanstalk 元件的更新。其中許多平台更新包含重要的安全性修正。請確認您的 Elastic Beanstalk 環境在支援的平台版本上執行 (通常是您平台的最新版本)。如需詳細資訊,請參閱「更新您 Elastic Beanstalk 環境的平台版本」。

將環境平台保持在最新狀態的最簡單方法,是將環境設定為使用受管平台更新

在環境執行個體上強制執行 IMDSv2

Elastic Beanstalk 環境中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體使用執行個體中繼資料服務 (IMDS),這是一種執行個體上的元件,可安全地存取執行個體中繼資料。IMDS 支援兩種存取資料的方法:IMDSv1 和 IMDSv2。IMDSv2 會使用工作階段導向的請求,並減緩可能用來嘗試存取 IMDS 的幾種漏洞類型。如需 IMDSv2 優勢的詳細資訊,請參閱提高 EC2 執行個體中繼資料服務防禦深度的增強功能

IMDSv2 更安全,因此,最好在您的執行個體上強制使用 IMDSv2。若要強制執行 IMDSv2,請確定應用程式的所有元件皆支援 IMDSv2,然後停用 IMDSv1。如需更多詳細資訊,請參閱 在 Elastic Beanstalk 環境的執行個體IMDS上設定

偵測性安全最佳實務

偵測性安全控制會在安全違規發生後識別出它們。它們可協助您偵測潛在的安全威脅或事件。

實作監控

監控是維持 Elastic Beanstalk 解決方案之可靠性、安全性、可用性和效能的重要環節。AWS 會提供數種工具和服務,幫助您監控 AWS 服務。

以下是一些要監控的項目範例:

啟用 AWS Config

AWS Config 提供在您的帳戶中 AWS 資源組態的詳細檢視。您可以了解資源如相關聯,可以取得組態變更歷程記錄,並且了解關係和組態隨時間產生的變化。

您可以使用 AWS Config 來定義評估資料合規性的資源組態規則。AWS Config 規則代表您 Elastic Beanstalk 資源的理想組態設定。如果資源違反規則並標示為不合規,AWS Config 可以使用 Amazon Simple Notification Service (Amazon SNS) 主題來提醒您。如需詳細資訊,請參閱「使用 AWS Config 尋找和追蹤 Elastic Beanstalk 資源」。