Elastic Beanstalk 的安全最佳实践 - AWS Elastic Beanstalk
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Elastic Beanstalk 的安全最佳实践

AWS Elastic Beanstalk 提供了您在开发和实施自己的安全策略时需要考虑的多项安全功能。以下最佳实践是一般准则,并不代表完整的安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求,因此将其视为有用的考虑因素,而不是惯例。

有关其他 Elastic Beanstalk 安全主题,请参阅 AWS Elastic Beanstalk 安全性

预防性安全最佳实践

预防性安全控制措施试图在事件发生之前进行预防。

实施最低权限访问

Elastic Beanstalk 为 实例配置文件服务角色IAM 用户提供 AWS Identity and Access Management (IAM) 托管策略。这些托管策略指定了正确运行环境和应用程序可能所需的所有权限。

您的应用程序可能不需要我们托管策略中的全部权限。您可以自定义它们,并仅授予环境的实例、Elastic Beanstalk 服务和用户执行其任务所需的权限。这与用户策略特别相关,其中不同的用户角色可能具有不同的权限需求。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。

定期更新您的平台

Elastic Beanstalk 定期发布新平台版本更新其所有平台。新的平台版本提供了操作系统、运行时、应用程序服务器和 Web 服务器更新以及 Elastic Beanstalk 组件更新。其中很多平台更新包括重要的安全修复。确保您的 Elastic Beanstalk 环境在受支持的平台版本(通常是平台的最新版本)上运行。有关详细信息,请参阅 更新 Elastic Beanstalk 环境的平台版本

保持环境平台最新的最简单方法是将环境配置为使用托管平台更新

在环境实例上强制执行 IMDSv2

您的 Elastic Beanstalk 环境中的 Amazon Elastic Compute Cloud (Amazon EC2) 实例使用实例元数据服务 (IMDS)(实例上的一个组件)来安全地访问实例元数据。IMDS 支持两种访问数据的方法:IMDSv1 和 IMDSv2。IMDSv2 使用面向会话的请求,并防范了多种类型的漏洞,这些漏洞可用于尝试访问 IMDS。有关 IMDSv2 优势的详细信息,请参阅为 EC2 实例元数据服务增加深度防御的增强功能

IMDSv2 更加安全,因此最好在您的实例上强制使用 IMDSv2。要强制使用 IMDSv2,请确保应用程序的所有组件均支持 IMDSv2,然后禁用 IMDSv1。有关更多信息,请参阅 在环境实例上配置实例元数据服务

检测性安全最佳实践

侦探性安全控件会在发生安全违规后识别它们。它们可以帮助您发现潜在安全威胁或事件。

实施监控

监控是保持 Elastic Beanstalk 解决方案的可靠性、安全性、可用性和性能的重要部分。AWS 提供了多种工具和服务来帮助您监控 AWS 服务。

以下是要监视的项目的一些示例:

启用 AWS Config

AWS Config 提供您账户中 AWS 资源配置的详细视图。您可以查看资源的关联方式、获取配置更改的历史记录并了解关系和配置如何随时间的推移而变化。

您可以使用 AWS Config 来定义规则,用于评估资源配置的数据合规性。AWS Config 规则表示 Elastic Beanstalk 资源的理想配置设置。如果某个资源违反了某规则并且被标记为不合规,则 AWS Config 可能提醒您使用 Amazon Simple Notification Service (Amazon SNS) 主题。有关详细信息,请参阅 使用 AWS Config 查找和跟踪 Elastic Beanstalk 资源