Prácticas recomendadas de seguridad para Elastic Beanstalk

AWS Elastic Beanstalkproporciona varias características de seguridad para tener en cuenta a medida que desarrolla e implementa las propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles, no como normas.

Para obtener otros temas de seguridad de Elastic Beanstalk, consulte AWS Elastic BeanstalkSeguridad.

Prácticas recomendadas de seguridad preventiva

Los controles de seguridad preventivos intentan evitar incidentes antes de que ocurran.

Implementación del acceso a los privilegios mínimos

Elastic Beanstalk proporciona políticas administradasAWS Identity and Access Management (IAM) para perfiles de instancia, funciones del servicio y usuarios de IAM. Estas políticas administradas especifican todos los permisos que pueden ser necesarios para el correcto funcionamiento de su entorno y aplicación.

Es posible que su aplicación no requiera todos los permisos de nuestras políticas administradas. Puede personalizarlos y conceder solo los permisos necesarios para las instancias de su entorno, el servicio de Elastic Beanstalk y sus usuarios para realizar sus tareas. Esto es especialmente importante para las políticas de usuario, donde diferentes roles de usuario pueden tener necesidades de permiso distintas. La implementación del acceso con privilegios mínimos es esencial a la hora de reducir los riesgos de seguridad y el impacto que podrían causar los errores o los intentos malintencionados.

Actualizar sus plataformas con frecuencia

Elastic Beanstalk publica con regularidad nuevas versiones de la plataforma para actualizar todas sus plataformas. Las nuevas versiones de la plataforma proporcionan actualizaciones del sistema operativo, el tiempo de ejecución, el servidor de aplicaciones y el servidor web, y actualizaciones a componentes de Elastic Beanstalk. Muchas de estas actualizaciones de la plataforma incluyen importantes correcciones de seguridad. Asegúrese de que sus entornos de Elastic Beanstalk se ejecutan en una versión de la plataforma compatible (normalmente la última versión de su plataforma). Para obtener más información, consulte Actualización de la versión de la plataforma del entorno de Elastic Beanstalk.

La forma más sencilla de mantener la plataforma de su entorno actualizada consiste en configurarlo para usar actualizaciones de la plataforma actualizadas.

Aplicar IMDSv2 en instancias de entorno

Las instancias de Amazon Elastic Compute Cloud (Amazon EC2) en sus entornos Elastic Beanstalk utilizan el servicio de metadatos de instancia (IMDS), un componente en instancia, para acceder de forma segura a los metadatos de instancia. IMDS admite dos métodos para acceder a los datos: IMDSv1 e IMDSv2. IMDSv2 utiliza solicitudes orientadas a la sesión y mitiga varios tipos de vulnerabilidades que podrían utilizarse para intentar acceder al IMDS. Para obtener más información sobre las ventajas de IMDSv2, consulte las mejoras para agregar defensa en profundidad al servicio de metadatos de instancias EC2.

IMDSv2 es más seguro, por lo que es una buena idea imponer el uso de IMDSv2 en sus instancias. Para aplicar IMDSv2, asegúrese de que todos los componentes de la aplicación sean compatibles con IMDSv2 y, a continuación, desactive IMDSv1. Para obtener más información, consulte Configuración del servicio de metadatos de instancia.

Prácticas recomendadas de detección de seguridad

Los controles de detección de seguridad identifican las infracciones de seguridad tras producirse. Pueden ayudarte a detectar una posible amenaza o incidente de seguridad.

Implementar la monitorización

El monitoreo es una parte importante del mantenimiento de la confiabilidad, la seguridad, la disponibilidad y el rendimiento de las soluciones de Elastic Beanstalk. AWSproporciona varias herramientas y servicios a fin de ayudarlo a monitorear los servicios de AWS .

A continuación se muestran algunos ejemplos de elementos que monitorizar:

Métricas de Amazon CloudWatch para Elastic Beanstalk: establezca alarmas para métricas clave de Elastic Beanstalk y para las métricas personalizadas de su aplicación. Para obtener más información, consulte Uso de Elastic Beanstalk con Amazon CloudWatch.
Entradas deAWS CloudTrail: realice un seguimiento de las acciones que podrían afectar la disponibilidad, comoUpdateEnvironment oTerminateEnvironment. Para obtener más información, consulte Registro de llamadas a la API de Elastic Beanstalk con AWS CloudTrail.

Habilitar AWS Config

AWS Config proporciona una vista detallada de la configuración de los recursos de AWS de su cuenta. Puede observar las relaciones entre los recursos, obtener un historial de los cambios de configuración y comprobar cómo cambian las relaciones y configuraciones con el paso del tiempo.

Puede utilizarAWS Config para definir reglas que evalúan las configuraciones de recursos para la conformidad de los datos. Las reglas de AWS Configrepresentan la configuración ideal para los recursos de Elastic Beanstalk. Si un recurso infringe una regla y está marcado como no conforme, AWS Config puede avisarle mediante un tema de Amazon Simple Notification Service (Amazon SNS). Para obtener más información, consulte Búsqueda y seguimiento de recursos de Elastic Beanstalk con AWS Config.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Modelo de responsabilidad compartida

Solución de problemas