Configurazione del profilo dell'istanza Gestione dei ruoli di servizio Configurazione del gruppo di sicurezza Integrazione del certificato SSL Autenticazione Windows Procedure ottimali e risoluzione dei problemi

Configurazioni di sicurezza e ruoli IAM

Il eb migrate comando gestisce le configurazioni AWS di sicurezza tramite ruoli IAM, profili di istanza e ruoli di servizio. La comprensione di questi componenti garantisce il corretto controllo degli accessi e la conformità alla sicurezza durante la migrazione.

Configurazione del profilo dell'istanza

Un profilo di istanza funge da contenitore per un ruolo IAM che Elastic Beanstalk EC2 collega alle istanze del tuo ambiente. Durante l'esecuzioneeb migrate, puoi specificare un profilo di istanza personalizzato:


PS C:\migrations_workspace> eb migrate --instance-profile "CustomInstanceProfile"

Se non specifichi un profilo di istanza, eb migrate crea un profilo predefinito con queste autorizzazioni:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::elasticbeanstalk-*",
                "arn:aws:s3:::elasticbeanstalk-*/*"
            ]
        }
    ]
}

Gestione dei ruoli di servizio

Un ruolo di servizio consente a Elastic Beanstalk di gestire le risorse AWS per tuo conto. Specificate un ruolo di servizio personalizzato durante la migrazione con il seguente comando:


PS C:\migrations_workspace> eb migrate --service-role "CustomServiceRole"

Se non specificato, eb migrate crea un ruolo di servizio predefinito denominato aws-elasticbeanstalk-service-role con una policy di fiducia che consente a Elastic Beanstalk di assumere il ruolo. Questo ruolo di servizio è essenziale per Elastic Beanstalk per monitorare lo stato dell'ambiente ed eseguire aggiornamenti gestiti della piattaforma. Il ruolo di servizio richiede due politiche gestite:

AWSElasticBeanstalkEnhancedHealth- Consente a Elastic Beanstalk di monitorare lo stato dell'istanza e dell'ambiente utilizzando il sistema di reporting sanitario avanzato
AWSElasticBeanstalkManagedUpdates- Consente a Elastic Beanstalk di eseguire aggiornamenti gestiti della piattaforma, incluso l'aggiornamento delle risorse dell'ambiente quando è disponibile una nuova versione della piattaforma

Con queste politiche, il ruolo di servizio dispone delle autorizzazioni per:

Crea e gestisci gruppi di Auto Scaling
Crea e gestisci Application Load Balancer
Carica i log su Amazon CloudWatch
Gestisci le istanze EC2

Per ulteriori informazioni sui ruoli di servizio, consulta Ruolo di servizio Elastic Beanstalk la Elastic Beanstalk Developer Guide.

Configurazione del gruppo di sicurezza

Il eb migrate comando configura automaticamente i gruppi di sicurezza in base alle associazioni del sito IIS. Ad esempio, se l'ambiente di origine ha siti che utilizzano le porte 80, 443 e 8081, i seguenti risultati di configurazione:


<site name="Default Web Site">
    <bindings>
        <binding protocol="http" bindingInformation="*:80:" />
        <binding protocol="https" bindingInformation="*:443:" />
    </bindings>
</site>
<site name="InternalAPI">
    <bindings>
        <binding protocol="http" bindingInformation="*:8081:" />
    </bindings>
</site>

Il processo di migrazione completa le seguenti azioni:

Crea un gruppo di sicurezza con sistema di bilanciamento del carico che consente il traffico in entrata sulle porte 80 e 443 da Internet (0.0.0.0/0)
Crea un gruppo di EC2 sicurezza che consente il traffico proveniente dal sistema di bilanciamento del carico
Configura porte aggiuntive (come 8081) se specificato --copy-firewall-config

Per impostazione predefinita, l'Application Load Balancer è configurato con accesso pubblico da Internet. Se è necessario personalizzare questo comportamento, ad esempio limitando l'accesso a intervalli IP specifici o utilizzando un sistema di bilanciamento del carico privato, è possibile sovrascrivere la configurazione predefinita del VPC e del gruppo di sicurezza utilizzando il parametro: --vpc-config


PS C:\migrations_workspace> eb migrate --vpc-config vpc-config.json

Ad esempio, la seguente vpc-config.json configurazione crea un sistema di bilanciamento del carico privato in una sottorete privata:


{
    "id": "vpc-12345678",
    "publicip": "false",
    "elbscheme": "internal",
    "ec2subnets": ["subnet-private1", "subnet-private2"],
    "elbsubnets": ["subnet-private1", "subnet-private2"]
}

Per ulteriori informazioni sulle opzioni di configurazione del VPC, vedere. Configurazione VPC

Integrazione del certificato SSL

Durante la migrazione di siti con collegamenti HTTPS, integra i certificati SSL tramite (ACM): AWS Certificate Manager


PS C:\migrations_workspace> eb migrate --ssl-certificates "arn:aws:acm:region:account:certificate/certificate-id"

Questa configurazione completa le seguenti azioni:

Associa il certificato all'Application Load Balancer
Mantiene la terminazione HTTPS sul load balancer
Conserva la comunicazione HTTP interna tra il load balancer e le istanze EC2

Autenticazione Windows

Per le applicazioni che utilizzano l'autenticazione di Windows, eb migrate conserva le impostazioni di autenticazione nell'applicazione web.config come segue:


<configuration>
    <system.webServer>
        <security>
            <authentication>
                <windowsAuthentication enabled="true">
                    <providers>
                        <add value="Negotiate" />
                        <add value="NTLM" />
                    </providers>
                </windowsAuthentication>
            </authentication>
        </security>
    </system.webServer>
</configuration>

Importante

Il eb migrate comando non copia i profili utente o gli account dall'ambiente di origine alle istanze Elastic Beanstalk di destinazione. Tutti gli account o i gruppi utente personalizzati che hai creato sul server di origine dovranno essere ricreati nell'ambiente di destinazione dopo la migrazione.

Gli account IUSR e i gruppi predefiniti di WindowsIIS_IUSRS, nonché tutti gli altri account e gruppi predefiniti, sono inclusi per impostazione predefinita nelle istanze di Windows Server di destinazione. Per ulteriori informazioni sugli account e i gruppi IIS incorporati, vedere Comprendere gli account utente e di gruppo incorporati in IIS nella documentazione Microsoft.

Se l'applicazione si basa su account utente Windows personalizzati o sull'integrazione con Active Directory, sarà necessario configurare questi aspetti separatamente dopo il completamento della migrazione.

Procedure ottimali e risoluzione dei problemi

Gestione del ruolo

Implementa le best practice AWS IAM nella gestione dei ruoli per i tuoi ambienti Elastic Beanstalk:

Creazione e gestione dei ruoli

Crea ruoli utilizzando politiche AWS gestite, ove possibile
Segui le best practice di sicurezza IAM
Utilizza il AWS Policy Generator per politiche personalizzate
Implementa i limiti di autorizzazione per una maggiore sicurezza

Monitoraggio e controllo

Abilita AWS CloudTrail il monitoraggio dell'utilizzo dei ruoli:

Segui la guida AWS CloudTrail per l'utente
Configura l'integrazione CloudWatch dei registri per il monitoraggio in tempo reale
Imposta avvisi per chiamate API non autorizzate

Processo di revisione regolare

Stabilisci un ciclo di revisione trimestrale per svolgere le seguenti attività:

Verifica le autorizzazioni non utilizzate utilizzando IAM Access Analyzer
Rimuovi le autorizzazioni obsolete
Aggiorna i ruoli in base ai principi del privilegio minimo

Gestione dei certificati

Implementa queste pratiche per i certificati SSL/TLS nei tuoi ambienti Elastic Beanstalk:

Ciclo di vita dei certificati

Utilizzo per la gestione AWS Certificate Managerdei certificati
Abilita il rinnovo automatico per i certificati emessi da ACM
Imposta le notifiche di scadenza

Standard di sicurezza

Usa TLS 1.2 o versione successiva
Segui le politiche AWS di sicurezza per i listener HTTPS
Implementa HTTP Strict Transport Security (HSTS) se necessario

Gestione dei gruppi di sicurezza

Implementa queste best practice per i gruppi di sicurezza:

Gestione delle regole

Documenta tutti i requisiti di porta personalizzati
Usa i log di flusso VPC per monitorare il traffico
Utilizza le regole di riferimento del gruppo di sicurezza anziché gli intervalli IP, ove possibile

Controllo regolare

Stabilisci revisioni mensili per svolgere le seguenti attività:

Identifica e rimuovi le regole non utilizzate
Convalida i requisiti di origine/destinazione
Verifica la presenza di regole sovrapposte

Registrazione di log e monitoraggio

Per un monitoraggio efficace della sicurezza, configura i seguenti registri:

Registri degli eventi di Windows sulle istanze EC2


# Review Security event log
PS C:\migrations_workspace> Get-EventLog -LogName Security -Newest 50

# Check Application event log
PS C:\migrations_workspace> Get-EventLog -LogName Application -Source "IIS*"

CloudWatch Integrazione dei registri

Configura CloudWatch Logs agent per lo streaming dei registri degli eventi di Windows CloudWatch per il monitoraggio e gli avvisi centralizzati.

Per problemi persistenti, raccogli questi registri e contatta Supporto AWS le seguenti informazioni:

ID ambiente
ID di distribuzione (se applicabile)
Messaggi di errore pertinenti
Cronologia delle modifiche alla sicurezza

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione della rete

Mappatura della migrazione da IIS a Elastic Beanstalk