本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Elastic Beanstalk 的 Security Hub CSPM 控制項
這些 AWS Security Hub CSPM 控制項會評估 AWS Elastic Beanstalk 服務和資源。
這些控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。
## 【ElasticBeanstalk.1] Elastic Beanstalk 環境應啟用增強型運作狀態報告
**相關要求:**NIST.800-53.r5 CA-7,NIST.800-53.r5 SI-2
**類別:**偵測 > 偵測服務 > 應用程式監控
**嚴重性:**低
**資源類型:** `AWS::ElasticBeanstalk::Environment`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查您的環境是否啟用 AWS Elastic Beanstalk 增強型運作狀態報告。
Elastic Beanstalk 增強型運作狀態報告可更快速回應基礎基礎設施運作狀態的變化。這些變更可能會導致應用程式缺乏可用性。
Elastic Beanstalk 增強型運作狀態報告會提供狀態描述項,評估已識別問題的嚴重性,並找出可能的調查原因。Elastic Beanstalk 運作狀態代理程式包含在支援的 Amazon Machine Image (AMIs) 中,可評估環境 EC2 執行個體的日誌和指標。
如需詳細資訊,請參閱《 *AWS Elastic Beanstalk 開發人員指南*》中的[增強型運作狀態報告和監控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)。
### 修補
如需如何啟用增強型運作狀態報告的指示,請參閱《 *AWS Elastic Beanstalk 開發人員指南*》中的[使用 Elastic Beanstalk 主控台啟用增強型運作狀態報告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console)。
## 【ElasticBeanstalk.2] 應啟用 Elastic Beanstalk 受管平台更新
**相關要求:**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3
**類別:**識別 > 漏洞、修補程式和版本管理
**嚴重性:**高
**資源類型:** `AWS::ElasticBeanstalk::Environment`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| `UpdateLevel` | 版本更新層級 | 列舉 | `minor`, `patch` | 無預設值 |
此控制項會檢查是否針對 Elastic Beanstalk 環境啟用受管平台更新。如果未啟用受管平台更新,則控制項會失敗。根據預設,如果啟用任何類型的平台更新,控制項會通過。或者,您可以提供自訂參數值,以要求特定的更新層級。
啟用受管平台更新可確保已安裝環境的最新可用平台修正、更新和功能。隨時掌握修補程式安裝的最新資訊,是保護系統安全的重要步驟。
### 修補
若要啟用受管平台更新,請參閱《 *AWS Elastic Beanstalk 開發人員指南*》中的[在受管平台更新下設定受管平台更新](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html)。
## 【ElasticBeanstalk.3] Elastic Beanstalk 應將日誌串流至 CloudWatch
**相關要求:**PCI DSS v4.0.1/10.4.2
**類別:**識別 > 記錄日誌
**嚴重性:**高
**資源類型:** `AWS::ElasticBeanstalk::Environment`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| `RetentionInDays` | 在過期前保留日誌事件的天數 | 列舉 | `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653` | 無預設值 |
此控制項會檢查 Elastic Beanstalk 環境是否設定為將日誌傳送至 CloudWatch Logs。如果 Elastic Beanstalk 環境未設定為將日誌傳送至 CloudWatch Logs,則控制項會失敗。或者,如果您希望控制項僅在過期前保留指定天數的日誌時傳遞,您可以為 `RetentionInDays` 參數提供自訂值。
CloudWatch 可協助您收集和監控應用程式和基礎設施資源的各種指標。您也可以使用 CloudWatch 根據特定指標設定警示動作。我們建議您將 Elastic Beanstalk 與 CloudWatch 整合,以提高對 Elastic Beanstalk 環境的可見性。Elastic Beanstalk 日誌包括 eb-activity.log、從環境 nginx 或 Apache 代理伺服器存取日誌,以及特定於環境的日誌。
### 修補
若要將 Elastic Beanstalk 與 CloudWatch Logs 整合,請參閱《 *AWS Elastic Beanstalk 開發人員指南*》中的[將執行個體日誌串流至 CloudWatch Logs](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming)。