Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für DynamoDB
Diese AWS Security Hub Kontrollen bewerten den Service und die Ressourcen von Amazon DynamoDB.
Diese Steuerelemente sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::DynamoDB::Table
AWS Config -Regel: dynamodb-autoscaling-enabled
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Beschreibung | Typ | Gültige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Mindestanzahl bereitgestellter Lesekapazitätseinheiten für DynamoDB Auto Scaling |
Ganzzahl |
|
Kein Standardwert |
|
|
Zielauslastung in Prozent für die Lesekapazität |
Ganzzahl |
|
Kein Standardwert |
|
|
Mindestanzahl bereitgestellter Schreibkapazitätseinheiten für DynamoDB Auto Scaling |
Ganzzahl |
|
Kein Standardwert |
|
|
Zielauslastung in Prozent für die Schreibkapazität |
Ganzzahl |
|
Kein Standardwert |
Dieses Steuerelement prüft, ob eine Amazon DynamoDB-Tabelle ihre Lese- und Schreibkapazität nach Bedarf skalieren kann. Die Steuerung schlägt fehl, wenn die Tabelle nicht den On-Demand-Kapazitätsmodus oder den Bereitstellungsmodus mit konfigurierter Autoskalierung verwendet. Standardmäßig erfordert dieses Steuerelement nur, dass einer dieser Modi konfiguriert ist, unabhängig von bestimmten Lese- oder Schreibkapazitätsstufen. Optional können Sie benutzerdefinierte Parameterwerte angeben, um bestimmte Lese- und Schreibkapazitäten oder eine bestimmte Zielauslastung zu erfordern.
Durch die bedarfsgerechte Skalierung der Kapazität werden Drosselungen von Ausnahmen vermieden, wodurch die Verfügbarkeit Ihrer Anwendungen aufrechterhalten wird. DynamoDB-Tabellen, die den On-Demand-Kapazitätsmodus verwenden, sind nur durch die standardmäßigen Tabellenkontingente für den DynamoDB-Durchsatz begrenzt. Um diese Kontingente zu erhöhen, können Sie ein Supportticket bei einreichen. Support DynamoDB-Tabellen, die den Bereitstellungsmodus mit Auto Scaling verwenden, passen die bereitgestellte Durchsatzkapazität dynamisch an Verkehrsmuster an. Weitere Informationen zur DynamoDB-Anforderungsdrosselung finden Sie unter Request Throttling and Burst Capacity im Amazon DynamoDB Developer Guide.
Abhilfe
Informationen zur Aktivierung der automatischen DynamoDB-Skalierung für bestehende Tabellen im Kapazitätsmodus finden Sie unter Aktivieren der auto Skalierung von DynamoDB für bestehende Tabellen im Amazon DynamoDB DynamoDB-Entwicklerhandbuch.
[DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Backups aktiviert
Schweregrad: Mittel
Ressourcentyp: AWS::DynamoDB::Table
AWS Config -Regel: dynamodb-pitr-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob point-in-time Recovery (PITR) für eine Amazon DynamoDB-Tabelle aktiviert ist.
Mithilfe von Backups können Sie sich nach einem Sicherheitsvorfall schneller erholen. Sie stärken auch die Widerstandsfähigkeit Ihrer Systeme. Die point-in-time DynamoDB-Wiederherstellung automatisiert Backups für DynamoDB-Tabellen. Es reduziert die Zeit für die Wiederherstellung nach versehentlichen Lösch- oder Schreibvorgängen. DynamoDB-Tabellen, für die PITR aktiviert ist, können zu einem beliebigen Zeitpunkt der letzten 35 Tage wiederhergestellt werden.
Abhilfe
Informationen zum Wiederherstellen einer DynamoDB-Tabelle auf einen bestimmten Zeitpunkt finden Sie unter Wiederherstellen einer DynamoDB-Tabelle auf einen bestimmten Zeitpunkt im Amazon DynamoDB DynamoDB-Entwicklerhandbuch.
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::DAX::Cluster
AWS Config -Regel: dax-encryption-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob ein Amazon DynamoDB Accelerator (DAX) -Cluster im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn der DAX-Cluster im Ruhezustand nicht verschlüsselt ist.
Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass auf Daten, die auf der Festplatte gespeichert sind, von einem Benutzer zugegriffen wird, für den keine Authentifizierung angemeldet ist. AWS Durch die Verschlüsselung werden weitere Zugriffskontrollen hinzugefügt, um den Zugriff nicht autorisierter Benutzer auf die Daten zu beschränken. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können.
Abhilfe
Sie können die Verschlüsselung im Ruhezustand nicht aktivieren oder deaktivieren, nachdem ein Cluster erstellt wurde. Sie müssen den Cluster neu erstellen, um die Verschlüsselung im Ruhezustand zu aktivieren. Ausführliche Anweisungen zum Erstellen eines DAX-Clusters mit aktivierter Verschlüsselung im Ruhezustand finden Sie unter Enabling at rest using the AWS Management Console im Amazon DynamoDB Developer Guide.
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Backups aktiviert
Schweregrad: Mittel
Ressourcentyp: AWS::DynamoDB::Table
AWS Config Regel: dynamodb-resources-protected-by-backup-plan
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Das Steuerelement ermittelt, |
Boolesch |
|
Kein Standardwert |
Dieses Steuerelement bewertet, ob eine Amazon DynamoDB-Tabelle im ACTIVE Status durch einen Backup-Plan abgedeckt ist. Die Steuerung schlägt fehl, wenn die DynamoDB-Tabelle nicht durch einen Backup-Plan abgedeckt ist. Wenn Sie den backupVaultLockCheck Parameter auf gleich setzentrue, wird die Steuerung nur erfolgreich ausgeführt, wenn die DynamoDB-Tabelle in einem AWS Backup gesperrten Tresor gesichert ist.
AWS Backup ist ein vollständig verwalteter Backup-Service, der Ihnen hilft, die Sicherung von Daten auf allen Ebenen zu zentralisieren und zu automatisieren. AWS-Services Mit AWS Backup können Sie Backup-Pläne erstellen, die Ihre Backup-Anforderungen definieren, z. B. wie oft Ihre Daten gesichert werden sollen und wie lange diese Backups aufbewahrt werden sollen. Wenn Sie DynamoDB-Tabellen in Ihre Backup-Pläne aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschung schützen.
Abhilfe
Informationen zum Hinzufügen einer DynamoDB-Tabelle zu einem AWS Backup Backup-Plan finden Sie unter Zuweisen von Ressourcen zu einem Backup-Plan im AWS Backup Entwicklerhandbuch.
[DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::DynamoDB::Table
AWS Config Regel: tagged-dynamodb-table (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen |
No default value
|
Dieses Steuerelement prüft, ob eine Amazon DynamoDB-Tabelle Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind. requiredTagKeys Das Steuerelement schlägt fehl, wenn die Tabelle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält. requiredTagKeys Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Tabelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer DynamoDB-Tabelle finden Sie unter Tagging resources in DynamoDB im Amazon DynamoDB Developer Guide.
[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung
Schweregrad: Mittel
Art der Ressource: AWS::DynamoDB::Table
AWS Config Regel: dynamodb-table-deletion-protection-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob für eine Amazon DynamoDB-Tabelle der Löschschutz aktiviert ist. Das Steuerelement schlägt fehl, wenn für eine DynamoDB-Tabelle kein Löschschutz aktiviert ist.
Mit der Eigenschaft Löschschutz können Sie eine DynamoDB-Tabelle vor versehentlichem Löschen schützen. Durch die Aktivierung dieser Eigenschaft für Tabellen wird sichergestellt, dass Tabellen nicht versehentlich während der regulären Tabellenverwaltung durch Ihre Administratoren gelöscht werden. Dies trägt dazu bei, Störungen Ihres normalen Geschäftsbetriebs zu vermeiden.
Abhilfe
Informationen zum Aktivieren des Löschschutzes für eine DynamoDB-Tabelle finden Sie unter Verwenden des Löschschutzes im Amazon DynamoDB DynamoDB-Entwicklerhandbuch.
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.r5 AC-1 7, 3, NIST.800-53.r5 SC-1 3 NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-2
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::DynamoDB::Table
AWS Config Regel: dax-tls-endpoint-encryption
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob ein Amazon DynamoDB Accelerator (DAX) -Cluster während der Übertragung verschlüsselt ist, wobei der Endpunktverschlüsselungstyp auf TLS festgelegt ist. Die Steuerung schlägt fehl, wenn der DAX-Cluster bei der Übertragung nicht verschlüsselt wird.
HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer person-in-the-middle oder ähnliche Angriffe verwenden, um den Netzwerkverkehr zu belauschen oder zu manipulieren. Sie sollten nur verschlüsselte Verbindungen über TLS für den Zugriff auf DAX-Cluster zulassen. Die Verschlüsselung von Daten während der Übertragung kann jedoch die Leistung beeinträchtigen. Sie sollten Ihre Anwendung mit aktivierter Verschlüsselung testen, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen.
Abhilfe
Sie können die TLS-Verschlüsselungseinstellung nicht ändern, nachdem Sie einen DAX-Cluster erstellt haben. Um einen vorhandenen DAX-Cluster zu verschlüsseln, erstellen Sie einen neuen Cluster mit aktivierter Verschlüsselung bei der Übertragung, verlagern Sie den Datenverkehr Ihrer Anwendung darauf und löschen Sie dann den alten Cluster. Weitere Informationen finden Sie unter Verwenden des Löschschutzes im Amazon DynamoDB DynamoDB-Entwicklerhandbuch.
