Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon Neptune Neptune-Steuerungen
Diese Kontrollen beziehen sich auf Neptunressourcen.
Diese Steuerungen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6))
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: neptune-cluster-encrypted
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein Neptune-DB-Cluster im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn ein Neptune-DB-Cluster im Ruhezustand nicht verschlüsselt ist.
Daten im Ruhezustand beziehen sich auf alle Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch Verschlüsselung können Sie die Vertraulichkeit solcher Daten schützen und so das Risiko verringern, dass ein unberechtigter Benutzer darauf zugreifen kann. Die Verschlüsselung Ihrer Neptune-DB-Cluster schützt Ihre Daten und Metadaten vor unbefugtem Zugriff. Es erfüllt auch die Compliance-Anforderungen für die data-at-rest Verschlüsselung von Produktionsdateisystemen.
Abhilfe
Sie können die Verschlüsselung im Ruhezustand aktivieren, wenn Sie einen Neptune-DB-Cluster erstellen. Sie können die Verschlüsselungseinstellungen nach dem Erstellen eines Clusters nicht ändern. Weitere Informationen finden Sie unter Encrypting Neptune resources at rest im Neptune-Benutzerhandbuch.
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
Verwandte Anforderungen: NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-2, NIST.800-53.r5 AU-3 R5 AU-6 (1), NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 AU-6 (5), NIST.800-53.R5 AU-7 (1), NIST.800-53.R5 AU-9 (7), NIST.800-53.r5 CA-7, NIST.800-53.R5 CA-7, NIST.800-53.R5 R5 SC-7 (9), NIST.800-53.R5 SI-20, NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-4 (5), NIST.800-53.R5 SI-7 (8)
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: neptune-cluster-cloudwatch-log-export-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Steuerung prüft, ob ein Neptune-DB-Cluster Audit-Logs in Amazon CloudWatch Logs veröffentlicht. Die Steuerung schlägt fehl, wenn ein Neptune-DB-Cluster keine Audit-Logs in Logs veröffentlicht. CloudWatch EnableCloudWatchLogsExportsollte auf eingestellt sein. Audit
Amazon Neptune und Amazon CloudWatch sind integriert, sodass Sie Leistungskennzahlen sammeln und analysieren können. Neptune sendet automatisch Messwerte an Alarme CloudWatch und unterstützt CloudWatch diese auch. Audit-Logs sind hochgradig anpassbar. Wenn Sie eine Datenbank prüfen, kann jeder Vorgang an den Daten überwacht und in einem Audit-Trail protokolliert werden, einschließlich Informationen darüber, auf welchen Datenbankcluster zugegriffen wird und wie. Wir empfehlen, diese Protokolle an zu senden, CloudWatch um Ihnen bei der Überwachung Ihrer Neptune-DB-Cluster zu helfen.
Abhilfe
Informationen zum Veröffentlichen von Neptune-Audit-Logs in CloudWatch Logs finden Sie unter Neptune-Logs in Amazon CloudWatch Logs veröffentlichen im Neptune-Benutzerhandbuch. Wählen Sie im Abschnitt Protokollexporte die Option Audit aus.
[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
Verwandte Anforderungen: NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind
Schweregrad: Kritisch
Art der Ressource: AWS::RDS::DBClusterSnapshot
AWS Config -Regel: neptune-cluster-snapshot-public-prohibited
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein manueller Neptune-DB-Cluster-Snapshot öffentlich ist. Die Steuerung schlägt fehl, wenn ein manueller Neptune-DB-Cluster-Snapshot öffentlich ist.
Ein manueller Snapshot eines Neptune-DB-Clusters sollte nicht öffentlich sein, es sei denn, dies ist beabsichtigt. Wenn Sie einen unverschlüsselten manuellen Snapshot als öffentlich freigeben, ist der Snapshot für alle verfügbar. AWS-KontenÖffentliche Schnappschüsse können zu einer unbeabsichtigten Offenlegung von Daten führen.
Abhilfe
Informationen zum Entfernen des öffentlichen Zugriffs für manuelle Neptune-DB-Cluster-Snapshots finden Sie unter Freigeben eines DB-Cluster-Snapshots im Neptune-Benutzerhandbuch.
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
Verwandte Anforderungen: NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-3, NIST.800-53.R5 SC-5 (2)
Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: neptune-cluster-deletion-protection-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob in einem Neptune-DB-Cluster der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn für einen Neptune-DB-Cluster kein Löschschutz aktiviert ist.
Die Aktivierung des Cluster-Löschschutzes bietet eine zusätzliche Schutzebene vor dem versehentlichen Löschen von Datenbanken oder vor dem Löschen durch einen nicht autorisierten Benutzer. Ein Neptune-DB-Cluster kann nicht gelöscht werden, solange der Löschschutz aktiviert ist. Sie müssen zuerst den Löschschutz deaktivieren, bevor eine Löschanforderung erfolgreich sein kann.
Abhilfe
Informationen zum Aktivieren des Löschschutzes für einen vorhandenen Neptune-DB-Cluster finden Sie unter Ändern des DB-Clusters mithilfe der Konsole, der CLI und der API im Amazon Aurora Aurora-Benutzerhandbuch.
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
Verwandte Anforderungen: NIST.800-53.R5 SI-12
Kategorie: Wiederherstellung > Ausfallsicherheit > Backups aktiviert
Schweregrad: Mittel
Ressourcentyp: AWS::RDS::DBCluster
AWS Config -Regel: neptune-cluster-backup-retention-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Minimale Aufbewahrungsdauer für Backups in Tagen |
Ganzzahl |
|
|
Dieses Steuerelement prüft, ob in einem Neptune-DB-Cluster automatische Backups aktiviert sind und ob die Aufbewahrungsfrist für Backups größer oder gleich dem angegebenen Zeitraum ist. Die Kontrolle schlägt fehl, wenn Backups für den Neptune-DB-Cluster nicht aktiviert sind oder wenn die Aufbewahrungszeit kürzer als der angegebene Zeitrahmen ist. Sofern Sie keinen benutzerdefinierten Parameterwert für die Aufbewahrungsdauer von Backups angeben, verwendet Security Hub einen Standardwert von 7 Tagen.
Backups helfen Ihnen, sich nach einem Sicherheitsvorfall schneller zu erholen und die Widerstandsfähigkeit Ihrer Systeme zu stärken. Durch die Automatisierung von Backups für Ihre Neptune-DB-Cluster können Sie Ihre Systeme bis zu einem bestimmten Zeitpunkt wiederherstellen und Ausfallzeiten und Datenverluste minimieren.
Abhilfe
Informationen zur Aktivierung automatisierter Backups und zur Festlegung einer Aufbewahrungsfrist für Backups für Ihre Neptune-DB-Cluster finden Sie unter Automatisierte Backups aktivieren im Amazon RDS-Benutzerhandbuch. Wählen Sie für den Aufbewahrungszeitraum für Backup einen Wert größer oder gleich 7.
[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SC-7 (18)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBClusterSnapshot
AWS Config -Regel: neptune-cluster-snapshot-encrypted
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein Neptune-DB-Cluster-Snapshot im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn ein Neptune-DB-Cluster im Ruhezustand nicht verschlüsselt ist.
Daten im Ruhezustand beziehen sich auf alle Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch Verschlüsselung können Sie die Vertraulichkeit solcher Daten schützen und so das Risiko verringern, dass ein nicht autorisierter Benutzer darauf zugreifen kann. Daten in Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten.
Abhilfe
Sie können einen vorhandenen Neptune-DB-Cluster-Snapshot nicht verschlüsseln. Stattdessen müssen Sie den Snapshot in einem neuen DB-Cluster wiederherstellen und die Verschlüsselung auf dem Cluster aktivieren. Sie können einen verschlüsselten Snapshot aus dem verschlüsselten Cluster erstellen. Anweisungen finden Sie unter Wiederherstellung aus einem DB-Cluster-Snapshot und Erstellen eines DB-Cluster-Snapshots in Neptune im Neptune-Benutzerhandbuch.
[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein
Verwandte Anforderungen: NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.r5 AC-6
Kategorie: Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: neptune-cluster-iam-database-authentication
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob in einem Neptune-DB-Cluster die IAM-Datenbankauthentifizierung aktiviert ist. Die Steuerung schlägt fehl, wenn die IAM-Datenbankauthentifizierung für einen Neptune-DB-Cluster nicht aktiviert ist.
Die IAM-Datenbankauthentifizierung für Amazon Neptune Neptune-Datenbankcluster macht das Speichern von Benutzeranmeldeinformationen in der Datenbankkonfiguration überflüssig, da die Authentifizierung extern mithilfe von IAM verwaltet wird. Wenn die IAM-Datenbankauthentifizierung aktiviert ist, muss jede Anfrage mit Signature Version 4 signiert werden. AWS
Abhilfe
Standardmäßig ist die IAM-Datenbankauthentifizierung deaktiviert, wenn Sie einen Neptune-DB-Cluster erstellen. Informationen zur Aktivierung finden Sie unter Aktivieren der IAM-Datenbankauthentifizierung in Neptune im Neptune-Benutzerhandbuch.
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
Verwandte Anforderungen: NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: neptune-cluster-copy-tags-to-snapshot-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein Neptune-DB-Cluster so konfiguriert ist, dass er alle Tags in Snapshots kopiert, wenn die Snapshots erstellt werden. Die Steuerung schlägt fehl, wenn ein Neptune-DB-Cluster nicht so konfiguriert ist, dass er Tags in Snapshots kopiert.
Die Identifizierung und Inventarisierung Ihrer IT-Ressourcen ist ein entscheidender Aspekt der Unternehmensführung und Sicherheit. Sie sollten Snapshots auf die gleiche Weise kennzeichnen wie ihre übergeordneten Amazon RDS-Datenbankcluster. Durch das Kopieren von Tags wird sichergestellt, dass die Metadaten für die DB-Snapshots mit denen der übergeordneten Datenbankcluster übereinstimmen und dass die Zugriffsrichtlinien für den DB-Snapshot auch mit denen der übergeordneten DB-Instance übereinstimmen.
Abhilfe
Informationen zum Kopieren von Tags in Snapshots für Neptune-DB-Cluster finden Sie unter Kopieren von Tags in Neptune im Neptune-Benutzerhandbuch.
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
Verwandte Anforderungen: NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: neptune-cluster-multi-az-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob ein Amazon Neptune Neptune-DB-Cluster über Read-Replica-Instances in mehreren Availability Zones (AZs) verfügt. Die Steuerung schlägt fehl, wenn der Cluster nur in einer AZ bereitgestellt wird.
Wenn eine AZ nicht verfügbar ist und während regelmäßiger Wartungsereignisse, dienen Read-Replicas als Failover-Ziele für die primäre Instanz. Wenn die primäre Instance ausfällt, stuft Neptune eine Read-Replica-Instance zur primären Instance herauf. Wenn Ihr DB-Cluster keine Read-Replica-Instances enthält, ist Ihr DB-Cluster bei einem Ausfall der primären Instance solange nicht verfügbar, bis sie neu erstellt wurde. Die Neuerstellung der primären Instance dauert erheblich länger als die Heraufstufung einer Read-Replica-Instance. Um eine hohe Verfügbarkeit zu gewährleisten, empfehlen wir, eine oder mehrere Read-Replica-Instances zu erstellen, die dieselbe DB-Instance-Klasse wie die primäre Instance haben und sich in anderen AZs als die primäre Instance befinden.
Abhilfe
Informationen zur Bereitstellung eines Neptune-DB-Clusters in mehreren AZs finden Sie unter Read-Replica-DB-Instances in einem Neptune-DB-Cluster im Neptune-Benutzerhandbuch.
