AWS Database Migration Service controles - AWS Security Hub
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro[DMS.9] Los puntos finales del DMS deben usar SSL

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Database Migration Service controles

Estos controles están relacionados con los AWS DMS recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

Requisitos relacionados: PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoría: Proteger - Configuración de red segura

Gravedad: crítica

Tipo de recurso: AWS::DMS::ReplicationInstance

Regla de AWS Config : dms-replication-not-public

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si las instancias de AWS DMS replicación son públicas. Para ello, examina el valor del campo PubliclyAccessible.

Una instancia de replicación privada tiene una dirección IP privada a la que no puede obtener acceso desde fuera de la red de replicación. Una instancia de replicación debe tener una dirección IP privada cuando las bases de datos de origen y destino estén en la misma red. La red también debe estar conectada a la VPC de la instancia de replicación mediante una VPN o un emparejamiento AWS Direct Connect de VPC. Para obtener más información sobre las instancias de replicación públicas y privadas, consulte las instancias de Replicación públicas y privadas en la Guía del usuario de AWS Database Migration Service .

También debes asegurarte de que el acceso a la configuración de tu AWS DMS instancia esté limitado únicamente a los usuarios autorizados. Para ello, restrinja los permisos de IAM de los usuarios para modificar la AWS DMS configuración y los recursos.

Corrección

No puede cambiar la configuración de acceso público de una instancia de replicación del DMS después de crearla. Para cambiar la configuración de acceso público, elimine la instancia actual y, a continuación, vuelva a crearla. No seleccione la opción de Acceso público.

[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias

Requisitos relacionados: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5)

Categoría: Detectar > Administración de vulnerabilidades, parches y versiones

Gravedad: media

Tipo de recurso: AWS::DMS::ReplicationInstance

Regla de AWS Config : dms-auto-minor-version-upgrade-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la actualización automática de la versión secundaria está habilitada para una instancia de AWS DMS replicación. El control falla si la actualización automática de la versión secundaria no está habilitada para una instancia de replicación del DMS.

El DMS proporciona una actualización automática de las versiones secundarias a cada motor de replicación compatible para que pueda conservar su instancia up-to-date de replicación. Las versiones secundarias pueden introducir nuevas funciones de software, correcciones de errores, parches de seguridad y mejoras de rendimiento. Al habilitar la actualización automática de las versiones secundarias en las instancias de replicación del DMS, las actualizaciones menores se aplican automáticamente durante el período de mantenimiento o inmediatamente si se selecciona la opción Aplicar los cambios inmediatamente.

Corrección

Para habilitar la actualización automática de la versión secundaria en las instancias de replicación del DMS, consulte Modificación de una instancia de replicación en la Guía del usuario de AWS Database Migration Service .

[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro

Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::DMS::ReplicationTask

Regla de AWS Config : dms-replication-task-targetdb-logging

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el registro está habilitado con el nivel de gravedad mínimo LOGGER_SEVERITY_DEFAULT para las tareas de replicación del DMS TARGET_APPLY y TARGET_LOAD. El control falla si el registro no está habilitado para estas tareas o si el nivel de gravedad mínimo es inferior a LOGGER_SEVERITY_DEFAULT.

DMS utiliza Amazon CloudWatch para registrar la información durante el proceso de migración. Con la configuración de tareas de registro, puede especificar qué actividades de componentes se registran y qué cantidad de información se registra. Debe especificar el registro para las siguientes tareas:

  • TARGET_APPLY: los datos e instrucciones de lenguaje de definición de datos (DDL) se aplican a la base de datos de destino.

  • TARGET_LOAD: Los datos se cargan en la base de datos destino.

El registro desempeña un papel fundamental en las tareas de replicación del DMS, ya que permite la supervisión, la solución de problemas, la auditoría, el análisis del rendimiento, la detección de errores y la recuperación, así como el análisis histórico y la elaboración de informes. Ayuda a garantizar la replicación exitosa de los datos entre bases de datos y, al mismo tiempo, a mantener la integridad de los datos y el cumplimiento de los requisitos reglamentarios. Los niveles de registro que no estén fijados como DEFAULT suelen ser necesarios para estos componentes durante la resolución de problemas. Recomendamos mantener el nivel de registro igual que DEFAULT para estos componentes, a menos que se solicite específicamente cambiarlo AWS Support. Un nivel de registro mínimo como DEFAULT garantiza que los mensajes informativos, las advertencias y los mensajes de error se escriban en los registros. Este control comprueba si el nivel de registro es al menos uno de los siguientes para las tareas de replicación anteriores: LOGGER_SEVERITY_DEFAULT, LOGGER_SEVERITY_DEBUG o LOGGER_SEVERITY_DETAILED_DEBUG.

Corrección

Para habilitar el registro de las tareas de replicación del DMS de la base de datos de destino, consulte Visualización y administración de los registros de AWS DMS tareas en la Guía del AWS Database Migration Service usuario.

[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro

Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::DMS::ReplicationTask

Regla de AWS Config : dms-replication-task-sourcedb-logging

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el registro está habilitado con el nivel de gravedad mínimo LOGGER_SEVERITY_DEFAULT para las tareas de replicación del DMS SOURCE_CAPTURE y SOURCE_UNLOAD. El control falla si el registro no está habilitado para estas tareas o si el nivel de gravedad mínimo es inferior a LOGGER_SEVERITY_DEFAULT.

DMS utiliza Amazon CloudWatch para registrar la información durante el proceso de migración. Con la configuración de tareas de registro, puede especificar qué actividades de componentes se registran y qué cantidad de información se registra. Debe especificar el registro para las siguientes tareas:

  • SOURCE_CAPTURE: Los datos de replicación continua o captura de datos modificados (CDC) se capturan de la base de datos o el servicio de origen y se transfieren al componente de servicio de SORTER.

  • SOURCE_UNLOAD: Los datos se descargan de la base de datos o del servicio de origen durante la carga completa.

El registro desempeña un papel fundamental en las tareas de replicación del DMS, ya que permite la supervisión, la solución de problemas, la auditoría, el análisis del rendimiento, la detección de errores y la recuperación, así como el análisis histórico y la elaboración de informes. Ayuda a garantizar la replicación exitosa de los datos entre bases de datos y, al mismo tiempo, a mantener la integridad de los datos y el cumplimiento de los requisitos reglamentarios. Los niveles de registro que no estén fijados como DEFAULT suelen ser necesarios para estos componentes durante la resolución de problemas. Recomendamos mantener el nivel de registro igual que DEFAULT para estos componentes, a menos que se solicite específicamente cambiarlo AWS Support. Un nivel de registro mínimo como DEFAULT garantiza que los mensajes informativos, las advertencias y los mensajes de error se escriban en los registros. Este control comprueba si el nivel de registro es al menos uno de los siguientes para las tareas de replicación anteriores: LOGGER_SEVERITY_DEFAULT, LOGGER_SEVERITY_DEBUG o LOGGER_SEVERITY_DETAILED_DEBUG.

Corrección

Para habilitar el registro de las tareas de replicación del DMS de la base de datos fuente, consulte Visualización y administración de los registros de AWS DMS tareas en la Guía del AWS Database Migration Service usuario.

[DMS.9] Los puntos finales del DMS deben usar SSL

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2)

Categoría: Proteger > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::DMS::Endpoint

Regla de AWS Config : dms-endpoint-ssl-configured

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un AWS DMS punto final utiliza una conexión SSL. El control falla si el punto de conexión no usa SSL.

Las conexiones SSL y TLS proporcionan una capa de seguridad al cifrar las conexiones entre las instancias de replicación de DMS y su base de datos. El uso de certificados brinda una capa extra de seguridad al validar que la conexión se realice en una base de datos esperada. Se hace al verificar que el certificado de servidor se instale automáticamente en todas las instancias de base de datos que usted aprovisiona. Al habilitar la conexión SSL en los puntos de conexión del DMS, se protege la confidencialidad de los datos durante la migración.

Corrección

Para añadir una conexión SSL a un punto de conexión de DMS nuevo o existente, consulte Uso de SSL de AWS Database Migration Service en la Guía del usuario de AWS Database Migration Service .