Controles de Amazon DynamoDB - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Amazon DynamoDB

Estos controles están relacionados con los recursos de DynamoDB.

Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::DynamoDB::Table

Regla de AWS Config: dynamodb-autoscaling-enabled

Tipo de programa: Periódico

Parámetros:

Parámetro Descripción Tipo Valores personalizados válidos Valor predeterminado de Security Hub

minProvisionedReadCapacity

Número mínimo de unidades de capacidad de lectura aprovisionadas para el escalado automático de DynamoDB

Entero

De 1 a 40000

Sin valor predeterminado

targetReadUtilization

Porcentaje de uso objetivo de capacidad de lectura

Entero

De 20 a 90

Sin valor predeterminado

minProvisionedWriteCapacity

Número mínimo de unidades de capacidad de escritura aprovisionadas para el escalado automático de DynamoDB

Entero

De 1 a 40000

Sin valor predeterminado

targetWriteUtilization

Porcentaje de uso objetivo de capacidad de escritura

Entero

De 20 a 90

Sin valor predeterminado

Este control comprueba si una tabla de Amazon DynamoDB puede escalar su capacidad de lectura y escritura según sea necesario. Se produce un error en el control si la tabla utiliza el modo de capacidad bajo demanda o el modo aprovisionado con el escalado automático configurado. De manera predeterminada, este control solo requiere que se configure uno de estos modos, independientemente de los niveles específicos de la capacidad de lectura o escritura. De manera opcional, puede proporcionar valores personalizados de parámetros para requerir niveles específicos de la capacidad de lectura y escritura o de utilización objetivo.

Escalar la capacidad en función de la demanda evita limitar las excepciones, lo que ayuda a mantener la disponibilidad de las aplicaciones. Las tablas de DynamoDB en modo de capacidad bajo demanda solo están limitadas por el rendimiento predeterminado de las tablas de DynamoDB. Para aumentar estas cuotas, puede presentar un ticket de soporte con AWS Support. Las tablas de DynamoDB en modo aprovisionado con escalado automático ajustan la capacidad de rendimiento aprovisionada de manera dinámica en respuesta a los patrones de tráfico. Para obtener más información acerca de la limitación de solicitudes de DynamoDB, consulte Limitación controlada de solicitudes y capacidad de ampliación en la Guía para desarrolladores de Amazon DynamoDB.

Corrección

Para habilitar el escalado automático de DynamoDB en tablas existentes en modo de capacidad, consulte Habilitar el escalado automático de DynamoDB en tablas existentes en la Guía para desarrolladores de Amazon DynamoDB.

[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

Categoría: Recuperación > Resiliencia > Respaldos habilitados

Gravedad: media

Tipo de recurso: AWS::DynamoDB::Table

Regla de AWS Config: dynamodb-pitr-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la point-in-time recuperación (PITR) está habilitada para una tabla de Amazon DynamoDB.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La recuperación de point-in-time DynamoDB automatiza las copias de seguridad de las tablas de DynamoDB. Reduce el tiempo de recuperación tras operaciones de borrado o escritura accidentales. Las tablas de DynamoDB que tienen PITR habilitada se pueden restaurar a cualquier momento de los últimos 35 días.

Corrección

Para restaurar una tabla de DynamoDB a un punto en el tiempo, consulte Restauración de una tabla de DynamoDB a un punto en el tiempo en la Guía para desarrolladores de Amazon DynamoDB.

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad: media

Tipo de recurso: AWS::DynamoDB::Cluster

Regla de AWS Config: dax-encryption-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si un clúster de DAX está cifrado en reposo.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco de AWS. El cifrado añade otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que puedan leerse.

Corrección

No puede habilitar o deshabilitar el cifrado en reposo después de haber creado un clúster. Debe volver a crear el clúster para habilitar el cifrado en reposo. Para obtener instrucciones detalladas sobre cómo crear un clúster de DAX con el cifrado en reposo activado, consulte Habilitar el cifrado en reposo mediante la AWS Management Console en la Guía para desarrolladores de Amazon DynamoDB.

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

Categoría: Recuperación > Resiliencia > Respaldos habilitados

Gravedad: media

Tipo de recurso: AWS::DynamoDB::Table

Regla de AWS Config: dynamodb-resources-protected-by-backup-plan

Tipo de programa: Periódico

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

backupVaultLockCheck

El control genera un resultado PASSED si el parámetro está establecido en true y el recurso utiliza el Bloqueo de almacenes de AWS Backup.

Booleano

true o false

Sin valor predeterminado

Este control evalúa si una tabla de Amazon DynamoDB en estado ACTIVE está cubierta por un plan de copias de seguridad. Se produce un error en el control si la tabla de DynamoDB no está cubierta por un plan de copias de seguridad. Si establece el parámetro backupVaultLockCheck en un valor igual a true, el control solo pasa si la tabla de DynamoDB está guardada en un almacén bloqueado de AWS Backup.

AWS Backup es un servicio de copia de seguridad completamente administrado que ayuda a centralizar y automatizar las copias de seguridad de datos en Servicios de AWS. Con AWS Backup, puede crear planes de copias de seguriad para definir los requisitos de sus copias de seguridad, como la frecuencia con la que se va a realizar la copia de seguridad de sus datos y el tiempo durante el que se van a conservar esas copias de seguridad. La inclusión de tablas de DynamoDB en sus planes de copia de seguridad le ayuda a proteger sus datos de pérdidas o eliminaciones involuntarias.

Corrección

Para agregar una tabla de DynamoDB a un plan de copias de seguridad de AWS Backup, consulte Asignación de recursos a un plan de copias de seguridad en la Guía para desarrolladores de AWS Backup.

[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)

Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos

Gravedad: media

Tipo de recurso: AWS::DynamoDB::Table

Regla de AWS Config: dynamodb-table-deletion-protection-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una tabla de Amazon DynamoDB tiene habilitada la protección contra eliminación. Se produce un error en el control si una tabla DynamoDB no tiene habilitada la protección contra eliminación.

Puede proteger una tabla de DynamoDB contra la eliminación accidental con la propiedad de protección contra la eliminación. Habilitar esta propiedad para las tablas ayuda a garantizar que los administradores no eliminen las tablas accidentalmente durante las operaciones habituales de administración. De este modo, evita que se interrumpan las operaciones comerciales normales.

Corrección

Para habilitar la protección contra eliminación de una tabla de DynamoDB, consulte Uso de la protección contra eliminación en la Guía para desarrolladores de Amazon DynamoDB.