Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Amazon DocumentDB
Ces contrôles sont liés aux ressources Amazon DocumentDB.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
Règle AWS Config : docdb-cluster-encrypted
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon DocumentDB est chiffré au repos. Le contrôle échoue si un cluster Amazon DocumentDB n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé y accède. Les données des clusters Amazon DocumentDB doivent être chiffrées au repos pour renforcer la sécurité. Amazon DocumentDB utilise la norme de chiffrement avancée 256 bits (AES-256) pour chiffrer vos données à l'aide des clés de chiffrement stockées dans (). AWS Key Management Service AWS KMS
Correction
Vous pouvez activer le chiffrement au repos lorsque vous créez un cluster Amazon DocumentDB. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un cluster. Pour plus d'informations, consultez la section Activation du chiffrement au repos pour un cluster Amazon DocumentDB dans le manuel du développeur Amazon DocumentDB.
[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate
Exigences connexes : NIST.800-53.R5 SI-12
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
Règle AWS Config : docdb-cluster-backup-retention-check
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Durée minimale de conservation des sauvegardes en jours |
Entier |
|
|
Ce contrôle vérifie si la période de rétention des sauvegardes d'un cluster Amazon DocumentDB est supérieure ou égale à la période spécifiée. Le contrôle échoue si la période de conservation des sauvegardes est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des sauvegardes, Security Hub utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité et à renforcer la résilience de vos systèmes. En automatisant les sauvegardes de vos clusters Amazon DocumentDB, vous serez en mesure de restaurer vos systèmes à un moment précis et de minimiser les temps d'arrêt et les pertes de données. Dans Amazon DocumentDB, la durée de conservation des sauvegardes par défaut des clusters est d'un jour. Ce délai doit être porté à une valeur comprise entre 7 et 35 jours pour passer ce contrôle.
Correction
Pour modifier la période de conservation des sauvegardes pour vos clusters Amazon DocumentDB, consultez la section Modification d'un cluster Amazon DocumentDB dans le manuel du développeur Amazon DocumentDB. Pour Backup, choisissez la période de conservation des sauvegardes.
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
Exigences connexes : NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Critique
Type de ressource :AWS::RDS::DBClusterSnapshot, AWS::RDS:DBSnapshot
Règle AWS Config : docdb-cluster-snapshot-public-prohibited
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un instantané de cluster manuel Amazon DocumentDB est public. Le contrôle échoue si l'instantané manuel du cluster est public.
Un instantané de cluster manuel Amazon DocumentDB ne doit pas être public, sauf indication contraire. Si vous partagez un instantané manuel non chiffré en tant que public, l'instantané est accessible à tous Comptes AWS. Les instantanés publics peuvent entraîner une exposition involontaire des données.
Note
Ce contrôle évalue les instantanés manuels du cluster. Vous ne pouvez pas partager un instantané de cluster automatisé Amazon DocumentDB. Toutefois, vous pouvez créer un instantané manuel en copiant le cliché automatique, puis en partageant la copie.
Correction
Pour supprimer l'accès public aux instantanés de cluster manuels Amazon DocumentDB, consultez la section Partage d'un instantané dans le manuel Amazon DocumentDB Developer Guide. Par programmation, vous pouvez utiliser l'opération Amazon DocumentDB. modify-db-snapshot-attribute Définissez attribute-name comme restore et values-to-remove commeall.
[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch
Exigences connexes : NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
Règle AWS Config : docdb-cluster-audit-logging-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon DocumentDB publie des journaux d'audit sur Amazon CloudWatch Logs. Le contrôle échoue si le cluster ne publie pas les journaux d'audit dans CloudWatch Logs.
Amazon DocumentDB (compatible avec MongoDB) vous permet d'auditer les événements qui ont été effectués dans votre cluster. Les exemples d'événements enregistrés incluent les tentatives d'authentification réussies et celles ayant échoué, la suppression d'une collection dans une base de données ou la création d'un index. Par défaut, l'audit est désactivé dans Amazon DocumentDB et nécessite que vous preniez des mesures pour l'activer.
Correction
Pour publier les journaux d'audit Amazon DocumentDB dans Logs, consultez la CloudWatch section Activation de l'audit dans le manuel Amazon DocumentDB Developer Guide.
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-3, NIST.800-53.R5 SC-5 (2)
Catégorie : Protéger > Protection des données > Protection contre la suppression des données
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
Règle AWS Config : docdb-cluster-deletion-protection-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la protection contre la suppression est activée sur un cluster Amazon DocumentDB. Le contrôle échoue si la protection contre la suppression n'est pas activée sur le cluster.
L'activation de la protection contre la suppression de clusters offre un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par un utilisateur non autorisé. Un cluster Amazon DocumentDB ne peut pas être supprimé tant que la protection contre la suppression est activée. Vous devez d'abord désactiver la protection contre la suppression pour qu'une demande de suppression puisse aboutir. La protection contre la suppression est activée par défaut lorsque vous créez un cluster dans la console Amazon DocumentDB.
Correction
Pour activer la protection contre la suppression pour un cluster Amazon DocumentDB existant, consultez la section Modification d'un cluster Amazon DocumentDB dans le manuel Amazon DocumentDB Developer Guide. Dans la section Modifier le cluster, choisissez Activer la protection contre la suppression.
