Kontrol Security Hub untuk AWS DMS - AWS Security Hub
[DMS.1] Contoh replikasi Layanan Migrasi Database tidak boleh bersifat publik[DMS.2] DMS sertifikat harus ditandai[DMS.3] langganan DMS acara harus ditandai[DMS.4] contoh DMS replikasi harus ditandai[DMS.5] grup subnet DMS replikasi harus ditandai[DMS.6] contoh DMS replikasi harus mengaktifkan peningkatan versi minor otomatis[DMS.7] tugas DMS replikasi untuk database target seharusnya mengaktifkan logging[DMS.8] tugas DMS replikasi untuk database sumber seharusnya mengaktifkan logging[DMS.9] DMS titik akhir harus digunakan SSL[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM[DMS.11] DMS titik akhir untuk MongoDB harus mengaktifkan mekanisme otentikasi[DMS.12] DMS titik akhir untuk Redis seharusnya diaktifkan OSS TLS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk AWS DMS

Kontrol Security Hub ini mengevaluasi AWS Database Migration Service (AWS DMS) layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[DMS.1] Contoh replikasi Layanan Migrasi Database tidak boleh bersifat publik

Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::DMS::ReplicationInstance

AWS Config aturan: dms-replication-not-public

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah instance AWS DMS replikasi bersifat publik. Untuk melakukan ini, ia memeriksa nilai PubliclyAccessible bidang.

Instance replikasi pribadi memiliki alamat IP pribadi yang tidak dapat Anda akses di luar jaringan replikasi. Sebuah contoh replikasi harus memiliki alamat IP pribadi ketika database sumber dan target berada dalam jaringan yang sama. Jaringan juga harus terhubung ke instance replikasi VPC menggunakanVPN, AWS Direct Connect, atau VPC peering. Untuk mempelajari lebih lanjut tentang instans replikasi publik dan pribadi, lihat Instans replikasi publik dan pribadi di Panduan Pengguna.AWS Database Migration Service

Anda juga harus memastikan bahwa akses ke konfigurasi AWS DMS instans Anda terbatas hanya untuk pengguna yang berwenang. Untuk melakukan ini, batasi IAM izin pengguna untuk mengubah AWS DMS pengaturan dan sumber daya.

Remediasi

Anda tidak dapat mengubah setelan akses publik untuk instance DMS replikasi setelah membuatnya. Untuk mengubah setelan akses publik, hapus instans Anda saat ini, lalu buat ulang. Jangan pilih opsi yang dapat diakses publik.

[DMS.2] DMS sertifikat harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::DMS::Certificate

AWS Config aturan: tagged-dms-certificate (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan No default value

Kontrol ini memeriksa apakah AWS DMS sertifikat memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika sertifikat tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika sertifikat tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke DMS sertifikat, lihat Menandai sumber daya AWS Database Migration Service di Panduan AWS Database Migration Service Pengguna.

[DMS.3] langganan DMS acara harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::DMS::EventSubscription

AWS Config aturan: tagged-dms-eventsubscription (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan No default value

Kontrol ini memeriksa apakah langganan AWS DMS acara memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika langganan acara tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika langganan acara tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke langganan DMS acara, lihat Menandai sumber daya AWS Database Migration Service di Panduan AWS Database Migration Service Pengguna.

[DMS.4] contoh DMS replikasi harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::DMS::ReplicationInstance

AWS Config aturan: tagged-dms-replicationinstance (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan No default value

Kontrol ini memeriksa apakah instance AWS DMS replikasi memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika instance replikasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika instance replikasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke instance DMS replikasi, lihat Menandai sumber daya AWS Database Migration Service di AWS Database Migration Service Panduan Pengguna.

[DMS.5] grup subnet DMS replikasi harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::DMS::ReplicationSubnetGroup

AWS Config aturan: tagged-dms-replicationsubnetgroup (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan No default value

Kontrol ini memeriksa apakah grup subnet AWS DMS replikasi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. requiredTagKeys Kontrol gagal jika grup subnet replikasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. requiredTagKeys Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup subnet replikasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke grup subnet DMS replikasi, lihat Menandai sumber daya AWS Database Migration Service di Panduan Pengguna.AWS Database Migration Service

[DMS.6] contoh DMS replikasi harus mengaktifkan peningkatan versi minor otomatis

Persyaratan terkait: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST

Kategori: Identifikasi > Kerentanan, tambalan, dan manajemen versi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::DMS::ReplicationInstance

AWS Config aturan: dms-auto-minor-version-upgrade-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah upgrade versi minor otomatis diaktifkan untuk instance AWS DMS replikasi. Kontrol gagal jika pemutakhiran versi minor otomatis tidak diaktifkan untuk instance DMS replikasi.

DMSmenyediakan upgrade versi minor otomatis ke setiap mesin replikasi yang didukung sehingga Anda dapat menyimpan instance replikasi Anda. up-to-date Versi minor dapat memperkenalkan fitur perangkat lunak baru, perbaikan bug, patch keamanan, dan peningkatan kinerja. Dengan mengaktifkan pemutakhiran versi minor otomatis pada instance DMS replikasi, peningkatan kecil diterapkan secara otomatis selama jendela pemeliharaan atau segera jika opsi Terapkan segera berubah dipilih.

Remediasi

Untuk mengaktifkan pemutakhiran versi minor otomatis pada instance DMS replikasi, lihat Memodifikasi instance replikasi di Panduan Pengguna.AWS Database Migration Service

[DMS.7] tugas DMS replikasi untuk database target seharusnya mengaktifkan logging

Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::DMS::ReplicationTask

AWS Config aturan: dms-replication-task-targetdb-logging

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan dengan tingkat keparahan minimum LOGGER_SEVERITY_DEFAULT untuk tugas DMS replikasi TARGET_APPLY danTARGET_LOAD. Kontrol gagal jika logging tidak diaktifkan untuk tugas-tugas ini atau jika tingkat keparahan minimum kurang dariLOGGER_SEVERITY_DEFAULT.

DMSmenggunakan Amazon CloudWatch untuk mencatat informasi selama proses migrasi. Menggunakan pengaturan tugas logging, Anda dapat menentukan aktivitas komponen mana yang dicatat dan berapa banyak informasi yang dicatat. Anda harus menentukan pencatatan untuk tugas-tugas berikut:

  • TARGET_APPLY— Pernyataan bahasa definisi data dan data (DDL) diterapkan ke database target.

  • TARGET_LOAD— Data dimuat ke database target.

Logging memainkan peran penting dalam tugas DMS replikasi dengan memungkinkan pemantauan, pemecahan masalah, audit, analisis kinerja, deteksi kesalahan, dan pemulihan, serta analisis historis dan pelaporan. Ini membantu memastikan keberhasilan replikasi data antar database sambil menjaga integritas data dan kepatuhan terhadap persyaratan peraturan. Level logging selain DEFAULT jarang diperlukan untuk komponen ini selama pemecahan masalah. Kami merekomendasikan untuk menjaga tingkat logging seperti DEFAULT untuk komponen ini kecuali secara khusus diminta untuk mengubahnya AWS Support. Tingkat logging minimal DEFAULT memastikan bahwa pesan informasi, peringatan, dan pesan kesalahan ditulis ke log. Kontrol ini memeriksa apakah tingkat logging setidaknya salah satu dari yang berikut untuk tugas replikasi sebelumnya:LOGGER_SEVERITY_DEFAULT,, LOGGER_SEVERITY_DEBUG atau. LOGGER_SEVERITY_DETAILED_DEBUG

Remediasi

Untuk mengaktifkan pencatatan tugas DMS replikasi basis data target, lihat Melihat dan mengelola log AWS DMS tugas di Panduan AWS Database Migration Service Pengguna.

[DMS.8] tugas DMS replikasi untuk database sumber seharusnya mengaktifkan logging

Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::DMS::ReplicationTask

AWS Config aturan: dms-replication-task-sourcedb-logging

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan dengan tingkat keparahan minimum LOGGER_SEVERITY_DEFAULT untuk tugas DMS replikasi SOURCE_CAPTURE danSOURCE_UNLOAD. Kontrol gagal jika logging tidak diaktifkan untuk tugas-tugas ini atau jika tingkat keparahan minimum kurang dariLOGGER_SEVERITY_DEFAULT.

DMSmenggunakan Amazon CloudWatch untuk mencatat informasi selama proses migrasi. Menggunakan pengaturan tugas logging, Anda dapat menentukan aktivitas komponen mana yang dicatat dan berapa banyak informasi yang dicatat. Anda harus menentukan pencatatan untuk tugas-tugas berikut:

  • SOURCE_CAPTURE— Replikasi yang sedang berlangsung atau perubahan data capture (CDC) data diambil dari database sumber atau layanan, dan diteruskan ke komponen SORTER layanan.

  • SOURCE_UNLOAD— Data diturunkan dari database sumber atau layanan selama pemuatan penuh.

Logging memainkan peran penting dalam tugas DMS replikasi dengan memungkinkan pemantauan, pemecahan masalah, audit, analisis kinerja, deteksi kesalahan, dan pemulihan, serta analisis historis dan pelaporan. Ini membantu memastikan keberhasilan replikasi data antar database sambil menjaga integritas data dan kepatuhan terhadap persyaratan peraturan. Level logging selain DEFAULT jarang diperlukan untuk komponen ini selama pemecahan masalah. Kami merekomendasikan untuk menjaga tingkat logging seperti DEFAULT untuk komponen ini kecuali secara khusus diminta untuk mengubahnya AWS Support. Tingkat logging minimal DEFAULT memastikan bahwa pesan informasi, peringatan, dan pesan kesalahan ditulis ke log. Kontrol ini memeriksa apakah tingkat logging setidaknya salah satu dari yang berikut untuk tugas replikasi sebelumnya:LOGGER_SEVERITY_DEFAULT,, LOGGER_SEVERITY_DEBUG atau. LOGGER_SEVERITY_DETAILED_DEBUG

Remediasi

Untuk mengaktifkan pencatatan tugas DMS replikasi basis data sumber, lihat Melihat dan mengelola log AWS DMS tugas di Panduan AWS Database Migration Service Pengguna.

[DMS.9] DMS titik akhir harus digunakan SSL

Persyaratan terkait: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)

Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::DMS::Endpoint

AWS Config aturan: dms-endpoint-ssl-configured

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah AWS DMS titik akhir menggunakan SSL koneksi. Kontrol gagal jika titik akhir tidak digunakanSSL.

SSL/TLSkoneksi menyediakan lapisan keamanan dengan mengenkripsi koneksi antara instance DMS replikasi dan database Anda. Menggunakan sertifikat memberikan lapisan keamanan tambahan dengan memvalidasi bahwa koneksi sedang dibuat ke database yang diharapkan. Ia melakukannya dengan memeriksa sertifikat server yang secara otomatis diinstal pada semua instance database yang Anda berikan. Dengan mengaktifkan SSL koneksi pada DMS titik akhir Anda, Anda melindungi kerahasiaan data selama migrasi.

Remediasi

Untuk menambahkan SSL sambungan ke DMS titik akhir baru atau yang sudah ada, lihat Menggunakan SSL dengan AWS Database Migration Service di Panduan AWS Database Migration Service Pengguna.

[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM

Persyaratan terkait: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-1 7, NIST.800-53.r5 IA-2, NIST.800-53.r5 IA-5

Kategori: Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::DMS::Endpoint

AWS Config aturan: dms-neptune-iam-authorization-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah AWS DMS titik akhir untuk database Amazon Neptunus dikonfigurasi dengan otorisasi. IAM Kontrol gagal jika DMS titik akhir tidak mengaktifkan IAM otorisasi.

AWS Identity and Access Management (IAM) menyediakan kontrol akses berbutir halus di seluruh. AWS DenganIAM, Anda dapat menentukan siapa yang dapat mengakses layanan dan sumber daya mana, dan dalam kondisi apa. Dengan IAM kebijakan, Anda mengelola izin untuk tenaga kerja dan sistem Anda untuk memastikan izin hak istimewa paling sedikit. Dengan mengaktifkan IAM otorisasi pada titik AWS DMS akhir untuk database Neptunus, Anda dapat memberikan hak otorisasi kepada IAM pengguna dengan menggunakan peran layanan yang ditentukan oleh parameter. ServiceAccessRoleARN

Remediasi

Untuk mengaktifkan IAM otorisasi pada DMS titik akhir untuk database Neptunus, lihat Menggunakan Amazon Neptunus sebagai target dalam Panduan Pengguna. AWS Database Migration ServiceAWS Database Migration Service

[DMS.11] DMS titik akhir untuk MongoDB harus mengaktifkan mekanisme otentikasi

Persyaratan terkait: NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6, NIST.800-53.r5 IA-2, NIST.800-53.r5 IA-5

Kategori: Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::DMS::Endpoint

AWS Config aturan: dms-mongo-db-authentication-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah AWS DMS titik akhir untuk MongoDB dikonfigurasi dengan mekanisme otentikasi. Kontrol gagal jika jenis otentikasi tidak disetel untuk titik akhir.

AWS Database Migration Service mendukung dua metode otentikasi untuk MongoDB- MONGODB-CR untuk MongoDB versi 2.x, dan - -1 untuk MongoDB versi 3.x atau yang lebih baru. SCRAM SHA Metode otentikasi ini digunakan untuk mengautentikasi dan mengenkripsi kata sandi MongoDB jika pengguna ingin menggunakan kata sandi untuk mengakses database. Otentikasi pada AWS DMS titik akhir memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses dan memodifikasi data yang sedang dimigrasi antar database. Tanpa autentikasi yang tepat, pengguna yang tidak sah dapat memperoleh akses ke data sensitif selama proses migrasi. Hal ini dapat mengakibatkan pelanggaran data, kehilangan data, atau insiden keamanan lainnya.

Remediasi

Untuk mengaktifkan mekanisme otentikasi pada DMS titik akhir MongoDB, lihat Menggunakan MongoDB sebagai sumber di Panduan Pengguna. AWS DMSAWS Database Migration Service

[DMS.12] DMS titik akhir untuk Redis seharusnya diaktifkan OSS TLS

Persyaratan terkait: NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3

Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::DMS::Endpoint

AWS Config aturan: dms-redis-tls-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah AWS DMS titik akhir untuk Redis OSS dikonfigurasi dengan koneksiTLS. Kontrol gagal jika titik akhir tidak TLS diaktifkan.

TLSmemberikan end-to-end keamanan ketika data dikirim antara aplikasi atau database melalui internet. Saat Anda mengonfigurasi SSL enkripsi untuk DMS titik akhir Anda, ini memungkinkan komunikasi terenkripsi antara basis data sumber dan target selama proses migrasi. Ini membantu mencegah penyadapan dan intersepsi data sensitif oleh aktor jahat. Tanpa SSL enkripsi, data sensitif dapat diakses, mengakibatkan pelanggaran data, kehilangan data, atau insiden keamanan lainnya.

Remediasi

Untuk mengaktifkan TLS koneksi pada DMS titik akhir Redis, lihat Menggunakan Redis sebagai target AWS Database Migration Service dalam Panduan Pengguna.AWS Database Migration Service