Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli del Security Hub per Amazon DocumentDB
Questi controlli del Security Hub valutano il servizio e le risorse di Amazon DocumentDB (con compatibilità con MongoDB).
Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-7 .800-53.r5 SI-7 (6) NIST
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::RDS::DBCluster
Regola AWS Config : docdb-cluster-encrypted
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Amazon DocumentDB è crittografato a riposo. Il controllo fallisce se un cluster Amazon DocumentDB non è crittografato a riposo.
I dati inattivi si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia consente di proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. I dati nei cluster Amazon DocumentDB devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza. Amazon DocumentDB utilizza l'Advanced Encryption Standard a 256 bit (AES-256) per crittografare i dati utilizzando chiavi di crittografia memorizzate in (). AWS Key Management Service AWS KMS
Correzione
Puoi abilitare la crittografia a riposo quando crei un cluster Amazon DocumentDB. Non è possibile modificare le impostazioni di crittografia dopo aver creato un cluster. Per ulteriori informazioni, consulta Enabling encryption at rest for an Amazon DocumentDB cluster nella Amazon DocumentDB Developer Guide.
[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato
Requisiti correlati: .800-53.r5 SI-12, v4.0.1/3.2.1 NIST PCI DSS
Categoria: Ripristino > Resilienza > Backup abilitati
Gravità: media
Tipo di risorsa: AWS::RDS::DBCluster
Regola AWS Config : docdb-cluster-backup-retention-check
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Periodo minimo di conservazione dei backup in giorni |
Numero intero |
|
|
Questo controllo verifica se un cluster Amazon DocumentDB ha un periodo di conservazione dei backup maggiore o uguale al periodo di tempo specificato. Il controllo fallisce se il periodo di conservazione del backup è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione del backup, Security Hub utilizza un valore predefinito di 7 giorni.
I backup aiutano a ripristinare più rapidamente un incidente di sicurezza e a rafforzare la resilienza dei sistemi. Automatizzando i backup per i cluster Amazon DocumentDB, sarai in grado di ripristinare i sistemi in un determinato momento e ridurre al minimo i tempi di inattività e la perdita di dati. In Amazon DocumentDB, i cluster hanno un periodo di conservazione dei backup predefinito di 1 giorno. Questo periodo deve essere aumentato a un valore compreso tra 7 e 35 giorni per passare questo controllo.
Correzione
Per modificare il periodo di conservazione dei backup per i cluster Amazon DocumentDB, consulta Modifying an Amazon DocumentDB cluster nella Amazon DocumentDB Developer Guide. Per Backup, scegli il periodo di conservazione del backup.
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 v4.0.1/1.4.4 NIST.800-53.r5 SC-7 PCI DSS
Categoria: Protezione > Configurazione di rete protetta
Severità: critica
Tipo di risorsa:, AWS::RDS::DBClusterSnapshot AWS::RDS:DBSnapshot
Regola AWS Config : docdb-cluster-snapshot-public-prohibited
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se uno snapshot manuale del cluster di Amazon DocumentDB è pubblico. Il controllo fallisce se lo snapshot manuale del cluster è pubblico.
Uno snapshot manuale del cluster di Amazon DocumentDB non deve essere pubblico a meno che non sia previsto. Se condividi uno snapshot manuale non crittografato come pubblico, lo snapshot è disponibile per tutti. Account AWS Le istantanee pubbliche possono causare un'esposizione involontaria dei dati.
Nota
Questo controllo valuta le istantanee manuali del cluster. Non puoi condividere uno snapshot del cluster automatizzato di Amazon DocumentDB. Tuttavia, puoi creare uno snapshot manuale copiando lo snapshot automatico e quindi condividerlo.
Correzione
Per rimuovere l'accesso pubblico agli snapshot manuali dei cluster di Amazon DocumentDB, consulta Sharing a snapshot nella Amazon DocumentDB Developer Guide. A livello di codice, puoi utilizzare l'operazione Amazon DocumentDB. modify-db-snapshot-attribute Imposta attribute-name come e comerestore. values-to-remove all
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8), NIST v4.0.1/10.3.3 NIST PCI DSS
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::RDS::DBCluster
Regola AWS Config : docdb-cluster-audit-logging-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Amazon DocumentDB pubblica log di audit su Amazon Logs. CloudWatch Il controllo fallisce se il cluster non pubblica i log di controllo su Logs. CloudWatch
Amazon DocumentDB (con compatibilità con MongoDB) ti consente di controllare gli eventi che sono stati eseguiti nel tuo cluster. Sono esempi di eventi registrati i tentativi di autenticazione riusciti e non riusciti, l'eliminazione di una raccolta in un database o la creazione di un indice. Per impostazione predefinita, il controllo è disabilitato in Amazon DocumentDB e richiede l'intervento dell'utente per abilitarlo.
Correzione
Per pubblicare i log di audit di Amazon DocumentDB su CloudWatch Logs, consulta Enabling auditing nella Amazon DocumentDB Developer Guide.
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
Requisiti correlati: NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
Categoria: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
Gravità: media
Tipo di risorsa: AWS::RDS::DBCluster
Regola AWS Config : docdb-cluster-deletion-protection-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Amazon DocumentDB ha la protezione da eliminazione abilitata. Il controllo fallisce se nel cluster non è abilitata la protezione da eliminazione.
L'attivazione della protezione dall'eliminazione del cluster offre un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un utente non autorizzato. Un cluster Amazon DocumentDB non può essere eliminato mentre la protezione da eliminazione è abilitata. È necessario innanzitutto disabilitare la protezione da eliminazione prima che una richiesta di eliminazione possa avere successo. La protezione da eliminazione è abilitata per impostazione predefinita quando crei un cluster nella console Amazon DocumentDB.
Correzione
Per abilitare la protezione da eliminazione per un cluster Amazon DocumentDB esistente, consulta Modifying an Amazon DocumentDB cluster nella Amazon DocumentDB Developer Guide. Nella sezione Modifica cluster, scegli Abilita la protezione da eliminazione.
