기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon DocumentDB 제어
이러한 제어는 Amazon DocumentDB 리소스와 관련이 있습니다.
이러한 컨트롤을 모두 사용할 수 있는 것은 아닙니다. AWS 리전자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.
[DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.
관련 요구 사항: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-3 (6), NIST .800-53.r5 SC-13, .800-53.r5 SC-28, NIST .800-53.r5 SC-28 (1), .800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6) NIST NIST NIST
범주: 보호 > 데이터 보호 > 암호화 data-at-rest
심각도: 중간
리소스 유형: AWS::RDS::DBCluster
AWS Config 규칙: docdb-cluster-encrypted
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 Amazon DocumentDB 클러스터가 저장 시 암호화되는지 확인합니다. Amazon DocumentDB 클러스터가 저장 시 암호화되지 않으면 제어가 실패합니다.
저장 데이터는 일정 기간 동안 영구 비휘발성 스토리지에 저장되는 모든 데이터를 의미합니다. 암호화를 사용하면 이러한 데이터의 기밀을 보호하여 권한이 없는 사용자가 데이터에 액세스할 위험을 줄일 수 있습니다. Amazon DocumentDB 클러스터의 데이터는 추가 보안 계층을 위해 저장 시 암호화되어야 합니다. Amazon DocumentDB는 256비트 고급 암호화 표준 AES (-256) 을 사용하여 () 에 저장된 암호화 키를 사용하여 데이터를 암호화합니다. AWS Key Management Service AWS KMS
이제 Security Hub가 와 통합되었습니다
Amazon DocumentDB 클러스터를 생성할 때 저장 시 암호화를 활성화할 수 있습니다. 클러스터를 생성한 후에는 암호화 설정을 변경할 수 없습니다. 자세한 내용은 Amazon DocumentDB 개발자 안내서의 Amazon DocumentDB 클러스터에 대한 저장 시 암호화 활성화를 참조하십시오.
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
관련 요구 사항NIST: .800-53.r5 SI-12
범주: 복구 > 복원력 > 백업 활성화
심각도: 중간
리소스 유형: AWS::RDS::DBCluster
AWS Config 규칙: docdb-cluster-backup-retention-check
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 유형 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
|
|
백업 보존 기간(일수) |
Integer |
|
|
이 제어는 Amazon DocumentDB 클러스터의 백업 보존 기간이 지정된 기간 이상인지 여부를 확인합니다. 백업 보존 기간이 지정된 기간 미만인 경우 제어가 실패합니다. 백업 보존 기간에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub는 기본값인 7일을 사용합니다.
백업을 통해 보안 사고로부터 더 빠르게 복구하고 시스템의 복원력을 강화할 수 있습니다. Amazon DocumentDB 클러스터의 백업을 자동화하면 시스템을 특정 시점으로 복원하고 가동 중지 시간과 데이터 손실을 최소화할 수 있습니다. Amazon DocumentDB에서 클러스터의 기본 백업 보존 기간은 1일입니다. 이 제어를 통과하려면 이 값을 7일에서 35일 사이의 값으로 늘려야 합니다.
이제 Security Hub가 와 통합되었습니다
Amazon DocumentDB 클러스터의 백업 보존 기간을 변경하려면 Amazon DocumentDB 개발자 안내서의 Amazon DocumentDB 클러스터 수정을 참조하세요. 백업에서 백업 보존 기간을 선택합니다.
[DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.
관련 요구 사항: NIST .800-53.r5 AC-21, .800-53.r5 AC-3, NIST .800-53.r5 AC-3 (7), .800-53.r5 AC-4, NIST .800-53.r5 AC-4 (21), NIST .800-53.r5 SC-7, .800-53.r5 SC-7 (11), .800-53.r5 NIST SC-7 (16), .800-53.r5 SC-7 (20), NIST .800-53.r5 SC-7 (21), .800-53.r5 SC-7 (3), NIST .800-53.r5 SC-7 (9) NIST NIST NIST NIST NIST NIST NIST
범주: 보호 > 보안 네트워크 구성
심각도: 심각
리소스 유형: AWS::RDS::DBClusterSnapshot, AWS::RDS:DBSnapshot
AWS Config 규칙: docdb-cluster-snapshot-public-prohibited
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 Amazon DocumentDB 수동 클러스터 스냅샷이 퍼블릭인지 여부를 확인합니다. 수동 클러스터 스냅샷이 퍼블릭인 경우 제어가 실패합니다.
Amazon DocumentDB 수동 클러스터 스냅샷은 의도한 경우가 아니면 공개해서는 안 됩니다. 암호화되지 않은 수동 스냅샷을 공개로 공유하면 모든 AWS 계정에서 해당 스냅샷을 사용할 수 있습니다. 퍼블릭 스냅샷은 의도하지 않은 데이터 노출을 초래할 수 있습니다.
참고
이 제어는 수동 클러스터 스냅샷을 평가합니다. Amazon DocumentDB 자동 클러스터 스냅샷은 공유할 수 없습니다. 그러나 자동 스냅샷을 복사하여 수동 스냅샷을 생성한 다음 복사본을 공유할 수 있습니다.
이제 Security Hub가 와 통합되었습니다
Amazon DocumentDB 수동 클러스터 스냅샷에 대한 퍼블릭 액세스를 제거하려면 Amazon DocumentDB 개발자 안내서의 스냅샷 공유를 참조하십시오. 프로그래밍 방식으로 Amazon DocumentDB 작업 modify-db-snapshot-attribute을 사용할 수 있습니다. attribute-name를 restore으로 설정하고 values-to-remove을 all로 설정합니다.
[DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch
관련 요구 사항: NIST .800-53.r5 AC-2 (4), .800-53.r5 AC-4 (26), NIST .800-53.r5 AC-6 (9), .800-53.r5 AU-12, .800-53.r5 AU-2, NIST .800-53.r5 AU-3, .800-53.r5 AU-6 (3), NIST .800-53.r5 AU-6 (4), NIST .800-53.r5 CA-7, .800-53.r5 SC-7 (9), NIST .800-53.r5 SI-3 (8), NIST .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST NIST NIST NIST NIST NIST AU-10
범주: 식별 > 로깅
심각도: 중간
리소스 유형: AWS::RDS::DBCluster
AWS Config 규칙: docdb-cluster-audit-logging-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 Amazon DocumentDB 클러스터가 감사 로그를 Amazon Logs에 게시하는지 여부를 확인합니다. CloudWatch 클러스터가 감사 로그를 Logs에 게시하지 않으면 제어가 실패합니다. CloudWatch
Amazon DocumentDB(MongoDB 호환)를 사용하면 클러스터에서 수행된 이벤트를 감사할 수 있습니다. 기록되는 이벤트의 예로는 성공 또는 실패한 인증 시도, 데이터베이스에서 모음 삭제 또는 인덱스 생성이 있습니다. Amazon DocumentDB에서는 기본적으로 감사가 비활성화되어 있으므로 이를 활성화하려면 조치를 취해야 합니다.
이제 Security Hub가 와 통합되었습니다
Amazon DocumentDB 감사 로그를 CloudWatch 로그에 게시하려면 Amazon DocumentDB 개발자 안내서의 감사 활성화를 참조하십시오.
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
관련 요구 사항: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-2, .800-53.r5 CM-2 (2), NIST .800-53.r5 CM-3, .800-53.r5 SC-5 (2) NIST NIST NIST
범주: 보호 > 데이터 보호 > 데이터 삭제 보호
심각도: 중간
리소스 유형: AWS::RDS::DBCluster
AWS Config 규칙: docdb-cluster-deletion-protection-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 Amazon DocumentDB 클러스터의 삭제 방지 기능 활성화 여부를 확인합니다. 클러스터에 삭제 방지 기능이 활성화되지 않은 경우 제어가 실패합니다.
클러스터 삭제 방지를 활성화하면 우발적인 데이터베이스 삭제 또는 권한 없는 사용자에 의한 삭제에 대한 추가 보호 계층이 제공됩니다. 삭제 방지가 활성화되어 있는 동안에는 Amazon DocumentDB 클러스터가 삭제될 수 없습니다. 삭제 요청이 성공하려면 먼저 삭제 방지를 비활성화해야 합니다. Amazon DocumentDB 콘솔에서 클러스터를 생성하면 삭제 방지 기능이 기본적으로 활성화됩니다.
이제 Security Hub가 와 통합되었습니다
기존 Amazon DocumentDB 클러스터에 대한 삭제 방지를 활성화하려면 Amazon DocumentDB 개발자 안내서의 Amazon DocumentDB 클러스터 수정을 참조하십시오. 클러스터 수정 섹션에서 삭제 방지 활성화를 선택합니다.
