Amazon DynamoDB 제어 - AWS Security Hub
[DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다.[DynamoDB.2] DynamoDB 테이블에는 복구가 활성화되어 있어야 합니다. point-in-time [DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.[DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.[DynamoDB.5] DynamoDB 테이블에는 태그를 지정해야 합니다.[DynamoDB.6] DynamoDB 테이블에는 삭제 방지 기능이 활성화되어 있어야 합니다.[DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon DynamoDB 제어

이러한 제어는 DynamoDB 리소스와 관련이 있습니다.

이러한 컨트롤을 모두 사용할 수 있는 것은 아닙니다. AWS 리전자세한 정보는 리전별 제어 기능 사용 가능 여부을 참조하세요.

[DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::DynamoDB::Table

AWS Config 규칙: dynamodb-autoscaling-enabled

스케줄 유형: 주기적

파라미터:

파라미터 설명 유형 유효한 사용자 지정 값 Security Hub 기본값

minProvisionedReadCapacity

DynamoDB Auto Scaling에 프로비저닝된 최소 읽기 용량 유닛 수

Integer

1~40000

기본값 없음

targetReadUtilization

읽기 용량의 목표 사용률(%)

Integer

20~90

기본값 없음

minProvisionedWriteCapacity

DynamoDB Auto Scaling에 프로비저닝된 최소 쓰기 용량 유닛 수

Integer

1~40000

기본값 없음

targetWriteUtilization

쓰기 용량의 목표 사용률(%)

Integer

20~90

기본값 없음

이 제어는 Amazon DynamoDB 테이블이 필요에 따라 읽기 및 쓰기 용량을 확장할 수 있는지 여부를 확인합니다. 테이블이 온디맨드 용량 모드 또는 Auto Scaling이 구성된 프로비저닝 모드를 사용하는 경우 이 제어가 실패합니다. 기본적으로 이 제어는 특정 수준의 읽기 또는 쓰기 용량에 관계없이 이러한 모드 중 하나만 구성하면 됩니다. 필요에 따라 특정 수준의 읽기 및 쓰기 용량 또는 목표 사용률을 요구하는 사용자 지정 파라미터 값을 제공할 수 있습니다.

수요에 따라 용량을 확장하면 제한 예외를 방지하여 애플리케이션의 가용성을 유지하는 데 도움이 됩니다. 온디맨드 용량 모드의 DynamoDB 테이블은 DynamoDB 처리량 기본 테이블 할당량에 의해서만 제한됩니다. 할당량을 늘리려면 Auto Scaling을 사용하는 프로비저닝 AWS Support모드에서.DynamoDB 테이블로 지원 티켓을 제출하고 트래픽 패턴에 따라 프로비저닝된 처리 용량을 동적으로 조정하면 됩니다. DynamoDB 요청 제한에 대한 자세한 내용은 Amazon DynamoDB 개발자 안내서요청 제한 및 버스트 용량을 참조하세요.

이제 Security Hub가 와 통합되었습니다

용량 모드에서 기존 테이블에 대해 DynamoDB Auto Scaling을 활성화하려면 Amazon DynamoDB 개발자 안내서기존 테이블에 대한 DynamoDB Auto Scaling 활성화를 참조하십시오.

[DynamoDB.2] DynamoDB 테이블에는 복구가 활성화되어 있어야 합니다. point-in-time

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 백업 활성화

심각도: 중간

리소스 유형: AWS::DynamoDB::Table

AWS Config 규칙: dynamodb-pitr-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon DynamoDB 테이블에 대해 point-in-time 복구 (PITR) 가 활성화되었는지 여부를 확인합니다.

백업을 통해 보안 사고로부터 더 빠르게 복구할 수 있습니다. 또한 시스템의 복원력을 강화합니다. point-in-time DynamoDB 복구는 DynamoDB 테이블의 백업을 자동화합니다. 이는 실수로 인한 삭제 또는 쓰기 작업을 복구하는 데 걸리는 시간을 줄여줍니다. PITR이 활성화된 DynamoDB 테이블은 최근 35일 중 원하는 시점으로 복원할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

DynamoDB 테이블을 특정 시점으로 복원하려면 Amazon DynamoDB 개발자 안내서DynamoDB 테이블을 특정 시점으로 복원을 참조하십시오.

[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

카테고리: 보호 > 데이터 보호 > 암호화 data-at-rest

심각도: 중간

리소스 유형: AWS::DAX::Cluster

AWS Config 규칙: dax-encryption-enabled

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 Amazon DynamoDB 액셀러레이터 (DAX) 클러스터가 유휴 상태에서 암호화되었는지 여부를 확인합니다. DAX 클러스터가 유휴 상태에서 암호화되지 않으면 제어가 실패합니다.

저장된 데이터를 암호화하면 인증되지 않은 사용자가 디스크에 저장된 데이터에 액세스할 위험이 줄어듭니다. AWS암호화는 권한이 없는 사용자가 데이터에 액세스하는 능력을 제한하기 위해 또 다른 액세스 제어 세트를 추가합니다. 예를 들어 데이터를 읽기 전에 해독하려면 API 권한이 필요합니다.

이제 Security Hub가 와 통합되었습니다

클러스터가 생성된 후에는 저장 시 암호화를 활성화하거나 비활성화할 수 없습니다. 저장 시 암호화를 활성화하려면 클러스터를 다시 생성해야 합니다. 저장 시 암호화가 활성화된 DAX 클러스터를 생성하는 방법에 대한 자세한 지침은 Amazon DynamoDB 개발자 안내서AWS Management Console를 사용하여 저장 시 암호화 활성화를 참조하십시오.

[DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 백업 활성화

심각도: 중간

리소스 유형: AWS::DynamoDB::Table

AWS Config 규칙: dynamodb-resources-protected-by-backup-plan

스케줄 유형: 주기적

파라미터:

파라미터 설명 유형 허용된 사용자 지정 값 Security Hub 기본값

backupVaultLockCheck

컨트롤은 매개변수가 로 PASSED 설정되어 true 있고 리소스가 AWS Backup Vault Lock을 사용하는지 여부를 확인합니다.

true 또는 false

기본값 없음

이 제어는 ACTIVE 상태의 Amazon DynamoDB 테이블이 백업 계획에 포함되는지 여부를 평가합니다. DynamoDB 테이블이 백업 계획에 포함되지 않는 경우 제어가 실패합니다. backupVaultLockCheck파라미터를 로 true 설정하면 DynamoDB 테이블이 잠긴 저장소에 백업된 경우에만 제어가 통과합니다. AWS Backup

AWS Backup 데이터 백업을 중앙 집중화하고 자동화하는 데 도움이 되는 완전 관리형 백업 서비스입니다. AWS 서비스를 사용하면 데이터 백업 빈도 및 백업 보존 기간과 같은 백업 요구 사항을 정의하는 백업 계획을 만들 수 있습니다. AWS Backup백업 계획에 DynamoDB 테이블을 포함하면 의도하지 않은 손실이나 삭제로부터 데이터를 보호할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

DynamoDB 테이블을 백업 계획에 추가하려면 개발자 안내서의 백업 계획에 리소스 할당을 참조하십시오. AWS Backup AWS Backup

[DynamoDB.5] DynamoDB 테이블에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::DynamoDB::Table

AWS Config 규칙: tagged-dynamodb-table (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 유형 허용된 사용자 지정 값 Security Hub 기본값
requiredTagKeys 평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록입니다. 태그 키는 대소문자를 구별합니다. StringList 요구 사항을 충족하는AWS 태그 목록 No default value

이 컨트롤은 Amazon DynamoDB 테이블에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다. requiredTagKeys 테이블에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 실패합니다. requiredTagKeys 매개 변수를 requiredTagKeys 제공하지 않으면 컨트롤은 태그 키의 존재 여부만 확인하고 테이블에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 속성 기반 액세스 제어 (ABAC) 를 권한 부여 전략으로 구현할 수 있습니다. IAM 엔티티 (사용자 또는 역할) 및 리소스에 태그를 첨부할 수 있습니다. AWS IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 ABAC의 용도를 참조하십시오. AWSIAM 사용 설명서에서

참고

태그에 개인 식별 정보 (PII) 또는 기타 기밀 또는 민감한 정보를 추가하지 마십시오. 태그를 포함한 많은 사람들이 AWS 서비스태그에 액세스할 수 있습니다. AWS Billing태그 지정 모범 사례에 대한 자세한 내용은 에서 AWS 리소스 태그 지정을 참조하십시오. AWS 일반 참조

이제 Security Hub가 와 통합되었습니다

DynamoDB 테이블에 태그를 추가하려면 Amazon DynamoDB 개발자 안내서의 DynamoDB 리소스 태그 지정을 참조하십시오.

[DynamoDB.6] DynamoDB 테이블에는 삭제 방지 기능이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)

범주: 보호 > 데이터 보호 > 데이터 삭제 보호

심각도: 중간

리소스 유형: AWS::DynamoDB::Table

AWS Config 규칙: dynamodb-table-deletion-protection-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon DynamoDB 테이블의 삭제 방지 기능 활성화 여부를 확인합니다. DynamoDB 테이블에 삭제 방지 기능이 활성화되지 않은 경우 제어가 실패합니다.

삭제 보호 속성을 사용하여 DynamoDB 테이블이 실수로 삭제되지 않도록 보호할 수 있습니다. 테이블에 이 속성을 활성화하면 관리자가 일반적인 테이블 관리 작업을 수행하는 동안 테이블이 실수로 삭제되는 것을 방지할 수 있습니다. 이렇게 하면 정상적인 비즈니스 운영이 중단되는 것을 방지하는 데 도움이 됩니다.

이제 Security Hub가 와 통합되었습니다

DynamoDB 테이블에 대한 삭제 보호를 활성화하려면 Amazon DynamoDB 개발자 안내서삭제 보호 사용을 참조하세요.

[DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-17, NIST.800-53.R5 SC-8, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23

카테고리: 보호 > 데이터 보호 > 암호화 data-in-transit

심각도: 중간

리소스 유형: AWS::DynamoDB::Table

AWS Config 규칙: dax-tls-endpoint-encryption

스케줄 유형: 주기적

파라미터: 없음

이 제어는 엔드포인트 암호화 유형이 TLS로 설정된 상태에서 Amazon DynamoDB 가속기 (DAX) 클러스터가 전송 중에 암호화되는지 여부를 확인합니다. DAX 클러스터가 전송 중에 암호화되지 않으면 제어가 실패합니다.

HTTPS (TLS) 는 잠재적 공격자가 네트워크 트래픽을 도청하거나 조작하기 위해 person-in-the-middle 또는 유사한 공격을 사용하는 것을 방지하는 데 사용할 수 있습니다. TLS를 통한 암호화된 연결만 DAX 클러스터에 액세스하도록 허용해야 합니다. 하지만 전송 데이터를 암호화하면 성능에 영향을 미칠 수 있습니다. 암호화를 켠 상태에서 애플리케이션을 테스트하여 성능 프로필과 TLS의 영향을 파악해야 합니다.

이제 Security Hub가 와 통합되었습니다

DAX 클러스터를 생성한 후에는 TLS 암호화 설정을 변경할 수 없습니다. 기존 DAX 클러스터를 암호화하려면 전송 중 암호화가 활성화된 새 클러스터를 생성하고 애플리케이션의 트래픽을 해당 클러스터로 이동한 다음 이전 클러스터를 삭제하십시오. 자세한 내용은 Amazon DynamoDB 개발자 안내서의 삭제 보호 기능 사용을 참조하세요.