Controles do Security Hub para o AWS Database Migration Service - AWS Security Hub
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas[DMS.2] Os certificados do DMS devem ser marcados[DMS.3] As assinaturas de eventos do DMS devem ser marcadas[DMS.4] As instâncias de replicação do DMS devem ser marcadas[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado[DMS.9] Os endpoints do DMS devem usar SSL[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade

Controles do Security Hub para o AWS Database Migration Service

Esses controles do AWS Security Hub CSPM avaliam os recursos do AWS Database Migration Service (AWS DMS) e do AWS DMS. Os controles podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9), PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4

Categoria: Proteger > Configuração de rede segura

Gravidade: crítica

Tipo de recurso: AWS::DMS::ReplicationInstance

AWS Config Regra: dms-replication-not-public

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se as instâncias de replicação do AWS DMS são públicas. Para fazer isso, ele examina o valor do campo PubliclyAccessible.

Uma instância de replicação privada tem um endereço IP privado que não pode ser acessado fora da rede de replicação. Uma instância de replicação deve ter um endereço IP privado quando os bancos de dados de origem e de destino ficam na mesma rede. A rede também deve estar conectada à VPC da instância de replicação usando uma VPN, Direct Connect ou emparelhamento de VPC. Para saber mais sobre instâncias de replicação públicas e privadas, consulte Instâncias de replicação públicas e privadas no Guia do usuário do AWS Database Migration Service.

Você também deve garantir que o acesso à configuração da sua instância do AWS DMS seja limitado somente aos usuários autorizados. Para fazer isso, restrinja as permissões do IAM dos usuários para modificar configurações e recursos do AWS DMS.

Correção

Você não pode alterar a configuração de acesso público de uma instância de replicação do DMS depois de criá-la. Para alterar a configuração de acesso público, exclua sua instância atual e, em seguida, recrie-a. Não selecione a opção Acessível ao público.

[DMS.2] Os certificados do DMS devem ser marcados

Categoria: Identificar > Inventário > Marcação

Gravidade: baixa

Tipo de recurso: AWS::DMS::Certificate

Regra AWS Config: tagged-dms-certificate (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub
requiredTagKeys A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. StringList (máximo de 6 itens) 1 a 6 chaves de tag que atendam aos requisitos da AWS. No default value

Esse controle verifica se um certificado do AWS DMS tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o certificado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o certificado não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.

nota

Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.

Correção

Para adicionar tags a um certificado do DMS, consulte Tagging resources in AWS Database Migration Service no AWS Database Migration Service User Guide.

[DMS.3] As assinaturas de eventos do DMS devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Gravidade: baixa

Tipo de recurso: AWS::DMS::EventSubscription

Regra AWS Config: tagged-dms-eventsubscription (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub
requiredTagKeys A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. StringList (máximo de 6 itens) 1 a 6 chaves de tag que atendam aos requisitos da AWS. No default value

Esse controle verifica se uma assinatura de eventos do AWS DMS tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se a assinatura de eventos não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a assinatura de eventos não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.

nota

Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.

Correção

Para adicionar tags a uma assinatura de eventos do DMS, consulte Tagging resources in AWS Database Migration Service no AWS Database Migration Service User Guide.

[DMS.4] As instâncias de replicação do DMS devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Gravidade: baixa

Tipo de recurso: AWS::DMS::ReplicationInstance

Regra AWS Config: tagged-dms-replicationinstance (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub
requiredTagKeys A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. StringList (máximo de 6 itens) 1 a 6 chaves de tag que atendam aos requisitos da AWS. No default value

Esse controle verifica se uma instância de replicação do AWS DMS tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se a instância de replicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a instância de replicação não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.

nota

Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.

Correção

Para adicionar tags a uma instância de replicação do DMS, consulte Tagging resources in AWS Database Migration Service no AWS Database Migration Service User Guide.

[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

Categoria: Identificar > Inventário > Marcação

Gravidade: baixa

Tipo de recurso: AWS::DMS::ReplicationSubnetGroup

Regra AWS Config: tagged-dms-replicationsubnetgroup (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub
requiredTagKeys A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. StringList (máximo de 6 itens) 1 a 6 chaves de tag que atendam aos requisitos da AWS. No default value

Esse controle verifica se um grupo de sub-redes de replicação do AWS DMS tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o grupo de sub-redes de replicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de sub-redes de replicação não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.

nota

Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.

Correção

Para adicionar tags a um grupo de sub-redes de replicação do DMS, consulte Tagging resources in AWS Database Migration Service no AWS Database Migration Service User Guide.

[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada

Requisitos relacionados: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões

Gravidade: média

Tipo de recurso: AWS::DMS::ReplicationInstance

AWS Config Regra: dms-auto-minor-version-upgrade-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a atualização automática de versões secundárias está habilitada para uma instância de replicação do AWS DMS. Esse controle falha se a atualização automática de versões secundárias não estiver habilitada para uma instância de replicação do DMS.

O DMS fornece upgrade automático de versões secundárias para cada mecanismo de replicação com suporte, para que você possa manter em estado atualizado sua instância de replicação. Versões secundárias podem introduzir novos atributos de software, correções de bugs, patches de segurança e melhorias de performance. Ao habilitar a atualização automática de versões secundárias em instâncias de replicação do DMS, atualizações menores são aplicadas automaticamente durante a janela de manutenção ou imediatamente se a opção Aplicar alterações imediatamente for escolhida.

Correção

Para habilitar a atualização automática de versões secundárias em instâncias de replicação do DMS, consulte Modificar uma instância de replicação no Guia do usuário do AWS Database Migration Service.

[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado

Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.4.2

Categoria: Identificar > Registro em log

Gravidade: média

Tipo de recurso: AWS::DMS::ReplicationTask

AWS Config Regra: dms-replication-task-targetdb-logging

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o registro em log está habilitado com o nível mínimo de gravidade de LOGGER_SEVERITY_DEFAULT para as tarefas de replicação do DMS TARGET_APPLY e TARGET_LOAD. O controle falhará se o registro em log não estiver habilitado para essas tarefas ou se o nível mínimo de gravidade for menor que LOGGER_SEVERITY_DEFAULT.

O DMS usa o Amazon CloudWatch para registrar informações de tarefas em log durante o processo de migração. Usando as configurações de tarefa de registro, você pode especificar quais atividades de componente serão registradas e qual quantidade de informações será gravada no log. É necessário especificar o registro das seguintes tarefas:

  • TARGET_APPLY: as afirmações de dados e linguagem de definição de dados (DDL) são aplicadas ao banco de dados de destino.

  • TARGET_LOAD: os dados são carregados no banco de dados de destino.

O registro em log desempenha um papel fundamental nas tarefas de replicação do DMS, permitindo monitoramento, solução de problemas, auditoria, análise de performance, detecção e recuperação de erros, bem como análises e relatórios históricos. Ele ajuda a garantir a replicação bem-sucedida de dados entre bancos de dados, mantendo a integridade dos dados e a conformidade com os requisitos normativos. Níveis de registro em log diferentes de DEFAULT raramente são necessários para esses componentes durante a solução de problemas. Recomendamos manter o nível de registro em log como DEFAULT para esses componentes, a menos que seja especificamente solicitado alterá-lo por Suporte. Um nível mínimo de registro em log de DEFAULT garante que mensagens informativas, avisos e mensagens de erro sejam gravadas nos logs. Esse controle verifica se o nível de registro em log é pelo menos um dos seguintes para as tarefas de replicação anteriores: LOGGER_SEVERITY_DEFAULT, LOGGER_SEVERITY_DEBUG ou LOGGER_SEVERITY_DETAILED_DEBUG.

Correção

Para ativar o registro em log para tarefas de replicação do DMS do banco de dados de destino, consulte Visualizar e gerenciar logs de tarefas de AWS DMS no Guia do usuário do AWS Database Migration Service.

[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado

Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.4.2

Categoria: Identificar > Registro em log

Gravidade: média

Tipo de recurso: AWS::DMS::ReplicationTask

AWS Config Regra: dms-replication-task-sourcedb-logging

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o registro em log está habilitado com o nível mínimo de gravidade de LOGGER_SEVERITY_DEFAULT para as tarefas de replicação do DMS SOURCE_CAPTURE e SOURCE_UNLOAD. O controle falhará se o registro em log não estiver habilitado para essas tarefas ou se o nível mínimo de gravidade for menor que LOGGER_SEVERITY_DEFAULT.

O DMS usa o Amazon CloudWatch para registrar informações de tarefas em log durante o processo de migração. Usando as configurações de tarefa de registro, você pode especificar quais atividades de componente serão registradas e qual quantidade de informações será gravada no log. É necessário especificar o registro das seguintes tarefas:

  • SOURCE_CAPTURE: os dados de replicação contínua ou captura de dados de alteração (CDC) são capturados do banco de dados ou serviço de origem e passados para o componente de serviço SORTER.

  • SOURCE_UNLOAD: os dados são descarregados do banco de dados ou serviço de origem durante a carga total.

O registro em log desempenha um papel fundamental nas tarefas de replicação do DMS, permitindo monitoramento, solução de problemas, auditoria, análise de performance, detecção e recuperação de erros, bem como análises e relatórios históricos. Ele ajuda a garantir a replicação bem-sucedida de dados entre bancos de dados, mantendo a integridade dos dados e a conformidade com os requisitos normativos. Níveis de registro em log diferentes de DEFAULT raramente são necessários para esses componentes durante a solução de problemas. Recomendamos manter o nível de registro em log como DEFAULT para esses componentes, a menos que seja especificamente solicitado alterá-lo por Suporte. Um nível mínimo de registro em log de DEFAULT garante que mensagens informativas, avisos e mensagens de erro sejam gravadas nos logs. Esse controle verifica se o nível de registro em log é pelo menos um dos seguintes para as tarefas de replicação anteriores: LOGGER_SEVERITY_DEFAULT, LOGGER_SEVERITY_DEBUG ou LOGGER_SEVERITY_DETAILED_DEBUG.

Correção

Para ativar o registro em log para tarefas de replicação do DMS do banco de dados de origem, consulte Visualizar e gerenciar logs de tarefas de AWS DMS no Guia do usuário do AWS Database Migration Service.

[DMS.9] Os endpoints do DMS devem usar SSL

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), PCI DSS v4.0.1/4.2.1

Categoria: Proteger > Proteção de dados > Criptografia de dados em trânsito

Gravidade: média

Tipo de recurso: AWS::DMS::Endpoint

AWS Config Regra: dms-endpoint-ssl-configured

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um endpoint do AWS DMS usa uma conexão SSL. O controle falhará se o endpoint não usar SSL.

As conexões SSL/TLS fornecem uma camada de segurança criptografando conexões entre as instâncias de replicação DMS e seu banco de dados. O uso de um certificado fornece uma camada extra de segurança, validando se a conexão está sendo feita com o banco de dados esperado. Para isso, ele verifica o certificado de servidor que é instalado automaticamente em todas as instâncias de banco de dados que você provisiona. Ao habilitar a conexão SSL em seus endpoints do DMS, você protege a confidencialidade dos dados durante a migração.

Correção

Para adicionar uma conexão SSL a um endpoint do DMS novo ou existente, consulte Usar SSL com AWS Database Migration Service no Guia do usuário do AWS Database Migration Service.

[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada

Requisitos relacionados: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-17, NIST.800-53.r5 IA-2, NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1

Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha

Gravidade: média

Tipo de recurso: AWS::DMS::Endpoint

AWS Config Regra: dms-neptune-iam-authorization-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um endpoint do AWS DMS para um banco de dados Amazon Neptune está configurado com a autorização do IAM. O controle falhará se o endpoint do DMS não tiver a autorização do IAM habilitada.

O AWS Identity and Access Management (IAM) fornece um controle de acesso granular em toda a AWS. Com o IAM, você pode especificar quem pode acessar quais serviços e recursos e em quais condições. Com as políticas do IAM, você gerencia as permissões da força de trabalho e dos sistemas para garantir permissões com privilégio mínimo. Habilitando a autorização do IAM nos endpoints do AWS DMS para os bancos de dados Neptune, você pode conceder privilégios de autorização aos usuários do IAM usando um perfil de serviço especificado pelo parâmetro ServiceAccessRoleARN.

Correção

Para habilitar a autorização do IAM em endpoints do DMS para bancos de dados Neptune, consulte Using Amazon Neptune as a target for AWS Database Migration Service no AWS Database Migration Service User Guide.

[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado

Requisitos relacionados: NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6, NIST.800-53.r5 IA-2, NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1

Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha

Gravidade: média

Tipo de recurso: AWS::DMS::Endpoint

AWS Config Regra: dms-mongo-db-authentication-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um endpoint do AWS DMS para o MongoDB está configurado com um mecanismo de autenticação. O controle falhará se um tipo de autenticação não estiver definido para o endpoint.

O AWS Database Migration Service é compatível com dois métodos de autenticação para MongoDB: MONGODB-CR para o MongoDB versão 2.x e SCRAM-SHA-1 para o MongoDB versão 3.x ou posterior. Esses métodos de autenticação são usados para autenticar e criptografar senhas do MongoDB se os usuários quiserem usá-las para acessar os bancos de dados. A autenticação em endpoints do AWS DMS garante que apenas usuários autorizados possam acessar e modificar os dados migrados entre bancos de dados. Sem a autenticação adequada, usuários não autorizados podem obter acesso a dados confidenciais durante o processo de migração. Isso pode resultar em violações de dados, perda de dados ou outros incidentes de segurança.

Correção

Para habilitar um mecanismo de autenticação em endpoints do DMS para MongoDB, consulte Using MongoDB as a source for AWS DMS no AWS Database Migration Service User Guide.

[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado

Requisitos relacionados: NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-13, PCI DSS v4.0.1/4.2.1

Categoria: Proteger > Proteção de dados > Criptografia de dados em trânsito

Gravidade: média

Tipo de recurso: AWS::DMS::Endpoint

AWS Config Regra: dms-redis-tls-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um endpoint do AWS DMS para o Redis OSS está configurado com uma conexão TLS. O controle falhará se o endpoint não tiver o TLS habilitado.

O TLS fornece segurança de ponta a ponta quando dados são enviados pela Internet entre aplicações ou bancos de dados. Quando você configura a criptografia SSL para o endpoint do DMS, ela permite a comunicação criptografada entre os bancos de dados de origem e de destino durante o processo de migração. Isso ajuda a evitar a espionagem e a interceptação de dados confidenciais por agentes mal-intencionados. Sem a criptografia SSL, dados confidenciais podem ser acessados, resultando em violações de dados, perda de dados ou outros incidentes de segurança.

Correção

Para habilitar uma conexão TLS em endpoints do DMS para o Redis, consulte Using Redis as a target for AWS Database Migration Service no AWS Database Migration Service User Guide.

[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade

Categoria: Recuperação > Resiliência > Alta disponibilidade

Gravidade: média

Tipo de recurso: AWS::DMS::ReplicationInstance

AWS Config Regra: dms-replication-instance-multi-az-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma instância de replicação AWS Database Migration Service (AWS DMS) está configurada para usar várias zonas de disponibilidade (implantação multi-AZ). O controle falhará se a instância de replicação AWS DMS não estiver configurada para usar uma implantação multi-AZ.

Em uma implantação multi-AZ, o AWS DMS provisiona e mantém automaticamente uma réplica em espera de uma instância de replicação em outra zona de disponibilidade (AZ). A instância de replicação primária é então replicada em sincronia para a réplica em espera. Se a instância de replicação primária falhar ou parar de responder, a instância em espera retoma qualquer tarefa em execução com o mínimo de interrupção. Para obter mais informações, consulte Trabalho com uma instância de replicação no Guia do usuário do AWS Database Migration Service.

Correção

Depois de criar uma instância de replicação do AWS DMS, será possível alterar a configuração de implantação multi-AZ para ela. Para obter informações sobre como alterar essa e outras configurações de uma instância de replicação existente, consulte Modificação de uma instância de replicação no Guia do usuário do AWS Database Migration Service.