As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para AWS DMS
Esses controles do Security Hub avaliam o AWS Database Migration Service (AWS DMS) serviços e recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoria: Proteger > Configuração de rede segura
Severidade: crítica
Tipo de recurso: AWS::DMS::ReplicationInstance
AWS Config regra: dms-replication-not-public
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se AWS DMS as instâncias de replicação são públicas. Para fazer isso, ele examina o valor do campo PubliclyAccessible.
Uma instância de replicação privada tem um endereço IP privado que não pode ser acessado fora da rede de replicação. Uma instância de replicação deve ter um endereço IP privado quando os bancos de dados de origem e de destino ficam na mesma rede. A rede também deve estar conectada à instância de replicação VPC usando umVPN, AWS Direct Connect, ou VPC espiando. Para saber mais sobre instâncias de replicação públicas e privadas, consulte Instâncias de replicação públicas e privadas na AWS Database Migration Service Guia do usuário.
Você também deve garantir que o acesso ao seu AWS DMS a configuração da instância é limitada somente a usuários autorizados. Para fazer isso, restrinja IAM as permissões dos usuários para modificar AWS DMS configurações e recursos.
Correção
Você não pode alterar a configuração de acesso público de uma instância de DMS replicação depois de criá-la. Para alterar a configuração de acesso público, exclua sua instância atual e, em seguida, recrie-a. Não selecione a opção Acessível ao público.
[DMS.2] os DMS certificados devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::DMS::Certificate
AWS Config regra: tagged-dms-certificate (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos |
No default value
|
Esse controle verifica se um AWS DMS O certificado tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o certificado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o certificado não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um DMS certificado, consulte Como marcar recursos em AWS Database Migration Service no AWS Database Migration Service Guia do usuário.
[DMS.3] as assinaturas de DMS eventos devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::DMS::EventSubscription
AWS Config regra: tagged-dms-eventsubscription (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos |
No default value
|
Esse controle verifica se um AWS DMS a assinatura do evento tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a assinatura do evento não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a assinatura do evento não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a uma assinatura de DMS evento, consulte Recursos de marcação em AWS Database Migration Service no AWS Database Migration Service Guia do usuário.
[DMS.4] instâncias de DMS replicação devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::DMS::ReplicationInstance
AWS Config regra: tagged-dms-replicationinstance (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos |
No default value
|
Esse controle verifica se um AWS DMS instância de replicação tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a instância de replicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a instância de replicação não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a uma instância de DMS replicação, consulte Como marcar recursos no AWS Database Migration Service no AWS Database Migration Service Guia do usuário.
[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::DMS::ReplicationSubnetGroup
AWS Config regra: tagged-dms-replicationsubnetgroup (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos |
No default value
|
Esse controle verifica se um AWS DMS o grupo de sub-rede de replicação tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o grupo de sub-redes de replicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro. requiredTagKeys Se o parâmetro requiredTagKeys não for fornecido, o controle somente verificará a existência de uma chave de tag e falhará se o grupo de sub-redes de replicação não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um grupo de sub-redes DMS de replicação, consulte Como marcar recursos no AWS Database Migration Service no AWS Database Migration Service Guia do usuário.
[DMS.6] as instâncias de DMS replicação devem ter a atualização automática de versões secundárias habilitada
Requisitos relacionados: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Severidade: média
Tipo de recurso: AWS::DMS::ReplicationInstance
AWS Config regra: dms-auto-minor-version-upgrade-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se a atualização automática de versões secundárias está habilitada para um AWS DMS instância de replicação. O controle falhará se a atualização automática de versões secundárias não estiver habilitada para uma instância de DMS replicação.
DMSfornece atualização automática de versões secundárias para cada mecanismo de replicação compatível para que você possa manter sua instância de replicação. up-to-date Versões secundárias podem introduzir novos atributos de software, correções de bugs, patches de segurança e melhorias de desempenho. Ao ativar a atualização automática de versões secundárias em instâncias de DMS replicação, atualizações menores são aplicadas automaticamente durante a janela de manutenção ou imediatamente se a opção Aplicar alterações imediatamente for escolhida.
Correção
Para habilitar a atualização automática de versões secundárias em instâncias DMS de replicação, consulte Modificação de uma instância de replicação no AWS Database Migration Service Guia do usuário.
[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::DMS::ReplicationTask
AWS Config regra: dms-replication-task-targetdb-logging
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o registro está habilitado com o nível mínimo de severidade de LOGGER_SEVERITY_DEFAULT para tarefas de DMS replicação TARGET_APPLY e. TARGET_LOAD O controle falhará se o registro em log não estiver habilitado para essas tarefas ou se o nível mínimo de severidade for menor que LOGGER_SEVERITY_DEFAULT.
DMSusa CloudWatch a Amazon para registrar informações durante o processo de migração. Usando as configurações de tarefa de registro, você pode especificar quais atividades de componente serão registradas e qual quantidade de informações será gravada no log. Você deve especificar o registro das seguintes tarefas:
TARGET_APPLY— Os dados e as instruções da linguagem de definição de dados (DDL) são aplicados ao banco de dados de destino.TARGET_LOAD: os dados são carregados no banco de dados de destino.
O registro em log desempenha um papel fundamental nas tarefas de DMS replicação, permitindo monitoramento, solução de problemas, auditoria, análise de desempenho, detecção e recuperação de erros, bem como análises e relatórios históricos. Ele ajuda a garantir a replicação bem-sucedida de dados entre bancos de dados, mantendo a integridade dos dados e a conformidade com os requisitos normativos. Níveis de registro em log diferentes de DEFAULT raramente são necessários para esses componentes durante a solução de problemas. Recomendamos manter o nível de registro como DEFAULT para esses componentes, a menos que seja especificamente solicitado alterá-lo por AWS Support. Um nível mínimo de registro DEFAULT garante que mensagens informativas, avisos e mensagens de erro sejam gravadas nos registros. Esse controle verifica se o nível de registro em log é pelo menos um dos seguintes para as tarefas de replicação anteriores: LOGGER_SEVERITY_DEFAULT, LOGGER_SEVERITY_DEBUG ou LOGGER_SEVERITY_DETAILED_DEBUG.
Correção
Para ativar o registro em log para tarefas de DMS replicação do banco de dados de destino, consulte Visualização e gerenciamento AWS DMS registros de tarefas no AWS Database Migration Service Guia do usuário.
[DMS.8] as tarefas de DMS replicação para o banco de dados de origem devem ter o registro ativado
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::DMS::ReplicationTask
AWS Config regra: dms-replication-task-sourcedb-logging
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o registro está habilitado com o nível mínimo de severidade de LOGGER_SEVERITY_DEFAULT para tarefas de DMS replicação SOURCE_CAPTURE e. SOURCE_UNLOAD O controle falhará se o registro em log não estiver habilitado para essas tarefas ou se o nível mínimo de severidade for menor que LOGGER_SEVERITY_DEFAULT.
DMSusa CloudWatch a Amazon para registrar informações durante o processo de migração. Usando as configurações de tarefa de registro, você pode especificar quais atividades de componente serão registradas e qual quantidade de informações será gravada no log. Você deve especificar o registro das seguintes tarefas:
SOURCE_CAPTURE— Os dados de replicação contínua ou captura de dados de alteração (CDC) são capturados do banco de dados ou serviço de origem e passados para o componenteSORTERde serviço.SOURCE_UNLOAD: os dados são descarregados do banco de dados ou serviço de origem durante a carga total.
O registro em log desempenha um papel fundamental nas tarefas de DMS replicação, permitindo monitoramento, solução de problemas, auditoria, análise de desempenho, detecção e recuperação de erros, bem como análises e relatórios históricos. Ele ajuda a garantir a replicação bem-sucedida de dados entre bancos de dados, mantendo a integridade dos dados e a conformidade com os requisitos normativos. Níveis de registro em log diferentes de DEFAULT raramente são necessários para esses componentes durante a solução de problemas. Recomendamos manter o nível de registro como DEFAULT para esses componentes, a menos que seja especificamente solicitado alterá-lo por AWS Support. Um nível mínimo de registro DEFAULT garante que mensagens informativas, avisos e mensagens de erro sejam gravadas nos registros. Esse controle verifica se o nível de registro em log é pelo menos um dos seguintes para as tarefas de replicação anteriores: LOGGER_SEVERITY_DEFAULT, LOGGER_SEVERITY_DEBUG ou LOGGER_SEVERITY_DETAILED_DEBUG.
Correção
Para habilitar o registro em log para tarefas de DMS replicação do banco de dados de origem, consulte Visualização e gerenciamento AWS DMS registros de tarefas no AWS Database Migration Service Guia do usuário.
[DMS.9] os DMS endpoints devem usar SSL
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::DMS::Endpoint
AWS Config regra: dms-endpoint-ssl-configured
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS DMS O endpoint usa uma SSL conexão. O controle falhará se o endpoint não for usadoSSL.
SSL/TLSas conexões fornecem uma camada de segurança ao criptografar as conexões entre as instâncias de DMS replicação e seu banco de dados. O uso de um certificado fornece uma camada extra de segurança, validando se a conexão está sendo feita com o banco de dados esperado. Para isso, ele verifica o certificado de servidor que é instalado automaticamente em todas as instâncias de banco de dados que você provisiona. Ao habilitar SSL a conexão em seus DMS endpoints, você protege a confidencialidade dos dados durante a migração.
Correção
Para adicionar uma SSL conexão a um DMS endpoint novo ou existente, consulte Usando com SSL AWS Database Migration Service no AWS Database Migration Service Guia do usuário.
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
Requisitos relacionados: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-1 7, NIST.800-53.r5 IA-2, NIST.800-53.r5 IA-5
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
Severidade: média
Tipo de recurso: AWS::DMS::Endpoint
AWS Config regra: dms-neptune-iam-authorization-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS DMS O endpoint para um banco de dados Amazon Neptune é configurado com autorização. IAM O controle falhará se o DMS endpoint não tiver a IAM autorização habilitada.
AWS Identity and Access Management (IAM) fornece controle de acesso refinado em AWS. ComIAM, você pode especificar quem pode acessar quais serviços e recursos e sob quais condições. Com IAM as políticas, você gerencia as permissões para sua força de trabalho e sistemas para garantir permissões com privilégios mínimos. Ao habilitar a IAM autorização em AWS DMS endpoints para bancos de dados Neptune, você pode conceder privilégios de autorização IAM aos usuários usando uma função de serviço especificada pelo parâmetro. ServiceAccessRoleARN
Correção
Para habilitar a IAM autorização em DMS endpoints para bancos de dados Neptune, consulte Usando o Amazon Neptune como destino para AWS Database Migration Service no AWS Database Migration Service Guia do usuário.
[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado
Requisitos relacionados: NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6, NIST.800-53.r5 IA-2, NIST.800-53.r5 IA-5
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
Severidade: média
Tipo de recurso: AWS::DMS::Endpoint
AWS Config regra: dms-mongo-db-authentication-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS DMS O endpoint para MongoDB é configurado com um mecanismo de autenticação. O controle falhará se um tipo de autenticação não estiver definido para o endpoint.
AWS Database Migration Service suporta dois métodos de autenticação para MongoDB: MONGODB-CR para MongoDB versão 2.x e - -1 para MongoDB versão 3.x ou posterior. SCRAM SHA Esses métodos de autenticação são usados para autenticar e criptografar senhas do MongoDB se os usuários quiserem usar as senhas para acessar os bancos de dados. Autenticação em AWS DMS os endpoints garantem que somente usuários autorizados possam acessar e modificar os dados que estão sendo migrados entre bancos de dados. Sem a autenticação adequada, usuários não autorizados podem obter acesso a dados confidenciais durante o processo de migração. Isso pode resultar em violações de dados, perda de dados ou outros incidentes de segurança.
Correção
Para habilitar um mecanismo de autenticação em DMS endpoints para o MongoDB, consulte Usando o MongoDB como fonte para AWS DMS no AWS Database Migration Service Guia do usuário.
[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS
Requisitos relacionados: NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::DMS::Endpoint
AWS Config regra: dms-redis-tls-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS DMS O endpoint para Redis OSS está configurado com uma TLS conexão. O controle falhará se o endpoint não TLS estiver ativado.
TLSfornece end-to-end segurança quando os dados são enviados entre aplicativos ou bancos de dados pela Internet. Quando você configura a SSL criptografia para seu DMS endpoint, ela permite a comunicação criptografada entre os bancos de dados de origem e de destino durante o processo de migração. Isso ajuda a evitar a espionagem e a interceptação de dados confidenciais por agentes mal-intencionados. Sem SSL criptografia, dados confidenciais podem ser acessados, resultando em violações de dados, perda de dados ou outros incidentes de segurança.
Correção
Para habilitar uma TLS conexão em DMS endpoints para o Redis, consulte Usando o Redis como destino para AWS Database Migration Service no AWS Database Migration Service Guia do usuário.
