As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controles CSPM do Security Hub para Amazon DocumentDB
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon DocumentDB (com compatibilidade com o MongoDB). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB é criptografado em repouso. Esse controle falha se um cluster do Amazon DocumentDB não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Os dados nos clusters do Amazon DocumentDB devem ser criptografados em repouso para uma camada adicional de segurança. O Amazon DocumentDB usa o Advanced Encryption Standard de 256 bits (AES-256) para criptografar seus dados usando chaves de criptografia armazenadas em AWS Key Management Service (AWS KMS).
### Correção
É possível habilitar a criptografia em repouso ao criar um cluster do Amazon DocumentDB. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte [Habilitar criptografia em repouso para um cluster do Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling) no *Guia do desenvolvedor do Amazon DocumentDB*.
## [DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
**Requisitos relacionados:** NIST.800-53.r5 SI-12, PCI DSS v4.0.1/3.2.1
**Categoria:** Recuperação > Resiliência > Backups ativados
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Período mínimo de retenção de backups em dias | Inteiro | `7` para `35` | `7` |
Esse controle verifica se um cluster do Amazon DocumentDB tem um período de retenção de backup maior ou igual ao período de tempo especificado. O controle falhará se o período de retenção de backup for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção de backup, o Security Hub CSPM usa um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. Ao automatizar backups para seus clusters do Amazon DocumentDB, será possível restaurar seus sistemas em um determinado momento e minimizar o tempo de inatividade e a perda de dados. No Amazon DocumentDB, os clusters têm um período de retenção de backup padrão de 1 dia. Isso deve ser aumentado para um valor entre 7 e 35 dias para passar por esse controle.
### Correção
Para alterar o período de retenção de backup para seus clusters do Amazon DocumentDB, consulte [Modificar um cluster do Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) no *Guia do desenvolvedor do Amazon DocumentDB*. Em **Backup**, escolha o período de retenção de backup.
## [DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** crítica
**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um snapshot de cluster manual do Amazon DocumentDB é público. O controle falhará se o snapshot manual do cluster for público.
Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos, a menos que haja razão para tanto. Se você compartilhar um snapshot manual não criptografado como público, isso o disponibilizará para todas as Contas da AWS. Snapshots públicos podem resultar em exposição não intencional de dados.
**nota**
Esse controle avalia os snapshots manuais do cluster. Você não pode compartilhar um snapshot de cluster automatizado do Amazon DocumentDB. Como alternativa, crie um snapshot manual copiando o snapshot automatizado e compartilhe essa cópia.
### Correção
Para remover o acesso público aos snapshots manuais do cluster do Amazon DocumentDB, consulte [Compartilhar um snapshot](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots) no *Guia do desenvolvedor do Amazon DocumentDB*. Programaticamente, você pode usar a operação Amazon DocumentDB `modify-db-snapshot-attribute`. Defina `attribute-name` como `restore` e `values-to-remove` como `all`.
## [DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.3.3
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB publica logs de auditoria no Amazon Logs. CloudWatch O controle falhará se o cluster não publicar registros de auditoria no CloudWatch Logs.
O Amazon DocumentDB (compativel com MongoDB) permite auditar eventos que foram realizados em seu cluster. Exemplos de eventos registrados incluem tentativas de autenticação bem-sucedidas e com falha, eliminação de uma coleção em um banco de dados ou criação de um índice. Por padrão, a auditoria está desativada no Amazon DocumentDB e exige que você tome medidas para habilitá-la.
### Correção
Para publicar os logs de auditoria do Amazon DocumentDB no Logs, consulte [Habilitar a CloudWatch auditoria](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing) no Guia do desenvolvedor do *Amazon* DocumentDB.
## [DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB tem a proteção contra exclusão habilitada. O controle falhará se o cluster não tiver a proteção contra exclusão habilitada.
A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por um usuário não autorizado. Um cluster do Amazon DocumentDB não pode ser excluído enquanto a proteção contra exclusão está habilitada. Primeiro, é necessário desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida. A proteção contra exclusão está habilitada por padrão ao criar um cluster no console do Amazon DocumentDB.
### Correção
Para habilitar a proteção contra exclusão para um cluster do Amazon DocumentDB, consulte [Modificar um cluster do Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) no *Guia do desenvolvedor do Amazon DocumentDB*. Na seção **Modificar cluster**, escolha **Habilitar** para **Proteção contra exclusão**.
## [DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)
**Tipo de programação:** Periódico
**Parâmetros:** `excludeTlsParameters`: `disabled`, `enabled` (não personalizáveis)
Esse controle verifica se um cluster do Amazon DocumentDB requer TLS para conexões com o cluster. O controle falhará se o grupo de parâmetros do cluster associado ao cluster não estiver sincronizado ou se o parâmetro TLS do cluster estiver definido como `disabled` ou `enabled`.
É possível usar o TLS para criptografar a conexão entre uma aplicação e um cluster do Amazon DocumentDB. O uso do TLS pode ajudar a proteger os dados contra interceptação enquanto estiverem em trânsito entre uma aplicação e um cluster do Amazon DocumentDB. A criptografia em trânsito para um cluster do Amazon DocumentDB é gerenciada por meio do parâmetro TLS no grupo de parâmetros de cluster que está associado ao cluster. Ao habilitar a criptografia em trânsito, as conexões seguras usando o TLS são obrigatórias para se conectar ao cluster. Recomendamos usar parâmetros de TLS a seguir: `tls1.2+`, `tls1.3+` e `fips-140-3`.
### Correção
Para obter mais informações sobre a alteração das configurações de TLS para um cluster do Amazon DocumentDB, consulte [Criptografia de dados em trânsito](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html) no *Guia do desenvolvedor do Amazon DocumentDB*.