As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Amazon Neptune
Esses controles estão relacionados aos recursos do Neptune.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para ter mais informações, consulte Disponibilidade de controles por região.
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : neptune-cluster-encrypted
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de banco de dados do Neptune é criptografado em repouso. O controle falhará se um cluster de banco de dados Neptune não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Criptografar seus clusters de banco de dados Neptune protege seus dados e metadados contra acesso não autorizado. Ele também atende aos requisitos de conformidade para data-at-rest criptografia de sistemas de arquivos de produção.
Correção
Você pode ativar a criptografia em repouso ao criar um cluster de banco de dados do Neptune. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte Criptografar recursos do Neptune em repouso no Guia do usuário do Neptune.
[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-4(5), NIST.800-53.r5 SI-7(8)
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : neptune-cluster-cloudwatch-log-export-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de banco de dados Neptune publica registros de auditoria no Amazon Logs. CloudWatch O controle falhará se um cluster de banco de dados Neptune não publicar registros de auditoria no Logs. CloudWatch EnableCloudWatchLogsExportdeve ser definido comoAudit.
O Amazon Neptune e o CloudWatch Amazon são integrados para que você possa coletar e analisar métricas de desempenho. O Neptune envia métricas automaticamente e também oferece suporte CloudWatch a alarmes. CloudWatch Os registros em log de auditoria são altamente personalizáveis. Quando você audita um banco de dados, cada operação nos dados pode ser monitorada e registrada em log em uma trilha de auditoria, incluindo informações sobre qual cluster de banco de dados é acessado e como. Recomendamos enviar esses registros para ajudá-lo CloudWatch a monitorar seus clusters de banco de dados Neptune.
Correção
Para publicar registros de auditoria do Neptune no Logs, consulte CloudWatch Publicar registros do Neptune no CloudWatch Amazon Logs no Guia do usuário do Neptune. Na seção Exportações de logs, escolha Auditoria.
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Severidade: crítica
Tipo de recurso: AWS::RDS::DBClusterSnapshot
Regra do AWS Config : neptune-cluster-snapshot-public-prohibited
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um instantâneo manual de cluster de banco de dados do Neptune é público. O controle falhará se o instantâneo manual do cluster de banco de dados do Neptune for público.
Um instantâneo manual do cluster de banco de dados Neptune não deve ser público, a menos que pretendido. Se você compartilhar um instantâneo manual não criptografado como público, isso o disponibilizará para todas as Contas da AWS. Instantâneos públicos podem resultar em exposição não intencional de dados.
Correção
Para remover o acesso público aos instantâneos manuais do cluster de banco de dados do Neptune, consulte Compartilhar um instantâneo do cluster do banco de dados no Guia do usuário do Neptune.
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)
Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados
Severidade: baixa
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : neptune-cluster-deletion-protection-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de banco de dados do Neptune tem a proteção contra exclusão habilitada. O controle falhará se o cluster de banco de dados do Neptune não tiver a proteção contra exclusão habilitada.
A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por um usuário não autorizado. O cluster de banco de dados do Neptune não pode ser excluído quando a proteção contra exclusão está habilitada. Primeiro, você deve desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida.
Correção
Para ativar a proteção contra exclusão de um cluster de banco de dados Neptune existente, consulte Modificar o cluster de banco de dados usando o console, a CLI e a API no Guia do usuário do Amazon Aurora.
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
Requisitos relacionados: NIST.800-53.r5 SI-12
Categoria: Recuperação > Resiliência > Backups ativados
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : neptune-cluster-backup-retention-check
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Período mínimo de retenção de backups em dias |
Inteiro |
|
|
Esse controle verifica se um cluster de banco de dados do Neptune tem backups automáticos habilitados e um período de retenção de backups maior ou igual ao período de tempo especificado. O controle falhará se os backups não estiverem habilitados para o cluster de banco de dados do Neptune ou se o período de retenção for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do backup, o Security Hub usará um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. Ao automatizar backups para seus clusters de banco de dados do Neptune você poderá restaurar seus sistemas em um determinado momento e minimizar o tempo de inatividade e a perda de dados.
Correção
Para habilitar backups automatizados e definir um período de retenção de backups para seus clusters de banco de dados do Neptune, consulte Habilitação de backups automatizados no Guia do usuário do Amazon RDS. Em Período de reteção de backup, escolha um valor maior ou igual a 7.
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SC-7(18)
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::RDS::DBClusterSnapshot
Regra do AWS Config : neptune-cluster-snapshot-encrypted
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um instantâneo do cluster de banco de dados Neptune está criptografado em repouso. O controle falhará se um cluster de banco de dados Neptune não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Os dados nos instantâneos de clusters de banco de dados do Neptune devem ser criptografados em repouso para uma camada adicional de segurança.
Correção
Você não pode criptografar um instantâneo existente do cluster de banco de dados Neptune. Em vez disso, você deve restaurar o instantâneo em um novo cluster de banco de dados e habilitar a criptografia no cluster. Assim, você pode restaurar um cluster de banco de dados criptografado do instantâneo criptografado. Para obter instruções, consulte Restaurar a partir de um instantâneo de cluster de banco de dados e Criar um instantâneo de cluster de banco de dados no Neptune no Guia do usuário do Neptune.
[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada
Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : neptune-cluster-iam-database-authentication
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de banco de dados Neptune tem a autenticação de banco de dados IAM habilitada. O controle falhará se a autenticação do banco de dados do IAM não estiver habilitada para um cluster de banco de dados Neptune.
A autenticação do banco de dados do IAM para clusters de banco de dados do Amazon Neptune elimina a necessidade de armazenar as credenciais de usuário na configuração do banco de dados, pois a autenticação é gerenciada externamente usando o IAM. Quando a autenticação do banco de dados do IAM está ativada, cada solicitação precisa ser assinada usando o AWS Signature Version 4.
Correção
Por padrão, a autenticação de banco de dados do IAM está desabilitada quando você cria um cluster de banco de dados do Neptune. Para habilitá-lo, consulte Habilitar a autenticação do banco de dados do IAM no Neptune no Guia do usuário do Neptune.
[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : neptune-cluster-copy-tags-to-snapshot-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de banco de dados Neptune está configurado para copiar todas as tags para instantâneos quando os instantâneos são criados. O controle falhará se um cluster de banco de dados Neptune não estiver configurado para copiar tags para instantâneos.
A identificação e o inventário de seus ativos de TI é um aspecto essencial de governança e segurança. Você deve marcar instantâneos da mesma forma que os clusters de banco de dados do Amazon RDS primário. A cópia de tags garante que os metadados dos DB instantâneos correspondam aos da instância de banco de dados de origem e que quaisquer políticas de acesso do DB instantâneo também correspondam às da instância de banco de dados de origem.
Correção
Para copiar tags em instantâneos para clusters de banco de dados Neptune, consulte Copiar tags no Neptune no Guia do usuário do Neptune.
[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoria: Recuperação > Resiliência > Alta disponibilidade
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : neptune-cluster-multi-az-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de banco de dados do Amazon Neptune tem instâncias de réplica de leitura em várias zonas de disponibilidade (AZs). O controle falhará se o cluster for implantado em apenas uma AZ.
Se uma AZ não estiver disponível e durante eventos de manutenção regulares, as réplicas de leitura servirão como destinos de failover para a instância primária. Ou seja, se a instância principal falhar, o Neptune promoverá uma instância de réplica de leitura para se tornar a instância principal. Por outro lado, se o cluster de banco de dados não incluir nenhuma instância de réplica de leitura, o cluster de banco de dados permanecerá indisponível quando a instância primária falhar até que seja recriada. Recriar a instância primária leva muito mais tempo do que promover uma réplica de leitura. Para garantir a alta disponibilidade, recomendamos criar uma ou mais instâncias de réplica de leitura que tenham a mesma classe de instância de banco de dados da instância primária e estejam localizadas em AZs diferentes da instância primária.
Correção
Para implantar um cluster de banco de dados do Neptune em várias AZs, consulte Instâncias de banco de dados de réplica de leitura em um cluster de banco de dados do Neptune no Guia do usuário do Neptune.
