Amazon Neptune 控 - AWS Security Hub
[Neptune .1] Neptune 資料庫叢集在靜態時應加密[Neptune .2] Neptune 資料庫叢集應將稽核記錄發佈至記錄 CloudWatch [Neptune .3] Neptune DB 叢集快照不應該是公開的[Neptune .4] Neptune 資料庫叢集應啟用刪除保護[Neptune .5] Neptune 資料庫叢集應啟用自動備份[Neptune .6] Neptune 資料庫叢集快照在靜態時應加密[Neptune .7] Neptune 資料庫叢集應啟用 IAM 資料庫身份驗證[Neptune .8] 應將 Neptune 資料庫叢集設定為將標籤複製到快照[Neptune .9] Neptune 資料庫叢集應部署在多個可用區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Neptune 控

這些控制項與 Neptune 資源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊,請參閱 各區域控制項的可用性

[Neptune .1] Neptune 資料庫叢集在靜態時應加密

相關要求:電腦 -53.R5 CA-9 (1)、等級 5 厘米 -3 (6)、奈特.SC-13 SC-28 SC-28

分類:保護 > 資料保護 > 加密 data-at-rest

嚴重性:

資源類型:AWS::RDS::DBCluster

AWS Config 規則:neptune-cluster-encrypted

排程類型:已觸發變更

參數:

此控制項會檢查 Neptune 資料庫叢集是否在靜態時加密。如果 Neptune 資料庫叢集未在靜態時加密,則控制項會失敗。

靜態數據是指任何持續時間存儲在持久性非易失性存儲中的任何數據。加密可協助您保護此類資料的機密性,降低未經授權的使用者存取資料的風險。加密 Neptune DB 叢集可保護您的資料和中繼資料,防止未經授權的存取。它還滿足了生產文件系統 data-at-rest 加密的合規要求。

修補

您可以在建立 Neptune 資料庫叢集時啟用靜態加密。建立叢集後,您無法變更加密設定。如需詳細資訊,請參閱 Neptune 使用者指南中的靜態加密 Neptune 資源

[Neptune .2] Neptune 資料庫叢集應將稽核記錄發佈至記錄 CloudWatch

相關要求:交流電 -2 (4)、交流電四 (26)、奈特 .800-53.R5 交流 -6 (9)、指定交流 -6 (9)、AU-10、尼斯 -53.R5、尼斯 -53.R5、八月五日至五月六日 (3), 日本六月六日 (4), 尼斯 .800-53.R5 澳大利亞 6 (5), 日本七月七日 (1), 尼斯. 800-53.R5 (7), Nist.800-53.5 (7),, 尼斯 .800-53.R5 四 (8), 尼斯特. AU-12 SI-20

類別:識別 > 記錄日誌

嚴重性:

資源類型:AWS::RDS::DBCluster

AWS Config 規則:neptune-cluster-cloudwatch-log-export-enabled

排程類型:已觸發變更

參數:

此控制項可檢查 Neptune 資料庫叢集是否將稽核日誌發佈到 Amazon CloudWatch 日誌。如果 Neptune 資料庫叢集未將稽核記錄發佈至 CloudWatch 記錄,則控制項會失敗。 EnableCloudWatchLogsExport應該設定為Audit

整合了 Amazon Neptune 和 Amazon CloudWatch ,因此您可以收集和分析效能指標。Neptune 會自動將指標傳送至 CloudWatch 警報,也支援 CloudWatch 警示。審核日誌是高度可定制的。當您稽核資料庫時,可以監督資料上的每項作業,並將其記錄到稽核歷程檔中,包括存取哪個資料庫叢集以及存取方式的相關資訊。我們建議您傳送這些記錄檔, CloudWatch 以協助您監視 Neptune 資料庫叢集。

修補

若要將 Neptune 稽核日誌發佈到 CloudWatch 日誌,請參閱 Neptune 使用者指南中的將 Neptune CloudWatch 日誌發佈到 Amazon 日誌。在 [記錄匯出] 區段中,選擇 [稽核]。

[Neptune .3] Neptune DB 叢集快照不應該是公開的

相關要求:指定的要求:AC-21、交流 -3、NIST -53.R5 交流 -3、交流 -3 (7)、奈特 -800-53.R5 交流 4、NIST-53.R5 交流 4 (21)、指定線 -53.R5 交流 -6、五月五日七 (16), 日本七點七 (20), 日本七點七 (20), 日本七點七 (21), 日本七點七 (3), 日本七點七 (3), 西元七七 (4), 日本

分類:保護 > 安全網路設定 > 無法公開存取的資源

嚴重性:嚴重

資源類型:AWS::RDS::DBClusterSnapshot

AWS Config 規則:neptune-cluster-snapshot-public-prohibited

排程類型:已觸發變更

參數:

此控制項會檢查 Neptune 手動資料庫叢集快照集是否為公用。如果 Neptune 手動資料庫叢集快照集為公用,則控制項會失敗。

除非有意,否則 Neptune 資料庫叢集手動快照不應為公用。如果您將未加密的手動快照共用為公用,則所有 AWS 帳戶人都可以使用該快照。公開快照可能會導致非預期的資料暴露。

修補

若要移除 Neptune 手動資料庫叢集快照的公開存取權,請參閱 Neptune 使用者指南中的共用資料庫叢集快照

[Neptune .4] Neptune 資料庫叢集應啟用刪除保護

相關要求:鎳鋅 -53.R5 路卡 -9 (1)、指定 5 公分 (5 公分)、電子信號 -53.R5 公分 (2)、電子顯示器 -53.R5 公分 (3)、電子顯示器 -53.R5 SC-5 (2)

分類:保護 > 資料保護 > 資料刪除保護

嚴重性:

資源類型:AWS::RDS::DBCluster

AWS Config 規則:neptune-cluster-deletion-protection-enabled

排程類型:已觸發變更

參數:

此控制項會檢查 Neptune 資料庫叢集是否已啟用刪除保護。如果 Neptune 資料庫叢集未啟用刪除保護,則控制項會失敗。

啟用叢集刪除保護可提供額外的保護層,防止未經授權的使用者意外刪除資料庫或刪除。啟用刪除保護時,無法刪除 Neptune 資料庫叢集。您必須先停用刪除保護,刪除要求才能成功執行。

修補

若要為現有 Neptune 資料庫叢集啟用刪除保護,請參閱 Amazon Aurora 使用者指南中的使用主控台、CLI 和 API 修改資料庫叢集。

[Neptune .5] Neptune 資料庫叢集應啟用自動備份

相關要求:SI-12

類別:復原 > 復原 > 啟用備份

嚴重性:

資源類型:AWS::RDS::DBCluster

AWS Config 規則:neptune-cluster-backup-retention-check

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值

minimumBackupRetentionPeriod

最短備份保留期 (天)

Integer

7 設定為 35

7

此控制項會檢查 Neptune DB 叢集是否已啟用自動備份,以及備份保留期間是否大於或等於指定的時間範圍。如果 Neptune DB 叢集未啟用備份,或保留期間小於指定的時間範圍,則控制項會失敗。除非您為備份保留期提供自訂參數值,否則 Security Hub 會使用預設值 7 天。

備份可協助您更快速地從安全性事件中復原,並強化系統的復原能力。透過自動化 Neptune DB 叢集的備份,您可以將系統還原到某個時間點,並將停機時間和資料遺失降到最低。

修補

若要啟用自動備份並為 Neptune 資料庫叢集設定備份保留期,請參閱 Amazon RDS 使用者指南中的啟用自動備份。對於 Backup 保留期,請選擇大於或等於 7 的值。

[Neptune .6] Neptune 資料庫叢集快照在靜態時應加密

相關要求:電腦 -53.R5 CA-9 (1)、等級 5 厘米 -3 (6)、奈特.SC-13 SC-28 SC-28

分類:保護 > 資料保護 > 加密 data-at-rest

嚴重性:

資源類型:AWS::RDS::DBClusterSnapshot

AWS Config 規則:neptune-cluster-snapshot-encrypted

排程類型:已觸發變更

參數:

此控制項會檢查 Neptune 資料庫叢集快照集是否在靜態時加密。如果 Neptune 資料庫叢集未在靜態時加密,則控制項會失敗。

靜態數據是指任何持續時間存儲在持久性非易失性存儲中的任何數據。加密可協助您保護此類資料的機密性,降低未經授權使用者存取資料的風險。Neptune DB 叢集快照中的資料應該在靜態時加密,以增加一層安全性。

修補

您無法加密現有的 Neptune 資料庫叢集快照集。相反地,您必須將快照還原到新的資料庫叢集,並在叢集上啟用加密。您可以從加密的叢集建立加密快照。如需指示,請參閱 Neptune 使用指南中的從資料庫叢集快照還原和在 Neptune 中建立資料庫叢集快照。

[Neptune .7] Neptune 資料庫叢集應啟用 IAM 資料庫身份驗證

相關要求:交流 -2 (1)、交流 3 (1)、尼什八達 -53.R5 交流 -3、交流 -3 (15)、奈特.

分類:安全防護 > 安全存取管理 > 無密碼認證

嚴重性:

資源類型:AWS::RDS::DBCluster

AWS Config 規則:neptune-cluster-iam-database-authentication

排程類型:已觸發變更

參數:

此控制項會檢查 Neptune 資料庫叢集是否已啟用 IAM 資料庫驗證。如果未為 Neptune 資料庫叢集啟用 IAM 資料庫驗證,則控制項會失敗。

適用於 Amazon Neptune 資料庫叢集的 IAM 資料庫身份驗證無需在資料庫組態中存放使用者登入資料,因為身份驗證是使用 IAM 從外部管理 啟用 IAM 資料庫身份驗證後,每個請求都必須使用簽 AWS 名版本 4 進行簽署。

修補

根據預設,當您建立 Neptune 資料庫叢集時,會停用 IAM 資料庫驗證。若要啟用它,請參閱 Neptune 使用者指南中的啟用 Neptune 中的 IAM 資料庫身份驗證

[Neptune .8] 應將 Neptune 資料庫叢集設定為將標籤複製到快照

相關要求:鎳碳酸鈣 -9 (1)、微信五公分二 (2)

類別:識別 > 庫存 > 標籤

嚴重性:

資源類型:AWS::RDS::DBCluster

AWS Config 規則:neptune-cluster-copy-tags-to-snapshot-enabled

排程類型:已觸發變更

參數:

此控制項會檢查 Neptune DB 叢集是否設定為在建立快照時將所有標記複製到快照。如果 Neptune 資料庫叢集未設定為將標籤複製到快照,則控制項會失敗。

識別和清查您的 IT 資產是治理和安全性的關鍵方面。您應該使用與其父系 Amazon RDS 資料庫叢集相同的方式標記快照。複製標籤可確保資料庫快照的中繼資料與父資料庫叢集的中繼資料相符,而資料庫快照的存取原則也符合父資料庫執行個體的存取原則。

修補

若要將標籤複製到 Neptune 資料庫叢集的快照,請參閱 Neptune 使用者指南中的複製 Neptune 中的標籤

[Neptune .9] Neptune 資料庫叢集應部署在多個可用區域

相關要求:指定的 CP-10,電腦 -53.R5 CP-6 (2),日本電腦 800-53.R5 SC-36,日本電腦 -53.R5 SC-5 (2),日期:800-53.R5 SI-13 (5)

分類:復原 > 復原能力 > 高可用性

嚴重性:

資源類型:AWS::RDS::DBCluster

AWS Config 規則:neptune-cluster-multi-az-enabled

排程類型:已觸發變更

參數:

此控制項可檢查 Amazon Neptune 資料庫叢集是否在多個可用區域 (AZ) 中具有僅供讀取複本執行個體。如果叢集僅部署在一個 AZ 中,則控制項會失敗。

如果 AZ 無法使用,且在定期維護事件期間,僅供讀取複本會做為主要執行個體的容錯移轉目標。亦即,如果主要執行個體失敗,則 Neptune 會提升僅供讀取複本以成為主要執行個體。相反地,如果您的資料庫叢集不包含任何僅供讀取複本執行個體,則當主要執行個體失敗時,資料庫叢集仍無法使用,直到重新建立為止。重新建立主要執行個體所花費的時間比提升僅供讀取複本要長得多。為確保高可用性,建議您建立一或多個僅供讀取複本執行個體,這些執行個體與主執行個體具有相同的資料庫執行個體類別,且位於與主執行個體不同的 AZ 中。

修補

若要在多個 AZ 中部署 Neptune 資料庫叢集,請參閱 Neptune 使用者指南中的 Neptune 資料庫叢集中的僅供讀取複本資料庫執行個體。