Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Amazon DocumentDB
Estos AWS Security Hub controles evalúan el servicio y los recursos de Amazon DocumentDB (compatible con MongoDB). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte Disponibilidad de los controles por región.
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
Categoría: Proteger > Protección de datos > Cifrado de data-at-rest
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
Regla de AWS Config : docdb-cluster-encrypted
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de Amazon DocumentDB está cifrado en reposo. El control falla si un clúster de Amazon DocumentDB no está cifrado en reposo.
Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado acceda a ellos. Los datos de los clústeres de Amazon DocumentDB deben cifrarse en reposo para ofrecer un nivel de seguridad adicional. Amazon DocumentDB utiliza el estándar de cifrado avanzado de 256 bits (AES-256) para cifrar los datos mediante claves de cifrado almacenadas en AWS Key Management Service (AWS KMS).
Corrección
Puede habilitar el cifrado en reposo al crear un clúster de Amazon DocumentDB. No se puede cambiar la configuración de cifrado después de crear un clúster. Para obtener más información, consulte Habilitar el cifrado en reposo para un clúster de Amazon DocumentDB en la Guía para desarrolladores de Amazon DocumentDB.
[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado
Requisitos relacionados: NIST.800-53.r5 SI-12, PCI DSS v4.0.1/3.2.1
Categoría: Recuperación > Resiliencia > Respaldos habilitados
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
Regla de AWS Config : docdb-cluster-backup-retention-check
Tipo de horario: provocado por un cambio
Parámetros:
Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
---|---|---|---|---|
|
El periodo mínimo de retención de copias de seguridad en días |
Entero |
De |
|
Este control comprueba si un clúster de Amazon DocumentDB tiene un periodo de retención de copias de seguridad superior o igual al periodo especificado. Se produce un error en el control si el periodo de retención de copia de seguridad es inferior al periodo especificado. A menos que se proporcione un valor personalizado de parámetro para el periodo de retención de copia de seguridad, Security Hub utiliza un valor predeterminado de 7 días.
Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad y a reforzar la resiliencia de sus sistemas. Al automatizar las copias de seguridad de los clústeres de Amazon DocumentDB, podrá restaurar los sistemas en un momento determinado y minimizar el tiempo de inactividad y la pérdida de datos. En Amazon DocumentDB, los clústeres tienen un periodo predeterminado de retención de copia de seguridad de 1 día. Debe aumentarse a un valor de entre 7 y 35 días para superar este control.
Corrección
Para cambiar el período de retención de copias de seguridad de sus clústeres de Amazon DocumentDB, consulte Modificación de un clúster de Amazon DocumentDB en la Guía para desarrolladores de Amazon DocumentDB. En Copia de seguridad, elija el periodo de retención de copia de seguridad.
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
Requisitos relacionados: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), PCI DSS NIST.800-53.r5 SC-7 v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoría: Proteger - Configuración de red segura
Gravedad: crítica
Tipo de recurso: AWS::RDS::DBClusterSnapshot
Regla de AWS Config : docdb-cluster-snapshot-public-prohibited
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una instantánea de clúster manual de Amazon DocumentDB es pública. El control falla si la instantánea manual del clúster es pública.
Una instantánea manual de un clúster de Amazon DocumentDB no debe ser pública a menos que se pretenda. Si comparte una instantánea manual sin cifrar públicamente, la instantánea estará disponible para todo Cuentas de AWS. Las instantáneas públicas pueden provocar una exposición no intencionada de los datos.
nota
Este control evalúa las instantáneas de clúster manuales. No se pueden compartir instantáneas automatizadas de un clúster de Amazon DocumentDB. Sin embargo, puede crear una instantánea manual copiando la instantánea automatizada y compartiéndola después.
Corrección
Para eliminar el acceso público a las instantáneas de clústeres manuales de Amazon DocumentDB, consulte Compartir una instantánea en la Guía para desarrolladores de Amazon DocumentDB. Mediante programación, puede utilizar la operación Amazon DocumentDB de modify-db-snapshot-attribute
. Establecer attribute-name
en restore
y values-to-remove
en all
.
[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.3.3
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
Regla de AWS Config : docdb-cluster-audit-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de Amazon DocumentDB publica registros de auditoría en Amazon CloudWatch Logs. El control falla si el clúster no publica los registros de auditoría en CloudWatch Logs.
Amazon DocumentDB (con compatibilidad con MongoDB) le permite auditar eventos que se realizaron en su clúster. Los intentos de autenticación correctos e incorrectos, la eliminación de una colección en una base de datos o la creación de un índice son algunos ejemplos de eventos registrados. De forma predeterminada, la auditoría está deshabilitada en Amazon DocumentDB y requiere que tome medidas para habilitarla.
Corrección
Para publicar los registros de auditoría de Amazon DocumentDB en Logs, consulte Habilitar la auditoría en la Guía para CloudWatch desarrolladores de Amazon DocumentDB.
[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
Regla de AWS Config : docdb-cluster-deletion-protection-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de Amazon DocumentDB tiene habilitada la protección contra eliminación. El control falla si el clúster no tiene habilitada la protección contra eliminación.
La activación de la protección contra la eliminación de clústeres ofrece un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de un usuario no autorizado. No se puede eliminar un clúster de Amazon DocumentDB mientras esté habilitada la protección contra eliminación. Primero debe deshabilitar la protección contra la eliminación para que la solicitud de eliminación se pueda realizar correctamente. La protección contra eliminación se habilita de forma predeterminada cuando crea un clúster mediante la consola de Amazon DocumentDB.
Corrección
Para habilitar la protección contra la eliminación de un clúster de Amazon DocumentDB existente, consulte Modificación de un clúster de Amazon DocumentDB en la Guía para desarrolladores de Amazon DocumentDB. En la sección Modificar el clúster, seleccione Habilitar la Protección contra la eliminación.
[DocumentDb.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
Categoría: Proteger > Protección de datos > Cifrado de data-in-transit
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
Regla de AWS Config : docdb-cluster-encrypted-in-transit
Tipo de programa: Periódico
ParámetrosexcludeTlsParameters
:disabled
, enabled
(no personalizables)
Este control comprueba si un clúster de Amazon DocumentDB requiere TLS para las conexiones al clúster. El control falla si el grupo de parámetros del clúster asociado al clúster no está sincronizado o si el parámetro del clúster de TLS está establecido en o. disabled
enabled
Puede usar TLS para cifrar la conexión entre una aplicación y un clúster de Amazon DocumentDB. El uso de TLS puede ayudar a evitar que los datos sean interceptados mientras los datos están en tránsito entre una aplicación y un clúster de Amazon DocumentDB. El cifrado en tránsito de un clúster de Amazon DocumentDB se administra mediante el parámetro TLS del grupo de parámetros del clúster asociado al clúster. Cuando se habilita el cifrado en tránsito, se requieren conexiones seguras con TLS para conectarse al clúster. Se recomienda utilizar los siguientes parámetros de TLS:tls1.2+
, ytls1.3+
. fips-140-3
Corrección
Para obtener información sobre cómo cambiar la configuración de TLS de un clúster de Amazon DocumentDB, consulte Cifrado de datos en tránsito en la Guía para desarrolladores de Amazon DocumentDB.