Controles de Security Hub para DynamoDB
Estos controles de AWS Security Hub CSPM evalúan el servicio Amazon DynamoDB y sus recursos. Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::DynamoDB::Table
AWS Config Regla de: dynamodb-autoscaling-enabled
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados válidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Número mínimo de unidades de capacidad de lectura aprovisionadas para el escalado automático de DynamoDB |
Entero |
|
Sin valor predeterminado |
|
|
Porcentaje de uso objetivo de capacidad de lectura |
Entero |
|
Sin valor predeterminado |
|
|
Número mínimo de unidades de capacidad de escritura aprovisionadas para el escalado automático de DynamoDB |
Entero |
|
Sin valor predeterminado |
|
|
Porcentaje de uso objetivo de capacidad de escritura |
Entero |
|
Sin valor predeterminado |
Este control comprueba si una tabla de Amazon DynamoDB puede escalar su capacidad de lectura y escritura según sea necesario. Se produce un error en el control si la tabla utiliza el modo de capacidad bajo demanda o el modo aprovisionado con el escalado automático configurado. De manera predeterminada, este control solo requiere que se configure uno de estos modos, independientemente de los niveles específicos de la capacidad de lectura o escritura. De manera opcional, puede proporcionar valores personalizados de parámetros para requerir niveles específicos de la capacidad de lectura y escritura o de utilización objetivo.
Escalar la capacidad en función de la demanda evita limitar las excepciones, lo que ayuda a mantener la disponibilidad de las aplicaciones. Las tablas de DynamoDB que usan el modo de capacidad bajo demanda solo están limitadas por las cuotas predeterminadas de rendimiento de las tablas de DynamoDB. Para aumentar estas cuotas, puede presentar una solicitud de soporte con Soporte. Las tablas de DynamoDB que usan el modo aprovisionado con escalado automático ajustan la capacidad de rendimiento aprovisionada de forma dinámica de acuerdo con los patrones de tráfico. Para obtener más información acerca de la limitación de solicitudes de DynamoDB, consulte Limitación controlada de solicitudes y capacidad de ampliación en la Guía para desarrolladores de Amazon DynamoDB.
Corrección
Para habilitar el escalado automático de DynamoDB en tablas existentes en el modo de capacidad, consulte Habilitación de la función Auto Scaling de DynamoDB en tablas existentes en la Guía para desarrolladores de Amazon DynamoDB.
[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación a un momento dado habilitada
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Respaldos habilitados
Gravedad: media
Tipo de recurso: AWS::DynamoDB::Table
AWS Config Regla de: dynamodb-pitr-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la recuperación en un momento dado (PITR) está habilitada para una tabla de Amazon DynamoDB.
Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La recuperación a un momento dado en DynamoDB automatiza las copias de seguridad de las tablas de DynamoDB. Reduce el tiempo de recuperación tras operaciones de borrado o escritura accidentales. Las tablas de DynamoDB que tienen PITR habilitada se pueden restaurar a cualquier momento de los últimos 35 días.
Corrección
Para restaurar una tabla de DynamoDB a un punto en el tiempo, consulte Restauración de una tabla de DynamoDB a un punto en el tiempo en la Guía para desarrolladores de Amazon DynamoDB.
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Categoría: Proteger > Protección de datos > Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::DAX::Cluster
AWS Config Regla de: dax-encryption-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si un clúster de Acelerador de Amazon DynamoDB (DAX) está cifrado en reposo. El control lanza un error si un clúster de DAX no está cifrado en reposo.
El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco de AWS. El cifrado añade otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que puedan leerse.
Corrección
No puede habilitar o deshabilitar el cifrado en reposo después de haber creado un clúster. Debe volver a crear el clúster para habilitar el cifrado en reposo. Para obtener instrucciones detalladas sobre cómo crear un clúster de DAX con el cifrado en reposo activado, consulte Habilitar el cifrado en reposo mediante la Consola de administración de AWS en la Guía para desarrolladores de Amazon DynamoDB.
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Respaldos habilitados
Gravedad: media
Tipo de recurso: AWS::DynamoDB::Table
AWS Config Regla de: dynamodb-resources-protected-by-backup-plan
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
El control genera un resultado |
Booleano |
|
Sin valor predeterminado |
Este control evalúa si una tabla de Amazon DynamoDB en estado ACTIVE está cubierta por un plan de copias de seguridad. Se produce un error en el control si la tabla de DynamoDB no está cubierta por un plan de copias de seguridad. Si establece el parámetro backupVaultLockCheck en un valor igual a true, el control solo pasa si la tabla de DynamoDB está guardada en un almacén bloqueado de AWS Backup.
AWS Backup es un servicio de copia de seguridad completamente administrado que ayuda a centralizar y automatizar las copias de seguridad de datos en Servicios de AWS. Con AWS Backup, puede crear planes de copias de seguriad para definir los requisitos de sus copias de seguridad, como la frecuencia con la que se va a realizar la copia de seguridad de sus datos y el tiempo durante el que se van a conservar esas copias de seguridad. La inclusión de tablas de DynamoDB en sus planes de copia de seguridad le ayuda a proteger sus datos de pérdidas o eliminaciones involuntarias.
Corrección
Para agregar una tabla de DynamoDB a un plan de copias de seguridad de AWS Backup, consulte Asignación de recursos a un plan de copias de seguridad en la Guía para desarrolladores de AWS Backup.
[DynamoDB.5] Las tablas de DynamoDB deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::DynamoDB::Table
Regla de AWS Config: tagged-dynamodb-table (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList: (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. |
No default value
|
Este control comprueba si una tabla de Amazon DynamoDB tiene etiquetas con claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si la tabla no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la tabla no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a una tabla de DynamoDB, consulte Etiquetado de recursos en DynamoDB en la Guía para desarrolladores de Amazon DynamoDB.
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)
Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos
Gravedad: media
Tipo de recurso: AWS::DynamoDB::Table
AWS Config Regla de: dynamodb-table-deletion-protection-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una tabla de Amazon DynamoDB tiene habilitada la protección contra eliminación. Se produce un error en el control si una tabla DynamoDB no tiene habilitada la protección contra eliminación.
Puede proteger una tabla de DynamoDB contra la eliminación accidental con la propiedad de protección contra la eliminación. Habilitar esta propiedad para las tablas ayuda a garantizar que los administradores no eliminen las tablas accidentalmente durante las operaciones habituales de administración. De este modo, evita que se interrumpan las operaciones comerciales normales.
Corrección
Para habilitar la protección contra eliminación de una tabla de DynamoDB, consulte Uso de la protección contra eliminación en la Guía para desarrolladores de Amazon DynamoDB.
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
Requisitos relacionados: NIST.800-53.r5 AC-17, NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, PCI DSS v4.0.1/4.2.1
Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::DAX::Cluster
AWS Config Regla de: dax-tls-endpoint-encryption
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si un clúster de Acelerador de Amazon DynamoDB (DAX) está cifrado en tránsito, con el tipo de cifrado de punto de conexión establecido en TLS. El control lanza un error si el clúster de DAX no está cifrado en tránsito.
Puede utilizar HTTPS (TLS) para ayudarle a evitar posibles ataques de tipo “intermediario”, de espionaje o de manipulación del tráfico de red. Solo debe permitir que conexiones cifradas pasen por TLS para acceder a los clústeres de DAX. Sin embargo, el cifrado de los datos en tránsito puede afectar el rendimiento. Debe probar su aplicación con cifrado para comprender el perfil de rendimiento y el impacto de TLS.
Corrección
No se puede cambiar la configuración de cifrado de TLS después de crear un clúster de DAX. Para cifrar un clúster de DAX existente, cree un nuevo clúster con el cifrado en tránsito habilitado, traslade el tráfico de la aplicación hacia él y, a continuación, elimine el clúster anterior. Para obtener más información, consulte Uso de la protección contra eliminación en la Guía para desarrolladores de Amazon DynamoDB.
