Remediación de exposiciones en tablas de DynamoDB - AWSSecurity Hub
Condiciones de configuración incorrecta en DynamoDB

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Remediación de exposiciones en tablas de DynamoDB

AWSSecurity Hub puede generar resultados de exposición para las tablas de DynamoDB.

En la consola de Security Hub, la tabla de DynamoDB involucrada en un resultado de exposición y su información de identificación aparecen en la sección Recursos de los detalles del resultado. De forma programática, puede recuperar los detalles de los recursos con el GetFindingsV2funcionamiento de la API CSPM de Security Hub.

Después de identificar el recurso involucrado en un resultado de exposición, puede eliminar el recurso si no lo necesita. Eliminar un recurso no esencial puede reducir su perfil de exposición y sus costes. AWS Si el recurso es esencial, siga estos pasos de remediación recomendados para ayudar a mitigar el riesgo. Los temas de remediación se dividen según el tipo de condición.

Un único resultado de exposición puede incluir problemas identificados en varios temas de remediación. También es posible abordar un resultado de exposición y disminuir su nivel de gravedad con solo tratar uno de los temas de remediación. El enfoque de remediación adecuado depende de los requisitos y cargas de trabajo de la organización.

nota

La guía de remediación que se proporciona en este tema puede requerir consultas adicionales en otros AWS recursos.

Condiciones de configuración incorrecta en DynamoDB

La siguiente información describe las condiciones de configuración incorrecta y los pasos de remediación para tablas de DynamoDB.

La recuperación de la tabla de DynamoDB está deshabilitada point-in-time

Habilitar la recuperación de DynamoDB point-in-time

La recuperación de point-in-time DynamoDB proporciona copias de seguridad automatizadas y continuas de los datos de las tablas de DynamoDB. Para obtener información sobre cómo restaurar una tabla de DynamoDB a un punto en el tiempo, consulte Cómo restaurar una tabla de DynamoDB a un punto en el tiempo en la Guía del usuario de Amazon DynamoDB.

La tabla de DynamoDB no está cubierta por un plan de copias de seguridad

AWSBackup proporciona un servicio centralizado para configurar, administrar y automatizar las copias de seguridad en todos AWS los servicios, incluido DynamoDB. Sin un plan de copias de seguridad, la tabla carece de copias de seguridad programadas y automatizadas con periodos de retención personalizables, lo que genera riesgos de seguridad significativos. Un atacante podría corromper o eliminar maliciosamente los datos de la tabla. Sin las copias de seguridad adecuadas, es posible que no tenga ninguna opción de recuperación más allá de la ventana de Point-in-Time recuperación (si está habilitada), lo que podría provocar una pérdida permanente de datos. Según las prácticas recomendadas de protección de datos, recomendamos proteger las tablas de DynamoDB con un plan de copias de seguridad.

Creación de plan de copia de seguridad

Antes de crear un plan de copias de seguridad, determine una frecuencia de copia de seguridad adecuada y los periodos de retención de los datos. Para obtener información sobre cómo crear un plan de copias de seguridad, consulte Asignación de recursos a un plan de copias de seguridad en la Guía del usuario de Amazon DynamoDB.

La tabla de DynamoDB tiene la protección contra eliminación desactivada

La protección contra eliminación evita el borrado accidental de tablas de DynamoDB. Cuando la protección contra eliminación está desactivada, las tablas de DynamoDB son vulnerables a eliminaciones no intencionadas mediante acciones en la consola, llamadas a la API, comandos de la CLI o procesos automatizados. Esto puede exponer su AWS entorno a la pérdida de datos, ya que una entidad no autorizada con acceso a su AWS entorno podría eliminar tablas de forma intencionada, lo que provocaría una interrupción del servicio y una pérdida permanente de datos. Según las prácticas recomendadas de protección de datos, recomendamos habilitar la protección contra eliminación para las tablas de DynamoDB.

Habilitar la protección de eliminación

Si administra varias tablas, considere la posibilidad de utilizarlas CloudFormation para actualizar las propiedades de las tablas de forma masiva. Puedes modificar tus CloudFormation plantillas para incluir DeletionProtectionEnabled propiedades y actualizar tus pilas. Después de completar la remediación, verifique que la protección contra eliminación esté habilitada en el menú desplegable Información adicional en la pestaña Configuración.