Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Amazon DocumentDB
Ces AWS Security Hub contrôles évaluent le service et les ressources Amazon DocumentDB (compatible avec MongoDB). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
Règle AWS Config : docdb-cluster-encrypted
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon DocumentDB est chiffré au repos. Le contrôle échoue si un cluster Amazon DocumentDB n'est pas chiffré au repos.
Les données au repos font référence à toutes les données qui sont stockées dans un stockage persistant et non volatil pendant toute la durée. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé y accède. Les données des clusters Amazon DocumentDB doivent être chiffrées au repos pour renforcer la sécurité. Amazon DocumentDB utilise la norme de chiffrement avancée (AES-256) pour chiffrer vos données à l'aide des clés de chiffrement stockées dans (). AWS Key Management Service AWS KMS
Correction
Vous pouvez activer le chiffrement au repos lors de la création d'un cluster Amazon DocumentDB. Vous ne pouvez pas modifier les paramètres de chiffrement une fois votre cluster créé. Pour plus d'informations, consultez la section Activation du chiffrement au repos pour un cluster Amazon DocumentDB dans le manuel du développeur Amazon DocumentDB.
[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate
Exigences connexes : NIST.800-53.R5 SI-12, PCI DSS v4.0.1/3.2.1
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
Règle AWS Config : docdb-cluster-backup-retention-check
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Security Hub (valeur par défaut) |
|---|---|---|---|---|
|
|
La période de conservation des sauvegardes, en jours |
Entier |
|
|
Ce contrôle vérifie si la période de rétention des sauvegardes d'un cluster Amazon DocumentDB est supérieure ou égale à la période spécifiée. Le contrôle échoue si la période de conservation des sauvegardes est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des sauvegardes, Security Hub utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité et à renforcer la résilience de vos systèmes. En automatisant les sauvegardes de vos clusters Amazon DocumentDB, vous serez en mesure de restaurer vos systèmes à un moment précis et de minimiser les temps d'arrêt et les pertes de données. Dans Amazon DocumentDB, la durée de conservation des sauvegardes par défaut des clusters est d'un jour. Ce délai doit être porté à une valeur comprise entre 7 et 35 jours pour passer ce contrôle.
Correction
Pour modifier la période de conservation des sauvegardes pour vos clusters Amazon DocumentDB, consultez la section Modification d'un cluster Amazon DocumentDB dans le manuel du développeur Amazon DocumentDB. Pour Backup, choisissez la période de rétention des sauvegardes.
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
Exigences associées : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Critique
Type de ressource : AWS::RDS::DBClusterSnapshot
Règle AWS Config : docdb-cluster-snapshot-public-prohibited
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un instantané de cluster manuel Amazon DocumentDB est public. Le contrôle échoue si l'instantané de cluster manuel est public.
Un instantané de cluster manuel Amazon DocumentDB ne doit pas être public, sauf indication contraire. Si vous partagez un instantané manuel non chiffré marqué comme public, il est accessible à tous Comptes AWS. Les instantanés publics peuvent entraîner une exposition involontaire des données.
Note
Ce contrôle évalue les instantanés manuels du cluster. Vous ne pouvez pas partager un instantané de cluster automatisé Amazon DocumentDB. Vous pouvez toutefois créer un instantané manuel en copiant l'instantané automatisé, puis partager cette copie.
Correction
Pour supprimer l'accès public aux instantanés de cluster manuels Amazon DocumentDB, consultez la section Partage d'un instantané dans le manuel Amazon DocumentDB Developer Guide. Par programmation, vous pouvez utiliser l'opération Amazon DocumentDB. modify-db-snapshot-attribute Définissez attribute-name comme restore et values-to-remove commeall.
[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch
Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
Règle AWS Config : docdb-cluster-audit-logging-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon DocumentDB publie des journaux d'audit sur Amazon CloudWatch Logs. Le contrôle échoue si le cluster ne publie pas les journaux d'audit dans CloudWatch Logs.
Amazon DocumentDB (compatible avec MongoDB) vous permet d'auditer les événements qui ont été effectués dans votre cluster. Les exemples d'événements enregistrés incluent les tentatives d'authentification réussies et celles ayant échoué, la suppression d'une collection dans une base de données ou la création d'un index. Par défaut, l'audit est désactivé dans Amazon DocumentDB et nécessite que vous preniez des mesures pour l'activer.
Correction
Pour publier les journaux d'audit Amazon DocumentDB dans Logs, consultez la CloudWatch section Activation de l'audit dans le manuel Amazon DocumentDB Developer Guide.
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Catégorie : Protéger > Protection des données > Protection contre la suppression des données
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
Règle AWS Config : docdb-cluster-deletion-protection-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la protection contre la suppression est activée sur un cluster Amazon DocumentDB. Le contrôle échoue si la protection contre la suppression n'est pas activée pour le cluster.
L'activation de la protection contre la suppression de clusters offre un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par un utilisateur non autorisé. Un cluster Amazon DocumentDB ne peut pas être supprimé tant que la protection contre la suppression est activée. Vous devez d'abord désactiver la protection contre la suppression pour qu'une demande de suppression puisse aboutir. La protection contre la suppression est activée par défaut lorsque vous créez un cluster dans la console Amazon DocumentDB.
Correction
Pour activer la protection contre la suppression pour un cluster Amazon DocumentDB existant, consultez la section Modification d'un cluster Amazon DocumentDB dans le manuel du développeur Amazon DocumentDB. Dans la section Modifier le cluster, choisissez Activer la protection contre la suppression.
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés en transit
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
Règle AWS Config : docdb-cluster-encrypted-in-transit
Type de calendrier : Périodique
Paramètres : excludeTlsParameters :enabled, disabled (non personnalisable)
Cela permet de vérifier si un cluster Amazon DocumentDB nécessite le protocole TLS pour les connexions au cluster. Le contrôle échoue si le groupe de paramètres de cluster associé au cluster n'est pas synchronisé ou si le paramètre de cluster TLS du groupe est défini sur. disabled
Vous pouvez utiliser le protocole TLS pour chiffrer la connexion entre une application et un cluster Amazon DocumentDB. L'utilisation du protocole TLS peut aider à protéger les données contre toute interception lorsqu'elles sont en transit entre une application et un cluster Amazon DocumentDB. Le chiffrement en transit pour un cluster Amazon DocumentDB est géré à l'aide du paramètre TLS dans le groupe de paramètres de cluster associé au cluster. Lorsque le chiffrement en transit est activé, des connexions sécurisées à l'aide de TLS sont nécessaires pour se connecter au cluster. Nous vous recommandons d'utiliser les paramètres TLS suivants : tls1.2+tls1.3+, etfips-140-3.
Correction
Pour plus d'informations sur la modification des paramètres TLS d'un cluster Amazon DocumentDB, consultez la section Chiffrement des données en transit dans le manuel Amazon DocumentDB Developer Guide.
