Controlli Security Hub per Amazon DocumentDB - AWS Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli Security Hub per Amazon DocumentDB

Questi AWS Security Hub controlli valutano il servizio e le risorse Amazon DocumentDB (compatibile con MongoDB). I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 ( NIST.800-53.r5 SC-26)

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : docdb-cluster-encrypted

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se la crittografia a riposo è abilitata per i cluster Amazon DocumentDB. Il controllo fallisce se un cluster Amazon DocumentDB non è crittografato a riposo.

I dati a riposo si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia consente di proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. I dati nei cluster Amazon DocumentDB devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza. Amazon DocumentDB utilizza l'Advanced Encryption Standard a 256 bit (AES-256) per crittografare i dati con le chiavi di crittografia memorizzate in (). AWS Key Management Service AWS KMS

Correzione

Alla creazione di un cluster Amazon DocumentDB, è possibile abilitare la crittografia dei dati memorizzati su disco. Non è possibile modificare le impostazioni di crittografia dopo aver creato un cluster. Per ulteriori informazioni, consulta Enabling encryption at rest for an Amazon DocumentDB cluster nella Amazon DocumentDB Developer Guide.

[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

Requisiti correlati: NIST.800-53.r5 SI-12, PCI DSS v4.0.1/3.2.1

Categoria: Ripristino > Resilienza > Backup abilitati

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : docdb-cluster-backup-retention-check

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Security Hub (valore predefinito)

minimumBackupRetentionPeriod

Periodo di conservazione del backup minimo in giorni

Numero intero

7 Da a 35

7

Questo controllo verifica se un cluster Amazon DocumentDB ha un periodo di conservazione dei backup maggiore o uguale al periodo di tempo specificato. Il controllo fallisce se il periodo di conservazione del backup è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione del backup, Security Hub utilizza un valore predefinito di 7 giorni.

I backup aiutano a ripristinare più rapidamente un incidente di sicurezza e a rafforzare la resilienza dei sistemi. Automatizzando i backup per i cluster Amazon DocumentDB, sarai in grado di ripristinare i sistemi in un determinato momento e ridurre al minimo i tempi di inattività e la perdita di dati. In Amazon DocumentDB, i cluster hanno un periodo di conservazione dei backup predefinito di 1 giorno. Questo periodo deve essere aumentato a un valore compreso tra 7 e 35 giorni per passare questo controllo.

Correzione

Per modificare il periodo di conservazione dei backup per i cluster Amazon DocumentDB, consulta Modifying an Amazon DocumentDB cluster nella Amazon DocumentDB Developer Guide. Per Backup, scegli il tempo di conservazione del backup.

[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI NIST.800-53.r5 SC-7 DSS v4.0.1/1.4.4

Categoria: Protezione > Configurazione di rete protetta

Severità: critica

Tipo di risorsa: AWS::RDS::DBClusterSnapshot

Regola AWS Config : docdb-cluster-snapshot-public-prohibited

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se uno snapshot del cluster manuale Amazon DocumentDB è pubblico. Il controllo fallisce se lo snapshot del cluster manuale è pubblico.

Uno snapshot manuale del cluster di Amazon DocumentDB non deve essere pubblico a meno che non sia previsto. Se condividi uno snapshot manuale non crittografato come pubblico, lo snapshot è disponibile a tutti. Account AWS Le istantanee pubbliche possono causare un'esposizione involontaria dei dati.

Nota

Questo controllo valuta le istantanee manuali del cluster. Non puoi condividere uno snapshot del cluster automatizzato di Amazon DocumentDB. Tuttavia, è possibile creare uno snapshot manuale copiando lo snapshot automatico e quindi condividere la copia.

Correzione

Per rimuovere l'accesso pubblico agli snapshot manuali dei cluster di Amazon DocumentDB, consulta Sharing a snapshot nella Amazon DocumentDB Developer Guide. A livello di codice, puoi utilizzare l'operazione Amazon DocumentDB. modify-db-snapshot-attribute Imposta attribute-name come e comerestore. values-to-remove all

[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.3.3

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : docdb-cluster-audit-logging-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un cluster Amazon DocumentDB pubblica log di audit su Amazon Logs. CloudWatch Il controllo fallisce se il cluster non pubblica i log di controllo su Logs. CloudWatch

Amazon DocumentDB (compatibile con MongoDB) consente di controllare gli eventi eseguiti nel cluster. Sono esempi di eventi registrati i tentativi di autenticazione riusciti e non riusciti, l'eliminazione di una raccolta in un database o la creazione di un indice. Per impostazione predefinita, il controllo è disabilitato in Amazon DocumentDB e richiede l'intervento dell'utente per abilitarlo.

Correzione

Per pubblicare i log di audit di Amazon DocumentDB su CloudWatch Logs, consulta Enabling auditing nella Amazon DocumentDB Developer Guide.

[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

Requisiti correlati: NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

Categoria: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : docdb-cluster-deletion-protection-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se la protezione dall'eliminazione è abilitata per i cluster Amazon DocumentDB. Il controllo ha esito negativo se per il cluster non è abilitata la protezione da eliminazione.

L'attivazione della protezione dall'eliminazione del cluster offre un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un utente non autorizzato. Un cluster Amazon DocumentDB non può essere eliminato mentre è abilitata la protezione da eliminazione. È necessario innanzitutto disabilitare la protezione da eliminazione prima che una richiesta di eliminazione possa avere successo. La protezione da eliminazione viene abilitata per impostazione predefinita quando crei un cluster nella console Amazon DocumentDB.

Correzione

Per abilitare la protezione da eliminazione per un cluster Amazon DocumentDB esistente, consulta Modifying an Amazon DocumentDB cluster nella Amazon DocumentDB Developer Guide. Nella sezione Modifica cluster, scegli Abilita la protezione da eliminazione.

[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito

Categoria: Proteggi > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : docdb-cluster-encrypted-in-transit

Tipo di pianificazione: periodica

Parametri:excludeTlsParameters:enabled, disabled (non personalizzabile)

Questo controllo verifica se un cluster Amazon DocumentDB richiede TLS per le connessioni al cluster. Il controllo fallisce se il gruppo di parametri del cluster associato al cluster non è sincronizzato o se il parametro del cluster TLS nel gruppo è impostato su. disabled

Puoi utilizzare TLS per crittografare la connessione tra un'applicazione e un cluster Amazon DocumentDB. L'uso di TLS può aiutare a proteggere i dati dall'intercettazione mentre sono in transito tra un'applicazione e un cluster Amazon DocumentDB. La crittografia in transito per un cluster Amazon DocumentDB viene gestita utilizzando il parametro TLS nel gruppo di parametri del cluster associato al cluster. Quando la crittografia in transito è abilitata, per connettersi al cluster sono necessarie connessioni protette tramite TLS. Consigliamo di utilizzare i seguenti parametri TLS:tls1.2+, tls1.3+ e. fips-140-3

Correzione

Per informazioni sulla modifica delle impostazioni TLS per un cluster Amazon DocumentDB, consulta Encrypting data in transit nella Amazon DocumentDB Developer Guide.