Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli Security Hub per Amazon DocumentDB
Questi AWS Security Hub controlli valutano il servizio e le risorse Amazon DocumentDB (compatibile con MongoDB). I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 ( NIST.800-53.r5 SC-26)
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::RDS::DBCluster
Regola AWS Config : docdb-cluster-encrypted
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la crittografia a riposo è abilitata per i cluster Amazon DocumentDB. Il controllo fallisce se un cluster Amazon DocumentDB non è crittografato a riposo.
I dati a riposo si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia consente di proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. I dati nei cluster Amazon DocumentDB devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza. Amazon DocumentDB utilizza l'Advanced Encryption Standard a 256 bit (AES-256) per crittografare i dati con le chiavi di crittografia memorizzate in (). AWS Key Management Service AWS KMS
Correzione
Alla creazione di un cluster Amazon DocumentDB, è possibile abilitare la crittografia dei dati memorizzati su disco. Non è possibile modificare le impostazioni di crittografia dopo aver creato un cluster. Per ulteriori informazioni, consulta Enabling encryption at rest for an Amazon DocumentDB cluster nella Amazon DocumentDB Developer Guide.
[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato
Requisiti correlati: NIST.800-53.r5 SI-12, PCI DSS v4.0.1/3.2.1
Categoria: Ripristino > Resilienza > Backup abilitati
Gravità: media
Tipo di risorsa: AWS::RDS::DBCluster
Regola AWS Config : docdb-cluster-backup-retention-check
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Security Hub (valore predefinito) |
|---|---|---|---|---|
|
|
Periodo di conservazione del backup minimo in giorni |
Numero intero |
|
|
Questo controllo verifica se un cluster Amazon DocumentDB ha un periodo di conservazione dei backup maggiore o uguale al periodo di tempo specificato. Il controllo fallisce se il periodo di conservazione del backup è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione del backup, Security Hub utilizza un valore predefinito di 7 giorni.
I backup aiutano a ripristinare più rapidamente un incidente di sicurezza e a rafforzare la resilienza dei sistemi. Automatizzando i backup per i cluster Amazon DocumentDB, sarai in grado di ripristinare i sistemi in un determinato momento e ridurre al minimo i tempi di inattività e la perdita di dati. In Amazon DocumentDB, i cluster hanno un periodo di conservazione dei backup predefinito di 1 giorno. Questo periodo deve essere aumentato a un valore compreso tra 7 e 35 giorni per passare questo controllo.
Correzione
Per modificare il periodo di conservazione dei backup per i cluster Amazon DocumentDB, consulta Modifying an Amazon DocumentDB cluster nella Amazon DocumentDB Developer Guide. Per Backup, scegli il tempo di conservazione del backup.
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI NIST.800-53.r5 SC-7 DSS v4.0.1/1.4.4
Categoria: Protezione > Configurazione di rete protetta
Severità: critica
Tipo di risorsa: AWS::RDS::DBClusterSnapshot
Regola AWS Config : docdb-cluster-snapshot-public-prohibited
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se uno snapshot del cluster manuale Amazon DocumentDB è pubblico. Il controllo fallisce se lo snapshot del cluster manuale è pubblico.
Uno snapshot manuale del cluster di Amazon DocumentDB non deve essere pubblico a meno che non sia previsto. Se condividi uno snapshot manuale non crittografato come pubblico, lo snapshot è disponibile a tutti. Account AWS Le istantanee pubbliche possono causare un'esposizione involontaria dei dati.
Nota
Questo controllo valuta le istantanee manuali del cluster. Non puoi condividere uno snapshot del cluster automatizzato di Amazon DocumentDB. Tuttavia, è possibile creare uno snapshot manuale copiando lo snapshot automatico e quindi condividere la copia.
Correzione
Per rimuovere l'accesso pubblico agli snapshot manuali dei cluster di Amazon DocumentDB, consulta Sharing a snapshot nella Amazon DocumentDB Developer Guide. A livello di codice, puoi utilizzare l'operazione Amazon DocumentDB. modify-db-snapshot-attribute Imposta attribute-name come e comerestore. values-to-remove all
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.3.3
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::RDS::DBCluster
Regola AWS Config : docdb-cluster-audit-logging-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Amazon DocumentDB pubblica log di audit su Amazon Logs. CloudWatch Il controllo fallisce se il cluster non pubblica i log di controllo su Logs. CloudWatch
Amazon DocumentDB (compatibile con MongoDB) consente di controllare gli eventi eseguiti nel cluster. Sono esempi di eventi registrati i tentativi di autenticazione riusciti e non riusciti, l'eliminazione di una raccolta in un database o la creazione di un indice. Per impostazione predefinita, il controllo è disabilitato in Amazon DocumentDB e richiede l'intervento dell'utente per abilitarlo.
Correzione
Per pubblicare i log di audit di Amazon DocumentDB su CloudWatch Logs, consulta Enabling auditing nella Amazon DocumentDB Developer Guide.
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
Requisiti correlati: NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
Categoria: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
Gravità: media
Tipo di risorsa: AWS::RDS::DBCluster
Regola AWS Config : docdb-cluster-deletion-protection-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la protezione dall'eliminazione è abilitata per i cluster Amazon DocumentDB. Il controllo ha esito negativo se per il cluster non è abilitata la protezione da eliminazione.
L'attivazione della protezione dall'eliminazione del cluster offre un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un utente non autorizzato. Un cluster Amazon DocumentDB non può essere eliminato mentre è abilitata la protezione da eliminazione. È necessario innanzitutto disabilitare la protezione da eliminazione prima che una richiesta di eliminazione possa avere successo. La protezione da eliminazione viene abilitata per impostazione predefinita quando crei un cluster nella console Amazon DocumentDB.
Correzione
Per abilitare la protezione da eliminazione per un cluster Amazon DocumentDB esistente, consulta Modifying an Amazon DocumentDB cluster nella Amazon DocumentDB Developer Guide. Nella sezione Modifica cluster, scegli Abilita la protezione da eliminazione.
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
Categoria: Proteggi > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::RDS::DBCluster
Regola AWS Config : docdb-cluster-encrypted-in-transit
Tipo di pianificazione: periodica
Parametri:excludeTlsParameters:enabled, disabled (non personalizzabile)
Questo controllo verifica se un cluster Amazon DocumentDB richiede TLS per le connessioni al cluster. Il controllo fallisce se il gruppo di parametri del cluster associato al cluster non è sincronizzato o se il parametro del cluster TLS nel gruppo è impostato su. disabled
Puoi utilizzare TLS per crittografare la connessione tra un'applicazione e un cluster Amazon DocumentDB. L'uso di TLS può aiutare a proteggere i dati dall'intercettazione mentre sono in transito tra un'applicazione e un cluster Amazon DocumentDB. La crittografia in transito per un cluster Amazon DocumentDB viene gestita utilizzando il parametro TLS nel gruppo di parametri del cluster associato al cluster. Quando la crittografia in transito è abilitata, per connettersi al cluster sono necessarie connessioni protette tramite TLS. Consigliamo di utilizzare i seguenti parametri TLS:tls1.2+, tls1.3+ e. fips-140-3
Correzione
Per informazioni sulla modifica delle impostazioni TLS per un cluster Amazon DocumentDB, consulta Encrypting data in transit nella Amazon DocumentDB Developer Guide.
