Controles do Security Hub para o Amazon DocumentDB
Esses controles do AWS Security Hub CSPM avaliam o serviço e os recursos do Amazon DocumentDB (compatível com MongoDB). Os controles podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Categoria: Proteger > Proteção de dados > Criptografia de dados em repouso
Gravidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regra: docdb-cluster-encrypted
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB é criptografado em repouso. Esse controle falha se um cluster do Amazon DocumentDB não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Os dados nos clusters do Amazon DocumentDB devem ser criptografados em repouso para uma camada adicional de segurança. O Amazon DocumentDB usa o Advanced Encryption Standard de 256 bits (AES-256) para criptografar seus dados usando chaves de criptografia armazenadas emAWS Key Management Service (AWS KMS).
Correção
É possível habilitar a criptografia em repouso ao criar um cluster do Amazon DocumentDB. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte Habilitar criptografia em repouso para um cluster do Amazon DocumentDB no Guia do desenvolvedor do Amazon DocumentDB.
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
Requisitos relacionados: NIST.800-53.r5 SI-12, PCI DSS v4.0.1/3.2.1
Categoria: Recuperação > Resiliência > Backups ativados
Gravidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regra: docdb-cluster-backup-retention-check
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Período mínimo de retenção de backups em dias |
Inteiro |
|
|
Esse controle verifica se um cluster do Amazon DocumentDB tem um período de retenção de backup maior ou igual ao período de tempo especificado. O controle falhará se o período de retenção de backup for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do backup, o Security Hub usará um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. Ao automatizar backups para seus clusters do Amazon DocumentDB, será possível restaurar seus sistemas em um determinado momento e minimizar o tempo de inatividade e a perda de dados. No Amazon DocumentDB, os clusters têm um período de retenção de backup padrão de 1 dia. Isso deve ser aumentado para um valor entre 7 e 35 dias para passar por esse controle.
Correção
Para alterar o período de retenção de backup para seus clusters do Amazon DocumentDB, consulte Modificar um cluster do Amazon DocumentDB no Guia do desenvolvedor do Amazon DocumentDB. Em Backup, escolha o período de retenção de backup.
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9), PCI DSS v4.0.1/1.4.4
Categoria: Proteger > Configuração de rede segura
Gravidade: crítica
Tipo de recurso: AWS::RDS::DBClusterSnapshot
AWS Config Regra: docdb-cluster-snapshot-public-prohibited
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um snapshot de cluster manual do Amazon DocumentDB é público. O controle falhará se o snapshot manual do cluster for público.
Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos, a menos que haja razão para tanto. Se você compartilhar um snapshot manual não criptografado como público, isso o disponibilizará para todas as Contas da AWS. Snapshots públicos podem resultar em exposição não intencional de dados.
nota
Esse controle avalia os snapshots manuais do cluster. Você não pode compartilhar um snapshot de cluster automatizado do Amazon DocumentDB. Como alternativa, crie um snapshot manual copiando o snapshot automatizado e compartilhe essa cópia.
Correção
Para remover o acesso público aos snapshots manuais do cluster do Amazon DocumentDB, consulte Compartilhar um snapshot no Guia do desenvolvedor do Amazon DocumentDB. Programaticamente, você pode usar a operação Amazon DocumentDB modify-db-snapshot-attribute. Defina attribute-name como restore e values-to-remove como all.
[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar logs de auditoria no CloudWatch Logs
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.3.3
Categoria: Identificar > Registro em log
Gravidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regra: docdb-cluster-audit-logging-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB publica logs de auditoria no Amazon CloudWatch Logs. O controle falhará se o cluster não publicar logs de auditoria no CloudWatch Logs.
O Amazon DocumentDB (compativel com MongoDB) permite auditar eventos que foram realizados em seu cluster. Exemplos de eventos registrados incluem tentativas de autenticação bem-sucedidas e com falha, eliminação de uma coleção em um banco de dados ou criação de um índice. Por padrão, a auditoria está desativada no Amazon DocumentDB e exige que você tome medidas para habilitá-la.
Correção
Para publicar os logs de auditoria do Amazon DocumentDB no CloudWatch Logs, consulte Habilitar auditoria no Guia do desenvolvedor do Amazon DocumentDB.
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)
Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados
Gravidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regra: docdb-cluster-deletion-protection-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB tem a proteção contra exclusão habilitada. O controle falhará se o cluster não tiver a proteção contra exclusão habilitada.
A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por um usuário não autorizado. Um cluster do Amazon DocumentDB não pode ser excluído enquanto a proteção contra exclusão está habilitada. Primeiro, é necessário desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida. A proteção contra exclusão está habilitada por padrão ao criar um cluster no console do Amazon DocumentDB.
Correção
Para habilitar a proteção contra exclusão para um cluster do Amazon DocumentDB, consulte Modificar um cluster do Amazon DocumentDB no Guia do desenvolvedor do Amazon DocumentDB. Na seção Modificar cluster, escolha Habilitar para Proteção contra exclusão.
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
Categoria: Proteger > Proteção de dados > Criptografia de dados em trânsito
Gravidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regra: docdb-cluster-encrypted-in-transit
Tipo de programação: Periódico
Parâmetros: excludeTlsParameters: disabled, enabled (não personalizáveis)
Esse controle verifica se um cluster do Amazon DocumentDB requer TLS para conexões com o cluster. O controle falhará se o grupo de parâmetros do cluster associado ao cluster não estiver sincronizado ou se o parâmetro TLS do cluster estiver definido como disabled ou enabled.
É possível usar o TLS para criptografar a conexão entre uma aplicação e um cluster do Amazon DocumentDB. O uso do TLS pode ajudar a proteger os dados contra interceptação enquanto estiverem em trânsito entre uma aplicação e um cluster do Amazon DocumentDB. A criptografia em trânsito para um cluster do Amazon DocumentDB é gerenciada por meio do parâmetro TLS no grupo de parâmetros de cluster que está associado ao cluster. Ao habilitar a criptografia em trânsito, as conexões seguras usando o TLS são obrigatórias para se conectar ao cluster. Recomendamos usar parâmetros de TLS a seguir: tls1.2+, tls1.3+ e fips-140-3.
Correção
Para obter mais informações sobre a alteração das configurações de TLS para um cluster do Amazon DocumentDB, consulte Criptografia de dados em trânsito no Guia do desenvolvedor do Amazon DocumentDB.
