As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para o Amazon DocumentDB
Esses AWS Security Hub controles avaliam o serviço e os recursos do Amazon DocumentDB (compatível com MongoDB). Os controles da podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
Categoria: Proteger > Proteção de dados data-at-rest
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : docdb-cluster-encrypted
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB é criptografado em repouso. Esse controle falha se um cluster do Amazon DocumentDB não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Os dados nos clusters do Amazon DocumentDB devem ser criptografados em repouso para uma camada adicional de segurança. O Amazon DocumentDB usa o Advanced Encryption Standard de 256 bits (AES-256) para criptografar seus dados usando chaves de criptografia armazenadas em AWS Key Management Service (AWS KMS).
Correção
Você pode ativar a criptografia em repouso ao criar um cluster Amazon DocumentDB. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte Habilitar criptografia em repouso para um cluster do Amazon DocumentDB no Guia do desenvolvedor do Amazon DocumentDB.
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
Requisitos relacionados: NIST.800-53.r5 SI-12, PCI DSS v4.0.1/3.2.1
Categoria: Recuperação > Resiliência > Backups ativados
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : docdb-cluster-backup-retention-check
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Período mínimo de retenção de backups em dias |
Inteiro |
|
|
Esse controle verifica se um cluster do Amazon DocumentDB tem um período de retenção de backup maior ou igual ao período de tempo especificado. O controle falhará se o período de retenção de backup for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do backup, o Security Hub usará um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. Ao automatizar backups para seus clusters do Amazon DocumentDB, será possível restaurar seus sistemas em um determinado momento e minimizar o tempo de inatividade e a perda de dados. No Amazon DocumentDB, os clusters têm um período de retenção de backup padrão de 1 dia. Isso deve ser aumentado para um valor entre 7 e 35 dias para passar por esse controle.
Correção
Para alterar o período de retenção de backup para seus clusters do Amazon DocumentDB, consulte Modificar um cluster do Amazon DocumentDB no Guia do desenvolvedor do Amazon DocumentDB. Em Backup, escolha o período de retenção de backup.
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
Requisitos relacionados: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
Categoria: Proteger > Configuração de rede segura
Severidade: crítica
Tipo de recurso: AWS::RDS::DBClusterSnapshot
Regra do AWS Config : docdb-cluster-snapshot-public-prohibited
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um instantâneo de cluster manual do Amazon DocumentDB é público. O controle falhará se o instantâneo manual do cluster for público.
Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos, a menos que haja razão para tanto. Se você compartilhar um instantâneo manual não criptografado como público, isso o disponibilizará para todas as Contas da AWS. Instantâneos públicos podem resultar em exposição não intencional de dados.
nota
Esse controle avalia os instantâneos manuais do cluster. Você não pode compartilhar um instantâneo de cluster automatizado do Amazon DocumentDB. Como alternativa, crie um instantâneo manual copiando o instantâneo automatizado e compartilhe essa cópia.
Correção
Para remover o acesso público aos instantâneos manuais do cluster do Amazon DocumentDB, consulte Compartilhar um instantâneo no Guia do desenvolvedor do Amazon DocumentDB. Programaticamente, você pode usar a operação Amazon DocumentDB modify-db-snapshot-attribute. Defina attribute-name como restore e values-to-remove como all.
[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar logs de auditoria no Logs CloudWatch
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), PCI DSS v4.0.1/10.3.3
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : docdb-cluster-audit-logging-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB publica logs de auditoria no Amazon Logs. CloudWatch O controle falhará se o cluster não publicar logs de auditoria no CloudWatch Logs.
O Amazon DocumentDB (compativel com MongoDB) permite auditar eventos que foram realizados em seu cluster. Exemplos de eventos registrados incluem tentativas de autenticação bem-sucedidas e com falha, eliminação de uma coleção em um banco de dados ou criação de um índice. Por padrão, a auditoria está desativada no Amazon DocumentDB e exige que você tome medidas para habilitá-la.
Correção
Para publicar os logs de auditoria do Amazon DocumentDB no CloudWatch Logs, consulte Habilitar auditoria no Guia do desenvolvedor do Amazon DocumentDB.
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : docdb-cluster-deletion-protection-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB tem a proteção contra exclusão habilitada. O controle falhará se o cluster não tiver a proteção contra exclusão habilitada.
A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por um usuário não autorizado. Um cluster do Amazon DocumentDB não pode ser excluído enquanto a proteção contra exclusão está habilitada. Primeiro, você deve desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida. A proteção contra exclusão está habilitada por padrão ao criar um cluster no console do Amazon DocumentDB.
Correção
Para habilitar a proteção contra exclusão para um cluster do Amazon DocumentDB, consulte Modificar um cluster do Amazon DocumentDB no Guia do desenvolvedor do Amazon DocumentDB. Na seção Modificar cluster, escolha Habilitar para Proteção contra exclusão.
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
Categoria: Proteger > Proteção de dados data-in-transit
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : docdb-cluster-encrypted-in-transit
Tipo de programação: Periódico
Parâmetros:excludeTlsParameters:enabled, disabled (não personalizável)
Isso controla se um cluster do Amazon DocumentDB exige TLS para conexões com o cluster. O controle falhará se o grupo de parâmetros do cluster associado ao cluster não estiver sincronizado ou se o parâmetro do cluster TLS no grupo estiver definido como. disabled
É possível usar o TLS para criptografar a conexão entre uma aplicação e um cluster do Amazon DocumentDB. O uso do TLS pode ajudar a proteger os dados de serem interceptados enquanto os dados estão em trânsito entre um aplicativo e um cluster do Amazon DocumentDB. A criptografia em trânsito para um cluster do Amazon DocumentDB é gerenciada usando o parâmetro TLS no grupo de parâmetros de cluster associado ao cluster. Ao habilitar a criptografia em trânsito, as conexões seguras usando o TLS são obrigatórias para se conectar ao cluster. Recomendamos usar os seguintes parâmetros TLS: tls1.2+tls1.3+, e. fips-140-3
Correção
Para obter informações sobre como alterar as configurações de TLS para um cluster do Amazon DocumentDB, consulte Criptografar dados em trânsito no Guia do desenvolvedor do Amazon DocumentDB.
