As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Correção de exposições para tabelas do DynamoDB

AWSO Security Hub pode gerar descobertas de exposição para tabelas do DynamoDB.

No console do Security Hub, a tabela do DynamoDB envolvida em uma descoberta de exposição e suas informações de identificação estão listadas na seção Recursos dos detalhes da descoberta. Programaticamente, você pode recuperar detalhes do recurso com a GetFindingsV2operação da API CSPM do Security Hub.

Depois de identificar o recurso envolvido em uma descoberta de exposição, é possível excluir o recurso se não precisar dele. A exclusão de um recurso não essencial pode reduzir seu perfil de exposição e AWS seus custos. Se o recurso for essencial, siga estas etapas de correção recomendadas para ajudar a mitigar o risco. Os tópicos de correção são divididos com base no tipo de característica.

Uma única descoberta de exposição contém problemas identificados em vários tópicos de correção. Por outro lado, é possível abordar uma descoberta de exposição e reduzir seu nível de gravidade abordando apenas um tópico de correção. Sua abordagem para a correção de riscos depende de seus requisitos organizacionais e workloads.

Características de configuração incorreta no DynamoDB

A seguir, descrevemos as características de configuração incorreta e as etapas de correção das tabelas do DynamoDB.

A tabela do DynamoDB tem a recuperação desativada point-in-time

Habilitar a recuperação do DynamoDB point-in-time

A recuperação do point-in-time DynamoDB fornece backups automáticos contínuos para os dados da tabela do DynamoDB. Para restaurar uma tabela do DynamoDB para um ponto no tempo, consulte Restauração de uma tabela do DynamoDB para um ponto no tempo no Guia do usuário do Amazon DynamoDB.

A tabela do DynamoDB não está coberta por um plano de backup

AWSO Backup fornece um serviço centralizado para configurar, gerenciar e automatizar backups em vários AWS serviços, incluindo o DynamoDB. Sem um plano de backup, sua tabela não tem backups programados e automatizados com períodos de retenção personalizáveis, criando riscos de segurança significativos. Um invasor pode corromper ou excluir os dados da tabela de forma maliciosa. Sem backups adequados, você pode não ter nenhuma opção de recuperação além da janela de Point-in-Time recuperação (se ativada), o que pode resultar em perda permanente de dados. Seguindo as práticas recomendadas de proteção de dados, sugerimos cobrir suas tabelas do DynamoDB com um plano de backup.

Criar um plano de backup

Antes de criar um plano de backup, determine a frequência de backup e os períodos de retenção adequados para seus dados. Para obter informações sobre como criar um plano de backup, consulte Atribuição de recursos a um plano de backup no Guia do usuário do Amazon DynamoDB.

A tabela do DynamoDB tem a proteção contra exclusão desabilitada

A proteção contra exclusão impede a exclusão acidental de tabelas do DynamoDB. Quando a proteção contra exclusão está desabilitada, as tabelas do DynamoDB ficam vulneráveis à exclusão não intencional por meio de ações do console, chamadas de API, comandos da CLI ou processos automatizados. Isso pode expor seu AWS ambiente à perda de dados, pois uma entidade não autorizada com acesso ao seu AWS ambiente pode excluir tabelas intencionalmente, resultando em interrupção do serviço e perda permanente de dados. Seguindo as práticas recomendadas de proteção de dados, sugerimos habilitar a proteção de dados para tabelas do DynamoDB.

Habilitar proteção contra exclusão

Se você gerencia várias tabelas, considere usar CloudFormation para atualizar as propriedades da tabela em massa. Você pode modificar seus CloudFormation modelos para incluir DeletionProtectionEnabled propriedades e atualizar suas pilhas. Depois de concluir a correção, verifique se a proteção contra exclusão está habilitada no menu suspenso Informações adicionais na guia Configurações da tabela.