本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 适用于 Neptune 的 Security Hub CSPM 控件
这些 AWS Security Hub CSPM 控制措施用于评估 Amazon Neptune 服务和资源。
这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。
## [Neptune.1] 应对 Neptune 数据库集群进行静态加密
**相关要求:** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)
**类别:**保护 > 数据保护 > 加密 data-at-rest
**严重性:**中
**资源类型:**`AWS::RDS::DBCluster`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 Neptune 数据库集群是否进行静态加密。如果 Neptune 数据库集群未在静态状态下加密,则控制失败。
静态数据指的是存储在持久、非易失性存储介质中的任何数据,无论存储时长如何。加密可帮助您保护此类数据的机密性,降低未经授权的用户访问这些数据的风险。加密您的 Neptune 数据库集群可保护数据和元数据免遭未经授权的访问。它还满足了生产文件系统 data-at-rest加密的合规性要求。
### 修复
您可以在创建 Neptune 数据库集群时启用静态加密。创建集群后,您将无法变更加密设置。有关更多信息,请参阅 *Neptune 用户指南*中的[加密 Neptune 静态资源](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html)。
## [Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch
**相关要求:** NIST.800-53.r5 AC-2(4)、(26)、(9)、、 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-4 (5)、nist.800-53.r5 SI-7 (8)、I DSS v4.0.1/10.3.3
**类别:**识别 > 日志记录
**严重性:**中
**资源类型:**`AWS::RDS::DBCluster`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 Neptune 数据库集群是否将审核日志发布到 Ama CloudWatch zon 日志。如果 Neptune 数据库集群不向 CloudWatch 日志发布审核日志,则控制失败。 `EnableCloudWatchLogsExport`应设置为`Audit`。
Amazon Neptune 和亚马逊 CloudWatch 是集成在一起的,因此您可以收集和分析绩效指标。Neptune 会自动向警报发送指标 CloudWatch ,还支持 CloudWatch 警报。审核日志是高度可定制的。审计数据库时,可以监视对数据的每个操作并将其记录到审计跟踪记录中,包括有关访问哪个数据库集群以及如何访问的信息。我们建议将这些日志发送到, CloudWatch 以帮助您监控 Neptune 数据库集群。
### 修复
*要将 Neptune 审核日志发布到日 CloudWatch 志,请参阅《[Neptune 用户指南》 CloudWatch 中的 “将 Neptune 日志发布到亚马逊](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html)日志”。*在**日志导出**部分中,选择**审计**。
## [Neptune.3] Neptune 数据库集群快照不应公开
**相关要求:** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、、(11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、(4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4
**类别:**保护 > 安全网络配置 > 不公开访问的资源
**严重性:**严重
**资源类型:**`AWS::RDS::DBClusterSnapshot`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 Neptune 手动数据库集群快照是否公开。如果 Neptune 手动数据库集群快照是公开的,则控制失败。
除非有意图,否则 Neptune 数据库集群手动快照不应公开。如果您将未加密的手动快照公开共享,则该快照可供所有 AWS 账户使用。公开快照可能会导致意外的数据泄露。
### 修复
要移除 Neptune 手动数据库集群快照的公共访问权限,请参阅 *Neptune 用户指南*中的[共享数据库集群快照](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html)。
## [Neptune.4] Neptune 数据库集群应启用删除保护
**相关要求:** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**类别:**保护 > 数据保护 > 数据删除保护
**严重性:**低
**资源类型:**`AWS::RDS::DBCluster`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 Neptune 数据库集群是否启用了删除保护。如果 Neptune 数据库集群未启用删除保护,则控制失败。
启用集群删除保护可提供额外保护,防止数据库意外删除或未经授权的用户删除。启用删除保护时,无法删除 Neptune 数据库集群。您必须先禁用删除保护,删除请求才能成功。
### 修复
要为现有 Neptune 数据库集群启用删除保护,请参阅 *Amazon Aurora 用户指南*中的[使用控制台、CLI 和 API 修改数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings)。
## [Neptune.5] Neptune 数据库集群应启用自动备份
**相关要求:**NIST.800-53.r5 SI-12。
**类别:**恢复 > 弹性 > 启用备份
**严重性:**中
**资源类型:**`AWS::RDS::DBCluster`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html)
**计划类型:**已触发变更
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | 最小备份保留期(以天为单位) | 整数 | `7` 到 `35` | `7` |
此控件检查 Neptune 数据库集群是否启用了自动备份,以及备份保留期是否大于或等于指定时间范围。如果没有为 Neptune 数据库集群启用备份,或者保留期小于指定时间范围,则控制失败。除非您为备份保留期提供自定义参数值,否则 Security Hub CSPM 将使用默认值 7 天。
备份可帮助您更快地从安全事件中恢复并增强系统的故障恢复能力。通过自动备份 Neptune 数据库集群,您将能够将系统恢复到某个时间点,并最大限度地减少停机时间和数据丢失。
### 修复
要启用自动备份并为 Neptune 数据库集群设置保留期,请参阅《Amazon RDS 用户指南》**中的[启用自动备份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling)。对于**备份保留期**,请选择大于或等于 7 的值。
## [Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密
**相关要求:** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、 NIST.800-53.r5 SC-7 (18)
**类别:**保护 > 数据保护 > 加密 data-at-rest
**严重性:**中
**资源类型:**`AWS::RDS::DBClusterSnapshot`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 Neptune 数据库集群快照是否处于静态加密状态。如果 Neptune 数据库集群未在静态状态下加密,则控制失败。
静态数据指的是存储在持久、非易失性存储介质中的任何数据,无论存储时长如何。加密可帮助您保护此类数据的机密性,降低未经授权的用户访问这些数据的风险。为了增加安全性,Neptune 数据库集群快照中的数据应进行静态加密。
### 修复
您无法加密现有的 Neptune 数据库集群快照。相反,您必须将快照还原到新的数据库集群并在集群上启用加密。您可以从加密集群创建加密快照。有关说明,请参阅 *Neptune 用户指南*中的[从数据库集群快照恢复](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html)和[在 Neptune 中创建数据库集群快照](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html)。
## [Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证
**相关要求:** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-6
**类别:**保护 > 安全访问管理 > 无密码身份验证
**严重性:**中
**资源类型:**`AWS::RDS::DBCluster`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 Neptune 数据库集群是否启用了 IAM 数据库身份验证。如果未为 Neptune 数据库集群启用 IAM 数据库身份验证,则控制失败。
Amazon Neptune 数据库集群的 IAM 数据库身份验证无需在数据库配置中存储用户凭证,因为身份验证是使用 IAM 在外部管理的。启用 IAM 数据库身份验证后,每个请求都需要使用签 AWS 名版本 4 进行签名。
### 修复
默认情况下,创建 Neptune 数据库集群时禁用 IAM 数据库身份验证。要启用它,请参阅 *Neptune 用户指南*中的[在 Neptune 中启用 IAM 数据库身份验证](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html)。
## [Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照
**相关要求:** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)
**类别:**识别 > 清单 > 标记
**严重性:**低
**资源类型:**`AWS::RDS::DBCluster`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控制会检查 Neptune 数据库集群是否配置为在创建快照时将所有标签复制到快照。如果 Neptune 数据库集群未配置为将标签复制到快照,则控制失败。
IT 资产的识别和清点是治理和安全的一个重要方面。您应使用与其父级 Amazon RDS 数据库集群相同的方式为快照添加标签。复制标签可确保数据库快照的元数据与父数据库集群的元数据匹配,并且数据库快照的访问策略也与父数据库实例的访问策略匹配。
### 修复
要将标签复制到 Neptune 数据库集群的快照,请参阅 *Neptune 用户指南*中的[在 Neptune 中复制标签](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview)。
## [Neptune.9] Neptune 数据库集群应跨多个可用区部署
**相关要求:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)
**类别:**恢复 > 弹性 > 高可用性
**严重性:**中
**资源类型:**`AWS::RDS::DBCluster`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控件会检查 Amazon Neptune 数据库集群在多个可用区中是否有只读副本实例()。AZs如果集群仅部署在一个可用区中,则控制失败。
如果可用区不可用且处于定期维护事件期间,只读副本将用作主实例的失效转移目标。也就是说,如果主实例失败,Neptune 将只读副本实例提升为主实例。相比之下,如果您的数据库集群不包含任何只读副本实例,则当主实例出现故障时,您的数据库集群将保持不可用状态,直到重新创建该实例。与提升只读副本相比,重新创建主实例所需的时间要长得多。为确保高可用性,我们建议您创建一个或多个只读副本实例,这些实例的数据库实例类别与主实例相同,并且位于不同的 AZs 主实例中。
### 修复
*要在多个中部署 Neptune 数据库集群 AZs,请参阅《Neptune 用户指南》中的 [Neptune 数据库集群中的只读副本数据库实例](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas)。*