修復 DynamoDB 資料表的曝光

AWSSecurity Hub 可以產生 DynamoDB 資料表的公開調查結果。

在 Security Hub 主控台上，涉及公開調查結果的 DynamoDB 資料表及其識別資訊會列在調查結果詳細資訊的資源區段中。您可以使用 Security Hub CSPM API GetFindingsV2的操作，以程式設計方式擷取資源詳細資訊。

識別暴露調查結果中涉及的資源之後，如果不需要，您可以刪除資源。刪除非必要資源可以降低您的暴露描述檔和AWS成本。如果資源是必要的，請遵循這些建議的修補步驟，以協助降低風險。修復主題會根據特徵類型進行分割。

單一公開調查結果包含多個修復主題中識別的問題。相反地，您可以透過僅解決一個修補主題來解決暴露問題並降低其嚴重性。您的風險修補方法取決於您的組織需求和工作負載。

注意

本主題中提供的修補指導可能需要在其他AWS資源中進行額外的諮詢。

內容

DynamoDB 中的設定錯誤特性

DynamoDB 中的設定錯誤特性

以下說明 DynamoDB 資料表的錯誤組態特性和修復步驟。

DynamoDB 資料表已停用point-in-time復原

啟用 DynamoDB point-in-time復原

DynamoDB point-in-time復原可為 DynamoDB 資料表資料提供持續的自動化備份。如需有關如何將 DynamoDB 資料表還原至某個時間點的資訊，請參閱《Amazon DynamoDB 使用者指南》中的將 DynamoDB 資料表還原至某個時間點。 DynamoDB

DynamoDB 資料表未涵蓋在備份計畫中

AWS備份提供集中式服務來設定、管理和自動化跨 AWS服務的備份，包括 DynamoDB。如果沒有備份計畫，您的資料表會缺少具有可自訂保留期的排程自動備份，進而產生重大的安全風險。攻擊者可能會惡意損毀或刪除您的資料表資料。如果沒有適當的備份，您可能沒有超過Point-in-Time復原時段（如果啟用）的復原選項，可能會導致永久資料遺失。遵循資料保護最佳實務，我們建議您使用備份計畫來涵蓋 DynamoDB 資料表。

建立備份計畫

在建立備份計畫之前，請判斷資料的適當備份頻率和保留期間。如需如何建立備份計劃的資訊，請參閱《Amazon DynamoDB 使用者指南》中的將資源指派給備份計劃。

DynamoDB 資料表已停用刪除保護

刪除保護可防止意外刪除 DynamoDB 資料表。停用刪除保護時，DynamoDB 資料表很容易透過主控台動作、API 呼叫、CLI 命令或自動化程序進行意外刪除。這可能會導致您的AWS環境遭受資料遺失，因為有權存取您AWS環境的未經授權實體可能會刻意刪除資料表，導致服務中斷和永久資料遺失。遵循資料保護最佳實務，我們建議為 DynamoDB 資料表啟用資料保護。

啟用刪除保護

如果您管理多個資料表，請考慮使用大量CloudFormation更新資料表屬性。您可以修改CloudFormation範本以包含 DeletionProtectionEnabled 屬性並更新堆疊。完成修復後，請確認已在資料表設定索引標籤的其他資訊下拉式清單中啟用刪除保護。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

修復暴露問題清單

修復 EC2 執行個體的暴露