本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Neptune 的 Security Hub CSPM 控制項
這些 AWS Security Hub CSPM 控制項會評估 Amazon Neptune 服務和資源。
這些控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。
## 【Neptune.1】 Neptune 資料庫叢集應靜態加密
**相關需求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
**類別:**保護 > 資料保護 > data-at-rest加密
**嚴重性:**中
**資源類型:** `AWS::RDS::DBCluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Neptune 資料庫叢集是否靜態加密。如果 Neptune 資料庫叢集未靜態加密,則控制項會失敗。
靜態資料是指在任何期間內存放在持久性、非揮發性儲存體中的任何資料。加密可協助您保護此類資料的機密性,降低未經授權的使用者可存取資料的風險。加密 Neptune 資料庫叢集可保護您的資料和中繼資料免於未經授權的存取。它還滿足生產檔案系統data-at-rest加密的合規要求。
### 修補
您可以在建立 Neptune 資料庫叢集時啟用靜態加密。您無法在建立叢集後變更加密設定。如需詳細資訊,請參閱《[Neptune 使用者指南》中的加密靜態 Neptune 資源](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html)。 **
## 【Neptune.2】 Neptune 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs
**相關要求:** NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12、 NIST.800-53.r5 AU-2、 NIST.800-53.r5 AU-3、 NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-20、 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-4(5), NIST.800-53.r5 SI-7(8), PCI DSS 4.0.1/10.3.3 版
**類別:**識別 > 記錄日誌
**嚴重性:**中
**資源類型:** `AWS::RDS::DBCluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Neptune 資料庫叢集是否將稽核日誌發佈至 Amazon CloudWatch Logs。如果 Neptune 資料庫叢集未將稽核日誌發佈至 CloudWatch Logs,則控制項會失敗。 `EnableCloudWatchLogsExport`應該設定為 `Audit`。
Amazon Neptune 與 Amazon CloudWatch 整合,以便您可以收集並分析效能指標。Neptune 會自動將指標傳送至 CloudWatch,也支援 CloudWatch 警示。稽核日誌可高度自訂。當您稽核資料庫時,可以監控資料上的每個操作並將其記錄到稽核追蹤,包括有關存取哪些資料庫叢集以及如何存取的資訊。建議您將這些日誌傳送至 CloudWatch,以協助您監控 Neptune 資料庫叢集。
### 修補
若要將 Neptune 稽核日誌發佈至 CloudWatch Logs,請參閱[《Neptune 使用者指南》中的將 Neptune 日誌發佈至 Amazon CloudWatch Logs](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html)。 **在**日誌匯出**區段中,選擇**稽核**。
## 【Neptune.3】 Neptune 資料庫叢集快照不應公開
**相關需求:**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-75 NIST.800-53.r5 SC-7 )
**類別:**保護 > 安全網路組態 > 不可公開存取的資源
**嚴重性:**嚴重
**資源類型:** `AWS::RDS::DBClusterSnapshot`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Neptune 手動資料庫叢集快照是否為公有。如果 Neptune 手動資料庫叢集快照為公有,則控制項會失敗。
除非預期,否則 Neptune 資料庫叢集手動快照不應公開。如果您將未加密的手動快照共用為公有,則快照可供所有 使用 AWS 帳戶。公有快照可能會導致意外的資料暴露。
### 修補
若要移除 Neptune 手動資料庫叢集快照的公有存取權,請參閱 ** [Neptune 使用者指南中的共用資料庫叢集快照](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html)。
## 【Neptune.4】 Neptune 資料庫叢集應啟用刪除保護
**相關要求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)
**類別:**保護 > 資料保護 > 資料刪除保護
**嚴重性:**低
**資源類型:** `AWS::RDS::DBCluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Neptune 資料庫叢集是否已啟用刪除保護。如果 Neptune 資料庫叢集未啟用刪除保護,則控制項會失敗。
啟用叢集刪除保護可提供額外的保護層,防止未經授權的使用者意外刪除或刪除資料庫。啟用刪除保護時,無法刪除 Neptune 資料庫叢集。您必須先停用刪除保護,刪除請求才能成功。
### 修補
若要啟用現有 Neptune 資料庫叢集的刪除保護,請參閱《*Amazon Aurora 使用者指南*》中的[使用主控台、CLI 和 API 修改資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings)。
## 【Neptune.5】 Neptune 資料庫叢集應該啟用自動備份
**相關要求:**NIST.800-53.r5 SI-12
**類別:**復原 > 恢復 > 備份已啟用
**嚴重性:**中
**資源類型:** `AWS::RDS::DBCluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | 最短備份保留期間,以天為單位 | Integer | `7` 至 `35` | `7` |
此控制項會檢查 Neptune 資料庫叢集是否已啟用自動備份,以及大於或等於指定時間範圍的備份保留期間。如果未為 Neptune 資料庫叢集啟用備份,或保留期間小於指定的時間範圍,則控制項會失敗。除非您提供備份保留期間的自訂參數值,否則 Security Hub CSPM 會使用預設值 7 天。
備份可協助您更快速地從安全事件中復原,並強化系統的彈性。透過自動化 Neptune 資料庫叢集的備份,您可以將系統還原到某個時間點,並將停機時間和資料遺失降至最低。
### 修補
若要啟用自動備份並設定 Neptune 資料庫叢集的備份保留期,請參閱《*Amazon RDS 使用者指南*》中的[啟用自動備份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling)。針對**備份保留期間**,選擇大於或等於 7 的值。
## 【Neptune.6】 Neptune 資料庫叢集快照應靜態加密
**相關要求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(18)
**類別:**保護 > 資料保護 > data-at-rest加密
**嚴重性:**中
**資源類型:** `AWS::RDS::DBClusterSnapshot`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Neptune 資料庫叢集快照是否靜態加密。如果 Neptune 資料庫叢集未靜態加密,則控制項會失敗。
靜態資料是指在任何期間內存放在持久性、非揮發性儲存體中的任何資料。加密可協助您保護此類資料的機密性,降低未經授權的使用者存取資料的風險。Neptune 資料庫叢集快照中的資料應靜態加密,以增加一層安全性。
### 修補
您無法加密現有的 Neptune 資料庫叢集快照。反之,您必須將快照還原至新的資料庫叢集,並在叢集上啟用加密。您可以從加密叢集建立加密快照。如需說明,請參閱《Neptune 使用者指南》中的[從資料庫叢集快照還原](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html)和在 Neptune 中建立資料庫叢集快照。 [https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html) **
## 【Neptune.7】 Neptune 資料庫叢集應該啟用 IAM 資料庫身分驗證
**相關需求:**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6
**類別:**保護 > 安全存取管理 > 無密碼身分驗證
**嚴重性:**中
**資源類型:** `AWS::RDS::DBCluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Neptune 資料庫叢集是否已啟用 IAM 資料庫身分驗證。如果未針對 Neptune 資料庫叢集啟用 IAM 資料庫身分驗證,則控制項會失敗。
Amazon Neptune 資料庫叢集的 IAM 資料庫身分驗證不需要將使用者登入資料存放在資料庫組態中,因為身分驗證是使用 IAM 進行外部管理。啟用 IAM 資料庫身分驗證時,每個請求都需要使用 AWS Signature 第 4 版進行簽署。
### 修補
根據預設,IAM 資料庫身分驗證會在您建立 Neptune 資料庫叢集時停用。若要啟用它,請參閱《[Neptune 使用者指南》中的在 Neptune 中啟用 IAM 資料庫身分驗證](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html)。 **
## 【Neptune.8】 Neptune 資料庫叢集應設定為將標籤複製到快照
**相關需求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::RDS::DBCluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html)
**排程類型:**變更已觸發
**參數:**無
此控制項會檢查 Neptune 資料庫叢集是否設定為在建立快照時將所有標籤複製到快照。如果 Neptune 資料庫叢集未設定為將標籤複製到快照,則控制項會失敗。
識別和清查您的 IT 資產是控管和安全性的重要層面。您應該以與其父 Amazon RDS 資料庫叢集相同的方式標記快照。複製標籤可確保資料庫快照的中繼資料符合父資料庫叢集的中繼資料,而且資料庫快照的存取政策也符合父資料庫執行個體的中繼資料。
### 修補
若要將標籤複製到 Neptune 資料庫叢集的快照,請參閱[《Neptune 使用者指南》中的在 Neptune 中複製標籤](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview)。 **
## 【Neptune.9】 Neptune 資料庫叢集應部署在多個可用區域
**相關要求:**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
**類別:**復原 > 彈性 > 高可用性
**嚴重性:**中
**資源類型:** `AWS::RDS::DBCluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html)
**排程類型:**變更已觸發
**參數:**無
此控制項會檢查 Amazon Neptune 資料庫叢集在多個可用區域 (AZs) 中是否有僅供讀取複本執行個體。如果叢集僅部署在一個 AZ 中,則控制項會失敗。
如果 AZ 無法使用,且在定期維護事件期間,僅供讀取複本會做為主要執行個體的容錯移轉目標。亦即,如果主要執行個體失敗,則 Neptune 會提升僅供讀取複本以成為主要執行個體。相反地,如果您的資料庫叢集不包含任何僅供讀取複本執行個體,則當主要執行個體失敗時,資料庫叢集仍無法使用,直到重新建立為止。重新建立主要執行個體所花費的時間比提升僅供讀取複本要長得多。為了確保高可用性,我們建議您建立一或多個僅供讀取複本執行個體,其資料庫執行個體類別與主要執行個體相同,且位於與主要執行個體不同的 AZs 中。
### 修補
若要在多個 AZs 中部署 Neptune 資料庫叢集,請參閱《Neptune *使用者指南*》[中的 Neptune 資料庫叢集中的僅供讀取複本資料庫執行個體](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas)。