Security Hub-Steuerungen für AWS DMS - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerungen für AWS DMS

Diese Security Hub-Steuerelemente bewerten den AWS Database Migration Service (AWS DMS) Service und die Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Kritisch

Art der Ressource: AWS::DMS::ReplicationInstance

AWS Config -Regel: dms-replication-not-public

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob AWS DMS Replikationsinstanzen öffentlich sind. Zu diesem Zweck untersucht es den Wert des PubliclyAccessible Felds.

Eine private Replikationsinstanz hat eine private IP-Adresse, auf die Sie außerhalb des Replikationsnetzwerks nicht zugreifen können. Eine Replikationsinstanz sollte eine private IP-Adresse haben, wenn sich die Quell- und Zieldatenbank im selben Netzwerk befinden. Das Netzwerk muss auch über ein VPN oder VPC-Peering mit der VPC der Replikationsinstanz verbunden sein. AWS Direct ConnectWeitere Informationen zu öffentlichen und privaten Replikationsinstanzen finden Sie im Benutzerhandbuch unter Öffentliche und private Replikationsinstanzen.AWS Database Migration Service

Sie sollten außerdem sicherstellen, dass der Zugriff auf Ihre AWS DMS Instanzkonfiguration nur auf autorisierte Benutzer beschränkt ist. Um dies zu tun, schränken Sie die IAM-Berechtigungen der Benutzer ein, um AWS DMS Einstellungen und Ressourcen zu ändern.

Abhilfe

Sie können die Einstellung für den öffentlichen Zugriff für eine DMS-Replikationsinstanz nicht ändern, nachdem Sie sie erstellt haben. Um die Einstellung für den öffentlichen Zugriff zu ändern, löschen Sie Ihre aktuelle Instanz und erstellen Sie sie anschließend neu. Wählen Sie nicht die Option Öffentlich zugänglich aus.

[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::DMS::Certificate

AWS Config Regel: tagged-dms-certificate (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert
requiredTagKeys Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. StringList Liste der Tags, die die AWS Anforderungen erfüllen No default value

Dieses Steuerelement prüft, ob ein AWS DMS Zertifikat Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Das Steuerelement schlägt fehl, wenn das Zertifikat keine Tagschlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Zertifikat mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.

Anmerkung

Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem DMS-Zertifikat finden Sie unter Ressourcen kennzeichnen AWS Database Migration Service im Benutzerhandbuch.AWS Database Migration Service

[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::DMS::EventSubscription

AWS Config Regel: tagged-dms-eventsubscription (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert
requiredTagKeys Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. StringList Liste der Tags, die die AWS Anforderungen erfüllen No default value

Dieses Steuerelement prüft, ob ein AWS DMS Ereignisabonnement Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Das Steuerelement schlägt fehl, wenn das Ereignisabonnement keine Tagschlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Ereignisabonnement mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.

Anmerkung

Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem DMS-Veranstaltungsabonnement finden Sie AWS Database Migration Service im Benutzerhandbuch unter Ressourcen taggen.AWS Database Migration Service

[DMS.4] DMS-Replikationsinstanzen sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::DMS::ReplicationInstance

AWS Config Regel: tagged-dms-replicationinstance (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert
requiredTagKeys Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. StringList Liste der Tags, die die AWS Anforderungen erfüllen No default value

Dieses Steuerelement prüft, ob eine AWS DMS Replikationsinstanz über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter definiert sindrequiredTagKeys. Das Steuerelement schlägt fehl, wenn die Replikationsinstanz keine Tagschlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Replikationsinstanz mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.

Anmerkung

Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einer DMS-Replikationsinstanz finden Sie unter Ressourcen taggen AWS Database Migration Service im Benutzerhandbuch.AWS Database Migration Service

[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::DMS::ReplicationSubnetGroup

AWS Config Regel: tagged-dms-replicationsubnetgroup (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert
requiredTagKeys Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. StringList Liste der Tags, die die AWS Anforderungen erfüllen No default value

Dieses Steuerelement prüft, ob eine AWS DMS Replikationssubnetzgruppe Tags mit den spezifischen Schlüsseln enthält, die im Parameter requiredTagKeys definiert sind. Die Steuerung schlägt fehl, wenn die Replikationssubnetzgruppe keine Tagschlüssel hat oder wenn nicht alle im Parameter angegebenen Schlüssel vorhanden sind. requiredTagKeys Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Replikationssubnetzgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.

Anmerkung

Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einer DMS-Replikationssubnetzgruppe finden Sie unter Ressourcen kennzeichnen im AWS Database Migration Service Benutzerhandbuch.AWS Database Migration Service

[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

Verwandte Anforderungen: NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

Kategorie: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::DMS::ReplicationInstance

AWS Config -Regel: dms-auto-minor-version-upgrade-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob das automatische Upgrade einer Nebenversion für eine AWS DMS Replikationsinstanz aktiviert ist. Die Steuerung schlägt fehl, wenn das automatische Upgrade der Nebenversion für eine DMS-Replikationsinstanz nicht aktiviert ist.

DMS bietet ein automatisches Upgrade der Nebenversionen für jede unterstützte Replikationsengine, sodass Sie Ihre Replikationsinstanz behalten können. up-to-date Nebenversionen können neue Softwarefunktionen, Bugfixes, Sicherheitspatches und Leistungsverbesserungen einführen. Durch die Aktivierung des automatischen Upgrades für kleinere Versionen auf DMS-Replikationsinstanzen werden kleinere Upgrades automatisch während des Wartungsfensters oder sofort angewendet, wenn die Option Änderungen sofort anwenden ausgewählt ist.

Abhilfe

Informationen zur Aktivierung des automatischen Upgrades für Nebenversionen auf DMS-Replikationsinstanzen finden Sie unter Ändern einer Replikationsinstanz im AWS Database Migration Service Benutzerhandbuch.

[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::DMS::ReplicationTask

AWS Config -Regel: dms-replication-task-targetdb-logging

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die Protokollierung mit dem Mindestschweregrad LOGGER_SEVERITY_DEFAULT für DMS-Replikationsaufgaben TARGET_APPLY und TARGET_LOAD aktiviert ist. Die Steuerung schlägt fehl, wenn die Protokollierung für diese Aufgaben nicht aktiviert ist oder wenn der Mindestschweregrad unter LOGGER_SEVERITY_DEFAULT liegt.

DMS verwendet Amazon CloudWatch , um Informationen während des Migrationsprozesses zu protokollieren. Mithilfe der Einstellungen für die Protokollierungsaufgabe können Sie angeben, welche Komponentenaktivitäten protokolliert werden und wie viele Informationen protokolliert werden. Sie sollten die Protokollierung für die folgenden Aufgaben angeben:

  • TARGET_APPLY – Daten und Data Definition Language (DDL)-Anweisungen werden auf die Zieldatenbank angewendet.

  • TARGET_LOAD – Daten werden in die Zieldatenbank geladen.

Die Protokollierung spielt bei DMS-Replikationsaufgaben eine entscheidende Rolle, da sie Überwachung, Problembehandlung, Prüfung, Leistungsanalyse, Fehlererkennung und Wiederherstellung sowie historische Analysen und Berichte ermöglicht. Es trägt dazu bei, die erfolgreiche Replikation von Daten zwischen Datenbanken sicherzustellen und gleichzeitig die Datenintegrität und die Einhaltung gesetzlicher Anforderungen zu gewährleisten. Andere Protokollierungsstufen als DEFAULT werden für diese Komponenten bei der Problembehandlung selten benötigt. Wir empfehlen, die Protokollierungsebene DEFAULT für diese Komponenten beizubehalten, es sei denn, Sie werden ausdrücklich aufgefordert, sie zu ändern Support. Eine minimale Protokollierungsebene von DEFAULT stellt sicher, dass Informationsmeldungen, Warnungen und Fehlermeldungen in die Protokolle geschrieben werden. Dieses Steuerelement prüft, ob für die vorangegangenen Replikationsaufgaben mindestens eine der folgenden Protokollierungsstufen gilt: LOGGER_SEVERITY_DEFAULTLOGGER_SEVERITY_DEBUG, oderLOGGER_SEVERITY_DETAILED_DEBUG.

Abhilfe

Informationen zum Aktivieren der Protokollierung für DMS-Replikationsaufgaben in der Zieldatenbank finden Sie unter AWS DMS Task-Logs anzeigen und verwalten im AWS Database Migration Service Benutzerhandbuch.

[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::DMS::ReplicationTask

AWS Config -Regel: dms-replication-task-sourcedb-logging

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die Protokollierung mit dem Mindestschweregrad LOGGER_SEVERITY_DEFAULT für DMS-Replikationsaufgaben SOURCE_CAPTURE und SOURCE_UNLOAD aktiviert ist. Die Steuerung schlägt fehl, wenn die Protokollierung für diese Aufgaben nicht aktiviert ist oder wenn der Mindestschweregrad unter LOGGER_SEVERITY_DEFAULT liegt.

DMS verwendet Amazon CloudWatch , um Informationen während des Migrationsprozesses zu protokollieren. Mithilfe der Einstellungen für die Protokollierungsaufgabe können Sie angeben, welche Komponentenaktivitäten protokolliert werden und wie viele Informationen protokolliert werden. Sie sollten die Protokollierung für die folgenden Aufgaben angeben:

  • SOURCE_CAPTURE— Laufende Replikations- oder CDC-Daten (Change Data Capture) werden aus der Quelldatenbank oder dem Quelldienst erfasst und an die SORTER Servicekomponente weitergegeben.

  • SOURCE_UNLOAD— Daten werden bei Volllast aus der Quelldatenbank oder dem Quelldienst entladen.

Die Protokollierung spielt bei DMS-Replikationsaufgaben eine entscheidende Rolle, da sie Überwachung, Fehlerbehebung, Prüfung, Leistungsanalyse, Fehlererkennung und Wiederherstellung sowie historische Analysen und Berichte ermöglicht. Es trägt dazu bei, die erfolgreiche Replikation von Daten zwischen Datenbanken sicherzustellen und gleichzeitig die Datenintegrität und die Einhaltung gesetzlicher Anforderungen zu gewährleisten. Andere Protokollierungsstufen als DEFAULT werden für diese Komponenten bei der Problembehandlung selten benötigt. Wir empfehlen, die Protokollierungsebene DEFAULT für diese Komponenten beizubehalten, es sei denn, Sie werden ausdrücklich aufgefordert, sie zu ändern Support. Eine minimale Protokollierungsebene von DEFAULT stellt sicher, dass Informationsmeldungen, Warnungen und Fehlermeldungen in die Protokolle geschrieben werden. Dieses Steuerelement prüft, ob für die vorangegangenen Replikationsaufgaben mindestens eine der folgenden Protokollierungsstufen gilt: LOGGER_SEVERITY_DEFAULTLOGGER_SEVERITY_DEBUG, oderLOGGER_SEVERITY_DETAILED_DEBUG.

Abhilfe

Informationen zum Aktivieren der Protokollierung für DMS-Replikationsaufgaben in der Quelldatenbank finden Sie unter AWS DMS Task-Logs anzeigen und verwalten im AWS Database Migration Service Benutzerhandbuch.

[DMS.9] DMS-Endpunkte sollten SSL verwenden

Verwandte Anforderungen: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit

Schweregrad: Mittel

Art der Ressource: AWS::DMS::Endpoint

AWS Config -Regel: dms-endpoint-ssl-configured

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob ein AWS DMS Endpunkt eine SSL-Verbindung verwendet. Die Steuerung schlägt fehl, wenn der Endpunkt kein SSL verwendet.

SSL/TLS-Verbindungen bieten eine Sicherheitsebene, indem sie Verbindungen zwischen DMS-Replikationsinstanzen und Ihrer Datenbank verschlüsseln. Die Verwendung von Zertifikaten bietet eine zusätzliche Sicherheitsebene, indem überprüft wird, ob die Verbindung zur erwarteten Datenbank hergestellt wird. Dazu wird das Serverzertifikat überprüft, das automatisch auf allen von Ihnen bereitgestellten Datenbankinstanzen installiert wird. Durch die Aktivierung der SSL-Verbindung auf Ihren DMS-Endpunkten schützen Sie die Vertraulichkeit der Daten während der Migration.

Abhilfe

Informationen zum Hinzufügen einer SSL-Verbindung zu einem neuen oder vorhandenen DMS-Endpunkt finden Sie unter SSL verwenden mit AWS Database Migration Service im AWS Database Migration Service Benutzerhandbuch.

[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2,,, 7,, PCI DSS NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 v4.0.1/7.3.1 NIST.800-53.r5 AC-1 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5

Kategorie: Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung

Schweregrad: Mittel

Art der Ressource: AWS::DMS::Endpoint

AWS Config -Regel: dms-neptune-iam-authorization-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob ein AWS DMS Endpunkt für eine Amazon Neptune Neptune-Datenbank mit IAM-Autorisierung konfiguriert ist. Die Kontrolle schlägt fehl, wenn für den DMS-Endpunkt keine IAM-Autorisierung aktiviert ist.

AWS Identity and Access Management (IAM) bietet eine differenzierte Zugriffskontrolle für alle Bereiche. AWS Mit IAM können Sie festlegen, wer unter welchen Bedingungen auf welche Dienste und Ressourcen zugreifen kann. Mit IAM-Richtlinien verwalten Sie die Berechtigungen für Ihre Mitarbeiter und Systeme, um sicherzustellen, dass die Berechtigungen mit den geringsten Rechten eingehalten werden. Indem Sie die IAM-Autorisierung auf AWS DMS Endpunkten für Neptune-Datenbanken aktivieren, können Sie IAM-Benutzern Autorisierungsprivilegien gewähren, indem Sie eine durch den Parameter angegebene Servicerolle verwenden. ServiceAccessRoleARN

Abhilfe

Informationen zur Aktivierung der IAM-Autorisierung auf DMS-Endpunkten für Neptune-Datenbanken finden Sie unter Verwenden von Amazon Neptune als Ziel für im Benutzerhandbuch. AWS Database Migration ServiceAWS Database Migration Service

[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-3,,, PCI DSS NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 v4.0.1/7.3.1 NIST.800-53.r5 IA-5

Kategorie: Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung

Schweregrad: Mittel

Art der Ressource: AWS::DMS::Endpoint

AWS Config -Regel: dms-mongo-db-authentication-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob ein AWS DMS Endpunkt für MongoDB mit einem Authentifizierungsmechanismus konfiguriert ist. Die Steuerung schlägt fehl, wenn kein Authentifizierungstyp für den Endpunkt festgelegt ist.

AWS Database Migration Service unterstützt zwei Authentifizierungsmethoden für MongoDB — MONGODB-CR für MongoDB Version 2.x und SCRAM-SHA-1 für MongoDB Version 3.x oder höher. Diese Authentifizierungsmethoden werden verwendet, um MongoDB-Passwörter zu authentifizieren und zu verschlüsseln, wenn Benutzer die Passwörter für den Zugriff auf die Datenbanken verwenden möchten. Durch die Authentifizierung auf AWS DMS Endpunkten wird sichergestellt, dass nur autorisierte Benutzer auf die Daten zugreifen und diese ändern können, die zwischen Datenbanken migriert werden. Ohne ordnungsgemäße Authentifizierung können unbefugte Benutzer während des Migrationsprozesses möglicherweise auf sensible Daten zugreifen. Dies kann zu Datenschutzverletzungen, Datenverlust oder anderen Sicherheitsvorfällen führen.

Abhilfe

Informationen zur Aktivierung eines Authentifizierungsmechanismus auf DMS-Endpunkten für MongoDB finden Sie unter Verwenden von MongoDB als Quelle für AWS DMS im Benutzerhandbuch.AWS Database Migration Service

[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein

Verwandte Anforderungen:, 3, PCI DSS NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-1 v4.0.1/4.2.1

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit

Schweregrad: Mittel

Art der Ressource: AWS::DMS::Endpoint

AWS Config -Regel: dms-redis-tls-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob ein AWS DMS Endpunkt für Redis OSS mit einer TLS-Verbindung konfiguriert ist. Die Steuerung schlägt fehl, wenn auf dem Endpunkt TLS nicht aktiviert ist.

TLS bietet end-to-end Sicherheit, wenn Daten zwischen Anwendungen oder Datenbanken über das Internet gesendet werden. Wenn Sie die SSL-Verschlüsselung für Ihren DMS-Endpunkt konfigurieren, ermöglicht sie die verschlüsselte Kommunikation zwischen der Quell- und der Zieldatenbank während des Migrationsprozesses. Dies trägt dazu bei, das Abhören und Abfangen sensibler Daten durch böswillige Akteure zu verhindern. Ohne SSL-Verschlüsselung kann auf sensible Daten zugegriffen werden, was zu Datenschutzverletzungen, Datenverlust oder anderen Sicherheitsvorfällen führen kann.

Abhilfe

Informationen zum Aktivieren einer TLS-Verbindung auf DMS-Endpunkten für Redis finden Sie unter Verwenden von Redis als Ziel für AWS Database Migration Service im Benutzerhandbuch.AWS Database Migration Service