Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Security Hub CSPM-Steuerelemente für Amazon DocumentDB
Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon DocumentDB (mit MongoDB-Kompatibilität). Die Steuerelemente sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).
## [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6)
**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-at-rest
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::RDS::DBCluster`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob ein Amazon DocumentDB-Cluster im Ruhezustand verschlüsselt ist. Die Kontrolle schlägt fehl, wenn ein Amazon DocumentDB-Cluster im Ruhezustand nicht verschlüsselt ist.
Daten im Ruhezustand beziehen sich auf alle Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch Verschlüsselung können Sie die Vertraulichkeit solcher Daten schützen und so das Risiko verringern, dass ein nicht autorisierter Benutzer darauf zugreifen kann. Daten in Amazon DocumentDB-Clustern sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten. Amazon DocumentDB verwendet den 256-Bit-Advanced Encryption Standard (AES-256), um Ihre Daten mit den in () gespeicherten Verschlüsselungsschlüsseln zu verschlüsseln. AWS Key Management Service AWS KMS
### Abhilfe
Sie können die Verschlüsselung im Ruhezustand aktivieren, wenn Sie einen Amazon DocumentDB-Cluster erstellen. Sie können die Verschlüsselungseinstellungen nach dem Erstellen eines Clusters nicht ändern. Weitere Informationen finden Sie unter [Enabling at rest encryption for a Amazon DocumentDB-Cluster](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling) im *Amazon DocumentDB Developer Guide*.
## [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen
**Verwandte Anforderungen:** NIST.800-53.R5 SI-12, PCI DSS v4.0.1/3.2.1
**Kategorie**: Wiederherstellung > Ausfallsicherheit > Backups aktiviert
**Schweregrad:** Mittel
**Ressourcentyp:** `AWS::RDS::DBCluster`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:**
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Minimale Aufbewahrungsdauer für Backups in Tagen | Ganzzahl | `7` auf `35` | `7` |
Diese Kontrolle prüft, ob ein Amazon DocumentDB-Cluster eine Aufbewahrungsdauer für Backups hat, die größer oder gleich dem angegebenen Zeitraum ist. Die Kontrolle schlägt fehl, wenn die Aufbewahrungsfrist für Backups den angegebenen Zeitraum unterschreitet. Sofern Sie keinen benutzerdefinierten Parameterwert für die Aufbewahrungsdauer von Backups angeben, verwendet Security Hub CSPM einen Standardwert von 7 Tagen.
Backups helfen Ihnen, sich nach einem Sicherheitsvorfall schneller zu erholen und die Widerstandsfähigkeit Ihrer Systeme zu stärken. Durch die Automatisierung von Backups für Ihre Amazon DocumentDB-Cluster können Sie Ihre Systeme bis zu einem bestimmten Zeitpunkt wiederherstellen und Ausfallzeiten und Datenverluste minimieren. In Amazon DocumentDB haben Cluster eine standardmäßige Aufbewahrungsfrist für Backups von einem Tag. Dieser Wert muss auf einen Wert zwischen 7 und 35 Tagen erhöht werden, um diese Kontrolle zu bestehen.
### Abhilfe
Informationen zum Ändern der Aufbewahrungsdauer von Backups für Ihre Amazon DocumentDB-Cluster finden Sie unter [Ändern eines Amazon DocumentDB-Clusters im Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) *DocumentDB-Entwicklerhandbuch*. Wählen Sie für **Backup** den Aufbewahrungszeitraum für Backups aus.
## [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI NIST.800-53.r5 SC-7 DSS v4.0.1/1.4.4
**Kategorie:** Schutz > Sichere Netzwerkkonfiguration
**Schweregrad:** Kritisch
**Art der Ressource:** `AWS::RDS::DBClusterSnapshot`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob ein manueller Amazon DocumentDB-Cluster-Snapshot öffentlich ist. Die Kontrolle schlägt fehl, wenn der manuelle Cluster-Snapshot öffentlich ist.
Ein manueller Amazon DocumentDB-Cluster-Snapshot sollte nicht öffentlich sein, es sei denn, dies ist beabsichtigt. Wenn Sie einen unverschlüsselten manuellen Snapshot als öffentlich freigeben, ist der Snapshot für alle verfügbar. AWS-KontenÖffentliche Schnappschüsse können zu einer unbeabsichtigten Offenlegung von Daten führen.
**Anmerkung**
Dieses Steuerelement wertet manuelle Cluster-Snapshots aus. Sie können keinen automatisierten Amazon DocumentDB-Cluster-Snapshot teilen. Sie können jedoch einen manuellen Snapshot erstellen, indem Sie den automatisierten Snapshot kopieren und die Kopie dann teilen.
### Abhilfe
Informationen zum Entfernen des öffentlichen Zugriffs für manuelle Cluster-Snapshots von Amazon DocumentDB finden Sie unter Einen [Snapshot teilen](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots) im *Amazon DocumentDB DocumentDB-Entwicklerhandbuch*. Programmgesteuert können Sie den Amazon DocumentDB DocumentDB-Vorgang verwenden. `modify-db-snapshot-attribute` Stellen Sie `attribute-name` als und als ein. `restore` `values-to-remove` `all`
## [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3
**Kategorie:** Identifizieren > Protokollierung
**Schweregrad:** Mittel
**Ressourcentyp:** `AWS::RDS::DBCluster`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob ein Amazon DocumentDB-Cluster Audit-Logs in Amazon CloudWatch Logs veröffentlicht. Die Kontrolle schlägt fehl, wenn der Cluster keine Audit-Logs in Logs veröffentlicht. CloudWatch
Amazon DocumentDB (mit MongoDB-Kompatibilität) ermöglicht es Ihnen, Ereignisse zu überprüfen, die in Ihrem Cluster durchgeführt wurden. Beispiele für protokollierte Ereignisse sind erfolgreiche und fehlgeschlagene Authentifizierungsversuche, Drop-Ereignisse für Sammlungen in einer Datenbank oder das Erstellen eines Index. Standardmäßig ist die Prüfung in Amazon DocumentDB deaktiviert und erfordert, dass Sie Maßnahmen ergreifen, um sie zu aktivieren.
### Abhilfe
Informationen zum Veröffentlichen von Amazon DocumentDB-Prüfprotokollen in CloudWatch Logs finden Sie unter [Enabling Auditing](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing) im *Amazon DocumentDB Developer Guide*.
## [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
**Kategorie:** Schützen > Datenschutz > Schutz vor Datenlöschung
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::RDS::DBCluster`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob in einem Amazon DocumentDB-Cluster der Löschschutz aktiviert ist. Die Kontrolle schlägt fehl, wenn für den Cluster kein Löschschutz aktiviert ist.
Die Aktivierung des Cluster-Löschschutzes bietet einen zusätzlichen Schutz vor versehentlichem Löschen von Datenbanken oder vor dem Löschen durch einen nicht autorisierten Benutzer. Ein Amazon DocumentDB-Cluster kann nicht gelöscht werden, solange der Löschschutz aktiviert ist. Sie müssen zuerst den Löschschutz deaktivieren, bevor eine Löschanfrage erfolgreich sein kann. Der Löschschutz ist standardmäßig aktiviert, wenn Sie einen Cluster in der Amazon DocumentDB DocumentDB-Konsole erstellen.
### Abhilfe
Informationen zum Aktivieren des Löschschutzes für einen vorhandenen Amazon DocumentDB-Cluster finden Sie unter [Ändern eines Amazon DocumentDB-Clusters im Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) *DocumentDB-Entwicklerhandbuch*. **Wählen **Sie im Abschnitt „Cluster modifizieren**“ die Option „Für den **Löschschutz aktivieren**“.**
## [DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::RDS::DBCluster`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)
**Art des Zeitplans:** Periodisch
**Parameter`excludeTlsParameters`:**`disabled`, `enabled` (nicht anpassbar)
Diese Steuerung prüft, ob ein Amazon DocumentDB-Cluster TLS für Verbindungen zum Cluster benötigt. Die Steuerung schlägt fehl, wenn die dem Cluster zugeordnete Cluster-Parametergruppe nicht synchronisiert ist oder der TLS-Cluster-Parameter auf `disabled` oder `enabled` gesetzt ist.
Sie können TLS verwenden, um die Verbindung zwischen einer Anwendung und einem Amazon DocumentDB-Cluster zu verschlüsseln. Die Verwendung von TLS kann dazu beitragen, Daten davor zu schützen, dass sie abgefangen werden, während die Daten zwischen einer Anwendung und einem Amazon DocumentDB-Cluster übertragen werden. Die Verschlüsselung während der Übertragung für einen Amazon DocumentDB-Cluster wird mithilfe des TLS-Parameters in der Cluster-Parametergruppe verwaltet, die dem Cluster zugeordnet ist. Wenn die Verschlüsselung während der Übertragung aktiviert ist, sind sichere Verbindungen mit TLS erforderlich, um eine Verbindung mit dem Cluster herzustellen. Wir empfehlen die Verwendung der folgenden TLS-Parameter: `tls1.2+``tls1.3+`, und`fips-140-3`.
### Abhilfe
Informationen zum Ändern der TLS-Einstellungen für einen Amazon DocumentDB-Cluster finden Sie unter [Verschlüsseln von Daten bei der Übertragung im](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html) *Amazon DocumentDB* Developer Guide.