Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para AWS DMS
Estos controles de Security Hub evalúan el servicio y los recursos AWS Database Migration Service (AWS DMS).
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
Requisitos relacionados: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, v3.2.1/1.3.2, v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 PCI DSS PCI DSS
Categoría: Proteger - Configuración de red segura
Gravedad: crítica
Tipo de recurso: AWS::DMS::ReplicationInstance
Regla de AWS Config : dms-replication-not-public
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si las instancias de AWS DMS replicación son públicas. Para ello, examina el valor del campo PubliclyAccessible.
Una instancia de replicación privada tiene una dirección IP privada a la que no puede obtener acceso desde fuera de la red de replicación. Una instancia de replicación debe tener una dirección IP privada cuando las bases de datos de origen y destino estén en la misma red. La red también debe estar conectada a la instancia de replicación VPC mediante una conexión VPN AWS Direct Connect, o VPC interconexión. Para obtener más información sobre las instancias de replicación públicas y privadas, consulte las instancias de Replicación públicas y privadas en la Guía del usuario de AWS Database Migration Service .
También debe asegurarse de que el acceso a la configuración de la AWS DMS instancia esté limitado únicamente a los usuarios autorizados. Para ello, restrinja los IAM permisos de los usuarios para modificar AWS DMS la configuración y los recursos.
Corrección
No puede cambiar la configuración de acceso público de una instancia de DMS replicación después de crearla. Para cambiar la configuración de acceso público, elimine la instancia actual y, a continuación, vuelva a crearla. No seleccione la opción de Acceso público.
[DMS.2] DMS los certificados deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::DMS::Certificate
Regla de AWS Config : tagged-dms-certificate (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS |
No default value
|
Este control comprueba si un AWS DMS certificado tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el certificado no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el certificado no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también lo ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a un DMS certificado, consulte Etiquetar los recursos AWS Database Migration Service en la Guía del AWS Database Migration Service usuario.
[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::DMS::EventSubscription
Regla de AWS Config : tagged-dms-eventsubscription (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS |
No default value
|
Este control comprueba si la suscripción a un AWS DMS evento tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la suscripción a un evento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si la suscripción a un evento no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también lo ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a una suscripción a un DMS evento, consulte Etiquetar los recursos AWS Database Migration Service en la Guía del AWS Database Migration Service usuario.
[DMS.4] las instancias de DMS replicación deben estar etiquetadas
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::DMS::ReplicationInstance
Regla de AWS Config : tagged-dms-replicationinstance (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS |
No default value
|
Este control comprueba si una instancia de AWS DMS replicación tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la instancia de replicación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si la instancia de replicación no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también lo ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a una instancia de DMS replicación, consulte Etiquetar los recursos AWS Database Migration Service en la Guía del AWS Database Migration Service usuario.
[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::DMS::ReplicationSubnetGroup
Regla de AWS Config : tagged-dms-replicationsubnetgroup (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS |
No default value
|
Este control comprueba si un grupo de subredes de AWS DMS replicación tiene etiquetas con las claves específicas definidas en el parámetro. requiredTagKeys El control falla si el grupo de subredes de replicación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el grupo de subredes de replicación no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también lo ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a un grupo de subredes de DMS replicación, consulte Etiquetar los recursos AWS Database Migration Service en la Guía del usuario.AWS Database Migration Service
[DMS.6] las instancias de DMS replicación deben tener habilitada la actualización automática de las versiones secundarias
Requisitos relacionados: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5), NIST v4.0.1/6.3.3 NIST PCI DSS
Categoría: Identificar > Administración de vulnerabilidades, parches y versiones
Gravedad: media
Tipo de recurso: AWS::DMS::ReplicationInstance
Regla de AWS Config : dms-auto-minor-version-upgrade-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la actualización automática de la versión secundaria AWS DMS está habilitada para una instancia de replicación. El control falla si la actualización automática de la versión secundaria no está habilitada para una instancia de DMS replicación.
DMSproporciona una actualización automática de las versiones secundarias a cada motor de replicación compatible para que pueda conservar su instancia de replicación up-to-date. Las versiones secundarias pueden introducir nuevas funciones de software, correcciones de errores, parches de seguridad y mejoras de rendimiento. Al habilitar la actualización automática de las versiones secundarias en las instancias de DMS replicación, las actualizaciones secundarias se aplican automáticamente durante el período de mantenimiento o inmediatamente si se selecciona la opción Aplicar los cambios inmediatamente.
Corrección
Para habilitar la actualización automática de la versión secundaria en las instancias de DMS replicación, consulte Modificación de una instancia de replicación en la Guía del AWS Database Migration Service usuario.
[DMS.7] las tareas de DMS replicación de la base de datos de destino deben tener habilitado el registro
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.4.2 NIST PCI DSS
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::DMS::ReplicationTask
Regla de AWS Config : dms-replication-task-targetdb-logging
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el LOGGER_SEVERITY_DEFAULT registro está habilitado con el nivel de gravedad mínimo para las tareas de replicación y. DMS TARGET_APPLY TARGET_LOAD El control falla si el registro no está habilitado para estas tareas o si el nivel de gravedad mínimo es inferior a LOGGER_SEVERITY_DEFAULT.
DMSutiliza Amazon CloudWatch para registrar la información durante el proceso de migración. Con la configuración de tareas de registro, puede especificar qué actividades de componentes se registran y qué cantidad de información se registra. Debe especificar el registro para las siguientes tareas:
TARGET_APPLY— Las declaraciones de datos y del lenguaje de definición de datos (DDL) se aplican a la base de datos de destino.TARGET_LOAD: los datos se cargan en la base de datos de destino.
El registro desempeña un papel fundamental en las tareas de DMS replicación, ya que permite la supervisión, la solución de problemas, la auditoría, el análisis del rendimiento, la detección de errores y la recuperación, así como el análisis histórico y la elaboración de informes. Ayuda a garantizar la replicación exitosa de los datos entre bases de datos y, al mismo tiempo, a mantener la integridad de los datos y el cumplimiento de los requisitos reglamentarios. Los niveles de registro que no estén fijados como DEFAULT suelen ser necesarios para estos componentes durante la resolución de problemas. Recomendamos mantener el nivel de registro igual que DEFAULT para estos componentes, a menos que se solicite específicamente cambiarlo Soporte. Un nivel de registro mínimo como DEFAULT garantiza que los mensajes informativos, las advertencias y los mensajes de error se escriban en los registros. Este control comprueba si el nivel de registro es al menos uno de los siguientes para las tareas de replicación anteriores: LOGGER_SEVERITY_DEFAULT, LOGGER_SEVERITY_DEBUG o LOGGER_SEVERITY_DETAILED_DEBUG.
Corrección
Para habilitar el registro de las tareas de DMS replicación de las bases de datos de destino, consulte Visualización y administración de los registros de AWS DMS tareas en la Guía del AWS Database Migration Service usuario.
[DMS.8] las tareas de DMS replicación de la base de datos de origen deben tener el registro activado
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.4.2 NIST PCI DSS
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::DMS::ReplicationTask
Regla de AWS Config : dms-replication-task-sourcedb-logging
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el LOGGER_SEVERITY_DEFAULT registro está habilitado con el nivel de gravedad mínimo para las tareas de replicación y. DMS SOURCE_CAPTURE SOURCE_UNLOAD El control falla si el registro no está habilitado para estas tareas o si el nivel de gravedad mínimo es inferior a LOGGER_SEVERITY_DEFAULT.
DMSutiliza Amazon CloudWatch para registrar la información durante el proceso de migración. Con la configuración de tareas de registro, puede especificar qué actividades de componentes se registran y qué cantidad de información se registra. Debe especificar el registro para las siguientes tareas:
SOURCE_CAPTURE— La replicación continua o la captura de datos de cambios (CDC) los datos se capturan de la base de datos o el servicio de origen y se transfieren al componente deSORTERservicio.SOURCE_UNLOAD: Los datos se descargan de la base de datos o del servicio de origen durante la carga completa.
El registro desempeña un papel fundamental en las tareas de DMS replicación, ya que permite la supervisión, la solución de problemas, la auditoría, el análisis del rendimiento, la detección de errores y la recuperación, así como el análisis histórico y la elaboración de informes. Ayuda a garantizar la replicación exitosa de los datos entre bases de datos y, al mismo tiempo, a mantener la integridad de los datos y el cumplimiento de los requisitos reglamentarios. Los niveles de registro que no estén fijados como DEFAULT suelen ser necesarios para estos componentes durante la resolución de problemas. Recomendamos mantener el nivel de registro igual que DEFAULT para estos componentes, a menos que se solicite específicamente cambiarlo Soporte. Un nivel de registro mínimo como DEFAULT garantiza que los mensajes informativos, las advertencias y los mensajes de error se escriban en los registros. Este control comprueba si el nivel de registro es al menos uno de los siguientes para las tareas de replicación anteriores: LOGGER_SEVERITY_DEFAULT, LOGGER_SEVERITY_DEBUG o LOGGER_SEVERITY_DETAILED_DEBUG.
Corrección
Para habilitar el registro de las tareas de DMS replicación de la base de datos de origen, consulte Visualización y administración de los registros de AWS DMS tareas en la Guía del AWS Database Migration Service usuario.
[DMS.9] Los DMS puntos finales deben utilizar SSL
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), v4.0.1/4.2.1 PCI DSS
Categoría: Proteger > Protección de datos > Cifrado de data-in-transit
Gravedad: media
Tipo de recurso: AWS::DMS::Endpoint
Regla de AWS Config : dms-endpoint-ssl-configured
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS DMS punto final utiliza una SSL conexión. El control falla si el punto final no lo usaSSL.
SSLTLSLas conexiones/proporcionan un nivel de seguridad al cifrar las conexiones entre las instancias de DMS replicación y la base de datos. El uso de certificados brinda una capa extra de seguridad al validar que la conexión se realice en una base de datos esperada. Se hace al verificar que el certificado de servidor se instale automáticamente en todas las instancias de base de datos que usted aprovisiona. Al habilitar la SSL conexión en sus DMS puntos finales, protege la confidencialidad de los datos durante la migración.
Corrección
Para añadir una SSL conexión a un DMS terminal nuevo o existente, consulte Utilización SSL con AWS Database Migration Service en la Guía del AWS Database Migration Service usuario.
[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM
Requisitos relacionados: NIST.800-53.r5 AC-2,,, NIST.800-53.r5 AC-1 7, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6, v4.0.1/7.3.1 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5 PCI DSS
Categoría: Proteger > Gestión del acceso seguro > Autenticación sin contraseña
Gravedad: media
Tipo de recurso: AWS::DMS::Endpoint
Regla de AWS Config : dms-neptune-iam-authorization-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS DMS punto final de una base de datos de Amazon Neptune está configurado con IAM autorización. El control falla si el DMS punto final no tiene habilitada la IAM autorización.
AWS Identity and Access Management (IAM) proporciona un control de acceso detallado en todas partes. AWS ConIAM, puede especificar quién puede acceder a qué servicios y recursos y en qué condiciones. Con IAM las políticas, usted administra los permisos de su personal y sus sistemas para garantizar los permisos con los privilegios mínimos. Al habilitar la IAM autorización en AWS DMS los puntos finales de las bases de datos de Neptune, puede conceder privilegios de autorización IAM a los usuarios mediante un rol de servicio especificado en el parámetro. ServiceAccessRoleARN
Corrección
Para habilitar la IAM autorización en DMS los puntos finales de las bases de datos de Neptuno, consulte Uso de Amazon Neptune como destino en la Guía del AWS Database Migration Service usuario.AWS Database Migration Service
[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación
Requisitos relacionados:, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6, v4.0.1/7.3.1 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5 PCI DSS
Categoría: Proteger > Gestión del acceso seguro > Autenticación sin contraseña
Gravedad: media
Tipo de recurso: AWS::DMS::Endpoint
Regla de AWS Config : dms-mongo-db-authentication-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS DMS punto final para MongoDB está configurado con un mecanismo de autenticación. El control falla si no se estableció un tipo de autenticación para el punto de conexión.
AWS Database Migration Service admite dos métodos de autenticación para MongoDB: MONGODB-CR para MongoDB versión 2.x y - -1 para MongoDB versión 3.x o posterior. SCRAM SHA Estos métodos de autenticación se utilizan para autenticar y cifrar las contraseñas de MongoDB si los usuarios desean utilizarlas para acceder a las bases de datos. La autenticación en los AWS DMS puntos finales garantiza que solo los usuarios autorizados puedan acceder a los datos que se migran entre bases de datos y modificarlos. Sin la autenticación adecuada, los usuarios no autorizados pueden acceder a datos confidenciales durante el proceso de migración. Esto puede provocar filtraciones de datos, pérdida de datos u otros incidentes de seguridad.
Corrección
Para habilitar un mecanismo de autenticación en DMS los puntos finales de MongoDB, consulte Uso de MongoDB como fuente en la Guía del usuario. AWS DMSAWS Database Migration Service
[DMS.12] DMS Los puntos finales de Redis deberían estar habilitados OSS TLS
Requisitos relacionados:, 3 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 v4.0.1/4.2.1 PCI DSS
Categoría: Proteger > Protección de datos > Cifrado de data-in-transit
Gravedad: media
Tipo de recurso: AWS::DMS::Endpoint
Regla de AWS Config : dms-redis-tls-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS DMS punto final de Redis OSS está configurado con una TLS conexión. El control falla si el punto final no TLS está activado.
TLSproporciona end-to-end seguridad cuando los datos se envían entre aplicaciones o bases de datos a través de Internet. Al configurar el SSL cifrado para su DMS terminal, se habilita la comunicación cifrada entre las bases de datos de origen y destino durante el proceso de migración. Esto ayuda a evitar el espionaje y la interceptación de datos confidenciales por parte de actores malintencionados. Sin el SSL cifrado, se puede acceder a los datos confidenciales, lo que se traduce en filtraciones de datos, pérdida de datos u otros incidentes de seguridad.
Corrección
Para habilitar una TLS conexión en los DMS puntos finales de Redis, consulte Uso de Redis como destino AWS Database Migration Service en la Guía del AWS Database Migration Service usuario.
