Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Amazon DocumentDB
Estos controles de Security Hub evalúan el servicio y los recursos de Amazon DocumentDB (compatible con MongoDB).
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Categoría: Proteger > Protección de datos > Cifrado de data-at-rest
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regla: docdb-cluster-encrypted
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de Amazon DocumentDB está cifrado en reposo. El control falla si un clúster de Amazon DocumentDB no está cifrado en reposo.
Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado acceda a ellos. Los datos de los clústeres de Amazon DocumentDB deben cifrarse en reposo para ofrecer un nivel de seguridad adicional. Amazon DocumentDB utiliza el estándar de cifrado avanzado de 256 bits (AES-256) para cifrar los datos mediante claves de cifrado almacenadas en AWS Key Management Service (AWS KMS).
Corrección
Puede habilitar el cifrado en reposo al crear un clúster de Amazon DocumentDB. No se puede cambiar la configuración de cifrado después de crear un clúster. Para obtener más información, consulte Habilitar el cifrado en reposo para un clúster de Amazon DocumentDB en la Guía para desarrolladores de Amazon DocumentDB.
[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado
Requisitos relacionados: .800-53.r5 SI-12 NIST
Categoría: Recuperación > Resiliencia > Respaldos habilitados
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regla: docdb-cluster-backup-retention-check
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
El periodo mínimo de retención de copias de seguridad en días |
Entero |
De |
|
Este control comprueba si un clúster de Amazon DocumentDB tiene un periodo de retención de copias de seguridad superior o igual al periodo especificado. Se produce un error en el control si el periodo de retención de copia de seguridad es inferior al periodo especificado. A menos que se proporcione un valor personalizado de parámetro para el periodo de retención de copia de seguridad, Security Hub utiliza un valor predeterminado de 7 días.
Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad y a reforzar la resiliencia de sus sistemas. Al automatizar las copias de seguridad de los clústeres de Amazon DocumentDB, podrá restaurar los sistemas en un momento determinado y minimizar el tiempo de inactividad y la pérdida de datos. En Amazon DocumentDB, los clústeres tienen un periodo predeterminado de retención de copia de seguridad de 1 día. Debe aumentarse a un valor de entre 7 y 35 días para superar este control.
Corrección
Para cambiar el período de retención de copias de seguridad de sus clústeres de Amazon DocumentDB, consulte Modificación de un clúster de Amazon DocumentDB en la Guía para desarrolladores de Amazon DocumentDB. En Copia de seguridad, elija el periodo de retención de copia de seguridad.
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoría: Proteger - Configuración de red segura
Gravedad: crítica
Tipo de recurso: AWS::RDS::DBClusterSnapshot, AWS::RDS:DBSnapshot
AWS Config regla: docdb-cluster-snapshot-public-prohibited
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una instantánea de clúster manual de Amazon DocumentDB es pública. El control falla si la instantánea manual del clúster es pública.
Una instantánea manual de un clúster de Amazon DocumentDB no debe ser pública a menos que se pretenda. Si comparte una instantánea manual no cifrada como pública, la instantánea estará disponible para todos Cuentas de AWS. Las instantáneas públicas pueden provocar una exposición no intencionada de los datos.
nota
Este control evalúa las instantáneas de clúster manuales. No se pueden compartir instantáneas automatizadas de un clúster de Amazon DocumentDB. Sin embargo, puede crear una instantánea manual copiando la instantánea automatizada y compartiéndola después.
Corrección
Para eliminar el acceso público a las instantáneas de clústeres manuales de Amazon DocumentDB, consulte Compartir una instantánea en la Guía para desarrolladores de Amazon DocumentDB. Mediante programación, puede utilizar la operación Amazon DocumentDB de modify-db-snapshot-attribute. Establecer attribute-name en restore y values-to-remove en all.
[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regla: docdb-cluster-audit-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de Amazon DocumentDB publica registros de auditoría en Amazon CloudWatch Logs. El control falla si el clúster no publica los registros de auditoría en CloudWatch Logs.
Amazon DocumentDB (con compatibilidad con MongoDB) le permite auditar eventos que se realizaron en su clúster. Los intentos de autenticación correctos e incorrectos, la eliminación de una colección en una base de datos o la creación de un índice son algunos ejemplos de eventos registrados. De forma predeterminada, la auditoría está deshabilitada en Amazon DocumentDB y requiere que tome medidas para habilitarla.
Corrección
Para publicar los registros de auditoría de Amazon DocumentDB en Logs, consulte Habilitar la auditoría en la Guía para CloudWatch desarrolladores de Amazon DocumentDB.
[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regla: docdb-cluster-deletion-protection-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de Amazon DocumentDB tiene habilitada la protección contra eliminación. El control falla si el clúster no tiene habilitada la protección contra eliminación.
La activación de la protección contra la eliminación de clústeres ofrece un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de un usuario no autorizado. No se puede eliminar un clúster de Amazon DocumentDB mientras esté habilitada la protección contra eliminación. Primero debe deshabilitar la protección contra la eliminación para que la solicitud de eliminación se pueda realizar correctamente. La protección contra eliminación se habilita de forma predeterminada cuando crea un clúster mediante la consola de Amazon DocumentDB.
Corrección
Para habilitar la protección contra la eliminación de un clúster de Amazon DocumentDB existente, consulte Modificación de un clúster de Amazon DocumentDB en la Guía para desarrolladores de Amazon DocumentDB. En la sección Modificar el clúster, seleccione Habilitar la Protección contra la eliminación.
