Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para DynamoDB

Estos AWS Security Hub controles evalúan el servicio y los recursos de Amazon DynamoDB.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte Disponibilidad de los controles por región.

[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::DynamoDB::Table

Regla de AWS Config : dynamodb-autoscaling-enabled

Tipo de programa: Periódico

Parámetros:

Este control comprueba si una tabla de Amazon DynamoDB puede escalar su capacidad de lectura y escritura según sea necesario. Se produce un error en el control si la tabla utiliza el modo de capacidad bajo demanda o el modo aprovisionado con el escalado automático configurado. De manera predeterminada, este control solo requiere que se configure uno de estos modos, independientemente de los niveles específicos de la capacidad de lectura o escritura. De manera opcional, puede proporcionar valores personalizados de parámetros para requerir niveles específicos de la capacidad de lectura y escritura o de utilización objetivo.

Escalar la capacidad en función de la demanda evita limitar las excepciones, lo que ayuda a mantener la disponibilidad de las aplicaciones. Las tablas de DynamoDB que usan el modo de capacidad bajo demanda solo están limitadas por las cuotas predeterminadas de rendimiento de las tablas de DynamoDB. Para aumentar estas cuotas, puede presentar una solicitud de asistencia en. Soporte Las tablas de DynamoDB que usan el modo aprovisionado con escalado automático ajustan la capacidad de rendimiento aprovisionada de forma dinámica de acuerdo con los patrones de tráfico. Para obtener más información acerca de la limitación de solicitudes de DynamoDB, consulte Limitación controlada de solicitudes y capacidad de ampliación en la Guía para desarrolladores de Amazon DynamoDB.

Corrección

Para habilitar el escalado automático de DynamoDB en tablas existentes en el modo de capacidad, consulte Habilitación de la función Auto Scaling de DynamoDB en tablas existentes en la Guía para desarrolladores de Amazon DynamoDB.

[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Categoría: Recuperación > Resiliencia > Respaldos habilitados

Gravedad: media

Tipo de recurso: AWS::DynamoDB::Table

Regla de AWS Config : dynamodb-pitr-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si point-in-time recovery (PITR) está habilitado para una tabla de Amazon DynamoDB.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La recuperación de point-in-time DynamoDB automatiza las copias de seguridad de las tablas de DynamoDB. Reduce el tiempo de recuperación tras operaciones de borrado o escritura accidentales. Las tablas de DynamoDB que estén PITR habilitadas se pueden restaurar en cualquier momento de los últimos 35 días.

Corrección

Para restaurar una tabla de DynamoDB a un punto en el tiempo, consulte Restauración de una tabla de DynamoDB a un punto en el tiempo en la Guía para desarrolladores de Amazon DynamoDB.

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), .800-53.r5 NIST.800-53.r5 SC-7 SI-7 (6) NIST.800-53.r5 SC-2 NIST

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::DAX::Cluster

Regla de AWS Config : dax-encryption-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si un clúster de Amazon DynamoDB Accelerator DAX () está cifrado en reposo. El control produce un error si el DAX clúster no está cifrado en reposo.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. AWS El cifrado añade otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren API permisos para descifrar los datos antes de que puedan leerse.

Corrección

No puede habilitar o deshabilitar el cifrado en reposo después de haber creado un clúster. Debe volver a crear el clúster para habilitar el cifrado en reposo. Para obtener instrucciones detalladas sobre cómo crear un DAX clúster con el cifrado en reposo activado, consulte Habilitar el cifrado en reposo mediante la Guía AWS Management Console para desarrolladores de Amazon DynamoDB.

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Categoría: Recuperación > Resiliencia > Respaldos habilitados

Gravedad: media

Tipo de recurso: AWS::DynamoDB::Table

AWS Config regla: dynamodb-resources-protected-by-backup-plan

Tipo de programa: Periódico

Parámetros:

Este control evalúa si una tabla de Amazon DynamoDB en estado ACTIVE está cubierta por un plan de copias de seguridad. Se produce un error en el control si la tabla de DynamoDB no está cubierta por un plan de copias de seguridad. Si establece el backupVaultLockCheck parámetro en un valor igual atrue, el control solo pasa si la tabla de DynamoDB está guardada en AWS Backup un almacén cerrado.

AWS Backup es un servicio de copias de seguridad totalmente gestionado que le ayuda a centralizar y automatizar las copias de seguridad de todos los datos. Servicios de AWS Con AWS Backupél, puede crear planes de respaldo que definan sus requisitos de respaldo, como la frecuencia con la que debe realizar copias de seguridad de sus datos y cuánto tiempo debe conservarlas. La inclusión de tablas de DynamoDB en sus planes de copia de seguridad le ayuda a proteger sus datos de pérdidas o eliminaciones involuntarias.

Corrección

Para agregar una tabla de DynamoDB a AWS Backup un plan de respaldo, consulte Asignación de recursos a un plan de respaldo en la Guía para desarrolladores.AWS Backup

[DynamoDB.5] Las tablas de DynamoDB deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::DynamoDB::Table

Regla de AWS Config : tagged-dynamodb-table (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si una tabla de Amazon DynamoDB tiene etiquetas con claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si la tabla no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la tabla no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también lo ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

Corrección

Para agregar etiquetas a una tabla de DynamoDB, consulte Etiquetado de recursos en DynamoDB en la Guía para desarrolladores de Amazon DynamoDB.

[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos

Gravedad: media

Tipo de recurso: AWS::DynamoDB::Table

AWS Config regla: dynamodb-table-deletion-protection-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una tabla de Amazon DynamoDB tiene habilitada la protección contra eliminación. Se produce un error en el control si una tabla DynamoDB no tiene habilitada la protección contra eliminación.

Puede proteger una tabla de DynamoDB contra la eliminación accidental con la propiedad de protección contra la eliminación. Habilitar esta propiedad para las tablas ayuda a garantizar que los administradores no eliminen las tablas accidentalmente durante las operaciones habituales de administración. De este modo, evita que se interrumpan las operaciones comerciales normales.

Corrección

Para habilitar la protección contra eliminación de una tabla de DynamoDB, consulte Uso de la protección contra eliminación en la Guía para desarrolladores de Amazon DynamoDB.

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

Requisitos relacionados: NIST.800-53.r5 AC-1 7, 3, NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 3 NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::DynamoDB::Table

AWS Config regla: dax-tls-endpoint-encryption

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si un clúster de Amazon DynamoDB Accelerator DAX () está cifrado en tránsito, con el tipo de cifrado de punto final establecido en. TLS El control produce un error si el DAX clúster no está cifrado en tránsito.

HTTPS(TLS) se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo debes permitir que las conexiones cifradas accedan TLS a los clústeres. DAX Sin embargo, el cifrado de los datos en tránsito puede afectar el rendimiento. Debe probar la aplicación con el cifrado activado para comprender el perfil de rendimiento y su impactoTLS.

Corrección

No puedes cambiar la configuración de TLS cifrado después de crear un DAX clúster. Para cifrar un DAX clúster existente, crea uno nuevo con el cifrado en tránsito activado, transfiere el tráfico de la aplicación a ese clúster y, a continuación, elimina el clúster anterior. Para obtener más información, consulte Uso de la protección contra eliminación en la Guía para desarrolladores de Amazon DynamoDB.