Controles de Security Hub para Neptune - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para Neptune

Estos AWS Security Hub los controles evalúan el servicio y los recursos de Amazon Neptune.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: neptune-cluster-encrypted

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un clúster de base de datos de Neptune está cifrado en reposo. El control falla si un clúster de base de datos de Neptune no está cifrado en reposo.

Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado pueda acceder a ellos. El cifrado de sus clústeres de bases de datos de Neptune protege sus datos y metadatos contra el acceso no autorizado. También cumple con los requisitos de conformidad para el data-at-rest cifrado de los sistemas de archivos de producción.

Corrección

Puede habilitar el cifrado en reposo al crear un clúster de base de datos de Neptune. No se puede cambiar la configuración de cifrado después de crear un clúster. Para obtener más información, consulte Cifrar los recursos inactivos de Neptuno en la Guía del usuario de Neptuno.

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-4 (5), NIST .800-53.r5 SI-7 (8) NIST NIST

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: neptune-cluster-cloudwatch-log-export-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un clúster de base de datos de Neptune publica registros de auditoría en Amazon CloudWatch Logs. El control falla si un clúster de base de datos de Neptune no publica los registros de auditoría en Logs. CloudWatch EnableCloudWatchLogsExportdebe estar configurado en. Audit

Amazon Neptune y Amazon CloudWatch están integrados para que pueda recopilar y analizar las métricas de rendimiento. Neptune envía automáticamente las métricas a las alarmas CloudWatch y también las admite CloudWatch . Los registros de auditoría son altamente personalizables. Al auditar una base de datos, cada operación realizada con los datos se puede supervisar y registrar en un registro de auditoría que incluye información sobre el clúster de base de datos al que se accede y cómo se accede. Le recomendamos que envíe estos registros para ayudarle CloudWatch a supervisar sus clústeres de base de datos de Neptune.

Corrección

Para publicar registros de auditoría de Neptune en Logs, consulte Publicar CloudWatch registros de Neptuno CloudWatch en Amazon Logs en la Guía del usuario de Neptune. En la sección Exportaciones de registros, elija Auditar.

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-6, (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente

Gravedad: crítica

Tipo de recurso: AWS::RDS::DBClusterSnapshot

AWS Config regla: neptune-cluster-snapshot-public-prohibited

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una instantánea de un clúster de base de datos manual de Neptune es pública. El control falla si una instantánea manual del clúster de base de datos de Neptune es pública.

Una instantánea manual de un clúster de base de datos de Neptune no debe ser pública a menos que se pretenda. Si comparte una instantánea manual no cifrada como pública, la instantánea estará disponible para todos Cuentas de AWS. Las instantáneas públicas pueden provocar una exposición no intencionada de los datos.

Corrección

Para eliminar el acceso público a las instantáneas de clústeres de bases de datos manuales de Neptuno, consulte Compartir una instantánea de clúster de base de datos en la Guía del usuario de Neptune.

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos

Gravedad: baja

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: neptune-cluster-deletion-protection-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un clúster de base de datos de Neptune tiene habilitada la protección contra eliminación. El control falla si un clúster de base de datos de Neptune no tiene habilitada la protección contra eliminación.

La activación de la protección contra la eliminación de clústeres ofrece un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de un usuario no autorizado. Un clúster de Neptune DB no se puede eliminar mientras está habilitada la protección contra eliminación. Primero debe deshabilitar la protección contra la eliminación para que la solicitud de eliminación se pueda realizar correctamente.

Corrección

Para habilitar la protección contra la eliminación de un clúster de base de datos de Neptune existente, consulte Modificación del clúster de base de datos mediante la consola y API en la Guía del usuario de Amazon Aurora. CLI

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

Requisitos relacionados: NIST .800-53.r5 SI-12

Categoría: Recuperación > Resiliencia > Respaldos habilitados

Gravedad: media

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: neptune-cluster-backup-retention-check

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

minimumBackupRetentionPeriod

El periodo mínimo de retención de copias de seguridad en días

Entero

De 7 a 35

7

Este control comprueba si un clúster de base de datos de Neptune tiene las copias de seguridad automáticas habilitadas y un periodo de retención de las copias de seguridad superior o igual al periodo especificado. Se produce un error en el control si las copias de seguridad no están habilitadas para el clúster de base de datos de Neptune o si el periodo de retención es inferior al periodo especificado. A menos que se proporcione un valor personalizado de parámetro para el periodo de retención de copia de seguridad, Security Hub utiliza un valor predeterminado de 7 días.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad y a reforzar la resiliencia de sus sistemas. Al automatizar las copias de seguridad de sus clústeres de bases de datos de Neptune, podrá restaurar sus sistemas a un punto en el tiempo y minimizar el tiempo de inactividad y la pérdida de datos.

Corrección

Para habilitar las copias de seguridad automatizadas y establecer un período de retención de las copias de seguridad para sus clústeres de bases de datos de Neptune, consulte Habilitar las copias de seguridad automatizadas en la Guía RDSdel usuario de Amazon. Para el período de retención de la copia de seguridad, elija un valor mayor o igual a 7.

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::RDS::DBClusterSnapshot

AWS Config regla: neptune-cluster-snapshot-encrypted

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una instantánea de un clúster de base de datos de Neptune está cifrada en reposo. El control falla si un clúster de base de datos de Neptune no está cifrado en reposo.

Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado acceda a ellos. Los datos de las instantáneas de los clústeres de base de datos de Neptune deben cifrarse en reposo para ofrecer un nivel de seguridad adicional.

Corrección

No puede cifrar una instantánea de un clúster de base de datos de Neptune existente. En su lugar, debe restaurar la instantánea en un nuevo clúster de base de datos y habilitar el cifrado en el clúster. Puede crear una instantánea cifrada desde el clúster cifrado. Para obtener instrucciones, consulte Restauración desde una instantánea de clúster de base de datos y Creación de una instantánea de clúster de base de datos en Neptuno en la Guía del usuario de Neptuno.

[Neptune.7] Los clústeres de bases de datos de Neptune deben tener habilitada la autenticación de bases de datos IAM

Requisitos relacionados: NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Categoría: Proteger > Gestión del acceso seguro > Autenticación sin contraseña

Gravedad: media

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: neptune-cluster-iam-database-authentication

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un clúster de base de datos de Neptune tiene habilitada la autenticación de IAM bases de datos. El control falla si la autenticación IAM de la base de datos no está habilitada para un clúster de base de datos de Neptune.

IAMla autenticación de bases de datos para los clústeres de bases de datos de Amazon Neptune elimina la necesidad de almacenar las credenciales de usuario en la configuración de la base de datos, ya que la autenticación se administra externamente mediante. IAM Cuando la autenticación IAM de bases de datos está habilitada, cada solicitud debe firmarse con AWS Firma, versión 4.

Corrección

De forma predeterminada, la autenticación IAM de bases de datos está deshabilitada al crear un clúster de base de datos de Neptune. Para habilitarlo, consulte Habilitar la autenticación de IAM bases de datos en Neptuno en la Guía del usuario de Neptuno.

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: neptune-cluster-copy-tags-to-snapshot-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un clúster de base de datos de Neptune está configurado para copiar todas las etiquetas en las instantáneas cuando se crean las instantáneas. El control falla si un clúster de base de datos de Neptune no está configurado para copiar etiquetas a las instantáneas.

La identificación y el inventario de sus activos de TI es un aspecto fundamental de seguridad y control. Debe etiquetar las instantáneas de la misma forma que sus clústeres de RDS bases de datos principales de Amazon. La copia de las etiquetas garantiza que los metadatos para las instantáneas de base de datos coincidan con los clústeres de base de datos principales y que cualquier política de acceso para la instantánea de base de datos también coincida con la de la instancia de base de datos principal.

Corrección

Para copiar etiquetas en instantáneas de clústeres de bases de datos de Neptuno, consulte Copiar etiquetas en Neptuno en la Guía del usuario de Neptuno.

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: neptune-cluster-multi-az-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un clúster de base de datos de Amazon Neptune tiene instancias de lectura y réplica en varias zonas de disponibilidad (). AZs Se produce un error en el control si el clúster se implementa en una sola AZ.

Si una AZ no está disponible y durante los eventos de mantenimiento habituales, las réplicas de lectura sirven como destinos de conmutación por error para la instancia principal. Es decir, si la instancia principal falla, Neptune promueve una instancia de réplica de lectura para convertirla en la instancia primaria. Por el contrario, si su clúster de base de datos no incluye ninguna instancia de réplica de lectura, su clúster de base de datos seguirá sin estar disponible cuando la instancia principal falle hasta que se vuelva a crear. Volver a crear la instancia principal lleva mucho más tiempo que promover una réplica de lectura. Para garantizar una alta disponibilidad, le recomendamos que cree una o más instancias de réplica de lectura que tengan la misma clase de instancia de base de datos que la instancia principal y que estén ubicadas en una instancia diferente AZs a la principal.

Corrección

Para implementar un clúster de base de datos Neptune en variosAZs, consulte Lectura y réplica de instancias de base de datos en un clúster de base de datos Neptune en la Guía del usuario de Neptune.