Contrôles Security Hub pour DynamoDB - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour DynamoDB

Ces AWS Security Hub contrôles évaluent le service et les ressources Amazon DynamoDB.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::DynamoDB::Table

Règle AWS Config  : dynamodb-autoscaling-enabled

Type de calendrier : Périodique

Paramètres :

Paramètre Description Type Valeurs personnalisées valides Valeur par défaut de Security Hub

minProvisionedReadCapacity

Nombre minimal d'unités de capacité de lecture allouées pour le dimensionnement automatique de DynamoDB

Entier

1 sur 40000

Aucune valeur par défaut

targetReadUtilization

Pourcentage d'utilisation cible de la capacité de lecture

Entier

20 sur 90

Aucune valeur par défaut

minProvisionedWriteCapacity

Nombre minimal d'unités de capacité d'écriture allouées pour le dimensionnement automatique de DynamoDB

Entier

1 sur 40000

Aucune valeur par défaut

targetWriteUtilization

Pourcentage d'utilisation cible de la capacité d'écriture

Entier

20 sur 90

Aucune valeur par défaut

Ce contrôle vérifie si une table Amazon DynamoDB peut adapter sa capacité de lecture et d'écriture selon les besoins. Le contrôle échoue si la table n'utilise pas le mode capacité à la demande ou le mode provisionné avec mise à l'échelle automatique configurée. Par défaut, ce contrôle nécessite uniquement la configuration de l'un de ces modes, sans tenir compte des niveaux spécifiques de capacité de lecture ou d'écriture. Vous pouvez éventuellement fournir des valeurs de paramètres personnalisées pour exiger des niveaux spécifiques de capacité de lecture et d'écriture ou un taux d'utilisation cible.

L'adaptation de la capacité à la demande permet d'éviter de limiter les exceptions, ce qui permet de maintenir la disponibilité de vos applications. Les tables DynamoDB qui utilisent le mode de capacité à la demande sont limitées uniquement par les quotas de table par défaut du débit DynamoDB. Pour augmenter ces quotas, vous pouvez déposer un ticket d'assistance auprès de AWS Support. Les tables DynamoDB qui utilisent le mode provisionné avec mise à l'échelle automatique ajustent dynamiquement la capacité de débit allouée en fonction des modèles de trafic. Pour plus d'informations sur la limitation des demandes DynamoDB, consultez la section Limitation des demandes et capacité de rafale dans le manuel du développeur Amazon DynamoDB.

Correction

Pour activer le dimensionnement automatique de DynamoDB sur des tables existantes en mode capacité, consultez la section Activation du dimensionnement automatique de DynamoDB sur des tables existantes dans le manuel Amazon DynamoDB Developer Guide.

[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Catégorie : Restauration > Résilience > Sauvegardes activées

Gravité : Moyenne

Type de ressource : AWS::DynamoDB::Table

Règle AWS Config  : dynamodb-pitr-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si point-in-time recovery (PITR) est activé pour une table Amazon DynamoDB.

Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent également la résilience de vos systèmes. La restauration point-in-time DynamoDB automatise les sauvegardes des tables DynamoDB. Cela réduit le temps de restauration suite à des opérations de suppression ou d'écriture accidentelles. Les tables DynamoDB activées peuvent être restaurées à tout moment au cours des 35 derniers jours. PITR

Correction

Pour restaurer une table DynamoDB à un point dans le temps, consultez la section Restauration d'une table DynamoDB à un moment donné dans le manuel Amazon DynamoDB Developer Guide.

[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest

Gravité : Moyenne

Type de ressource : AWS::DAX::Cluster

Règle AWS Config  : dax-encryption-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si un cluster Amazon DynamoDB Accelerator DAX () est chiffré au repos. Le contrôle échoue si le DAX cluster n'est pas chiffré au repos.

Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. AWS Le chiffrement ajoute un autre ensemble de contrôles d'accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, API des autorisations sont nécessaires pour déchiffrer les données avant qu'elles puissent être lues.

Correction

Vous ne pouvez pas activer ou désactiver le chiffrement au repos après la création d'un cluster. Vous devez recréer le cluster afin d'activer le chiffrement au repos. Pour obtenir des instructions détaillées sur la création d'un DAX cluster avec le chiffrement au repos activé, consultez la section Activation du chiffrement au repos AWS Management Consoleà l'aide du manuel du développeur Amazon DynamoDB.

[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Catégorie : Restauration > Résilience > Sauvegardes activées

Gravité : Moyenne

Type de ressource : AWS::DynamoDB::Table

AWS Config règle : dynamodb-resources-protected-by-backup-plan

Type de calendrier : Périodique

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

backupVaultLockCheck

Le contrôle produit un PASSED résultat si le paramètre est défini sur Vault Lock true et si la ressource utilise AWS Backup Vault Lock.

Booléen

true ou false

Aucune valeur par défaut

Ce contrôle évalue si une ACTIVE table Amazon DynamoDB en cours est couverte par un plan de sauvegarde. Le contrôle échoue si la table DynamoDB n'est pas couverte par un plan de sauvegarde. Si vous définissez le backupVaultLockCheck paramètre égal àtrue, le contrôle est transmis uniquement si la table DynamoDB est sauvegardée dans AWS Backup un coffre verrouillé.

AWS Backup est un service de sauvegarde entièrement géré qui vous aide à centraliser et à automatiser la sauvegarde des données sur l'ensemble Services AWS du site. Vous pouvez ainsi créer des plans de sauvegarde qui définissent vos besoins en matière de sauvegarde, tels que la fréquence de sauvegarde de vos données et la durée de conservation de ces sauvegardes. AWS Backup L'inclusion de tables DynamoDB dans vos plans de sauvegarde vous permet de protéger vos données contre toute perte ou suppression involontaire.

Correction

Pour ajouter une table DynamoDB à AWS Backup un plan de sauvegarde, consultez la section Affectation de ressources à un plan de sauvegarde dans le Guide du développeur.AWS Backup

[DynamoDB.5] Les tables DynamoDB doivent être balisées

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::DynamoDB::Table

AWS Config règle : tagged-dynamodb-table (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub
requiredTagKeys Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. StringList Liste des tags répondant aux AWS exigences No default value

Ce contrôle vérifie si une table Amazon DynamoDB possède des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si la table ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentesrequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la table n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.

Note

N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS

Correction

Pour ajouter des balises à une table DynamoDB, consultez la section Marquage des ressources dans DynamoDB dans le manuel du développeur Amazon DynamoDB.

[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

Catégorie : Protéger > Protection des données > Protection contre la suppression des données

Gravité : Moyenne

Type de ressource : AWS::DynamoDB::Table

AWS Config règle : dynamodb-table-deletion-protection-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la protection contre la suppression est activée sur une table Amazon DynamoDB. Le contrôle échoue si la protection contre la suppression n'est pas activée sur une table DynamoDB.

Vous pouvez protéger une table DynamoDB contre toute suppression accidentelle à l'aide de la propriété de protection contre la suppression. L'activation de cette propriété pour les tables permet de garantir que les tables ne sont pas supprimées accidentellement lors des opérations de gestion des tables régulières effectuées par vos administrateurs. Cela permet d'éviter toute interruption de vos activités commerciales normales.

Correction

Pour activer la protection contre la suppression pour une table DynamoDB, consultez la section Utilisation de la protection contre la suppression dans le manuel Amazon DynamoDB Developer Guide.

[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit

Exigences connexes : NIST.800-53.r5 AC-1 7, 3, NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 3 NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::DynamoDB::Table

AWS Config règle : dax-tls-endpoint-encryption

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si un cluster Amazon DynamoDB Accelerator DAX () est chiffré en transit, le type de chiffrement du point de terminaison étant défini sur. TLS Le contrôle échoue si le DAX cluster n'est pas chiffré pendant le transit.

HTTPS(TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser des attaques person-in-the-middle ou des attaques similaires pour espionner ou manipuler le trafic réseau. Vous ne devez autoriser que les connexions chiffrées TLS pour accéder aux DAX clusters. Toutefois, le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec le chiffrement activé pour comprendre le profil de performance et l'impact deTLS.

Correction

Vous ne pouvez pas modifier le paramètre de TLS chiffrement après avoir créé un DAX cluster. Pour chiffrer un DAX cluster existant, créez-en un nouveau avec le chiffrement en transit activé, transférez le trafic de votre application vers celui-ci, puis supprimez l'ancien cluster. Pour plus d'informations, consultez la section Utilisation de la protection contre les suppressions dans le manuel Amazon DynamoDB Developer Guide.