Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Neptune
Ces AWS Security Hub les contrôles évaluent le service et les ressources Amazon Neptune.
Ces commandes peuvent ne pas être disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : neptune-cluster-encrypted
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster de base de données Neptune est chiffré au repos. Le contrôle échoue si un cluster de base de données Neptune n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé puisse y accéder. Le chiffrement de vos clusters de base de données Neptune protège vos données et métadonnées contre tout accès non autorisé. Il répond également aux exigences de conformité relatives au data-at-rest chiffrement des systèmes de fichiers de production.
Correction
Vous pouvez activer le chiffrement au repos lorsque vous créez un cluster de base de données Neptune. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un cluster. Pour plus d'informations, consultez la section Chiffrer les ressources Neptune au repos dans le Guide de l'utilisateur de Neptune.
[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch
Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST .800-53.r5 SI-4 (20), .800-53.r5 SI-4 (5), NIST .800-53.r5 SI-7 (8) NIST NIST
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : neptune-cluster-cloudwatch-log-export-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster de base de données Neptune publie des journaux d'audit sur Amazon CloudWatch Logs. Le contrôle échoue si un cluster de base de données Neptune ne publie pas les journaux d'audit dans Logs. CloudWatch EnableCloudWatchLogsExportdoit être réglé surAudit.
Amazon Neptune et Amazon CloudWatch sont intégrés afin que vous puissiez recueillir et analyser les indicateurs de performance. Neptune envoie automatiquement des métriques aux alarmes CloudWatch et les prend également en charge CloudWatch . Les journaux d'audit sont hautement personnalisables. Lorsque vous auditez une base de données, chaque opération sur les données peut être surveillée et enregistrée dans une piste d'audit, y compris des informations sur le cluster de base de données auquel on accède et comment. Nous vous recommandons d'envoyer ces journaux pour vous aider CloudWatch à surveiller vos clusters de base de données Neptune.
Correction
Pour publier les journaux d'audit Neptune dans Logs, consultez la section Publication CloudWatch des journaux Neptune sur Amazon Logs CloudWatch dans le guide de l'utilisateur de Neptune. Dans la section Exportations de journaux, choisissez Audit.
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
Exigences connexes : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
Gravité : Critique
Type de ressource : AWS::RDS::DBClusterSnapshot
AWS Config règle : neptune-cluster-snapshot-public-prohibited
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un instantané manuel du cluster de base de données Neptune est public. Le contrôle échoue si un instantané manuel du cluster de base de données Neptune est public.
Un instantané manuel d'un cluster de base de données Neptune ne doit pas être public, sauf indication contraire. Si vous partagez un instantané manuel non chiffré en tant que public, l'instantané est accessible à tous Comptes AWS. Les instantanés publics peuvent entraîner une exposition involontaire des données.
Correction
Pour supprimer l'accès public aux instantanés manuels de cluster de bases de données Neptune, consultez la section Partage d'un instantané de cluster de base de données dans le guide de l'utilisateur de Neptune.
[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Catégorie : Protéger > Protection des données > Protection contre la suppression des données
Gravité : Faible
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : neptune-cluster-deletion-protection-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée sur un cluster de base de données Neptune. Le contrôle échoue si la protection contre la suppression n'est pas activée sur un cluster de base de données Neptune.
L'activation de la protection contre la suppression de clusters offre un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par un utilisateur non autorisé. Un cluster de base de données Neptune ne peut pas être supprimé tant que la protection contre la suppression est activée. Vous devez d'abord désactiver la protection contre la suppression pour qu'une demande de suppression puisse aboutir.
Correction
Pour activer la protection contre la suppression pour un cluster de base de données Neptune existant, consultez la section Modification du cluster de base de données à l'aide de la console et API dans le guide de l'utilisateur Amazon Aurora. CLI
[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées
Exigences connexes : NIST .800-53.r5 SI-12
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : neptune-cluster-backup-retention-check
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Durée minimale de conservation des sauvegardes en jours |
Entier |
|
|
Ce contrôle vérifie si les sauvegardes automatisées sont activées dans un cluster de base de données Neptune et si la période de conservation des sauvegardes est supérieure ou égale à la période spécifiée. Le contrôle échoue si les sauvegardes ne sont pas activées pour le cluster de base de données Neptune ou si la période de rétention est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des sauvegardes, Security Hub utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité et à renforcer la résilience de vos systèmes. En automatisant les sauvegardes de vos clusters de base de données Neptune, vous serez en mesure de restaurer vos systèmes à un moment précis et de minimiser les temps d'arrêt et les pertes de données.
Correction
Pour activer les sauvegardes automatisées et définir une période de conservation des sauvegardes pour vos clusters de bases de données Neptune, consultez la section Activation des sauvegardes automatisées dans le guide de RDSl'utilisateur Amazon. Pour la période de conservation des sauvegardes, choisissez une valeur supérieure ou égale à 7.
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::RDS::DBClusterSnapshot
AWS Config règle : neptune-cluster-snapshot-encrypted
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un instantané du cluster de base de données Neptune est chiffré au repos. Le contrôle échoue si un cluster de base de données Neptune n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé y accède. Les données contenues dans les instantanés des clusters de base de données Neptune doivent être chiffrées au repos pour renforcer la sécurité.
Correction
Vous ne pouvez pas chiffrer un instantané de cluster de base de données Neptune existant. Au lieu de cela, vous devez restaurer le snapshot sur un nouveau cluster de base de données et activer le chiffrement sur le cluster. Vous pouvez créer un instantané chiffré à partir du cluster chiffré. Pour obtenir des instructions, reportez-vous aux sections Restauration à partir d'un instantané de cluster de base de données et Création d'un instantané de cluster de base de données dans Neptune dans le guide de l'utilisateur de Neptune.
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
Exigences connexes : NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : neptune-cluster-iam-database-authentication
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si l'authentification de base de données est activée dans un cluster de IAM base de données Neptune. Le contrôle échoue si l'authentification IAM de base de données n'est pas activée pour un cluster de base de données Neptune.
IAMl'authentification de base de données pour les clusters de bases de données Amazon Neptune élimine le besoin de stocker les informations d'identification des utilisateurs dans la configuration de la base de données, car l'authentification est gérée en externe à l'aide de IAM Lorsque l'authentification IAM de base de données est activée, chaque demande doit être signée à l'aide de AWS Version de signature 4.
Correction
Par défaut, l'authentification IAM de base de données est désactivée lorsque vous créez un cluster de base de données Neptune. Pour l'activer, consultez la section Activation IAM de l'authentification de base de données dans Neptune dans le guide de l'utilisateur de Neptune.
[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : neptune-cluster-copy-tags-to-snapshot-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster de base de données Neptune est configuré pour copier toutes les balises dans les instantanés lors de leur création. Le contrôle échoue si un cluster de base de données Neptune n'est pas configuré pour copier des balises dans des instantanés.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez étiqueter les instantanés de la même manière que leurs clusters de RDS base de données Amazon parents. La copie des balises garantit que les métadonnées des instantanés de base de données correspondent à celles des clusters de base de données parents et que les politiques d'accès à l'instantané de base de données correspondent également à celles de l'instance de base de données parent.
Correction
Pour copier des balises dans des instantanés pour les clusters de base de données Neptune, consultez la section Copier des balises dans Neptune dans le guide de l'utilisateur de Neptune.
[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : neptune-cluster-multi-az-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster de base de données Amazon Neptune possède des instances de réplication en lecture dans plusieurs zones de disponibilité (). AZs Le contrôle échoue si le cluster est déployé dans une seule zone de disponibilité.
Si une AZ n'est pas disponible et lors d'événements de maintenance réguliers, les répliques en lecture servent de cibles de basculement pour l'instance principale. En d'autres termes, si l'instance principale échoue, Neptune promeut une instance de réplica en lecture au statut d'instance principale. En revanche, si votre cluster de bases de données n'inclut aucune instance de réplica en lecture, le cluster de bases de données reste indisponible en cas de défaillance de l'instance principale tant qu'elle n'a pas été recréée. La recréation de l'instance principale prend beaucoup plus de temps que la promotion d'un réplica en lecture. Pour garantir une haute disponibilité, nous vous recommandons de créer une ou plusieurs instances en lecture répliquée ayant la même classe d'instance de base de données que l'instance principale et situées dans une autre instance AZs que l'instance principale.
Correction
Pour déployer un cluster de base de données Neptune en plusieurs exemplairesAZs, consultez la section Instances de base de données Replica dans un cluster de base de données Neptune dans le guide de l'utilisateur de Neptune.
