Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Contrôles Security Hub CSPM pour Neptune
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Neptune.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Neptune est chiffré au repos. Le contrôle échoue si un cluster de base de données Neptune n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé puisse y accéder. Le chiffrement de vos clusters de base de données Neptune protège vos données et métadonnées contre tout accès non autorisé. Il répond également aux exigences de conformité relatives au data-at-rest chiffrement des systèmes de fichiers de production.
### Correction
Vous pouvez activer le chiffrement au repos lorsque vous créez un cluster de base de données Neptune. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un cluster. Pour plus d'informations, consultez la section [Chiffrer les ressources Neptune au repos dans le Guide](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html) de l'utilisateur de *Neptune*.
## [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-4 (5), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Neptune publie des journaux d'audit sur Amazon CloudWatch Logs. Le contrôle échoue si un cluster de base de données Neptune ne publie pas les journaux d'audit dans Logs. CloudWatch `EnableCloudWatchLogsExport`doit être réglé sur`Audit`.
Amazon Neptune et Amazon CloudWatch sont intégrés afin que vous puissiez recueillir et analyser les indicateurs de performance. Neptune envoie automatiquement des métriques aux alarmes CloudWatch et les prend également en charge CloudWatch . Les journaux d'audit sont hautement personnalisables. Lorsque vous auditez une base de données, chaque opération sur les données peut être surveillée et enregistrée dans une piste d'audit, y compris des informations sur le cluster de base de données auquel on accède et comment. Nous vous recommandons d'envoyer ces journaux pour vous aider CloudWatch à surveiller vos clusters de base de données Neptune.
### Correction
*Pour publier les journaux d'audit Neptune dans Logs, consultez la section Publication CloudWatch des [journaux Neptune sur Amazon Logs CloudWatch dans le guide de l'utilisateur](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html) de Neptune.* Dans la section **Exportations de journaux**, choisissez **Audit**.
## [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Critique
**Type de ressource :** `AWS::RDS::DBClusterSnapshot`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un instantané manuel du cluster de base de données Neptune est public. Le contrôle échoue si un instantané manuel du cluster de base de données Neptune est public.
Un instantané manuel d'un cluster de base de données Neptune ne doit pas être public, sauf indication contraire. Si vous partagez un instantané manuel non chiffré en tant que public, l'instantané est accessible à tous Comptes AWS. Les instantanés publics peuvent entraîner une exposition involontaire des données.
### Correction
*Pour supprimer l'accès public aux instantanés manuels de cluster de bases de données Neptune, consultez la section [Partage d'un instantané de cluster](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html) de base de données dans le guide de l'utilisateur de Neptune.*
## [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée sur un cluster de base de données Neptune. Le contrôle échoue si la protection contre la suppression n'est pas activée sur un cluster de base de données Neptune.
L'activation de la protection contre la suppression de clusters offre un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par un utilisateur non autorisé. Un cluster de base de données Neptune ne peut pas être supprimé tant que la protection contre la suppression est activée. Vous devez d'abord désactiver la protection contre la suppression pour qu'une demande de suppression puisse aboutir.
### Correction
Pour activer la protection contre la suppression pour un cluster de base de données Neptune existant, consultez la section [Modification du cluster de base de données à l'aide de la console, de la CLI et de l'API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings) dans le guide de l'*utilisateur Amazon Aurora*.
## [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées
**Exigences connexes :** NIST.800-53.R5 SI-12
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Durée minimale de conservation des sauvegardes en jours | Entier | `7` sur `35` | `7` |
Ce contrôle vérifie si les sauvegardes automatisées sont activées dans un cluster de base de données Neptune et si la période de conservation des sauvegardes est supérieure ou égale à la période spécifiée. Le contrôle échoue si les sauvegardes ne sont pas activées pour le cluster de base de données Neptune ou si la période de rétention est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des sauvegardes, Security Hub CSPM utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité et à renforcer la résilience de vos systèmes. En automatisant les sauvegardes de vos clusters de base de données Neptune, vous serez en mesure de restaurer vos systèmes à un moment précis et de minimiser les temps d'arrêt et les pertes de données.
### Correction
Pour activer les sauvegardes automatisées et définir une période de conservation des sauvegardes pour vos clusters de base de données Neptune, consultez la section [Activation des sauvegardes automatisées](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) dans le guide de l'utilisateur *Amazon RDS.* Pour **la période de conservation des sauvegardes**, choisissez une valeur supérieure ou égale à 7.
## [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBClusterSnapshot`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un instantané du cluster de base de données Neptune est chiffré au repos. Le contrôle échoue si un cluster de base de données Neptune n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé y accède. Les données contenues dans les instantanés des clusters de base de données Neptune doivent être chiffrées au repos pour renforcer la sécurité.
### Correction
Vous ne pouvez pas chiffrer un instantané de cluster de base de données Neptune existant. Au lieu de cela, vous devez restaurer le snapshot sur un nouveau cluster de base de données et activer le chiffrement sur le cluster. Vous pouvez créer un instantané chiffré à partir du cluster chiffré. Pour obtenir des instructions, reportez-vous aux sections [Restauration à partir d'un instantané de cluster](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html) de base de données et [Création d'un instantané de cluster de base de données dans Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html) dans le guide de l'utilisateur de *Neptune*.
## [Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification de base de données IAM est activée dans un cluster de base de données Neptune. Le contrôle échoue si l'authentification de base de données IAM n'est pas activée pour un cluster de base de données Neptune.
L'authentification de base de données IAM pour les clusters de bases de données Amazon Neptune élimine le besoin de stocker les informations d'identification des utilisateurs dans la configuration de la base de données, car l'authentification est gérée en externe à l'aide d'IAM. Lorsque l'authentification de base de données IAM est activée, chaque demande doit être signée à l'aide de AWS la version 4 de Signature.
### Correction
Par défaut, l'authentification de base de données IAM est désactivée lorsque vous créez un cluster de base de données Neptune. Pour l'activer, consultez la section [Activation de l'authentification de base de données IAM dans Neptune dans](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html) le guide de l'utilisateur de *Neptune*.
## [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Neptune est configuré pour copier toutes les balises dans les instantanés lors de leur création. Le contrôle échoue si un cluster de base de données Neptune n'est pas configuré pour copier des balises dans des instantanés.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez étiqueter les instantanés de la même manière que leurs clusters de base de données Amazon RDS parents. La copie des balises garantit que les métadonnées des instantanés de base de données correspondent à celles des clusters de base de données parents et que les politiques d'accès à l'instantané de base de données correspondent également à celles de l'instance de base de données parent.
### Correction
Pour copier des balises dans des instantanés pour les clusters de base de données Neptune, [consultez la section Copier des balises dans Neptune dans le guide de *l'*utilisateur de Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview).
## [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Amazon Neptune possède des instances de réplication en lecture dans plusieurs zones de disponibilité (). AZs Le contrôle échoue si le cluster est déployé dans une seule zone de disponibilité.
Si une AZ n'est pas disponible et lors d'événements de maintenance réguliers, les répliques en lecture servent de cibles de basculement pour l'instance principale. En d'autres termes, si l'instance principale échoue, Neptune promeut une instance de réplica en lecture au statut d'instance principale. En revanche, si votre cluster de bases de données n'inclut aucune instance de réplica en lecture, le cluster de bases de données reste indisponible en cas de défaillance de l'instance principale tant qu'elle n'a pas été recréée. La recréation de l'instance principale prend beaucoup plus de temps que la promotion d'un réplica en lecture. Pour garantir une haute disponibilité, nous vous recommandons de créer une ou plusieurs instances en lecture répliquée ayant la même classe d'instance de base de données que l'instance principale et situées dans une autre instance AZs que l'instance principale.
### Correction
*Pour déployer un cluster de base de données Neptune en plusieurs exemplaires AZs, consultez la section Instances de base de [données Replica dans un cluster de base de données Neptune dans le guide de l'utilisateur de Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas).*