Kontrol Security Hub untuk Amazon DocumentDB - AWS Security Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk Amazon DocumentDB

Kontrol Security Hub ini mengevaluasi layanan dan sumber daya Amazon DocumentDB (dengan kompatibilitas MongoDB).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::RDS::DBCluster

AWS Config aturan: docdb-cluster-encrypted

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah cluster Amazon DocumentDB dienkripsi saat istirahat. Kontrol gagal jika cluster Amazon DocumentDB tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah mendapatkan akses ke sana. Data di cluster Amazon DocumentDB harus dienkripsi saat istirahat untuk lapisan keamanan tambahan. Amazon DocumentDB menggunakan Advanced Encryption Standard 256-bit (AES-256) untuk mengenkripsi data Anda menggunakan kunci enkripsi yang disimpan dalam AWS Key Management Service (AWS KMS).

Remediasi

Anda dapat mengaktifkan enkripsi saat istirahat saat membuat klaster Amazon DocumentDB. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat cluster. Untuk informasi selengkapnya, lihat Mengaktifkan enkripsi saat istirahat untuk klaster Amazon DocumentDB di Panduan Pengembang Amazon DocumentDB.

[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai

Persyaratan terkait: NIST.800-53.R5 SI-12, PCI DSS v4.0.1/3.2.1

Kategori: Pulih> Ketahanan > Cadangan diaktifkan

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::RDS::DBCluster

AWS Config aturan: docdb-cluster-backup-retention-check

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub

minimumBackupRetentionPeriod

Periode retensi cadangan minimum dalam beberapa hari

Bilangan Bulat

7 untuk 35

7

Kontrol ini memeriksa apakah klaster Amazon DocumentDB memiliki periode retensi cadangan yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Kontrol gagal jika periode retensi cadangan kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode penyimpanan cadangan, Security Hub menggunakan nilai default 7 hari.

Pencadangan membantu Anda pulih lebih cepat dari insiden keamanan dan memperkuat ketahanan sistem Anda. Dengan mengotomatiskan backup untuk cluster Amazon DocumentDB Anda, Anda akan dapat memulihkan sistem Anda ke titik waktu tertentu dan meminimalkan waktu henti dan kehilangan data. Di Amazon DocumentDB, cluster memiliki periode retensi cadangan default 1 hari. Ini harus ditingkatkan menjadi nilai antara 7 dan 35 hari untuk melewati kontrol ini.

Remediasi

Untuk mengubah periode retensi cadangan untuk klaster Amazon DocumentDB Anda, lihat Memodifikasi klaster Amazon DocumentDB di Panduan Pengembang Amazon DocumentDB. Untuk Backup, pilih periode retensi cadangan.

[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik

Persyaratan terkait: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Kritis

Jenis sumber daya:AWS::RDS::DBClusterSnapshot, AWS::RDS:DBSnapshot

AWS Config aturan: docdb-cluster-snapshot-public-prohibited

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah snapshot kluster manual Amazon DocumentDB bersifat publik. Kontrol gagal jika snapshot cluster manual bersifat publik.

Snapshot kluster manual Amazon DocumentDB tidak boleh bersifat publik kecuali dimaksudkan. Jika Anda membagikan snapshot manual yang tidak terenkripsi sebagai publik, snapshot tersedia untuk semua. Akun AWS Cuplikan publik dapat mengakibatkan eksposur data yang tidak diinginkan.

catatan

Kontrol ini mengevaluasi snapshot cluster manual. Anda tidak dapat membagikan snapshot klaster otomatis Amazon DocumentDB. Namun, Anda dapat membuat snapshot manual dengan menyalin snapshot otomatis, lalu membagikan salinannya.

Remediasi

Untuk menghapus akses publik untuk snapshot kluster manual Amazon DocumentDB, lihat Berbagi snapshot di Panduan Pengembang Amazon DocumentDB. Secara terprogram, Anda dapat menggunakan operasi Amazon DocumentDB. modify-db-snapshot-attribute Tetapkan attribute-name sebagai restore dan values-to-remove sebagaiall.

[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch

Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::RDS::DBCluster

AWS Config aturan: docdb-cluster-audit-logging-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah klaster Amazon DocumentDB menerbitkan log audit ke Amazon Logs. CloudWatch Kontrol gagal jika klaster tidak mempublikasikan log audit ke CloudWatch Log.

Amazon DocumentDB (dengan kompatibilitas MongoDB) memungkinkan Anda mengaudit peristiwa yang dilakukan di cluster Anda. Contoh log acara termasuk upaya autentikasi yang berhasil dan gagal, membuang koleksi dalam basis data, atau membuat indeks. Secara default, audit dinonaktifkan di Amazon DocumentDB dan mengharuskan Anda mengambil tindakan untuk mengaktifkannya.

Remediasi

Untuk mempublikasikan log audit Amazon DocumentDB CloudWatch ke Log, lihat Mengaktifkan audit di Panduan Pengembang Amazon DocumentDB.

[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

Kategori: Lindungi > Perlindungan data > Perlindungan penghapusan data

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::RDS::DBCluster

AWS Config aturan: docdb-cluster-deletion-protection-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah klaster Amazon DocumentDB memiliki perlindungan penghapusan yang diaktifkan. Kontrol gagal jika cluster tidak mengaktifkan proteksi penghapusan.

Mengaktifkan perlindungan penghapusan klaster menawarkan lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh pengguna yang tidak sah. Cluster Amazon DocumentDB tidak dapat dihapus saat perlindungan penghapusan diaktifkan. Anda harus menonaktifkan perlindungan penghapusan terlebih dahulu sebelum permintaan penghapusan berhasil. Perlindungan penghapusan diaktifkan secara default saat Anda membuat klaster di konsol Amazon DocumentDB.

Remediasi

Untuk mengaktifkan perlindungan penghapusan klaster Amazon DocumentDB yang ada, lihat Memodifikasi klaster Amazon DocumentDB di Panduan Pengembang Amazon DocumentDB. Di bagian Modify Cluster, pilih Enable for Deletion protection.