Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk Amazon DocumentDB
AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon DocumentDB (dengan kompatibilitas MongoDB). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::RDS::DBCluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah cluster Amazon DocumentDB dienkripsi saat istirahat. Kontrol gagal jika cluster Amazon DocumentDB tidak dienkripsi saat istirahat.
Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah mendapatkan akses ke sana. Data di cluster Amazon DocumentDB harus dienkripsi saat istirahat untuk lapisan keamanan tambahan. Amazon DocumentDB menggunakan Advanced Encryption Standard 256-bit (AES-256) untuk mengenkripsi data Anda menggunakan kunci enkripsi yang disimpan dalam AWS Key Management Service (AWS KMS).
### Remediasi
Anda dapat mengaktifkan enkripsi saat istirahat saat membuat cluster Amazon DocumentDB. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat cluster. Untuk informasi selengkapnya, lihat [Mengaktifkan enkripsi saat istirahat untuk klaster Amazon DocumentDB di Panduan Pengembang Amazon](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling) *DocumentDB*.
## [DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
**Persyaratan terkait:** NIST.800-53.R5 SI-12, PCI DSS v4.0.1/3.2.1
**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::RDS::DBCluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Periode retensi cadangan minimum dalam beberapa hari | Bilangan Bulat | `7` untuk `35` | `7` |
Kontrol ini memeriksa apakah klaster Amazon DocumentDB memiliki periode retensi cadangan yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Kontrol gagal jika periode retensi cadangan kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi cadangan, Security Hub CSPM menggunakan nilai default 7 hari.
Pencadangan membantu Anda pulih lebih cepat dari insiden keamanan dan memperkuat ketahanan sistem Anda. Dengan mengotomatiskan backup untuk cluster Amazon DocumentDB Anda, Anda akan dapat memulihkan sistem Anda ke titik waktu tertentu dan meminimalkan waktu henti dan kehilangan data. Di Amazon DocumentDB, cluster memiliki periode retensi cadangan default 1 hari. Ini harus ditingkatkan menjadi nilai antara 7 dan 35 hari untuk melewati kontrol ini.
### Remediasi
*Untuk mengubah periode retensi cadangan untuk klaster Amazon DocumentDB Anda, lihat [Memodifikasi klaster Amazon DocumentDB di Panduan Pengembang Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html).* Untuk **Backup**, pilih periode retensi cadangan.
## [DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Kategori:** Lindungi > Konfigurasi jaringan aman
**Tingkat keparahan:** Kritis
**Jenis sumber daya:** `AWS::RDS::DBClusterSnapshot`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah snapshot cluster manual Amazon DocumentDB bersifat publik. Kontrol gagal jika snapshot cluster manual bersifat publik.
Snapshot kluster manual Amazon DocumentDB tidak boleh bersifat publik kecuali dimaksudkan. Jika Anda membagikan snapshot manual yang tidak terenkripsi sebagai publik, snapshot tersedia untuk semua. Akun AWS Cuplikan publik dapat mengakibatkan eksposur data yang tidak diinginkan.
**catatan**
Kontrol ini mengevaluasi snapshot cluster manual. Anda tidak dapat membagikan snapshot klaster otomatis Amazon DocumentDB. Namun, Anda dapat membuat snapshot manual dengan menyalin snapshot otomatis, lalu membagikan salinannya.
### Remediasi
Untuk menghapus akses publik untuk snapshot kluster manual Amazon DocumentDB, [lihat Berbagi](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots) snapshot di Panduan Pengembang *Amazon* DocumentDB. Secara terprogram, Anda dapat menggunakan operasi Amazon DocumentDB. `modify-db-snapshot-attribute` Tetapkan `attribute-name` sebagai `restore` dan `values-to-remove` sebagai`all`.
## [DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3
**Kategori:** Identifikasi > Logging
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::RDS::DBCluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah klaster Amazon DocumentDB menerbitkan log audit ke Amazon Logs. CloudWatch Kontrol gagal jika klaster tidak mempublikasikan log audit ke CloudWatch Log.
Amazon DocumentDB (dengan kompatibilitas MongoDB) memungkinkan Anda mengaudit peristiwa yang dilakukan di cluster Anda. Contoh log acara termasuk upaya autentikasi yang berhasil dan gagal, membuang koleksi dalam basis data, atau membuat indeks. Secara default, audit dinonaktifkan di Amazon DocumentDB dan mengharuskan Anda mengambil tindakan untuk mengaktifkannya.
### Remediasi
Untuk mempublikasikan log audit Amazon DocumentDB CloudWatch ke Log, [lihat Mengaktifkan](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing) audit di Panduan Pengembang *Amazon* DocumentDB.
## [DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::RDS::DBCluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah klaster Amazon DocumentDB mengaktifkan perlindungan penghapusan. Kontrol gagal jika klaster tidak mengaktifkan perlindungan penghapusan.
Mengaktifkan perlindungan penghapusan klaster menawarkan lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh pengguna yang tidak sah. Cluster Amazon DocumentDB tidak dapat dihapus saat perlindungan penghapusan diaktifkan. Anda harus menonaktifkan perlindungan penghapusan terlebih dahulu sebelum permintaan penghapusan berhasil. Perlindungan penghapusan diaktifkan secara default saat Anda membuat klaster di konsol Amazon DocumentDB.
### Remediasi
*Untuk mengaktifkan perlindungan penghapusan klaster Amazon DocumentDB yang ada, lihat Memodifikasi klaster Amazon DocumentDB di Panduan [Pengembang Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html).* Di bagian **Modify Cluster**, pilih **Enable** for **Deletion protection.**
## [DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::RDS::DBCluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)**
**Jenis jadwal:** Periodik
**Parameter:**`excludeTlsParameters`:`disabled`, `enabled` (tidak dapat disesuaikan)
Kontrol ini memeriksa apakah klaster Amazon DocumentDB memerlukan TLS untuk koneksi ke cluster. Kontrol gagal jika grup parameter cluster yang terkait dengan cluster tidak sinkron, atau parameter cluster TLS diatur ke `disabled` atau`enabled`.
Anda dapat menggunakan TLS untuk mengenkripsi koneksi antara aplikasi dan cluster Amazon DocumentDB. Penggunaan TLS dapat membantu melindungi data agar tidak dicegat saat data sedang transit antara aplikasi dan cluster Amazon DocumentDB. Enkripsi dalam perjalanan untuk klaster Amazon DocumentDB dikelola menggunakan parameter TLS di grup parameter cluster yang terkait dengan cluster. Ketika enkripsi dalam transit diaktifkan, koneksi aman menggunakan TLS diperlukan untuk terhubung ke klaster. Sebaiknya gunakan parameter TLS berikut:`tls1.2+`,`tls1.3+`, dan`fips-140-3`.
### Remediasi
*Untuk informasi tentang mengubah setelan TLS untuk klaster Amazon DocumentDB[, lihat Mengenkripsi data saat transit](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html) di Panduan Pengembang Amazon DocumentDB.*