Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk Neptunus
Ini AWS Security Hub kontrol mengevaluasi layanan dan sumber daya Amazon Neptunus.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: neptune-cluster-encrypted
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah cluster DB Neptunus dienkripsi saat istirahat. Kontrol gagal jika cluster DB Neptunus tidak dienkripsi saat istirahat.
Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya. Mengenkripsi kluster DB Neptunus Anda melindungi data dan metadata Anda dari akses yang tidak sah. Ini juga memenuhi persyaratan kepatuhan untuk data-at-rest enkripsi sistem file produksi.
Remediasi
Anda dapat mengaktifkan enkripsi saat istirahat saat Anda membuat cluster DB Neptunus. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat cluster. Untuk informasi selengkapnya, lihat Mengenkripsi sumber daya Neptunus saat istirahat di Panduan Pengguna Neptunus.
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), .800-53.r5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-4 (5), NIST .800-53.r5 SI-7 (8) NIST NIST
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: neptune-cluster-cloudwatch-log-export-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah klaster DB Neptunus menerbitkan log audit ke Amazon Logs. CloudWatch Kontrol gagal jika kluster DB Neptunus tidak mempublikasikan log audit ke Log. CloudWatch EnableCloudWatchLogsExportharus diatur keAudit.
Amazon Neptunus dan CloudWatch Amazon terintegrasi sehingga Anda dapat mengumpulkan dan menganalisis metrik kinerja. Neptunus secara otomatis mengirimkan metrik CloudWatch ke dan juga mendukung Alarm. CloudWatch Log audit sangat dapat disesuaikan. Saat Anda mengaudit database, setiap operasi pada data dapat dipantau dan dicatat ke jejak audit, termasuk informasi tentang cluster database mana yang diakses dan bagaimana caranya. Kami merekomendasikan pengiriman log ini CloudWatch untuk membantu Anda memantau cluster DB Neptunus Anda.
Remediasi
Untuk memublikasikan log audit Neptunus CloudWatch ke Log, lihat Menerbitkan log Neptunus ke Log CloudWatch Amazon di Panduan Pengguna Neptunus. Di bagian Log ekspor, pilih Audit.
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
Persyaratan terkait: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik
Tingkat keparahan: Kritis
Jenis sumber daya: AWS::RDS::DBClusterSnapshot
AWS Config aturan: neptune-cluster-snapshot-public-prohibited
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah snapshot cluster DB manual Neptunus bersifat publik. Kontrol gagal jika snapshot cluster DB manual Neptunus bersifat publik.
Snapshot manual cluster Neptunus DB tidak boleh dipublikasikan kecuali dimaksudkan. Jika Anda membagikan snapshot manual yang tidak terenkripsi sebagai publik, snapshot tersedia untuk semua Akun AWS. Cuplikan publik dapat mengakibatkan eksposur data yang tidak diinginkan.
Remediasi
Untuk menghapus akses publik untuk snapshot kluster DB manual Neptunus, lihat Berbagi snapshot cluster DB di Panduan Pengguna Neptunus.
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Kategori: Lindungi > Perlindungan data > Perlindungan penghapusan data
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: neptune-cluster-deletion-protection-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah cluster DB Neptunus mengaktifkan perlindungan penghapusan. Kontrol gagal jika cluster DB Neptunus tidak mengaktifkan perlindungan penghapusan.
Mengaktifkan perlindungan penghapusan klaster menawarkan lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh pengguna yang tidak sah. Cluster DB Neptunus tidak dapat dihapus saat perlindungan penghapusan diaktifkan. Anda harus menonaktifkan perlindungan penghapusan terlebih dahulu sebelum permintaan penghapusan berhasil.
Remediasi
Untuk mengaktifkan perlindungan penghapusan klaster DB Neptunus yang ada, lihat Memodifikasi cluster DB menggunakan konsol, dan CLI di Panduan Pengguna Amazon Aurora. API
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
Persyaratan terkait: NIST .800-53.r5 SI-12
Kategori: Pulih> Ketahanan > Cadangan diaktifkan
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: neptune-cluster-backup-retention-check
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Periode retensi cadangan minimum dalam beberapa hari |
Bilangan Bulat |
|
|
Kontrol ini memeriksa apakah cluster DB Neptunus telah mengaktifkan pencadangan otomatis, dan periode retensi cadangan lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Kontrol gagal jika cadangan tidak diaktifkan untuk cluster DB Neptunus, atau jika periode retensi kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode penyimpanan cadangan, Security Hub menggunakan nilai default 7 hari.
Pencadangan membantu Anda pulih lebih cepat dari insiden keamanan dan memperkuat ketahanan sistem Anda. Dengan mengotomatiskan cadangan untuk cluster DB Neptunus Anda, Anda akan dapat memulihkan sistem Anda ke titik waktu tertentu dan meminimalkan waktu henti dan kehilangan data.
Remediasi
Untuk mengaktifkan pencadangan otomatis dan menetapkan periode retensi cadangan untuk kluster DB Neptunus Anda, lihat Mengaktifkan pencadangan otomatis di Panduan Pengguna Amazon. RDS Untuk periode retensi Backup, pilih nilai yang lebih besar dari atau sama dengan 7.
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBClusterSnapshot
AWS Config aturan: neptune-cluster-snapshot-encrypted
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah snapshot cluster Neptunus DB dienkripsi saat istirahat. Kontrol gagal jika cluster DB Neptunus tidak dienkripsi saat istirahat.
Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah mendapatkan akses ke sana. Data dalam snapshot cluster DB Neptunus harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.
Remediasi
Anda tidak dapat mengenkripsi snapshot cluster Neptunus DB yang ada. Sebagai gantinya, Anda harus mengembalikan snapshot ke cluster DB baru dan mengaktifkan enkripsi pada cluster. Anda dapat membuat snapshot terenkripsi dari cluster terenkripsi. Untuk petunjuknya, lihat Memulihkan dari snapshot cluster DB dan Membuat snapshot cluster DB di Neptunus di Panduan Pengguna Neptunus.
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
Persyaratan terkait: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Kategori: Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: neptune-cluster-iam-database-authentication
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah cluster IAM DB Neptunus mengaktifkan otentikasi database. Kontrol gagal jika otentikasi IAM database tidak diaktifkan untuk cluster DB Neptunus.
IAMotentikasi database untuk kluster database Amazon Neptunus menghilangkan kebutuhan untuk menyimpan kredensil pengguna dalam konfigurasi database karena otentikasi dikelola secara eksternal menggunakan. IAM Ketika otentikasi IAM database diaktifkan, setiap permintaan harus ditandatangani menggunakan AWS Versi Tanda Tangan 4.
Remediasi
Secara default, otentikasi IAM database dinonaktifkan saat Anda membuat cluster DB Neptunus. Untuk mengaktifkannya, lihat Mengaktifkan otentikasi IAM database di Neptunus di Panduan Pengguna Neptunus.
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: neptune-cluster-copy-tags-to-snapshot-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah cluster DB Neptunus dikonfigurasi untuk menyalin semua tag ke snapshot saat snapshot dibuat. Kontrol gagal jika cluster DB Neptunus tidak dikonfigurasi untuk menyalin tag ke snapshot.
Identifikasi dan inventaris aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus menandai snapshot dengan cara yang sama seperti cluster RDS database Amazon induk mereka. Menyalin tag memastikan bahwa metadata untuk snapshot DB cocok dengan cluster database induk, dan kebijakan akses untuk snapshot DB juga cocok dengan instans DB induk.
Remediasi
Untuk menyalin tag ke snapshot untuk kluster DB Neptunus, lihat Menyalin tag di Neptunus di Panduan Pengguna Neptunus.
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: neptune-cluster-multi-az-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah klaster DB Amazon Neptunus memiliki instance baca-replika di beberapa Availability Zones (). AZs Kontrol gagal jika cluster digunakan hanya dalam satu AZ.
Jika AZ tidak tersedia dan selama peristiwa pemeliharaan rutin, replika baca berfungsi sebagai target failover untuk instance utama. Artinya, jika instans primer gagal, Neptune mempromosikan instans replika baca menjadi instans primer. Sebaliknya, jika klaster DB Anda tidak menyertakan instans replika baca, klaster DB Anda tetap tidak tersedia ketika instans primer gagal sampai telah dibuat ulang. Membuat ulang instans primer membutuhkan waktu lebih lama daripada mempromosikan replika baca. Untuk memastikan ketersediaan yang tinggi, sebaiknya Anda membuat satu atau lebih instance read-replica yang memiliki kelas instans DB yang sama dengan instance utama dan terletak berbeda AZs dari instance primer.
Remediasi
Untuk menerapkan cluster DB Neptunus dalam AZs beberapa, lihat Instance DB Read-replika di cluster DB Neptunus di Panduan Pengguna Neptunus.
