Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli Security Hub per AWS DMS
Questi controlli del Security Hub valutano il servizio AWS Database Migration Service (AWS DMS) e le risorse.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, v3.2.1/1.3.2, v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 PCI DSS PCI DSS
Categoria: Protezione > Configurazione di rete protetta
Severità: critica
Tipo di risorsa: AWS::DMS::ReplicationInstance
Regola AWS Config : dms-replication-not-public
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se le istanze di AWS DMS replica sono pubbliche. A tale scopo, esamina il valore del campo. PubliclyAccessible
Un'istanza di replica privata ha un indirizzo IP privato a cui non è possibile accedere al di fuori della rete di replica. Un'istanza di replica deve avere un indirizzo IP privato quando i database di origine e di destinazione si trovano nella stessa rete. La rete deve inoltre essere connessa all'istanza di replica VPC utilizzando un VPN AWS Direct Connect, o VPC peering. Per ulteriori informazioni sulle istanze di replica pubbliche e private, consulta Istanze di replica pubbliche e private nella Guida per l'utente.AWS Database Migration Service
È inoltre necessario assicurarsi che l'accesso alla configurazione dell' AWS DMS istanza sia limitato ai soli utenti autorizzati. A tale scopo, limita IAM le autorizzazioni degli utenti a modificare AWS DMS impostazioni e risorse.
Correzione
Non è possibile modificare l'impostazione di accesso pubblico per un'istanza di DMS replica dopo averla creata. Per modificare l'impostazione di accesso pubblico, elimina l'istanza corrente e quindi ricreala. Non selezionare l'opzione Accessibile pubblicamente.
[DMS.2] DMS i certificati devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::DMS::Certificate
AWS Config regola: tagged-dms-certificate (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco di tag che soddisfano i requisiti AWS |
No default value
|
Questo controllo verifica se un AWS DMS certificato ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il certificato non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il certificato non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un DMS certificato, consulta Taggare le risorse AWS Database Migration Service nella Guida per l'AWS Database Migration Service utente.
[DMS.3] le sottoscrizioni agli DMS eventi devono essere contrassegnate
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::DMS::EventSubscription
AWS Config regola: tagged-dms-eventsubscription (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco di tag che soddisfano i requisiti AWS |
No default value
|
Questo controllo verifica se una sottoscrizione a un AWS DMS evento ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se la sottoscrizione all'evento non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la sottoscrizione all'evento non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un abbonamento a un DMS evento, consulta Taggare le risorse AWS Database Migration Service nella Guida per l'AWS Database Migration Service utente.
[DMS.4] le istanze di DMS replica devono essere etichettate
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::DMS::ReplicationInstance
AWS Config regola: tagged-dms-replicationinstance (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco di tag che soddisfano i requisiti AWS |
No default value
|
Questo controllo verifica se un'istanza di AWS DMS replica ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo ha esito negativo se l'istanza di replica non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'istanza di replica non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un'istanza di DMS replica, consulta Tagging resources AWS Database Migration Service nella Guida per l'utente.AWS Database Migration Service
[DMS.5] i sottoreti di DMS replica devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::DMS::ReplicationSubnetGroup
AWS Config regola: tagged-dms-replicationsubnetgroup (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco di tag che soddisfano i requisiti AWS |
No default value
|
Questo controllo verifica se un gruppo di sottoreti di AWS DMS replica dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo ha esito negativo se il gruppo di sottorete di replica non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sottorete di replica non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un sottogruppo di rete DMS di replica, consulta Tagging resources nella AWS Database Migration Service Guida per l'utente.AWS Database Migration Service
[DMS.6] nelle istanze di DMS replica dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie
Requisiti correlati: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5), v4.0.1/6.3.3 NIST NIST PCI DSS
Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni
Gravità: media
Tipo di risorsa: AWS::DMS::ReplicationInstance
Regola AWS Config : dms-auto-minor-version-upgrade-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se l'aggiornamento automatico della versione secondaria è abilitato per un'istanza di AWS DMS replica. Il controllo fallisce se l'aggiornamento automatico della versione secondaria non è abilitato per un'istanza di DMS replica.
DMSfornisce l'aggiornamento automatico delle versioni secondarie a ciascun motore di replica supportato in modo da poter mantenere l'istanza di replica. up-to-date Le versioni minori possono introdurre nuove funzionalità software, correzioni di bug, patch di sicurezza e miglioramenti delle prestazioni. Abilitando l'aggiornamento automatico delle versioni secondarie sulle istanze di DMS replica, gli aggiornamenti minori vengono applicati automaticamente durante la finestra di manutenzione o immediatamente se si sceglie l'opzione Applica modifiche immediatamente.
Correzione
Per abilitare l'aggiornamento automatico della versione secondaria sulle istanze di DMS replica, vedere Modifica di un'istanza di replica nella Guida per l'utente.AWS Database Migration Service
[DMS.7] le attività di DMS replica per il database di destinazione devono avere la registrazione abilitata
Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8), NIST v4.0.1/10.4.2 NIST PCI DSS
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::DMS::ReplicationTask
Regola AWS Config : dms-replication-task-targetdb-logging
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la registrazione è abilitata con il livello di gravità minimo di LOGGER_SEVERITY_DEFAULT per le attività di DMS replica e. TARGET_APPLY TARGET_LOAD Il controllo ha esito negativo se la registrazione non è abilitata per queste attività o se il livello di gravità minimo è inferiore a. LOGGER_SEVERITY_DEFAULT
DMSutilizza Amazon CloudWatch per registrare le informazioni durante il processo di migrazione. Utilizzando le impostazioni delle attività di registrazione, puoi specificare quali attività dei componenti vengono registrate e quante informazioni vengono registrate. È necessario specificare la registrazione per le seguenti attività:
TARGET_APPLY— Le istruzioni Data and Data Definition Language (DDL) vengono applicate al database di destinazione.TARGET_LOAD: i dati vengono caricati nel database di destinazione.
La registrazione svolge un ruolo fondamentale nelle attività di DMS replica in quanto consente il monitoraggio, la risoluzione dei problemi, il controllo, l'analisi delle prestazioni, il rilevamento e il ripristino degli errori, nonché l'analisi e il reporting cronologici. Contribuisce a garantire la corretta replica dei dati tra database, mantenendo al contempo l'integrità dei dati e la conformità ai requisiti normativi. Livelli di registrazione diversi da DEFAULT sono raramente necessari per questi componenti durante la risoluzione dei problemi. Si consiglia di mantenere il livello di registrazione come DEFAULT per questi componenti, a meno che non venga espressamente richiesto di modificarlo entro. Supporto Un livello di registrazione minimo DEFAULT garantisce che i messaggi informativi, gli avvisi e i messaggi di errore vengano scritti nei log. Questo controllo verifica se il livello di registrazione è almeno uno dei seguenti per le attività di replica precedenti:, o. LOGGER_SEVERITY_DEFAULT LOGGER_SEVERITY_DEBUG LOGGER_SEVERITY_DETAILED_DEBUG
Correzione
Per abilitare la registrazione per le attività di DMS replica del database di destinazione, vedere Visualizzazione e gestione dei AWS DMS registri delle attività nella Guida per l'utente.AWS Database Migration Service
[DMS.8] le attività di DMS replica per il database di origine devono avere la registrazione abilitata
Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8), NIST v4.0.1/10.4.2 NIST PCI DSS
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::DMS::ReplicationTask
Regola AWS Config : dms-replication-task-sourcedb-logging
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la registrazione è abilitata con il livello di gravità minimo di LOGGER_SEVERITY_DEFAULT per le attività di DMS replica e. SOURCE_CAPTURE SOURCE_UNLOAD Il controllo ha esito negativo se la registrazione non è abilitata per queste attività o se il livello di gravità minimo è inferiore a. LOGGER_SEVERITY_DEFAULT
DMSutilizza Amazon CloudWatch per registrare le informazioni durante il processo di migrazione. Utilizzando le impostazioni delle attività di registrazione, puoi specificare quali attività dei componenti vengono registrate e quante informazioni vengono registrate. È necessario specificare la registrazione per le seguenti attività:
SOURCE_CAPTURE— I dati di replica o modifica in corso (CDC) vengono acquisiti dal database o dal servizio di origine e passati al componente delSORTERservizio.SOURCE_UNLOAD— I dati vengono scaricati dal database o dal servizio di origine durante il pieno caricamento.
La registrazione svolge un ruolo fondamentale nelle attività di DMS replica in quanto consente il monitoraggio, la risoluzione dei problemi, il controllo, l'analisi delle prestazioni, il rilevamento e il ripristino degli errori, nonché l'analisi e il reporting cronologici. Contribuisce a garantire la corretta replica dei dati tra database, mantenendo al contempo l'integrità dei dati e la conformità ai requisiti normativi. Livelli di registrazione diversi da DEFAULT sono raramente necessari per questi componenti durante la risoluzione dei problemi. Si consiglia di mantenere il livello di registrazione come DEFAULT per questi componenti, a meno che non venga espressamente richiesto di modificarlo entro. Supporto Un livello di registrazione minimo DEFAULT garantisce che i messaggi informativi, gli avvisi e i messaggi di errore vengano scritti nei log. Questo controllo verifica se il livello di registrazione è almeno uno dei seguenti per le attività di replica precedenti:, o. LOGGER_SEVERITY_DEFAULT LOGGER_SEVERITY_DEBUG LOGGER_SEVERITY_DETAILED_DEBUG
Correzione
Per abilitare la registrazione per le attività di DMS replica del database di origine, vedere Visualizzazione e gestione dei AWS DMS registri delle attività nella Guida per l'utente.AWS Database Migration Service
[DMS.9] gli endpoint devono utilizzare DMS SSL
Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), v4.0.1/4.2.1 PCI DSS
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::DMS::Endpoint
Regola AWS Config : dms-endpoint-ssl-configured
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un AWS DMS endpoint utilizza una SSL connessione. Il controllo fallisce se l'endpoint non lo utilizza. SSL
SSL/TLSle connessioni forniscono un livello di sicurezza crittografando le connessioni tra le istanze di DMS replica e il database. L'utilizzo dei certificati fornisce un ulteriore livello di sicurezza convalidando che la connessione venga stabilita al database previsto. A tale scopo, verifica il certificato del server che viene installato automaticamente su tutte le istanze di database fornite. Abilitando la SSL connessione sugli DMS endpoint, proteggi la riservatezza dei dati durante la migrazione.
Correzione
Per aggiungere una SSL connessione a un DMS endpoint nuovo o esistente, consulta Using SSL with AWS Database Migration Service nella Guida per l'AWS Database Migration Service utente.
[DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM
Requisiti correlati: NIST.800-53.r5 AC-2,,, 7,, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-1 v4.0.1/7.3.1 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5 PCI DSS
Categoria: Protezione > Gestione sicura degli accessi > Autenticazione senza password
Gravità: media
Tipo di risorsa: AWS::DMS::Endpoint
Regola AWS Config : dms-neptune-iam-authorization-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un AWS DMS endpoint per un database Amazon Neptune è configurato con l'autorizzazione. IAM Il controllo fallisce se sull'DMSendpoint non è abilitata l'autorizzazione. IAM
AWS Identity and Access Management (IAM) fornisce un controllo granulare degli accessi su tutto il territorio. AWS ConIAM, è possibile specificare chi può accedere a quali servizi e risorse e in quali condizioni. IAMLe policy consentono di gestire le autorizzazioni relative alla forza lavoro e ai sistemi in modo da garantire le autorizzazioni con privilegi minimi. Abilitando IAM l'autorizzazione sugli AWS DMS endpoint per i database Neptune, è possibile concedere privilegi di autorizzazione IAM agli utenti utilizzando un ruolo di servizio specificato dal parametro. ServiceAccessRoleARN
Correzione
Per abilitare IAM l'autorizzazione sugli DMS endpoint per i database Neptune, consulta la sezione Uso di Amazon Neptune come destinazione nella Guida per l'utente. AWS Database Migration ServiceAWS Database Migration Service
[DMS.11] gli DMS endpoint per MongoDB devono avere un meccanismo di autenticazione abilitato
Requisiti correlati: NIST.800-53.r5 AC-3,,, v4.0.1/7.3.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5 PCI DSS
Categoria: Protezione > Gestione sicura degli accessi > Autenticazione senza password
Gravità: media
Tipo di risorsa: AWS::DMS::Endpoint
Regola AWS Config : dms-mongo-db-authentication-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un AWS DMS endpoint per MongoDB è configurato con un meccanismo di autenticazione. Il controllo fallisce se non è impostato un tipo di autenticazione per l'endpoint.
AWS Database Migration Service supporta due metodi di autenticazione per MongoDB: MONGODB-CR per MongoDB versione 2.x e - -1 per MongoDB versione 3.x o successiva. SCRAM SHA Questi metodi di autenticazione vengono utilizzati per autenticare e crittografare le password MongoDB se gli utenti desiderano utilizzare le password per accedere ai database. L'autenticazione sugli AWS DMS endpoint garantisce che solo gli utenti autorizzati possano accedere e modificare i dati migrati tra i database. Senza un'autenticazione adeguata, gli utenti non autorizzati potrebbero essere in grado di accedere ai dati sensibili durante il processo di migrazione. Ciò può causare violazioni dei dati, perdita di dati o altri incidenti di sicurezza.
Correzione
Per abilitare un meccanismo di autenticazione sugli DMS endpoint per MongoDB, consulta Usare MongoDB come sorgente nella Guida per l'utente. AWS DMSAWS Database Migration Service
[DMS.12] DMS gli endpoint per Redis avrebbero dovuto essere abilitati OSS TLS
Requisiti correlati: NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, v4.0.1/4.2.1 PCI DSS
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::DMS::Endpoint
Regola AWS Config : dms-redis-tls-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un AWS DMS endpoint per Redis OSS è configurato con una connessione. TLS Il controllo fallisce se l'endpoint non è abilitato. TLS
TLSfornisce end-to-end sicurezza quando i dati vengono inviati tra applicazioni o database su Internet. Quando si configura la SSL crittografia per l'DMSendpoint, abilita la comunicazione crittografata tra i database di origine e di destinazione durante il processo di migrazione. Questo aiuta a prevenire l'intercettazione e l'intercettazione di dati sensibili da parte di malintenzionati. Senza SSL crittografia, è possibile accedere ai dati sensibili, con conseguenti violazioni dei dati, perdita di dati o altri incidenti di sicurezza.
Correzione
Per abilitare una TLS connessione sugli DMS endpoint per Redis, consulta Uso di Redis come destinazione nella Guida per l' AWS Database Migration Service utente.AWS Database Migration Service
