Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli Security Hub per AWS DMS
Questi controlli del Security Hub valutano il AWS Database Migration Service (AWS DMS) servizio e risorse.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, vedereDisponibilità dei controlli per regione.
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
Requisiti correlati: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-3,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoria: Protezione > Configurazione di rete protetta
Severità: critica
Tipo di risorsa: AWS::DMS::ReplicationInstance
AWS Config regola: dms-replication-not-public
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se AWS DMS le istanze di replica sono pubbliche. A tale scopo, esamina il valore del campo. PubliclyAccessible
Un'istanza di replica privata ha un indirizzo IP privato a cui non è possibile accedere al di fuori della rete di replica. Un'istanza di replica deve avere un indirizzo IP privato quando i database di origine e di destinazione si trovano nella stessa rete. La rete deve inoltre essere connessa all'istanza di replica VPC utilizzando un, VPN AWS Direct Connect o VPC peering. Per ulteriori informazioni sulle istanze di replica pubbliche e private, consulta Istanze di replica pubbliche e private nel AWS Database Migration Service Guida per l'utente.
È inoltre necessario garantire l'accesso al AWS DMS la configurazione dell'istanza è limitata ai soli utenti autorizzati. A tale scopo, limita le IAM autorizzazioni degli utenti alla modifica AWS DMS impostazioni e risorse.
Correzione
Non è possibile modificare l'impostazione di accesso pubblico per un'istanza di DMS replica dopo averla creata. Per modificare l'impostazione di accesso pubblico, elimina l'istanza corrente e quindi ricreala. Non selezionare l'opzione Accessibile pubblicamente.
[DMS.2] DMS i certificati devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::DMS::Certificate
AWS Config regola: tagged-dms-certificate (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco dei tag che soddisfano AWS requisiti |
No default value
|
Questo controllo verifica se un AWS DMS il certificato ha dei tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il certificato non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il certificato non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a un AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i principali responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, incluso AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.
Correzione
Per aggiungere tag a un DMS certificato, vedi Etichettare le risorse in AWS Database Migration Service nella AWS Database Migration Service Guida per l'utente.
[DMS.3] le sottoscrizioni agli DMS eventi devono essere contrassegnate
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::DMS::EventSubscription
AWS Config regola: tagged-dms-eventsubscription (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco dei tag che soddisfano AWS requisiti |
No default value
|
Questo controllo verifica se un AWS DMS event subscription ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se la sottoscrizione all'evento non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la sottoscrizione all'evento non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a un AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i principali responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, incluso AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.
Correzione
Per aggiungere tag a un abbonamento a un DMS evento, consulta Taggare le risorse in AWS Database Migration Service nella AWS Database Migration Service Guida per l'utente.
[DMS.4] le istanze di DMS replica devono essere etichettate
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::DMS::ReplicationInstance
AWS Config regola: tagged-dms-replicationinstance (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco dei tag che soddisfano AWS requisiti |
No default value
|
Questo controllo verifica se un AWS DMS l'istanza di replica ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'istanza di replica non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'istanza di replica non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a un AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i principali responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, incluso AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.
Correzione
Per aggiungere tag a un'istanza di DMS replica, consulta Tagging resources in AWS Database Migration Service nella AWS Database Migration Service Guida per l'utente.
[DMS.5] i DMS sottoreti di replica devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::DMS::ReplicationSubnetGroup
AWS Config regola: tagged-dms-replicationsubnetgroup (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco dei tag che soddisfano AWS requisiti |
No default value
|
Questo controllo verifica se un AWS DMS il gruppo di sottorete di replica ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo ha esito negativo se il gruppo di sottorete di replica non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sottorete di replica non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a un AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i principali responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, incluso AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.
Correzione
Per aggiungere tag a un sottogruppo DMS di replica, vedere Tagging resources in AWS Database Migration Service nella AWS Database Migration Service Guida per l'utente.
[DMS.6] le istanze di DMS replica devono avere l'aggiornamento automatico delle versioni secondarie abilitato
Requisiti correlati: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST
Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni
Gravità: media
Tipo di risorsa: AWS::DMS::ReplicationInstance
AWS Config regola: dms-auto-minor-version-upgrade-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se l'aggiornamento automatico della versione secondaria è abilitato per un AWS DMS istanza di replica. Il controllo fallisce se l'aggiornamento automatico della versione secondaria non è abilitato per un'istanza di DMS replica.
DMSfornisce l'aggiornamento automatico delle versioni secondarie a ciascun motore di replica supportato in modo da poter mantenere l'istanza di replica. up-to-date Le versioni minori possono introdurre nuove funzionalità software, correzioni di bug, patch di sicurezza e miglioramenti delle prestazioni. Abilitando l'aggiornamento automatico delle versioni secondarie sulle istanze di DMS replica, gli aggiornamenti minori vengono applicati automaticamente durante la finestra di manutenzione o immediatamente se si sceglie l'opzione Applica modifiche immediatamente.
Correzione
Per abilitare l'aggiornamento automatico della versione secondaria sulle istanze di DMS replica, vedere Modifica di un'istanza di replica nella AWS Database Migration Service Guida per l'utente.
[DMS.7] le attività di DMS replica per il database di destinazione devono avere la registrazione abilitata
Requisiti correlati: NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::DMS::ReplicationTask
AWS Config regola: dms-replication-task-targetdb-logging
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la registrazione è abilitata con il livello di gravità minimo di LOGGER_SEVERITY_DEFAULT per le attività di DMS replica e. TARGET_APPLY TARGET_LOAD Il controllo ha esito negativo se la registrazione non è abilitata per queste attività o se il livello di gravità minimo è inferiore a. LOGGER_SEVERITY_DEFAULT
DMSutilizza Amazon CloudWatch per registrare le informazioni durante il processo di migrazione. Utilizzando le impostazioni delle attività di registrazione, puoi specificare quali attività dei componenti vengono registrate e quante informazioni vengono registrate. È necessario specificare la registrazione per le seguenti attività:
TARGET_APPLY— Le istruzioni Data and Data Definition Language (DDL) vengono applicate al database di destinazione.TARGET_LOAD: i dati vengono caricati nel database di destinazione.
La registrazione svolge un ruolo fondamentale nelle attività di DMS replica in quanto consente il monitoraggio, la risoluzione dei problemi, il controllo, l'analisi delle prestazioni, il rilevamento e il ripristino degli errori, nonché l'analisi e il reporting cronologici. Contribuisce a garantire la corretta replica dei dati tra database, mantenendo al contempo l'integrità dei dati e la conformità ai requisiti normativi. Livelli di registrazione diversi da DEFAULT sono raramente necessari per questi componenti durante la risoluzione dei problemi. Si consiglia di mantenere il livello di registrazione come DEFAULT per questi componenti, a meno che non venga espressamente richiesto di modificarlo entro AWS Support. Un livello minimo di registrazione DEFAULT garantisce che i messaggi informativi, gli avvisi e i messaggi di errore vengano scritti nei registri. Questo controllo verifica se il livello di registrazione è almeno uno dei seguenti per le attività di replica precedenti:, o. LOGGER_SEVERITY_DEFAULT LOGGER_SEVERITY_DEBUG LOGGER_SEVERITY_DETAILED_DEBUG
Correzione
Per abilitare la registrazione per le attività di DMS replica del database di destinazione, vedere Visualizzazione e gestione AWS DMS registri delle attività in AWS Database Migration Service Guida per l'utente.
[DMS.8] le attività di DMS replica per il database di origine devono avere la registrazione abilitata
Requisiti correlati: NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::DMS::ReplicationTask
AWS Config regola: dms-replication-task-sourcedb-logging
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la registrazione è abilitata con il livello di gravità minimo di LOGGER_SEVERITY_DEFAULT per le attività di DMS replica e. SOURCE_CAPTURE SOURCE_UNLOAD Il controllo ha esito negativo se la registrazione non è abilitata per queste attività o se il livello di gravità minimo è inferiore a. LOGGER_SEVERITY_DEFAULT
DMSutilizza Amazon CloudWatch per registrare le informazioni durante il processo di migrazione. Utilizzando le impostazioni delle attività di registrazione, puoi specificare quali attività dei componenti vengono registrate e quante informazioni vengono registrate. È necessario specificare la registrazione per le seguenti attività:
SOURCE_CAPTURE— I dati di replica o modifica in corso (CDC) vengono acquisiti dal database o dal servizio di origine e passati al componente delSORTERservizio.SOURCE_UNLOAD— I dati vengono scaricati dal database o dal servizio di origine durante il pieno caricamento.
La registrazione svolge un ruolo fondamentale nelle attività di DMS replica in quanto consente il monitoraggio, la risoluzione dei problemi, il controllo, l'analisi delle prestazioni, il rilevamento e il ripristino degli errori, nonché l'analisi e il reporting cronologici. Contribuisce a garantire la corretta replica dei dati tra database, mantenendo al contempo l'integrità dei dati e la conformità ai requisiti normativi. Livelli di registrazione diversi da DEFAULT sono raramente necessari per questi componenti durante la risoluzione dei problemi. Si consiglia di mantenere il livello di registrazione come DEFAULT per questi componenti, a meno che non venga espressamente richiesto di modificarlo entro AWS Support. Un livello minimo di registrazione DEFAULT garantisce che i messaggi informativi, gli avvisi e i messaggi di errore vengano scritti nei registri. Questo controllo verifica se il livello di registrazione è almeno uno dei seguenti per le attività di replica precedenti:, o. LOGGER_SEVERITY_DEFAULT LOGGER_SEVERITY_DEBUG LOGGER_SEVERITY_DETAILED_DEBUG
Correzione
Per abilitare la registrazione per le attività di DMS replica del database di origine, vedere Visualizzazione e gestione AWS DMS registri delle attività in AWS Database Migration Service Guida per l'utente.
[DMS.9] gli DMS endpoint devono utilizzare SSL
Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::DMS::Endpoint
AWS Config regola: dms-endpoint-ssl-configured
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un AWS DMS l'endpoint utilizza una SSL connessione. Il controllo fallisce se l'endpoint non lo utilizza. SSL
SSL/TLSle connessioni forniscono un livello di sicurezza crittografando le connessioni tra le istanze di DMS replica e il database. L'utilizzo dei certificati fornisce un ulteriore livello di sicurezza convalidando che la connessione venga stabilita al database previsto. A tale scopo, verifica il certificato del server che viene installato automaticamente su tutte le istanze di database fornite. Abilitando la SSL connessione sugli DMS endpoint, proteggi la riservatezza dei dati durante la migrazione.
Correzione
Per aggiungere una SSL connessione a un DMS endpoint nuovo o esistente, vedi Utilizzo con SSL AWS Database Migration Service nella AWS Database Migration Service Guida per l'utente.
[DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM
Requisiti correlati: NIST.800-53.r5 AC-2,,, 7 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-1 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5
Categoria: Protezione > Gestione sicura degli accessi > Autenticazione senza password
Gravità: media
Tipo di risorsa: AWS::DMS::Endpoint
AWS Config regola: dms-neptune-iam-authorization-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un AWS DMS l'endpoint per un database Amazon Neptune è configurato con autorizzazione. IAM Il controllo fallisce se sull'DMSendpoint non è abilitata l'autorizzazione. IAM
AWS Identity and Access Management (IAM) fornisce un controllo granulare degli accessi su tutto AWS. ConIAM, è possibile specificare chi può accedere a quali servizi e risorse e a quali condizioni. IAMLe policy consentono di gestire le autorizzazioni relative alla forza lavoro e ai sistemi in modo da garantire le autorizzazioni con privilegi minimi. IAMAbilitando l'autorizzazione su AWS DMS endpoint per i database Neptune, è possibile concedere privilegi di autorizzazione IAM agli utenti utilizzando un ruolo di servizio specificato dal parametro. ServiceAccessRoleARN
Correzione
Per abilitare IAM l'autorizzazione sugli DMS endpoint per i database Neptune, consulta Utilizzo di Amazon Neptune come destinazione per AWS Database Migration Service nella AWS Database Migration Service Guida per l'utente.
[DMS.11] gli DMS endpoint per MongoDB devono avere un meccanismo di autenticazione abilitato
Requisiti correlati:,, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5
Categoria: Protezione > Gestione sicura degli accessi > Autenticazione senza password
Gravità: media
Tipo di risorsa: AWS::DMS::Endpoint
AWS Config regola: dms-mongo-db-authentication-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un AWS DMS endpoint per MongoDB è configurato con un meccanismo di autenticazione. Il controllo fallisce se non è impostato un tipo di autenticazione per l'endpoint.
AWS Database Migration Service supporta due metodi di autenticazione per MongoDB: MONGODB-CR per MongoDB versione 2.x e - -1 per MongoDB versione 3.x o successiva. SCRAM SHA Questi metodi di autenticazione vengono utilizzati per autenticare e crittografare le password MongoDB se gli utenti desiderano utilizzare le password per accedere ai database. Autenticazione attiva AWS DMS gli endpoint garantiscono che solo gli utenti autorizzati possano accedere e modificare i dati migrati tra i database. Senza un'autenticazione adeguata, gli utenti non autorizzati potrebbero essere in grado di accedere ai dati sensibili durante il processo di migrazione. Ciò può causare violazioni dei dati, perdita di dati o altri incidenti di sicurezza.
Correzione
Per abilitare un meccanismo di autenticazione sugli DMS endpoint per MongoDB, vedi Utilizzo di MongoDB come fonte per AWS DMS nella AWS Database Migration Service Guida per l'utente.
[DMS.12] gli DMS endpoint per Redis OSS avrebbero dovuto essere abilitati TLS
Requisiti correlati:, 3 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-1
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::DMS::Endpoint
AWS Config regola: dms-redis-tls-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un AWS DMS l'endpoint per Redis OSS è configurato con una TLS connessione. Il controllo fallisce se l'endpoint non è abilitato. TLS
TLSfornisce end-to-end sicurezza quando i dati vengono inviati tra applicazioni o database su Internet. Quando si configura la SSL crittografia per l'DMSendpoint, abilita la comunicazione crittografata tra i database di origine e di destinazione durante il processo di migrazione. Questo aiuta a prevenire l'intercettazione e l'intercettazione di dati sensibili da parte di malintenzionati. Senza SSL crittografia, è possibile accedere ai dati sensibili, con conseguenti violazioni dei dati, perdita di dati o altri incidenti di sicurezza.
Correzione
Per abilitare una TLS connessione sugli DMS endpoint per Redis, consulta Utilizzo di Redis come destinazione per AWS Database Migration Service nella AWS Database Migration Service Guida per l'utente.
