Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Questi AWS Security Hub controlli valutano il servizio e le risorse di Amazon DynamoDB.
Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda
Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: media
Tipo di risorsa: AWS::DynamoDB::Table
Regola AWS Config : dynamodb-autoscaling-enabled
Tipo di pianificazione: periodica
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati validi | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Numero minimo di unità di capacità di lettura assegnate per la scalabilità automatica di DynamoDB |
Numero intero |
|
Nessun valore predefinito |
|
|
Percentuale di utilizzo prevista per la capacità di lettura |
Numero intero |
|
Nessun valore predefinito |
|
|
Numero minimo di unità di capacità di scrittura assegnate per la scalabilità automatica di DynamoDB |
Numero intero |
|
Nessun valore predefinito |
|
|
Percentuale di utilizzo prevista per la capacità di scrittura |
Numero intero |
|
Nessun valore predefinito |
Questo controllo verifica se una tabella Amazon DynamoDB è in grado di scalare la propria capacità di lettura e scrittura in base alle esigenze. Il controllo fallisce se la tabella non utilizza la modalità di capacità su richiesta o la modalità provisioning con scalabilità automatica configurata. Per impostazione predefinita, questo controllo richiede solo la configurazione di una di queste modalità, indipendentemente da livelli specifici di capacità di lettura o scrittura. Facoltativamente, è possibile fornire valori di parametri personalizzati per richiedere livelli specifici di capacità di lettura e scrittura o di utilizzo del target.
La scalabilità della capacità in base alla domanda evita le eccezioni di limitazione, il che aiuta a mantenere la disponibilità delle applicazioni. Le tabelle DynamoDB che utilizzano la modalità di capacità su richiesta sono limitate solo dalle quote di tabella predefinite del throughput di DynamoDB. Per aumentare queste quote, puoi inviare un ticket di assistenza a. Supporto Le tabelle DynamoDB che utilizzano la modalità provisioning con scalabilità automatica regolano la capacità di throughput assegnata in modo dinamico in risposta ai modelli di traffico. Per ulteriori informazioni sulla limitazione delle richieste di DynamoDB, consulta Request throttling and burst capacity nella Amazon DynamoDB Developer Guide.
Correzione
Per abilitare la scalabilità automatica di DynamoDB su tabelle esistenti in modalità capacità, consulta Enabling DynamoDB auto scaling su tabelle esistenti nella Amazon DynamoDB Developer Guide.
[DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time
Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
Categoria: Ripristino > Resilienza > Backup abilitati
Gravità: media
Tipo di risorsa: AWS::DynamoDB::Table
Regola AWS Config : dynamodb-pitr-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se il point-in-time ripristino (PITR) è abilitato per una tabella Amazon DynamoDB.
I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. Il ripristino point-in-time DynamoDB automatizza i backup per le tabelle DynamoDB. Riduce i tempi di ripristino in seguito a operazioni di cancellazione o scrittura accidentali. Le tabelle DynamoDB con PITR abilitato possono essere ripristinate in qualsiasi momento negli ultimi 35 giorni.
Correzione
Per ripristinare una tabella DynamoDB in un momento specifico, consulta Restoring a DynamoDB table to a point-in-time nella Amazon DynamoDB Developer Guide.
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::DAX::Cluster
Regola AWS Config : dax-encryption-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se un cluster Amazon DynamoDB Accelerator (DAX) è crittografato a riposo. Il controllo fallisce se il cluster DAX non è crittografato a riposo.
La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da parte di un utente non autenticato. AWS La crittografia aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati. Ad esempio, sono necessarie le autorizzazioni API per decrittografare i dati prima che possano essere letti.
Correzione
Non è possibile abilitare o disabilitare la crittografia a riposo dopo la creazione di un cluster. È necessario ricreare il cluster per abilitare la crittografia a riposo. Per istruzioni dettagliate su come creare un cluster DAX con la crittografia a riposo abilitata, consulta Enabling encryption at rest using the AWS Management Console nella Amazon DynamoDB Developer Guide.
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
Categoria: Ripristino > Resilienza > Backup abilitati
Gravità: media
Tipo di risorsa: AWS::DynamoDB::Table
AWS Config regola: dynamodb-resources-protected-by-backup-plan
Tipo di pianificazione: periodica
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Il controllo restituisce un |
Booleano |
|
Nessun valore predefinito |
Questo controllo valuta se una ACTIVE tabella Amazon DynamoDB in stato è coperta da un piano di backup. Il controllo fallisce se la tabella DynamoDB non è coperta da un piano di backup. Se si imposta il backupVaultLockCheck parametro uguale atrue, il controllo passa solo se viene eseguito il backup della tabella DynamoDB in AWS Backup un vault bloccato.
AWS Backup è un servizio di backup completamente gestito che consente di centralizzare e automatizzare il backup dei dati in tutto il mondo. Servizi AWS Con AWS Backup, è possibile creare piani di backup che definiscono i requisiti di backup, ad esempio la frequenza con cui eseguire il backup dei dati e per quanto tempo conservare tali backup. L'inclusione delle tabelle DynamoDB nei piani di backup consente di proteggere i dati da perdite o cancellazioni involontarie.
Correzione
Per aggiungere una tabella DynamoDB a AWS Backup un piano di backup, consulta Assegnazione di risorse a un piano di backup nella Developer Guide.AWS Backup
[DynamoDB.5] Le tabelle DynamoDB devono essere etichettate
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::DynamoDB::Table
AWS Config regola: tagged-dynamodb-table (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco di tag che soddisfano i requisiti AWS |
No default value
|
Questo controllo verifica se una tabella Amazon DynamoDB contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se la tabella non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a una tabella DynamoDB, consulta Tagging resources in DynamoDB nella Amazon DynamoDB Developer Guide.
[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
Requisiti correlati: NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
Categoria: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
Gravità: media
Tipo di risorsa: AWS::DynamoDB::Table
AWS Config regola: dynamodb-table-deletion-protection-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se una tabella Amazon DynamoDB ha la protezione da eliminazione abilitata. Il controllo fallisce se una tabella DynamoDB non ha la protezione da eliminazione abilitata.
È possibile proteggere una tabella DynamoDB dall'eliminazione accidentale con la proprietà di protezione dall'eliminazione. L'attivazione di questa proprietà per le tabelle aiuta a garantire che le tabelle non vengano eliminate accidentalmente durante le normali operazioni di gestione delle tabelle da parte degli amministratori. Questo aiuta a prevenire interruzioni delle normali operazioni aziendali.
Correzione
Per abilitare la protezione da eliminazione per una tabella DynamoDB, consulta Using delete protection nella Amazon DynamoDB Developer Guide.
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
Requisiti correlati: NIST.800-53.r5 AC-1 7, 3, 3, PCI DSS NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-1 v4.0.1/4.2.1 NIST.800-53.r5 SC-2
Categoria: Proteggi > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::DynamoDB::Table
AWS Config regola: dax-tls-endpoint-encryption
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se un cluster Amazon DynamoDB Accelerator (DAX) è crittografato in transito, con il tipo di crittografia degli endpoint impostato su TLS. Il controllo fallisce se il cluster DAX non è crittografato in transito.
HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. È necessario consentire solo alle connessioni crittografate tramite TLS di accedere ai cluster DAX. Tuttavia, la crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con la crittografia attivata per comprendere il profilo delle prestazioni e l'impatto del TLS.
Correzione
Non è possibile modificare l'impostazione di crittografia TLS dopo aver creato un cluster DAX. Per crittografare un cluster DAX esistente, crea un nuovo cluster con la crittografia in transito abilitata, sposta il traffico dell'applicazione su di esso, quindi elimina il vecchio cluster. Per ulteriori informazioni, consulta Using Delection Protection nella Amazon DynamoDB Developer Guide.
