Controlli Security Hub per DynamoDB - AWS Security Hub
[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda[DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup[DynamoDB.5] Le tabelle DynamoDB devono essere etichettate[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli Security Hub per DynamoDB

Questi AWS Security Hub i controlli valutano il servizio e le risorse Amazon DynamoDB.

Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, vedereDisponibilità dei controlli per regione.

[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::DynamoDB::Table

AWS Config regola: dynamodb-autoscaling-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro Descrizione Tipo Valori personalizzati validi Valore predefinito di Security Hub

minProvisionedReadCapacity

Numero minimo di unità di capacità di lettura assegnate per la scalabilità automatica di DynamoDB

Numero intero

1 Da a 40000

Nessun valore predefinito

targetReadUtilization

Percentuale di utilizzo prevista per la capacità di lettura

Numero intero

20 Da a 90

Nessun valore predefinito

minProvisionedWriteCapacity

Numero minimo di unità di capacità di scrittura assegnate per la scalabilità automatica di DynamoDB

Numero intero

1 Da a 40000

Nessun valore predefinito

targetWriteUtilization

Percentuale di utilizzo prevista per la capacità di scrittura

Numero intero

20 Da a 90

Nessun valore predefinito

Questo controllo verifica se una tabella Amazon DynamoDB è in grado di scalare la propria capacità di lettura e scrittura in base alle esigenze. Il controllo fallisce se la tabella non utilizza la modalità di capacità su richiesta o la modalità provisioning con scalabilità automatica configurata. Per impostazione predefinita, questo controllo richiede solo la configurazione di una di queste modalità, indipendentemente da livelli specifici di capacità di lettura o scrittura. Facoltativamente, è possibile fornire valori di parametri personalizzati per richiedere livelli specifici di capacità di lettura e scrittura o di utilizzo del target.

La scalabilità della capacità in base alla domanda evita le eccezioni di limitazione, il che aiuta a mantenere la disponibilità delle applicazioni. Le tabelle DynamoDB che utilizzano la modalità di capacità su richiesta sono limitate solo dalle quote di tabella predefinite del throughput di DynamoDB. Per aumentare queste quote, puoi inviare un ticket di assistenza a AWS Support. Le tabelle DynamoDB che utilizzano la modalità provisioning con scalabilità automatica regolano la capacità di throughput assegnata in modo dinamico in risposta ai modelli di traffico. Per ulteriori informazioni sulla limitazione delle richieste di DynamoDB, consulta Request throttling and burst capacity nella Amazon DynamoDB Developer Guide.

Correzione

Per abilitare la scalabilità automatica di DynamoDB su tabelle esistenti in modalità capacità, consulta Enabling DynamoDB auto scaling su tabelle esistenti nella Amazon DynamoDB Developer Guide.

[DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Categoria: Ripristino > Resilienza > Backup abilitati

Gravità: media

Tipo di risorsa: AWS::DynamoDB::Table

AWS Config regola: dynamodb-pitr-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se point-in-time recovery (PITR) è abilitato per una tabella Amazon DynamoDB.

I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. Il ripristino point-in-time DynamoDB automatizza i backup per le tabelle DynamoDB. Riduce i tempi di ripristino in seguito a operazioni di cancellazione o scrittura accidentali. Le tabelle DynamoDB PITR abilitate possono essere ripristinate in qualsiasi momento negli ultimi 35 giorni.

Correzione

Per ripristinare una tabella DynamoDB in un momento specifico, consulta Restoring a DynamoDB table to a point-in-time nella Amazon DynamoDB Developer Guide.

[DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), .800-53.r5 SI-7 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-26) NIST

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::DAX::Cluster

AWS Config regola: dax-encryption-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se un cluster Amazon DynamoDB Accelerator DAX () è crittografato a riposo. Il controllo fallisce se il DAX cluster non è crittografato a riposo.

La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da parte di un utente non autenticato AWS. La crittografia aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati. Ad esempio, sono necessarie API le autorizzazioni per decrittografare i dati prima che possano essere letti.

Correzione

Non è possibile abilitare o disabilitare la crittografia a riposo dopo la creazione di un cluster. È necessario ricreare il cluster per abilitare la crittografia a riposo. Per istruzioni dettagliate su come creare un DAX cluster con la crittografia a riposo abilitata, vedere Abilitare la crittografia a riposo utilizzando il AWS Management Consolenella Amazon DynamoDB Developer Guide.

[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Categoria: Ripristino > Resilienza > Backup abilitati

Gravità: media

Tipo di risorsa: AWS::DynamoDB::Table

AWS Config regola: dynamodb-resources-protected-by-backup-plan

Tipo di pianificazione: periodica

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Valore predefinito di Security Hub

backupVaultLockCheck

Il controllo restituisce un PASSED risultato se il parametro è impostato su true e la risorsa lo utilizza AWS Backup Blocco del caveau.

Booleano

true o false

Nessun valore predefinito

Questo controllo valuta se una ACTIVE tabella Amazon DynamoDB in stato è coperta da un piano di backup. Il controllo fallisce se la tabella DynamoDB non è coperta da un piano di backup. Se si imposta il backupVaultLockCheck parametro uguale atrue, il controllo passa solo se la tabella DynamoDB è sottoposta a backup in un AWS Backup cassaforte chiusa.

AWS Backup è un servizio di backup completamente gestito che consente di centralizzare e automatizzare il backup dei dati in tutte le aree Servizi AWS. Con AWS Backup, è possibile creare piani di backup che definiscano i requisiti di backup, ad esempio con che frequenza eseguire il backup dei dati e per quanto tempo conservare tali backup. L'inclusione delle tabelle DynamoDB nei piani di backup consente di proteggere i dati da perdite o cancellazioni involontarie.

Correzione

Per aggiungere una tabella DynamoDB a un AWS Backup piano di backup, vedi Assegnazione di risorse a un piano di backup nel AWS Backup Guida per gli sviluppatori.

[DynamoDB.5] Le tabelle DynamoDB devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::DynamoDB::Table

AWS Config regola: tagged-dynamodb-table (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Valore predefinito di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. StringList Elenco dei tag che soddisfano AWS requisiti No default value

Questo controllo verifica se una tabella Amazon DynamoDB contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se la tabella non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a un AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.

Correzione

Per aggiungere tag a una tabella DynamoDB, consulta Tagging resources in DynamoDB nella Amazon DynamoDB Developer Guide.

[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata

Requisiti correlati: NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

Categoria: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati

Gravità: media

Tipo di risorsa: AWS::DynamoDB::Table

AWS Config regola: dynamodb-table-deletion-protection-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una tabella Amazon DynamoDB ha la protezione da eliminazione abilitata. Il controllo fallisce se una tabella DynamoDB non ha la protezione da eliminazione abilitata.

È possibile proteggere una tabella DynamoDB dall'eliminazione accidentale con la proprietà di protezione dall'eliminazione. L'attivazione di questa proprietà per le tabelle aiuta a garantire che le tabelle non vengano eliminate accidentalmente durante le normali operazioni di gestione delle tabelle da parte degli amministratori. Questo aiuta a prevenire interruzioni delle normali operazioni aziendali.

Correzione

Per abilitare la protezione da eliminazione per una tabella DynamoDB, consulta Using delete protection nella Amazon DynamoDB Developer Guide.

[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

Requisiti correlati: 7, 3, 3 NIST.800-53.r5 AC-1 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::DynamoDB::Table

AWS Config regola: dax-tls-endpoint-encryption

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se un cluster Amazon DynamoDB Accelerator DAX () è crittografato in transito, con il tipo di crittografia degli endpoint impostato su. TLS Il controllo fallisce se il DAX cluster non è crittografato in transito.

HTTPS(TLS) può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. È necessario consentire l'accesso ai cluster solo alle connessioni crittografate. TLS DAX Tuttavia, la crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con la crittografia attivata per comprendere il profilo delle prestazioni e l'impatto diTLS.

Correzione

Non è possibile modificare l'impostazione di TLS crittografia dopo aver creato un DAX cluster. Per crittografare un DAX cluster esistente, crea un nuovo cluster con la crittografia in transito abilitata, sposta il traffico dell'applicazione su di esso, quindi elimina il vecchio cluster. Per ulteriori informazioni, consulta Using Delection Protection nella Amazon DynamoDB Developer Guide.