Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli del Security Hub per Neptune
Questi AWS Security Hub i controlli valutano il servizio e le risorse Amazon Neptune.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, vedereDisponibilità dei controlli per regione.
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), .800-53.r5 SI-7 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-26) NIST
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::RDS::DBCluster
AWS Config regola: neptune-cluster-encrypted
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Neptune DB è crittografato a riposo. Il controllo fallisce se un cluster Neptune DB non è crittografato a riposo.
I dati inattivi si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia aiuta a proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. La crittografia dei cluster Neptune DB protegge i dati e i metadati dall'accesso non autorizzato. Soddisfa inoltre i requisiti di conformità per la crittografia dei file system di produzione. data-at-rest
Correzione
È possibile abilitare la crittografia a riposo quando si crea un cluster Neptune DB. Non è possibile modificare le impostazioni di crittografia dopo aver creato un cluster. Per ulteriori informazioni, consulta Encrypting Neptune resources at rest nella Guida per l'utente di Neptune.
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
Requisiti correlati: NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST .800-53.r5 SI-20, .800-53.r5 SI-3 (8), NIST .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-4 (5), NIST .800-53.r5 SI-7 (8) NIST
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::RDS::DBCluster
AWS Config regola: neptune-cluster-cloudwatch-log-export-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Neptune DB pubblica log di audit su Amazon Logs. CloudWatch Il controllo fallisce se un cluster Neptune DB non pubblica i log di controllo su Logs. CloudWatch EnableCloudWatchLogsExportdovrebbe essere impostato su. Audit
Amazon Neptune e CloudWatch Amazon sono integrati in modo da poter raccogliere e analizzare i parametri delle prestazioni. Neptune invia automaticamente le metriche e supporta anche gli CloudWatch allarmi. CloudWatch I log di controllo sono altamente personalizzabili. Quando si esegue l'audit di un database, ogni operazione sui dati può essere monitorata e registrata in una pista di controllo, incluse le informazioni su quale cluster di database si accede e in che modo. Ti consigliamo di inviare questi log per aiutarti CloudWatch a monitorare i cluster Neptune DB.
Correzione
Per pubblicare i log di controllo di Neptune su Logs CloudWatch , consulta Pubblicazione dei log di Neptune su Amazon Logs nella Neptune User Guide. CloudWatch Nella sezione Esportazioni dei log, scegli Audit.
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
Severità: critica
Tipo di risorsa: AWS::RDS::DBClusterSnapshot
AWS Config regola: neptune-cluster-snapshot-public-prohibited
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un'istantanea manuale del cluster DB di Neptune è pubblica. Il controllo fallisce se un'istantanea manuale del cluster DB di Neptune è pubblica.
Un'istantanea manuale del cluster Neptune DB non deve essere pubblica a meno che non sia prevista. Se condividi un'istantanea manuale non crittografata come pubblica, l'istantanea è disponibile per tutti Account AWS. Le istantanee pubbliche possono causare un'esposizione involontaria dei dati.
Correzione
Per rimuovere l'accesso pubblico alle istantanee manuali dei cluster DB di Neptune, consulta Condivisione di un'istantanea del cluster DB nella Guida per l'utente di Neptune.
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
Requisiti correlati: NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
Categoria: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
Gravità: bassa
Tipo di risorsa: AWS::RDS::DBCluster
AWS Config regola: neptune-cluster-deletion-protection-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Neptune DB ha la protezione da eliminazione abilitata. Il controllo fallisce se un cluster Neptune DB non ha la protezione da eliminazione abilitata.
L'attivazione della protezione da eliminazione del cluster offre un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un utente non autorizzato. Un cluster Neptune DB non può essere eliminato mentre la protezione da eliminazione è abilitata. È necessario innanzitutto disabilitare la protezione da eliminazione prima che una richiesta di eliminazione possa avere successo.
Correzione
Per abilitare la protezione da eliminazione per un cluster Neptune DB esistente, consulta Modificare il cluster DB utilizzando la console e nella Guida per l'CLIutente di Amazon Aurora. API
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
Requisiti correlati: NIST .800-53.r5 SI-12
Categoria: Ripristino > Resilienza > Backup abilitati
Gravità: media
Tipo di risorsa: AWS::RDS::DBCluster
AWS Config regola: neptune-cluster-backup-retention-check
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Periodo minimo di conservazione dei backup in giorni |
Numero intero |
|
|
Questo controllo verifica se un cluster Neptune DB ha abilitato i backup automatici e un periodo di conservazione dei backup maggiore o uguale al periodo di tempo specificato. Il controllo fallisce se i backup non sono abilitati per il cluster Neptune DB o se il periodo di conservazione è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione del backup, Security Hub utilizza un valore predefinito di 7 giorni.
I backup aiutano a ripristinare più rapidamente un incidente di sicurezza e a rafforzare la resilienza dei sistemi. Automatizzando i backup per i cluster Neptune DB, sarete in grado di ripristinare i sistemi in un determinato momento e ridurre al minimo i tempi di inattività e la perdita di dati.
Correzione
Per abilitare i backup automatici e impostare un periodo di conservazione dei backup per i cluster Neptune DB, consulta Enabling automatic backup nella Amazon User Guide. RDS Per il periodo di conservazione del Backup, scegli un valore maggiore o uguale a 7.
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-7 (18) NIST.800-53.r5 SC-7
Categoria: Proteggi > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::RDS::DBClusterSnapshot
AWS Config regola: neptune-cluster-snapshot-encrypted
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un'istantanea del cluster Neptune DB è crittografata quando è inattiva. Il controllo fallisce se un cluster Neptune DB non è crittografato a riposo.
I dati inattivi si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia consente di proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. I dati nelle istantanee dei cluster Neptune DB devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza.
Correzione
Non è possibile crittografare uno snapshot del cluster Neptune DB esistente. È invece necessario ripristinare lo snapshot in un nuovo cluster DB e abilitare la crittografia sul cluster. È possibile creare un'istantanea crittografata dal cluster crittografato. Per istruzioni, consulta Ripristino da un'istantanea del cluster DB e Creazione di un'istantanea del cluster DB in Neptune nella Guida per l'utente di Neptune.
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database abilitata IAM
Requisiti correlati: NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 ( NIST.800-53.r5 AC-37), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
Categoria: Protezione > Gestione sicura degli accessi > Autenticazione senza password
Gravità: media
Tipo di risorsa: AWS::RDS::DBCluster
AWS Config regola: neptune-cluster-iam-database-authentication
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Neptune DB IAM ha l'autenticazione del database abilitata. Il controllo fallisce se l'autenticazione del IAM database non è abilitata per un cluster Neptune DB.
IAMl'autenticazione del database per i cluster di database Amazon Neptune elimina la necessità di memorizzare le credenziali degli utenti all'interno della configurazione del database perché l'autenticazione viene gestita esternamente tramite. IAM Quando l'autenticazione IAM del database è abilitata, ogni richiesta deve essere firmata utilizzando AWS Versione Signature 4.
Correzione
Per impostazione predefinita, l'autenticazione del IAM database è disabilitata quando si crea un cluster Neptune DB. Per abilitarlo, vedi Abilitazione dell'autenticazione IAM del database in Neptune nella Guida per l'utente di Neptune.
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
Requisiti correlati: NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2, NIST .800-53.r5 CM-2 (2) NIST
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::RDS::DBCluster
AWS Config regola: neptune-cluster-copy-tags-to-snapshot-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Neptune DB è configurato per copiare tutti i tag nelle istantanee al momento della creazione delle istantanee. Il controllo fallisce se un cluster Neptune DB non è configurato per copiare i tag nelle istantanee.
L'identificazione e l'inventario delle risorse IT sono un aspetto cruciale della governance e della sicurezza. È necessario etichettare gli snapshot nello stesso modo dei relativi cluster di RDS database Amazon principali. La copia dei tag garantisce che i metadati per gli snapshot DB corrispondano a quelli dei cluster di database principali e che anche le politiche di accesso per lo snapshot DB corrispondano a quelle dell'istanza DB principale.
Correzione
Per copiare i tag nelle istantanee per i cluster Neptune DB, consulta Copiare i tag in Neptune nella Guida per l'utente di Neptune.
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: media
Tipo di risorsa: AWS::RDS::DBCluster
AWS Config regola: neptune-cluster-multi-az-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Amazon Neptune DB dispone di istanze di replica in lettura in più zone di disponibilità (). AZs Il controllo fallisce se il cluster viene distribuito in una sola AZ.
Se una AZ non è disponibile e durante gli eventi di manutenzione regolari, le repliche di lettura fungono da destinazioni di failover per l'istanza principale. Pertanto, se si verifica un errore nell'istanza primaria, Neptune promuove un'istanza di replica di lettura a diventare l'istanza primaria. Al contrario, se il cluster database non include istanze di replica di lettura, il cluster database rimane non disponibile quando l'istanza primaria ha esito negativo finché non viene ricreata. La ricreazione dell'istanza primaria richiede molto più tempo rispetto alla promozione di un'istanza di replica di lettura. Per garantire un'elevata disponibilità, si consiglia di creare una o più istanze di replica di lettura che abbiano la stessa classe di istanza DB dell'istanza principale e si trovino in un'istanza diversa dall'istanza principale. AZs
Correzione
Per implementare un cluster Neptune DB in più, consulta Istanze DB AZs Read-Replica in un cluster Neptune DB nella Guida per l'utente di Neptune.
