Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM del Security Hub per Neptune
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon Neptune.
Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Neptune DB è crittografato quando è inattivo. Il controllo fallisce se un cluster Neptune DB non è crittografato a riposo.
I dati inattivi si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia aiuta a proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. La crittografia dei cluster Neptune DB protegge i dati e i metadati dall'accesso non autorizzato. Soddisfa inoltre i requisiti di conformità per la crittografia dei file system di produzione. data-at-rest
### Correzione
È possibile abilitare la crittografia a riposo quando si crea un cluster Neptune DB. Non è possibile modificare le impostazioni di crittografia dopo aver creato un cluster. *Per ulteriori informazioni, [consulta Encrypting Neptune resources at rest nella Guida per l'utente di Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html).*
## [Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (5), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.0 103,3
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Neptune DB pubblica log di audit su Amazon Logs. CloudWatch Il controllo fallisce se un cluster Neptune DB non pubblica i log di controllo su Logs. CloudWatch `EnableCloudWatchLogsExport`dovrebbe essere impostato su. `Audit`
Amazon Neptune e CloudWatch Amazon sono integrati in modo da poter raccogliere e analizzare i parametri delle prestazioni. Neptune invia automaticamente le metriche e supporta anche gli CloudWatch allarmi. CloudWatch I log di controllo sono altamente personalizzabili. Quando si esegue l'audit di un database, ogni operazione sui dati può essere monitorata e registrata in una pista di controllo, incluse le informazioni su quale cluster di database si accede e in che modo. Ti consigliamo di inviare questi log per aiutarti CloudWatch a monitorare i tuoi cluster Neptune DB.
### Correzione
*Per pubblicare i log di controllo di Neptune su Logs CloudWatch , [consulta Pubblicazione dei log di Neptune su Amazon Logs nella Neptune User Guide. CloudWatch ](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html)* Nella sezione Esportazioni dei log**,** scegli **Audit**.
## [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), (9), NIST.800-53.r5 SC-7 PCI DSS NIST.800-53.r5 SC-7 v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::RDS::DBClusterSnapshot`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un'istantanea manuale del cluster DB di Neptune è pubblica. Il controllo fallisce se un'istantanea manuale del cluster DB di Neptune è pubblica.
Un'istantanea manuale del cluster Neptune DB non deve essere pubblica a meno che non sia prevista. Se condividi un'istantanea manuale non crittografata come pubblica, l'istantanea è disponibile per tutti. Account AWS Le istantanee pubbliche possono causare un'esposizione involontaria dei dati.
### Correzione
*Per rimuovere l'accesso pubblico alle istantanee manuali dei cluster DB di Neptune, [consulta Condivisione di un'istantanea del cluster DB](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html) nella Guida per l'utente di Neptune.*
## [Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
**Categoria:** Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Neptune DB ha la protezione da eliminazione abilitata. Il controllo fallisce se un cluster Neptune DB non ha la protezione da eliminazione abilitata.
L'attivazione della protezione da eliminazione del cluster offre un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un utente non autorizzato. Un cluster Neptune DB non può essere eliminato mentre la protezione da eliminazione è abilitata. È necessario innanzitutto disabilitare la protezione da eliminazione prima che una richiesta di eliminazione possa avere successo.
### Correzione
*Per abilitare la protezione da eliminazione per un cluster Neptune DB esistente, [consulta Modificare il cluster DB utilizzando la console, la CLI e l'API nella](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings) Guida per l'utente di Amazon Aurora.*
## [Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
**Requisiti correlati: NIST.800-53.R5** SI-12
**Categoria: Recupero > Resilienza > Backup abilitati**
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Periodo minimo di conservazione dei backup in giorni | Numero intero | `7` Da a `35` | `7` |
Questo controllo verifica se un cluster Neptune DB ha abilitato i backup automatici e un periodo di conservazione dei backup maggiore o uguale al periodo di tempo specificato. Il controllo fallisce se i backup non sono abilitati per il cluster Neptune DB o se il periodo di conservazione è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione del backup, Security Hub CSPM utilizza un valore predefinito di 7 giorni.
I backup aiutano a ripristinare più rapidamente un incidente di sicurezza e a rafforzare la resilienza dei sistemi. Automatizzando i backup per i cluster Neptune DB, sarete in grado di ripristinare i sistemi in un determinato momento e ridurre al minimo i tempi di inattività e la perdita di dati.
### Correzione
*Per abilitare i backup automatici e impostare un periodo di conservazione dei backup per i cluster Neptune DB, [consulta Enabling automatic backup](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) nella Amazon RDS User Guide.* Per il **periodo di conservazione del Backup**, scegli un valore maggiore o uguale a 7.
## [Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-7 (18) NIST.800-53.r5 SC-7
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBClusterSnapshot`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un'istantanea del cluster Neptune DB è crittografata quando è inattiva. Il controllo fallisce se un cluster Neptune DB non è crittografato a riposo.
I dati inattivi si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia consente di proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. I dati nelle istantanee dei cluster Neptune DB devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza.
### Correzione
Non è possibile crittografare uno snapshot del cluster Neptune DB esistente. È invece necessario ripristinare lo snapshot in un nuovo cluster DB e abilitare la crittografia sul cluster. È possibile creare un'istantanea crittografata dal cluster crittografato. *Per istruzioni, consulta [Ripristino da un'istantanea del cluster DB e Creazione di un'istantanea](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html) [del cluster DB in Neptune nella Guida per l'utente di Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html).*
## [Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 ( NIST.800-53.r5 AC-37), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Neptune DB ha l'autenticazione del database IAM abilitata. Il controllo fallisce se l'autenticazione del database IAM non è abilitata per un cluster Neptune DB.
L'autenticazione del database IAM per i cluster di database Amazon Neptune elimina la necessità di memorizzare le credenziali degli utenti all'interno della configurazione del database perché l'autenticazione viene gestita esternamente tramite IAM. Quando l'autenticazione del database IAM è abilitata, ogni richiesta deve essere firmata utilizzando Signature Version 4. AWS
### Correzione
Per impostazione predefinita, l'autenticazione del database IAM è disabilitata quando si crea un cluster Neptune DB. *Per abilitarlo, consulta [Enabling IAM database authentication in Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html) nella Neptune User Guide.*
## [Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria**: Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Neptune DB è configurato per copiare tutti i tag nelle istantanee al momento della creazione delle istantanee. Il controllo fallisce se un cluster Neptune DB non è configurato per copiare i tag nelle istantanee.
L'identificazione e l'inventario delle risorse IT sono un aspetto cruciale della governance e della sicurezza. È necessario etichettare gli snapshot nello stesso modo dei relativi cluster di database Amazon RDS principali. La copia dei tag garantisce che i metadati per gli snapshot DB corrispondano a quelli dei cluster di database principali e che le politiche di accesso per lo snapshot DB corrispondano anche a quelle dell'istanza DB principale.
### Correzione
*Per copiare i tag nelle istantanee per i cluster Neptune DB, consulta [Copiare i tag in Neptune nella Guida per l'utente di Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview).*
## [Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon Neptune DB dispone di istanze di replica in lettura in più zone di disponibilità (). AZs Il controllo fallisce se il cluster viene distribuito in una sola AZ.
Se una AZ non è disponibile e durante gli eventi di manutenzione regolari, le repliche di lettura fungono da destinazioni di failover per l'istanza principale. Pertanto, se si verifica un errore nell'istanza primaria, Neptune promuove un'istanza di replica di lettura a diventare l'istanza primaria. Al contrario, se il cluster database non include istanze di replica di lettura, il cluster database rimane non disponibile quando l'istanza primaria ha esito negativo finché non viene ricreata. La ricreazione dell'istanza primaria richiede molto più tempo rispetto alla promozione di un'istanza di replica di lettura. Per garantire un'elevata disponibilità, si consiglia di creare una o più istanze di replica di lettura che abbiano la stessa classe di istanza DB dell'istanza principale e si trovino in un'istanza diversa dall'istanza principale. AZs
### Correzione
*Per implementare un cluster Neptune DB in più, [consulta Istanze DB AZs Read-Replica in un cluster Neptune DB nella Guida per l'utente di Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas).*