Amazon DocumentDB에 대한 Security Hub 제어 - AWS Security Hub
[DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.[DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.[DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 CloudWatch 로그에 게시해야 합니다.[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon DocumentDB에 대한 Security Hub 제어

이러한 Security Hub 제어는Amazon DocumentDB(MongoDB 호환) 서비스 및 리소스를 평가합니다.

이러한 제어는 일부만 사용할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호 > 암호화 data-at-rest

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: docdb-cluster-encrypted

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon DocumentDB 클러스터가 저장 시 암호화되는지 확인합니다. Amazon DocumentDB 클러스터가 저장 시 암호화되지 않으면 제어가 실패합니다.

저장 데이터는 일정 기간 동안 영구 비휘발성 스토리지에 저장되는 모든 데이터를 의미합니다. 암호화를 사용하면 이러한 데이터의 기밀을 보호하여 권한이 없는 사용자가 데이터에 액세스할 위험을 줄일 수 있습니다. Amazon DocumentDB 클러스터의 데이터는 추가 보안 계층을 위해 저장 시 암호화되어야 합니다. Amazon DocumentDB는 256비트 고급 암호화 표준(AES-256)을 사용하여 AWS Key Management Service ()에 저장된 암호화 키를 사용하여 데이터를 암호화합니다AWS KMS.

문제 해결

Amazon DocumentDB 클러스터를 생성할 때 저장 시 암호화를 활성화할 수 있습니다. 클러스터를 생성한 후에는 암호화 설정을 변경할 수 없습니다. 자세한 내용은 Amazon DocumentDB 개발자 안내서Amazon DocumentDB 클러스터에 대한 저장 시 암호화 활성화를 참조하세요.

[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 SI-12, PCI DSS v4.0.1/3.2.1

범주: 복구 > 복원력 > 백업 활성화

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: docdb-cluster-backup-retention-check

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값

minimumBackupRetentionPeriod

백업 보존 기간(일수)

Integer

7~35

7

이 제어는 Amazon DocumentDB 클러스터의 백업 보존 기간이 지정된 기간 이상인지 여부를 확인합니다. 백업 보존 기간이 지정된 기간 미만인 경우, 제어가 실패합니다. 백업 보존 기간에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub는 기본값인 7일을 사용합니다.

백업을 통해 보안 사고로부터 더 빠르게 복구하고 시스템의 복원력을 강화할 수 있습니다. Amazon DocumentDB 클러스터의 백업을 자동화하면 시스템을 특정 시점으로 복원하고 가동 중지 시간과 데이터 손실을 최소화할 수 있습니다. Amazon DocumentDB에서 클러스터의 기본 백업 보존 기간은 1일입니다. 이 제어를 통과하려면 이 값을 7일에서 35일 사이의 값으로 늘려야 합니다.

문제 해결

Amazon DocumentDB 클러스터의 백업 보존 기간을 변경하려면 Amazon DocumentDB 개발자 안내서Amazon DocumentDB 클러스터 수정을 참조하세요. 백업에서 백업 보존 기간을 선택합니다.

[DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9), PCI DSS v4.0.1/1.4.4

범주: 보호 > 보안 네트워크 구성

심각도: 심각

리소스 유형: AWS::RDS::DBClusterSnapshot, AWS::RDS:DBSnapshot

AWS Config 규칙: docdb-cluster-snapshot-public-prohibited

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon DocumentDB 수동 클러스터 스냅샷이 퍼블릭인지 여부를 확인합니다. 수동 클러스터 스냅샷이 퍼블릭인 경우, 제어가 실패합니다.

Amazon DocumentDB 수동 클러스터 스냅샷은 의도한 경우가 아니면 공개해서는 안 됩니다. 암호화되지 않은 수동 스냅샷을 공개로 공유하면 모든 AWS 계정에서 해당 스냅샷을 사용할 수 있습니다. 퍼블릭 스냅샷은 의도하지 않은 데이터 노출을 초래할 수 있습니다.

참고

이 제어는 수동 클러스터 스냅샷을 평가합니다. Amazon DocumentDB 자동 클러스터 스냅샷은 공유할 수 없습니다. 그러나 자동 스냅샷을 복사하여 수동 스냅샷을 생성한 다음 복사본을 공유할 수 있습니다.

문제 해결

Amazon DocumentDB 수동 클러스터 스냅샷에 대한 퍼블릭 액세스를 제거하려면 Amazon DocumentDB 개발자 안내서스냅샷 공유를 참조하세요. 프로그래밍 방식으로 Amazon DocumentDB 작업 modify-db-snapshot-attribute을 사용할 수 있습니다. attribute-namerestore으로 설정하고 values-to-removeall로 설정합니다.

[DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 CloudWatch 로그에 게시해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.3.3

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: docdb-cluster-audit-logging-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon DocumentDB 클러스터가 감사 로그를 Amazon CloudWatch Logs에 게시하는지 확인합니다. 클러스터가 감사 로그를 CloudWatch 로그에 게시하지 않으면 제어가 실패합니다.

Amazon DocumentDB(MongoDB 호환)를 사용하면 클러스터에서 수행된 이벤트를 감사할 수 있습니다. 기록되는 이벤트의 예제로는 성공 또는 실패한 인증 시도, 데이터베이스에서 모음 삭제 또는 인덱스 생성이 있습니다. Amazon DocumentDB에서는 기본적으로 감사가 비활성화되어 있으므로 이를 활성화하려면 조치를 취해야 합니다.

문제 해결

Amazon DocumentDB 감사 로그를 CloudWatch 로그에 게시하려면 Amazon DocumentDB 개발자 안내서감사 활성화를 참조하세요.

[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)

범주: 보호 > 데이터 보호 > 데이터 삭제 보호

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: docdb-cluster-deletion-protection-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon DocumentDB 클러스터의 삭제 방지 기능 활성화 여부를 확인합니다. 클러스터에 삭제 방지 기능이 활성화되지 않은 경우, 제어가 실패합니다.

클러스터 삭제 방지를 활성화하면 우발적인 데이터베이스 삭제 또는 권한 없는 사용자에 의한 삭제에 대한 추가 보호 계층이 제공됩니다. 삭제 방지가 활성화되어 있는 동안에는 Amazon DocumentDB 클러스터가 삭제될 수 없습니다. 삭제 요청이 성공하려면 먼저 삭제 방지를 비활성화해야 합니다. Amazon DocumentDB 콘솔에서 클러스터를 생성하면 삭제 방지 기능이 기본적으로 활성화됩니다.

문제 해결

기존 Amazon DocumentDB 클러스터에 대한 삭제 방지를 활성화하려면 Amazon DocumentDB 개발자 안내서Amazon DocumentDB 클러스터 수정을 참조하세요. 클러스터 수정 섹션에서 삭제 방지 활성화를 선택합니다.