기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
DynamoDB용 Security Hub 컨트롤
다음과 같습니다. AWS Security Hub 컨트롤은 Amazon DynamoDB 서비스 및 리소스를 평가합니다.
이러한 컨트롤을 모두 사용할 수 있는 것은 아닙니다. AWS 리전. 자세한 내용은 을 참조하십시오리전별 제어 기능 사용 가능 여부.
[DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다.
관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
범주: 복구 > 복원력 > 고가용성
심각도: 중간
리소스 유형: AWS::DynamoDB::Table
AWS Config 규칙: dynamodb-autoscaling-enabled
스케줄 유형: 주기적
파라미터:
| 파라미터 | 설명 | 형식 | 유효한 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
|
|
DynamoDB Auto Scaling에 프로비저닝된 최소 읽기 용량 유닛 수 |
Integer |
|
기본값 없음 |
|
|
읽기 용량의 목표 사용률(%) |
Integer |
|
기본값 없음 |
|
|
DynamoDB Auto Scaling에 프로비저닝된 최소 쓰기 용량 유닛 수 |
Integer |
|
기본값 없음 |
|
|
쓰기 용량의 목표 사용률(%) |
Integer |
|
기본값 없음 |
이 제어는 Amazon DynamoDB 테이블이 필요에 따라 읽기 및 쓰기 용량을 확장할 수 있는지 여부를 확인합니다. 테이블이 온디맨드 용량 모드 또는 Auto Scaling이 구성된 프로비저닝 모드를 사용하는 경우 이 제어가 실패합니다. 기본적으로 이 제어는 특정 수준의 읽기 또는 쓰기 용량에 관계없이 이러한 모드 중 하나만 구성하면 됩니다. 필요에 따라 특정 수준의 읽기 및 쓰기 용량 또는 목표 사용률을 요구하는 사용자 지정 파라미터 값을 제공할 수 있습니다.
수요에 따라 용량을 확장하면 제한 예외를 방지하여 애플리케이션의 가용성을 유지하는 데 도움이 됩니다. 온디맨드 용량 모드를 사용하는 DynamoDB 테이블은 DynamoDB 처리량 기본 테이블 할당량에 의해서만 제한됩니다. 할당량을 늘리려면 다음을 통해 지원 티켓을 제출하면 됩니다. AWS Support. Auto Scaling과 함께 프로비저닝된 모드를 사용하는 DynamoDB 테이블은 트래픽 패턴에 따라 프로비저닝된 처리 용량을 동적으로 조정합니다. DynamoDB 요청 제한에 대한 자세한 내용은 Amazon DynamoDB 개발자 안내서의 요청 제한 및 버스트 용량을 참조하세요.
이제 Security Hub가 와 통합되었습니다
용량 모드에서 기존 테이블에 대해 DynamoDB 자동 크기 조정을 활성화하려면 Amazon DynamoDB 개발자 안내서의 기존 테이블에 대한 DynamoDB 자동 조정 활성화를 참조하십시오.
[DynamoDB.2] DynamoDB 테이블에는 복구가 활성화되어 있어야 합니다. point-in-time
관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
범주: 복구 > 복원력 > 백업 활성화
심각도: 중간
리소스 유형: AWS::DynamoDB::Table
AWS Config 규칙: dynamodb-pitr-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 Amazon DynamoDB 테이블에 대해 point-in-time 복구 (PITR) 가 활성화되었는지 여부를 확인합니다.
백업을 통해 보안 사고로부터 더 빠르게 복구할 수 있습니다. 또한 시스템의 복원력을 강화합니다. point-in-time DynamoDB 복구는 DynamoDB 테이블의 백업을 자동화합니다. 이는 실수로 인한 삭제 또는 쓰기 작업을 복구하는 데 걸리는 시간을 줄여줍니다. 활성화된 PITR DynamoDB 테이블은 지난 35일 내 원하는 시점으로 복원할 수 있습니다.
이제 Security Hub가 와 통합되었습니다
DynamoDB 테이블을 특정 시점으로 복원하려면 Amazon DynamoDB 개발자 안내서의 DynamoDB 테이블을 특정 시점으로 복원을 참조하십시오.
[DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.
관련 요구 사항: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST
카테고리: 보호 > 데이터 보호 > 암호화 data-at-rest
심각도: 중간
리소스 유형: AWS::DAX::Cluster
AWS Config 규칙: dax-encryption-enabled
스케줄 유형: 주기적
파라미터: 없음
이 컨트롤은 Amazon DynamoDB 액셀러레이터 DAX () 클러스터가 유휴 상태에서 암호화되었는지 여부를 확인합니다. DAX클러스터가 유휴 상태에서 암호화되지 않으면 제어가 실패합니다.
저장된 데이터를 암호화하면 인증되지 않은 사용자가 디스크에 저장된 데이터에 액세스할 위험이 줄어듭니다. AWS. 암호화는 권한 없는 사용자의 데이터 액세스를 제한하는 또 다른 액세스 제어 세트를 추가합니다. 예를 들어 데이터를 읽을 수 있으려면 먼저 데이터를 해독할 수 있는 API 권한이 필요합니다.
이제 Security Hub가 와 통합되었습니다
클러스터가 생성된 후에는 저장 시 암호화를 활성화하거나 비활성화할 수 없습니다. 저장 시 암호화를 활성화하려면 클러스터를 다시 생성해야 합니다. 저장 중 암호화가 활성화된 DAX 클러스터를 생성하는 방법에 대한 자세한 지침은 다음을 사용하여 저장 중 암호화 활성화를 참조하십시오. AWS Management ConsoleAmazon DynamoDB 개발자 안내서에서 확인할 수 있습니다.
[DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.
관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
범주: 복구 > 복원력 > 백업 활성화
심각도: 중간
리소스 유형: AWS::DynamoDB::Table
AWS Config 규칙: dynamodb-resources-protected-by-backup-plan
스케줄 유형: 주기적
파라미터:
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
|
|
컨트롤은 매개변수가 |
불 |
|
기본값 없음 |
이 제어는 ACTIVE 상태의 Amazon DynamoDB 테이블이 백업 계획에 포함되는지 여부를 평가합니다. DynamoDB 테이블이 백업 계획에 포함되지 않는 경우 제어가 실패합니다. backupVaultLockCheck파라미터를 로 true 설정하면 DynamoDB 테이블이 다음 위치에 백업된 경우에만 제어가 전달됩니다. AWS Backup 잠긴 저장소.
AWS Backup 전체 데이터 백업을 중앙 집중화하고 자동화하는 데 도움이 되는 완전 관리형 백업 서비스입니다. AWS 서비스. 와 AWS Backup데이터 백업 빈도 및 백업 보존 기간과 같은 백업 요구 사항을 정의하는 백업 계획을 만들 수 있습니다. 백업 계획에 DynamoDB 테이블을 포함하면 의도하지 않은 손실이나 삭제로부터 데이터를 보호할 수 있습니다.
이제 Security Hub가 와 통합되었습니다
DynamoDB 테이블을 추가하려면 AWS Backup 백업 계획에 대한 자세한 내용은 백업 계획에 리소스 할당을 참조하십시오. AWS Backup 개발자 가이드.
[DynamoDB.5] DynamoDB 테이블에는 태그를 지정해야 합니다.
범주: 식별 > 인벤토리 > 태깅
심각도: 낮음
리소스 유형: AWS::DynamoDB::Table
AWS Config 규칙: tagged-dynamodb-table (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
requiredTagKeys
|
평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록 태그 키는 대소문자를 구별합니다. | StringList | 일치하는 태그 목록 AWS 요구 사항 |
No default value
|
이 컨트롤은 Amazon DynamoDB 테이블에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다. requiredTagKeys 테이블에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 실패합니다. requiredTagKeys 매개 변수를 requiredTagKeys 제공하지 않으면 컨트롤은 태그 키의 존재 여부만 확인하고 테이블에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.
태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.
참고
태그에 개인 식별 정보 (PII) 또는 기타 기밀 또는 민감한 정보를 추가하지 마십시오. 태그는 많은 사람들이 이용할 수 있습니다. AWS 서비스다음을 포함하여 AWS Billing. 태그 지정 모범 사례에 대한 자세한 내용은 태그 지정을 참조하십시오. AWS 의 리소스 AWS 일반 참조.
이제 Security Hub가 와 통합되었습니다
DynamoDB 테이블에 태그를 추가하려면 Amazon DynamoDB 개발자 안내서의 DynamoDB 리소스 태그 지정을 참조하십시오.
[DynamoDB.6] DynamoDB 테이블에는 삭제 방지 기능이 활성화되어 있어야 합니다.
관련 요구 사항: NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
범주: 보호 > 데이터 보호 > 데이터 삭제 보호
심각도: 중간
리소스 유형: AWS::DynamoDB::Table
AWS Config 규칙: dynamodb-table-deletion-protection-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 Amazon DynamoDB 테이블의 삭제 방지 기능 활성화 여부를 확인합니다. DynamoDB 테이블에 삭제 방지 기능이 활성화되지 않은 경우 제어가 실패합니다.
삭제 보호 속성을 사용하여 DynamoDB 테이블이 실수로 삭제되지 않도록 보호할 수 있습니다. 테이블에 이 속성을 활성화하면 관리자가 일반적인 테이블 관리 작업을 수행하는 동안 테이블이 실수로 삭제되는 것을 방지할 수 있습니다. 이렇게 하면 정상적인 비즈니스 운영이 중단되는 것을 방지하는 데 도움이 됩니다.
이제 Security Hub가 와 통합되었습니다
DynamoDB 테이블에 대한 삭제 보호를 활성화하려면 Amazon DynamoDB 개발자 안내서의 삭제 보호 사용을 참조하세요.
[DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.
관련 요구 사항: 7,, 3, 3 NIST.800-53.r5 AC-1 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2
범주: 보호 > 데이터 보호 > 암호화 data-in-transit
심각도: 중간
리소스 유형: AWS::DynamoDB::Table
AWS Config 규칙: dax-tls-endpoint-encryption
스케줄 유형: 주기적
파라미터: 없음
이 컨트롤은 엔드포인트 암호화 유형이 로 설정된 상태에서 Amazon DynamoDB Accelerator DAX () 클러스터가 전송 중에 암호화되는지 여부를 확인합니다. TLS DAX클러스터가 전송 중에 암호화되지 않으면 제어가 실패합니다.
HTTPS(TLS) 를 사용하면 잠재적 공격자가 네트워크 트래픽을 도청하거나 조작하기 위해 person-in-the-middle 또는 이와 유사한 공격을 사용하지 못하도록 방지할 수 있습니다. 클러스터에 액세스할 때는 암호화된 연결만 허용해야 합니다. TLS DAX 하지만 전송 데이터를 암호화하면 성능에 영향을 미칠 수 있습니다. 암호화를 켠 상태에서 애플리케이션을 테스트하여 성능 프로필과 이에 따른 TLS 영향을 파악해야 합니다.
이제 Security Hub가 와 통합되었습니다
DAX클러스터를 생성한 후에는 TLS 암호화 설정을 변경할 수 없습니다. 기존 DAX 클러스터를 암호화하려면 전송 중 암호화가 활성화된 새 클러스터를 생성하고 애플리케이션의 트래픽을 해당 클러스터로 이동한 다음 이전 클러스터를 삭제하십시오. 자세한 내용은 Amazon DynamoDB 개발자 안내서의 삭제 보호 기능 사용을 참조하세요.
