Neptune용 Security Hub 컨트롤 - AWS 보안 허브

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Neptune용 Security Hub 컨트롤

이것들 AWS Security Hub 제어 기능은 Amazon Neptune 서비스 및 리소스를 평가합니다.

이러한 컨트롤을 모두 사용할 수 있는 것은 아닙니다. AWS 리전. 자세한 내용은 을 참조하십시오리전별 제어 기능 사용 가능 여부.

[Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

카테고리: 보호 > 데이터 보호 > 암호화 data-at-rest

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: neptune-cluster-encrypted

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Neptune DB 클러스터가 저장 시 암호화되어 있는지 여부를 확인합니다. Neptune DB 클러스터가 저장 시 암호화되지 않으면 제어가 실패합니다.

저장 데이터는 일정 기간 동안 영구 비휘발성 스토리지에 저장되는 모든 데이터를 의미합니다. 암호화를 사용하면 해당 데이터의 기밀성을 보호하여 권한 없는 사용자가 해당 데이터에 액세스할 수 있는 위험을 줄일 수 있습니다. Neptune DB 클러스터를 암호화하면 데이터와 메타데이터를 무단 액세스로부터 보호할 수 있습니다. 또한 프로덕션 파일 시스템의 data-at-rest 암호화에 대한 규정 준수 요구 사항도 충족합니다.

이제 Security Hub가 와 통합되었습니다

Neptune DB 클러스터를 만들 때 저장 시 암호화를 활성화할 수 있습니다. 클러스터를 생성한 후에는 암호화 설정을 변경할 수 없습니다. 자세한 내용은 Neptune 사용 설명서저장 중 Neptune 리소스 암호화를 참조하십시오.

[Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

관련 요구 사항: NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-20, .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-4 (5), NIST .800-53.r5 SI-7 (8) NIST

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: neptune-cluster-cloudwatch-log-export-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Neptune DB 클러스터가 Amazon Logs에 감사 로그를 게시하는지 여부를 확인합니다. CloudWatch Neptune DB 클러스터가 감사 로그를 Logs에 게시하지 않으면 제어가 실패합니다. CloudWatch EnableCloudWatchLogsExport로 설정해야 합니다. Audit

Amazon Neptune과 CloudWatch Amazon이 통합되어 성능 지표를 수집하고 분석할 수 있습니다. Neptune은 자동으로 CloudWatch 메트릭을 전송하고 알람도 지원합니다. CloudWatch 감사 로그는 고도로 사용자 지정이 가능합니다. 데이터베이스를 감사할 때 어떤 데이터베이스 클러스터에 액세스하고 어떻게 액세스하는지에 대한 정보를 포함하여 데이터에 대한 각 작업을 모니터링하고 감사 추적에 기록할 수 있습니다. Neptune DB 클러스터를 모니터링하는 CloudWatch 데 도움이 되도록 이러한 로그를 전송하는 것이 좋습니다.

이제 Security Hub가 와 통합되었습니다

Neptune 감사 로그를 Logs에 CloudWatch 게시하려면 Neptune 사용 설명서의 CloudWatch Amazon Logs에 Neptune 로그 게시를 참조하십시오. 로그 내보내기 섹션에서 감사를 선택합니다.

[Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 심각

리소스 유형: AWS::RDS::DBClusterSnapshot

AWS Config 규칙: neptune-cluster-snapshot-public-prohibited

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Neptune 수동 DB 클러스터 스냅샷이 퍼블릭인지 여부를 확인합니다. Neptune 수동 DB 클러스터 스냅샷이 퍼블릭인 경우 제어가 실패합니다.

Neptune DB 클러스터 수동 스냅샷은 의도하지 않는 한 공개해서는 안 됩니다. 암호화되지 않은 수동 스냅샷을 공개로 공유하는 경우 스냅샷은 모든 사용자가 사용할 수 있습니다. AWS 계정. 공개 스냅샷은 의도하지 않은 데이터 노출로 이어질 수 있습니다.

이제 Security Hub가 와 통합되었습니다

Neptune 수동 DB 클러스터 스냅샷에 대한 퍼블릭 액세스를 제거하려면 Neptune 사용 설명서DB 클러스터 스냅샷 공유를 참조하십시오.

[Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

범주: 보호 > 데이터 보호 > 데이터 삭제 보호

심각도: 낮음

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: neptune-cluster-deletion-protection-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Neptune DB 클러스터의 삭제 방지 기능 활성화 여부를 확인합니다. Neptune DB 클러스터에 삭제 방지 기능이 활성화되지 않은 경우 제어가 실패합니다.

클러스터 삭제 방지를 활성화하면 우발적인 데이터베이스 삭제 또는 권한 없는 사용자에 의한 삭제에 대한 추가 보호 계층이 제공됩니다. 삭제 방지가 활성화된 동안에는 Neptune DB 클러스터를 삭제할 수 없습니다. 삭제 요청이 성공하려면 먼저 삭제 방지를 비활성화해야 합니다.

이제 Security Hub가 와 통합되었습니다

기존 Neptune DB 클러스터에 대한 삭제 보호를 활성화하려면 CLI콘솔을 사용한 DB 클러스터 수정 및 Amazon Aurora 사용 API 설명서를 참조하십시오.

[Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

관련 요구 사항: .800-53.r5 SI-12 NIST

범주: 복구 > 복원력 > 백업 활성화

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: neptune-cluster-backup-retention-check

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값

minimumBackupRetentionPeriod

백업 보존 기간(일수)

Integer

7~35

7

이 제어는 Neptune DB 클러스터에 자동 백업이 활성화되어 있고 백업 보존 기간이 지정된 기간 이상인지 확인합니다. Neptune DB 클러스터에 대한 백업이 활성화되지 않았거나 보존 기간이 지정된 기간 미만인 경우 제어가 실패합니다. 백업 보존 기간에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub는 기본값인 7일을 사용합니다.

백업을 통해 보안 사고로부터 더 빠르게 복구하고 시스템의 복원력을 강화할 수 있습니다. Neptune DB 클러스터의 백업을 자동화하면 시스템을 특정 시점으로 복원하고 가동 중지 시간과 데이터 손실을 최소화할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

자동 백업을 활성화하고 Neptune DB 클러스터의 백업 보존 기간을 설정하려면 Amazon RDS 사용 설명서의 자동 백업 활성화를 참조하십시오. 백업 보존 기간의 경우 7 이상의 값을 선택합니다.

[Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)

카테고리: 보호 > 데이터 보호 > 암호화 data-at-rest

심각도: 중간

리소스 유형: AWS::RDS::DBClusterSnapshot

AWS Config 규칙: neptune-cluster-snapshot-encrypted

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Neptune DB 클러스터 스냅샷이 저장 시 암호화되었는지 여부를 확인합니다. Neptune DB 클러스터가 저장 시 암호화되지 않으면 제어가 실패합니다.

저장 데이터는 일정 기간 동안 영구 비휘발성 스토리지에 저장되는 모든 데이터를 의미합니다. 암호화를 사용하면 이러한 데이터의 기밀을 보호하여 권한이 없는 사용자가 데이터에 액세스할 위험을 줄일 수 있습니다. Neptune DB 클러스터 스냅샷의 데이터는 추가 보안 계층을 위해 저장 시 암호화되어야 합니다.

이제 Security Hub가 와 통합되었습니다

기존 Neptune DB 클러스터 스냅샷은 암호화할 수 없습니다. 대신 스냅샷을 새 DB 클러스터에 복원하고 클러스터에서 암호화를 활성화해야 합니다. 암호화된 클러스터에서 암호화된 스냅샷을 생성할 수 있습니다. 지침은 Neptune 사용 설명서DB 클러스터 스냅샷에서 복원Neptune에서 DB 클러스터 스냅샷 생성을 참조하십시오.

[Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다. IAM

관련 요구 사항: NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

범주: 보호 > 보안 액세스 관리 > 비밀번호 없는 인증

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: neptune-cluster-iam-database-authentication

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Neptune DB 클러스터에 데이터베이스 인증이 IAM 활성화되어 있는지 확인합니다. Neptune DB 클러스터에 IAM 데이터베이스 인증이 활성화되지 않은 경우 제어가 실패합니다.

IAMAmazon Neptune 데이터베이스 클러스터의 데이터베이스 인증을 사용하면 인증을 사용하여 외부에서 관리하므로 데이터베이스 구성 내에 사용자 자격 증명을 저장할 필요가 없습니다. IAM IAM데이터베이스 인증이 활성화되면 다음을 사용하여 각 요청에 서명해야 합니다. AWS 서명 버전 4.

이제 Security Hub가 와 통합되었습니다

기본적으로 Neptune DB 클러스터를 생성하면 IAM 데이터베이스 인증이 비활성화됩니다. 활성화하려면 Neptune 사용 설명서의 Neptune에서 IAM 데이터베이스 인증 활성화를 참조하십시오.

[Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: neptune-cluster-copy-tags-to-snapshot-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 스냅샷이 생성될 때 Neptune DB 클러스터가 모든 태그를 스냅샷에 복사하도록 구성되어 있는지 확인합니다. Neptune DB 클러스터가 태그를 스냅샷에 복사하도록 구성되지 않은 경우 제어가 실패합니다.

IT 자산의 식별 및 인벤토리는 거버넌스 및 보안의 중요한 측면입니다. 상위 Amazon RDS 데이터베이스 클러스터와 동일한 방식으로 스냅샷에 태그를 지정해야 합니다. 태그를 복사하면 DB 스냅샷의 메타데이터가 상위 데이터베이스 클러스터의 메타데이터와 일치하고, DB 스냅샷의 액세스 정책도 상위 DB 인스턴스의 액세스 정책과 일치하게 됩니다.

이제 Security Hub가 와 통합되었습니다

Neptune DB 클러스터의 스냅샷에 태그를 복사하려면 Neptune 사용 설명서Neptune에서 태그 복사를 참조하세요.

[Neptune.9] Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: neptune-cluster-multi-az-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon Neptune DB 클러스터에 여러 가용 영역 () 에 읽기 전용 복제본 인스턴스가 있는지 확인합니다. AZs 클러스터를 하나의 AZ에만 배포하면 제어가 실패합니다.

AZ를 사용할 수 없고 정기적인 유지 관리 이벤트가 발생하는 경우 읽기 전용 복제본은 기본 인스턴스의 장애 조치 대상 역할을 합니다. 즉, 기본 인스턴스에 장애가 발생하면 Neptune은 읽기 전용 복제본 인스턴스를 기본 인스턴스로 승격합니다. 반대로 DB 클러스터에 읽기 전용 복제본 인스턴스가 포함되어 있지 않으면 기본 인스턴스에 장애가 발생해도 DB 클러스터를 다시 만들 때까지 사용할 수 없습니다. 기본 인스턴스를 다시 만드는 것은 읽기 전용 복제본을 승격하는 것보다 훨씬 더 오래 걸립니다. 고가용성을 보장하려면 기본 인스턴스와 동일한 DB 인스턴스 클래스를 갖고 기본 인스턴스와는 다른 위치에 있는 하나 이상의 읽기 전용 복제본 인스턴스를 생성하는 것이 좋습니다. AZs

이제 Security Hub가 와 통합되었습니다

Neptune DB 클러스터를 AZs 여러 개로 배포하려면 Neptune 사용 설명서의 Neptune DB 클러스터의 읽기 전용 복제본 DB 인스턴스를 참조하십시오.