As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para AWS DMS
Esses controles do Security Hub avaliam o serviço AWS Database Migration Service (AWS DMS) e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
Requisitos relacionados: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6, (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.2 3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
Categoria: Proteger > Configuração de rede segura
Severidade: crítica
Tipo de recurso: AWS::DMS::ReplicationInstance
Regra do AWS Config : dms-replication-not-public
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se AWS DMS as instâncias de replicação são públicas. Para fazer isso, ele examina o valor do campo PubliclyAccessible.
Uma instância de replicação privada tem um endereço IP privado que não pode ser acessado fora da rede de replicação. Uma instância de replicação deve ter um endereço IP privado quando os bancos de dados de origem e de destino ficam na mesma rede. A rede também deve estar conectada à VPC da instância de replicação usando uma VPN AWS Direct Connect ou emparelhamento de VPC. Para saber mais sobre instâncias de replicação públicas e privadas, consulte Instâncias de replicação públicas e privadas no Guia do usuário do AWS Database Migration Service .
Você também deve garantir que o acesso à configuração da sua AWS DMS instância seja limitado somente aos usuários autorizados. Para fazer isso, restrinja as permissões do IAM dos usuários para modificar AWS DMS configurações e recursos.
Correção
Você não pode alterar a configuração de acesso público de uma instância de replicação do DMS depois de criá-la. Para alterar a configuração de acesso público, exclua sua instância atual e, em seguida, recrie-a. Não selecione a opção Acessível ao público.
[DMS.2] Os certificados do DMS devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::DMS::Certificate
Regra AWS Config : tagged-dms-certificate (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem aos requisitos da AWS |
No default value
|
Esse controle verifica se um AWS DMS certificado tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o certificado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o certificado não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. Você pode criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. Você pode criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a um certificado do DMS, consulte Tagging resources in AWS Database Migration Service no AWS Database Migration Service User Guide.
[DMS.3] As assinaturas de eventos do DMS devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::DMS::EventSubscription
Regra AWS Config : tagged-dms-eventsubscription (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem aos requisitos da AWS |
No default value
|
Esse controle verifica se uma assinatura de AWS DMS evento tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a assinatura de eventos não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a assinatura de eventos não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. Você pode criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. Você pode criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a uma assinatura de eventos do DMS, consulte Tagging resources in AWS Database Migration Service no AWS Database Migration Service User Guide.
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::DMS::ReplicationInstance
Regra AWS Config : tagged-dms-replicationinstance (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem aos requisitos da AWS |
No default value
|
Esse controle verifica se uma instância AWS DMS de replicação tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a instância de replicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a instância de replicação não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. Você pode criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. Você pode criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a uma instância de replicação do DMS, consulte Tagging resources in AWS Database Migration Service no AWS Database Migration Service User Guide.
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::DMS::ReplicationSubnetGroup
Regra AWS Config : tagged-dms-replicationsubnetgroup (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem aos requisitos da AWS |
No default value
|
Esse controle verifica se um grupo AWS DMS de sub-redes de replicação tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o grupo de sub-redes de replicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de sub-redes de replicação não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. Você pode criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. Você pode criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a um grupo de sub-redes de replicação do DMS, consulte Tagging resources in AWS Database Migration Service no AWS Database Migration Service User Guide.
[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada
Requisitos relacionados: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Severidade: média
Tipo de recurso: AWS::DMS::ReplicationInstance
Regra do AWS Config : dms-auto-minor-version-upgrade-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se a atualização automática de versões secundárias está habilitada para uma instância de AWS DMS replicação. Esse controle falha se a atualização automática de versões secundárias não estiver habilitada para uma instância de replicação do DMS.
O DMS fornece atualização automática de versões secundárias para cada mecanismo de replicação compatível para que você possa manter sua instância de replicação. up-to-date Versões secundárias podem introduzir novos atributos de software, correções de bugs, patches de segurança e melhorias de desempenho. Ao habilitar a atualização automática de versões secundárias em instâncias de replicação do DMS, atualizações menores são aplicadas automaticamente durante a janela de manutenção ou imediatamente se a opção Aplicar alterações imediatamente for escolhida.
Correção
Para habilitar a atualização automática de versões secundárias em instâncias de replicação do DMS, consulte Modificar uma instância de replicação no Guia do usuário do AWS Database Migration Service .
[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::DMS::ReplicationTask
Regra do AWS Config : dms-replication-task-targetdb-logging
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o registro em log está habilitado com o nível mínimo de severidade de LOGGER_SEVERITY_DEFAULT para as tarefas de replicação do DMS TARGET_APPLY e TARGET_LOAD. O controle falhará se o registro em log não estiver habilitado para essas tarefas ou se o nível mínimo de severidade for menor que LOGGER_SEVERITY_DEFAULT.
O DMS usa CloudWatch a Amazon para registrar informações durante o processo de migração. Usando as configurações de tarefa de registro, você pode especificar quais atividades de componente serão registradas e qual quantidade de informações será gravada no log. Você deve especificar o registro das seguintes tarefas:
TARGET_APPLY: as afirmações de dados e linguagem de definição de dados (DDL) são aplicadas ao banco de dados de destino.TARGET_LOAD: os dados são carregados no banco de dados de destino.
O registro em log desempenha um papel fundamental nas tarefas de replicação do DMS, permitindo monitoramento, solução de problemas, auditoria, análise de desempenho, detecção e recuperação de erros, bem como análises e relatórios históricos. Ele ajuda a garantir a replicação bem-sucedida de dados entre bancos de dados, mantendo a integridade dos dados e a conformidade com os requisitos normativos. Níveis de registro em log diferentes de DEFAULT raramente são necessários para esses componentes durante a solução de problemas. Recomendamos manter o nível de registro em log como DEFAULT para esses componentes, a menos que seja especificamente solicitado alterá-lo por Suporte. Um nível mínimo de registro em log de DEFAULT garante que mensagens informativas, avisos e mensagens de erro sejam gravadas nos logs. Esse controle verifica se o nível de registro em log é pelo menos um dos seguintes para as tarefas de replicação anteriores: LOGGER_SEVERITY_DEFAULT, LOGGER_SEVERITY_DEBUG ou LOGGER_SEVERITY_DETAILED_DEBUG.
Correção
Para ativar o registro em log para tarefas de replicação do DMS do banco de dados de destino, consulte Visualização e gerenciamento de registros de AWS DMS tarefas no Guia do AWS Database Migration Service usuário.
[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::DMS::ReplicationTask
Regra do AWS Config : dms-replication-task-sourcedb-logging
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o registro em log está habilitado com o nível mínimo de severidade de LOGGER_SEVERITY_DEFAULT para as tarefas de replicação do DMS SOURCE_CAPTURE e SOURCE_UNLOAD. O controle falhará se o registro em log não estiver habilitado para essas tarefas ou se o nível mínimo de severidade for menor que LOGGER_SEVERITY_DEFAULT.
O DMS usa CloudWatch a Amazon para registrar informações durante o processo de migração. Usando as configurações de tarefa de registro, você pode especificar quais atividades de componente serão registradas e qual quantidade de informações será gravada no log. Você deve especificar o registro das seguintes tarefas:
SOURCE_CAPTURE: os dados de replicação contínua ou captura de dados de alteração (CDC) são capturados do banco de dados ou serviço de origem e passados para o componente de serviçoSORTER.SOURCE_UNLOAD: os dados são descarregados do banco de dados ou serviço de origem durante a carga total.
O registro em log desempenha um papel fundamental nas tarefas de replicação do DMS, permitindo monitoramento, solução de problemas, auditoria, análise de desempenho, detecção e recuperação de erros, bem como análises e relatórios históricos. Ele ajuda a garantir a replicação bem-sucedida de dados entre bancos de dados, mantendo a integridade dos dados e a conformidade com os requisitos normativos. Níveis de registro em log diferentes de DEFAULT raramente são necessários para esses componentes durante a solução de problemas. Recomendamos manter o nível de registro em log como DEFAULT para esses componentes, a menos que seja especificamente solicitado alterá-lo por Suporte. Um nível mínimo de registro em log de DEFAULT garante que mensagens informativas, avisos e mensagens de erro sejam gravadas nos logs. Esse controle verifica se o nível de registro em log é pelo menos um dos seguintes para as tarefas de replicação anteriores: LOGGER_SEVERITY_DEFAULT, LOGGER_SEVERITY_DEBUG ou LOGGER_SEVERITY_DETAILED_DEBUG.
Correção
Para habilitar o registro em log para tarefas de replicação do DMS do banco de dados de origem, consulte Visualização e gerenciamento de registros de AWS DMS tarefas no Guia do AWS Database Migration Service usuário.
[DMS.9] Os endpoints do DMS devem usar SSL
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::DMS::Endpoint
Regra do AWS Config : dms-endpoint-ssl-configured
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS DMS endpoint usa uma conexão SSL. O controle falhará se o endpoint não usar SSL.
As conexões SSL/TLS fornecem uma camada de segurança criptografando conexões entre as instâncias de replicação DMS e seu banco de dados. O uso de um certificado fornece uma camada extra de segurança, validando se a conexão está sendo feita com o banco de dados esperado. Para isso, ele verifica o certificado de servidor que é instalado automaticamente em todas as instâncias de banco de dados que você provisiona. Ao habilitar a conexão SSL em seus endpoints do DMS, você protege a confidencialidade dos dados durante a migração.
Correção
Para adicionar uma conexão SSL a um endpoint do DMS novo ou existente, consulte Usar SSL com AWS Database Migration Service no Guia do usuário do AWS Database Migration Service .
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
Requisitos relacionados: NIST.800-53.r5 AC-2,, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-1 7 NIST.800-53.r5 AC-6, NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
Severidade: média
Tipo de recurso: AWS::DMS::Endpoint
Regra do AWS Config : dms-neptune-iam-authorization-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS DMS endpoint para um banco de dados Amazon Neptune está configurado com autorização do IAM. O controle falhará se o endpoint do DMS não tiver a autorização do IAM habilitada.
AWS Identity and Access Management (IAM) fornece controle de acesso refinado. AWS Com o IAM, você pode especificar quem pode acessar quais serviços e recursos e em quais condições. Com as políticas do IAM, você gerencia as permissões da força de trabalho e dos sistemas para garantir permissões com privilégio mínimo. Ao habilitar a autorização do IAM em AWS DMS endpoints para bancos de dados Neptune, você pode conceder privilégios de autorização aos usuários do IAM usando uma função de serviço especificada pelo parâmetro. ServiceAccessRoleARN
Correção
Para habilitar a autorização do IAM em endpoints do DMS para bancos de dados Neptune, consulte Using Amazon Neptune as a target for AWS Database Migration Service no AWS Database Migration Service User Guide.
[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado
Requisitos relacionados: NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
Severidade: média
Tipo de recurso: AWS::DMS::Endpoint
Regra do AWS Config : dms-mongo-db-authentication-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS DMS endpoint do MongoDB está configurado com um mecanismo de autenticação. O controle falhará se um tipo de autenticação não estiver definido para o endpoint.
AWS Database Migration Service suporta dois métodos de autenticação para MongoDB — MONGODB-CR para MongoDB versão 2.x e SCRAM-SHA-1 para MongoDB versão 3.x ou posterior. Esses métodos de autenticação são usados para autenticar e criptografar senhas do MongoDB se os usuários quiserem usá-las para acessar os bancos de dados. A autenticação em AWS DMS endpoints garante que somente usuários autorizados possam acessar e modificar os dados que estão sendo migrados entre bancos de dados. Sem a autenticação adequada, usuários não autorizados podem obter acesso a dados confidenciais durante o processo de migração. Isso pode resultar em violações de dados, perda de dados ou outros incidentes de segurança.
Correção
Para habilitar um mecanismo de autenticação em endpoints do DMS para MongoDB, consulte Using MongoDB as a source for AWS DMS no AWS Database Migration Service User Guide.
[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado
Requisitos relacionados: NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, PCI DSS v4.0.1/4.2.1
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::DMS::Endpoint
Regra do AWS Config : dms-redis-tls-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS DMS endpoint para Redis OSS está configurado com uma conexão TLS. O controle falhará se o endpoint não tiver o TLS habilitado.
O TLS fornece end-to-end segurança quando os dados são enviados entre aplicativos ou bancos de dados pela Internet. Quando você configura a criptografia SSL para o endpoint do DMS, ela permite a comunicação criptografada entre os bancos de dados de origem e de destino durante o processo de migração. Isso ajuda a evitar a espionagem e a interceptação de dados confidenciais por agentes mal-intencionados. Sem a criptografia SSL, dados confidenciais podem ser acessados, resultando em violações de dados, perda de dados ou outros incidentes de segurança.
Correção
Para habilitar uma conexão TLS em endpoints do DMS para o Redis, consulte Using Redis as a target for AWS Database Migration Service no AWS Database Migration Service User Guide.
