As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para Amazon DocumentDB
Esses controles do Security Hub avaliam o serviço e os recursos do Amazon DocumentDB (com compatibilidade com o MongoDB).
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: docdb-cluster-encrypted
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB é criptografado em repouso. Esse controle falha se um cluster do Amazon DocumentDB não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Os dados nos clusters do Amazon DocumentDB devem ser criptografados em repouso para uma camada adicional de segurança. O Amazon DocumentDB usa o Advanced Encryption Standard (AES-256) de 256 bits para criptografar seus dados usando chaves de criptografia armazenadas em AWS Key Management Service (AWS KMS).
Correção
Você pode ativar a criptografia em repouso ao criar um cluster Amazon DocumentDB. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte Habilitar criptografia em repouso para um cluster do Amazon DocumentDB no Guia do desenvolvedor do Amazon DocumentDB.
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
Requisitos relacionados: NIST .800-53.r5 SI-12
Categoria: Recuperação > Resiliência > Backups ativados
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: docdb-cluster-backup-retention-check
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
|
Período mínimo de retenção de backups em dias |
Inteiro |
|
|
Esse controle verifica se um cluster do Amazon DocumentDB tem um período de retenção de backup maior ou igual ao período de tempo especificado. O controle falhará se o período de retenção de backup for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do backup, o Security Hub usará um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. Ao automatizar backups para seus clusters do Amazon DocumentDB, será possível restaurar seus sistemas em um determinado momento e minimizar o tempo de inatividade e a perda de dados. No Amazon DocumentDB, os clusters têm um período de retenção de backup padrão de 1 dia. Isso deve ser aumentado para um valor entre 7 e 35 dias para passar por esse controle.
Correção
Para alterar o período de retenção de backup para seus clusters do Amazon DocumentDB, consulte Modificar um cluster do Amazon DocumentDB no Guia do desenvolvedor do Amazon DocumentDB. Em Backup, escolha o período de retenção de backup.
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoria: Proteger > Configuração de rede segura
Severidade: crítica
Tipo de recurso: AWS::RDS::DBClusterSnapshot
,AWS::RDS:DBSnapshot
AWS Config regra: docdb-cluster-snapshot-public-prohibited
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um instantâneo de cluster manual do Amazon DocumentDB é público. O controle falhará se o instantâneo manual do cluster for público.
Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos, a menos que haja razão para tanto. Se você compartilhar um instantâneo manual não criptografado como público, o instantâneo estará disponível para todos Contas da AWS. Instantâneos públicos podem resultar em exposição não intencional de dados.
nota
Esse controle avalia os instantâneos manuais do cluster. Você não pode compartilhar um instantâneo de cluster automatizado do Amazon DocumentDB. Como alternativa, crie um instantâneo manual copiando o instantâneo automatizado e compartilhe essa cópia.
Correção
Para remover o acesso público aos instantâneos manuais do cluster do Amazon DocumentDB, consulte Compartilhar um instantâneo no Guia do desenvolvedor do Amazon DocumentDB. Programaticamente, você pode usar a operação Amazon DocumentDB modify-db-snapshot-attribute
. Defina attribute-name
como restore
e values-to-remove
como all
.
[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: docdb-cluster-audit-logging-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB publica logs de auditoria no Amazon Logs. CloudWatch O controle falhará se o cluster não publicar registros de auditoria no CloudWatch Logs.
O Amazon DocumentDB (compativel com MongoDB) permite auditar eventos que foram realizados em seu cluster. Exemplos de eventos registrados incluem tentativas de autenticação bem-sucedidas e com falha, eliminação de uma coleção em um banco de dados ou criação de um índice. Por padrão, a auditoria está desativada no Amazon DocumentDB e exige que você tome medidas para habilitá-la.
Correção
Para publicar os logs de auditoria do Amazon DocumentDB no Logs, consulte Habilitar a CloudWatch auditoria no Guia do desenvolvedor do Amazon DocumentDB.
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: docdb-cluster-deletion-protection-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB tem a proteção contra exclusão habilitada. O controle falhará se o cluster não tiver a proteção contra exclusão habilitada.
A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por um usuário não autorizado. Um cluster do Amazon DocumentDB não pode ser excluído enquanto a proteção contra exclusão está habilitada. Primeiro, você deve desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida. A proteção contra exclusão está habilitada por padrão ao criar um cluster no console do Amazon DocumentDB.
Correção
Para habilitar a proteção contra exclusão para um cluster do Amazon DocumentDB, consulte Modificar um cluster do Amazon DocumentDB no Guia do desenvolvedor do Amazon DocumentDB. Na seção Modificar cluster, escolha Habilitar para Proteção contra exclusão.