As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para Neptune
Esses AWS Security Hub os controles avaliam o serviço e os recursos do Amazon Neptune.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: neptune-cluster-encrypted
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de banco de dados do Neptune é criptografado em repouso. O controle falhará se um cluster de banco de dados Neptune não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Criptografar seus clusters de banco de dados Neptune protege seus dados e metadados contra acesso não autorizado. Ele também atende aos requisitos de conformidade para data-at-rest criptografia de sistemas de arquivos de produção.
Correção
Você pode ativar a criptografia em repouso ao criar um cluster de banco de dados do Neptune. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte Criptografar recursos do Neptune em repouso no Guia do usuário do Neptune.
[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), .800-53.r5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-4 (5), NIST .800-53.r5 SI-7 (8) NIST NIST
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: neptune-cluster-cloudwatch-log-export-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de banco de dados Neptune publica registros de auditoria no Amazon Logs. CloudWatch O controle falhará se um cluster de banco de dados Neptune não publicar registros de auditoria no Logs. CloudWatch EnableCloudWatchLogsExportdeve ser definido comoAudit.
O Amazon Neptune e o CloudWatch Amazon são integrados para que você possa coletar e analisar métricas de desempenho. O Neptune envia métricas automaticamente e também oferece suporte CloudWatch a alarmes. CloudWatch Os registros em log de auditoria são altamente personalizáveis. Quando você audita um banco de dados, cada operação nos dados pode ser monitorada e registrada em log em uma trilha de auditoria, incluindo informações sobre qual cluster de banco de dados é acessado e como. Recomendamos enviar esses registros para ajudá-lo CloudWatch a monitorar seus clusters de banco de dados Neptune.
Correção
Para publicar registros de auditoria do Neptune no Logs, consulte CloudWatch Publicar registros do Neptune no CloudWatch Amazon Logs no Guia do usuário do Neptune. Na seção Exportações de logs, escolha Auditoria.
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Severidade: crítica
Tipo de recurso: AWS::RDS::DBClusterSnapshot
AWS Config regra: neptune-cluster-snapshot-public-prohibited
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um instantâneo manual de cluster de banco de dados do Neptune é público. O controle falhará se o instantâneo manual do cluster de banco de dados do Neptune for público.
Um instantâneo manual do cluster de banco de dados Neptune não deve ser público, a menos que pretendido. Se você compartilhar um instantâneo manual não criptografado como público, o instantâneo estará disponível para todos Contas da AWS. Instantâneos públicos podem resultar em exposição não intencional de dados.
Correção
Para remover o acesso público aos instantâneos manuais do cluster de banco de dados do Neptune, consulte Compartilhar um instantâneo do cluster do banco de dados no Guia do usuário do Neptune.
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados
Severidade: baixa
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: neptune-cluster-deletion-protection-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de banco de dados do Neptune tem a proteção contra exclusão habilitada. O controle falhará se o cluster de banco de dados do Neptune não tiver a proteção contra exclusão habilitada.
A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por um usuário não autorizado. O cluster de banco de dados do Neptune não pode ser excluído quando a proteção contra exclusão está habilitada. Primeiro, você deve desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida.
Correção
Para habilitar a proteção contra exclusão de um cluster de banco de dados Neptune existente, consulte Modificação do cluster de banco de dados usando o console e no Guia do usuário CLI API do Amazon Aurora.
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
Requisitos relacionados: NIST .800-53.r5 SI-12
Categoria: Recuperação > Resiliência > Backups ativados
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: neptune-cluster-backup-retention-check
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Período mínimo de retenção de backups em dias |
Inteiro |
|
|
Esse controle verifica se um cluster de banco de dados do Neptune tem backups automáticos habilitados e um período de retenção de backups maior ou igual ao período de tempo especificado. O controle falhará se os backups não estiverem habilitados para o cluster de banco de dados do Neptune ou se o período de retenção for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do backup, o Security Hub usará um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. Ao automatizar backups para seus clusters de banco de dados do Neptune você poderá restaurar seus sistemas em um determinado momento e minimizar o tempo de inatividade e a perda de dados.
Correção
Para habilitar backups automatizados e definir um período de retenção de backup para seus clusters de banco de dados Neptune, consulte Habilitar backups automatizados no Guia do usuário da Amazon RDS. Em Período de reteção de backup, escolha um valor maior ou igual a 7.
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::RDS::DBClusterSnapshot
AWS Config regra: neptune-cluster-snapshot-encrypted
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um instantâneo do cluster de banco de dados Neptune está criptografado em repouso. O controle falhará se um cluster de banco de dados Neptune não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Os dados nos instantâneos de clusters de banco de dados do Neptune devem ser criptografados em repouso para uma camada adicional de segurança.
Correção
Você não pode criptografar um instantâneo existente do cluster de banco de dados Neptune. Em vez disso, você deve restaurar o instantâneo em um novo cluster de banco de dados e habilitar a criptografia no cluster. Assim, você pode restaurar um cluster de banco de dados criptografado do instantâneo criptografado. Para obter instruções, consulte Restaurar a partir de um instantâneo de cluster de banco de dados e Criar um instantâneo de cluster de banco de dados no Neptune no Guia do usuário do Neptune.
[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados ativada IAM
Requisitos relacionados: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: neptune-cluster-iam-database-authentication
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de banco de dados Neptune IAM tem a autenticação de banco de dados ativada. O controle falhará se a autenticação do IAM banco de dados não estiver habilitada para um cluster de banco de dados Neptune.
IAMa autenticação de banco de dados para clusters de banco de dados Amazon Neptune elimina a necessidade de armazenar credenciais de usuário na configuração do banco de dados porque a autenticação é gerenciada externamente usando. IAM Quando a autenticação do IAM banco de dados está habilitada, cada solicitação precisa ser assinada usando AWS Versão de assinatura 4.
Correção
Por padrão, a autenticação do IAM banco de dados é desativada quando você cria um cluster de banco de dados Neptune. Para habilitá-lo, consulte Habilitando a autenticação IAM de banco de dados no Neptune no Guia do Usuário do Neptune.
[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: neptune-cluster-copy-tags-to-snapshot-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de banco de dados Neptune está configurado para copiar todas as tags para instantâneos quando os instantâneos são criados. O controle falhará se um cluster de banco de dados Neptune não estiver configurado para copiar tags para instantâneos.
A identificação e o inventário de seus ativos de TI é um aspecto essencial de governança e segurança. Você deve marcar os snapshots da mesma forma que seus clusters de RDS banco de dados principais da Amazon. A cópia de tags garante que os metadados dos DB instantâneos correspondam aos da instância de banco de dados de origem e que quaisquer políticas de acesso do DB instantâneo também correspondam às da instância de banco de dados de origem.
Correção
Para copiar tags em instantâneos para clusters de banco de dados Neptune, consulte Copiar tags no Neptune no Guia do usuário do Neptune.
[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoria: Recuperação > Resiliência > Alta disponibilidade
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: neptune-cluster-multi-az-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de banco de dados Amazon Neptune tem instâncias de réplica de leitura em várias zonas de disponibilidade (). AZs O controle falhará se o cluster for implantado em apenas uma AZ.
Se uma AZ não estiver disponível e durante eventos de manutenção regulares, as réplicas de leitura servirão como destinos de failover para a instância primária. Ou seja, se a instância principal falhar, o Neptune promoverá uma instância de réplica de leitura para se tornar a instância principal. Por outro lado, se o cluster de banco de dados não incluir nenhuma instância de réplica de leitura, o cluster de banco de dados permanecerá indisponível quando a instância primária falhar até que seja recriada. Recriar a instância primária leva muito mais tempo do que promover uma réplica de leitura. Para garantir a alta disponibilidade, recomendamos que você crie uma ou mais instâncias de réplica de leitura que tenham a mesma classe de instância de banco de dados da instância primária e estejam localizadas em uma instância AZs diferente da primária.
Correção
Para implantar um cluster de banco de dados Neptune em AZs vários, consulte Instâncias de banco de dados de leitura de réplicas em um cluster de banco de dados Neptune no Guia do usuário do Neptune.
