As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controles CSPM do Security Hub para Neptune
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Neptune.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados do Neptune é criptografado em repouso. O controle falhará se um cluster de banco de dados Neptune não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Criptografar seus clusters de banco de dados Neptune protege seus dados e metadados contra acesso não autorizado. Ele também atende aos requisitos de conformidade para data-at-rest criptografia de sistemas de arquivos de produção.
### Correção
É possível ativar a criptografia em repouso ao criar um cluster de banco de dados do Neptune. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte [Criptografar recursos do Neptune em repouso](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html) no *Guia do usuário do Neptune*.
## [Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (5), NIST.800-53.r5 SI-7 (8), PCI DI SS v4.0.1/10.3.3
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados Neptune publica registros de auditoria no Amazon Logs. CloudWatch O controle falhará se um cluster de banco de dados Neptune não publicar registros de auditoria no Logs. CloudWatch `EnableCloudWatchLogsExport`deve ser definido como`Audit`.
O Amazon Neptune e o CloudWatch Amazon são integrados para que você possa coletar e analisar métricas de desempenho. O Neptune envia métricas automaticamente e também oferece suporte CloudWatch a alarmes. CloudWatch Os registros em log de auditoria são altamente personalizáveis. Quando você audita um banco de dados, cada operação nos dados pode ser monitorada e registrada em log em uma trilha de auditoria, incluindo informações sobre qual cluster de banco de dados é acessado e como. Recomendamos enviar esses registros para ajudá-lo CloudWatch a monitorar seus clusters de banco de dados Neptune.
### Correção
*Para publicar registros de auditoria do Neptune no Logs, consulte CloudWatch [Publicar registros do Neptune no CloudWatch Amazon Logs no Guia do usuário do Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html).* Na seção **Exportações de logs**, escolha **Auditoria**.
## [Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um snapshot manual de cluster de banco de dados do Neptune é público. O controle falhará se o snapshot manual do cluster de banco de dados do Neptune for público.
Um snapshot manual do cluster de banco de dados Neptune não deve ser público, a menos que pretendido. Se você compartilhar um snapshot manual não criptografado como público, isso o disponibilizará para todas as Contas da AWS. Snapshots públicos podem resultar em exposição não intencional de dados.
### Correção
Para remover o acesso público aos snapshots manuais do cluster de banco de dados do Neptune, consulte [Compartilhar um snapshot do cluster do banco de dados](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html) no *Guia do usuário do Neptune*.
## [Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados do Neptune tem a proteção contra exclusão habilitada. O controle falhará se o cluster de banco de dados do Neptune não tiver a proteção contra exclusão habilitada.
A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por um usuário não autorizado. O cluster de banco de dados do Neptune não pode ser excluído quando a proteção contra exclusão está habilitada. Primeiro, é necessário desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida.
### Correção
Para ativar a proteção contra exclusão de um cluster de banco de dados Neptune existente, consulte [Modificar o cluster de banco de dados usando o console, a CLI e a API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings) no *Guia do usuário do Amazon Aurora*.
## [Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
**Requisitos relacionados:** NIST.800-53.r5 SI-12
**Categoria:** Recuperação > Resiliência > Backups ativados
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Período mínimo de retenção de backups em dias | Inteiro | `7` para `35` | `7` |
Esse controle verifica se um cluster de banco de dados do Neptune tem backups automáticos habilitados e um período de retenção de backups maior ou igual ao período de tempo especificado. O controle falhará se os backups não estiverem habilitados para o cluster de banco de dados do Neptune ou se o período de retenção for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção de backup, o Security Hub CSPM usa um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. Ao automatizar backups para seus clusters de banco de dados do Neptune você poderá restaurar seus sistemas em um determinado momento e minimizar o tempo de inatividade e a perda de dados.
### Correção
Para habilitar backups automatizados e definir um período de retenção de backups para seus clusters de banco de dados do Neptune, consulte [Habilitação de backups automatizados](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) no *Guia do usuário do Amazon RDS*. Em **Período de reteção de backup**, escolha um valor maior ou igual a 7.
## [Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um snapshot do cluster de banco de dados Neptune está criptografado em repouso. O controle falhará se um cluster de banco de dados Neptune não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Os dados nos snapshots de clusters de banco de dados do Neptune devem ser criptografados em repouso para uma camada adicional de segurança.
### Correção
Você não pode criptografar um snapshot existente do cluster de banco de dados Neptune. Em vez disso, é necessário restaurar o snapshot em um novo cluster de banco de dados e habilitar a criptografia no cluster. Assim, é possível restaurar um cluster de banco de dados criptografado do snapshot criptografado. Para obter instruções, consulte [Restaurar a partir de um snapshot de cluster de banco de dados](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html) e [Criar um snapshot de cluster de banco de dados no Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html) no *Guia do usuário do Neptune*.
## [Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados Neptune tem a autenticação de banco de dados IAM habilitada. O controle falhará se a autenticação do banco de dados do IAM não estiver habilitada para um cluster de banco de dados Neptune.
A autenticação do banco de dados do IAM para clusters de banco de dados do Amazon Neptune elimina a necessidade de armazenar as credenciais de usuário na configuração do banco de dados, pois a autenticação é gerenciada externamente usando o IAM. Quando a autenticação do banco de dados do IAM está ativada, cada solicitação precisa ser assinada usando o AWS Signature Version 4.
### Correção
Por padrão, a autenticação de banco de dados do IAM está desabilitada quando você cria um cluster de banco de dados do Neptune. Para habilitá-lo, consulte [Habilitar a autenticação do banco de dados do IAM no Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html) no *Guia do usuário do Neptune*.
## [Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados Neptune está configurado para copiar todas as tags para snapshots quando os snapshots são criados. O controle falhará se um cluster de banco de dados Neptune não estiver configurado para copiar tags para snapshots.
A identificação e o inventário de seus ativos de TI é um aspecto essencial de governança e segurança. É necessário marcar snapshots da mesma forma que os clusters de banco de dados do Amazon RDS primário. A cópia de tags garante que os metadados dos DB snapshots correspondam aos da instância de banco de dados de origem e que quaisquer políticas de acesso do DB snapshot também correspondam às da instância de banco de dados de origem.
### Correção
Para copiar tags em snapshots para clusters de banco de dados Neptune, consulte [Copiar tags no Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview) no *Guia do usuário do Neptune*.
## [Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados Amazon Neptune tem instâncias de réplica de leitura em várias zonas de disponibilidade (). AZs O controle falhará se o cluster for implantado em apenas uma AZ.
Se uma AZ não estiver disponível e durante eventos de manutenção regulares, as réplicas de leitura servirão como destinos de failover para a instância primária. Ou seja, se a instância principal falhar, o Neptune promoverá uma instância de réplica de leitura para se tornar a instância principal. Por outro lado, se o cluster de banco de dados não incluir nenhuma instância de réplica de leitura, o cluster de banco de dados permanecerá indisponível quando a instância primária falhar até que seja recriada. Recriar a instância primária leva muito mais tempo do que promover uma réplica de leitura. Para garantir a alta disponibilidade, recomendamos que você crie uma ou mais instâncias de réplica de leitura que tenham a mesma classe de instância de banco de dados da instância primária e estejam localizadas em uma instância AZs diferente da primária.
### Correção
*Para implantar um cluster de banco de dados Neptune em AZs vários, [consulte Instâncias de banco de dados de leitura de réplicas em um cluster de banco de dados Neptune no Guia do usuário do Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas).*