亚马逊 DocumentDB 的 Security Hub 控件 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 DocumentDB 的 Security Hub 控件

这些 Security Hub 控件用于评估亚马逊 DocumentDB(兼容 MongoDB)服务和资源。

这些控件可能并非全部可用 AWS 区域。 有关更多信息,请参阅按地区划分的控件可用性

[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密

相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、NIST .800-53.r5 SI-7 (6)

类别:保护 > 数据保护 > 加密 data-at-rest

严重性:

资源类型:AWS::RDS::DBCluster

AWS Config 规则:docdb-cluster-encrypted

计划类型:已触发变更

参数:

此控件检查 Amazon DocumentDB 集群是否进行静态加密。如果 Amazon DocumentDB 集群未进行静态加密,则控制失败。

静态数据指的是存储在持久、非易失性存储介质中的任何数据,无论存储时长如何。加密可帮助您保护此类数据的机密性,降低未经授权的用户访问这些数据的风险。Amazon DocumentDB 集群中的数据应进行静态加密,以增加安全性。Amazon DocumentDB 使用 256 位高级加密标准 (AES-256) 使用存储在中的加密密钥加密您的数据 AWS Key Management Service (AWS KMS).

修复

您可以在创建 Amazon DocumentDB 集群时启用静态加密。创建集群后,您将无法变更加密设置。有关更多信息,请参阅 Amazon DocumentDB 开发人员指南中的为 Amazon DocumentDB 集群启用静态加密

[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期

相关要求:NIST.800-53.r5 SI-12

类别:恢复 > 弹性 > 启用备份

严重性:

资源类型:AWS::RDS::DBCluster

AWS Config 规则:docdb-cluster-backup-retention-check

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

minimumBackupRetentionPeriod

最小备份保留期(以天为单位)

整数

735

7

此控件检查 Amazon DocumentDB 集群的备份保留期是否大于或等于指定时间范围。如果备份保留期小于指定时间范围,则控制失败。除非您为备份保留期提供自定义参数值,否则 Security Hub 将使用默认值即 7 天。

备份可帮助您更快地从安全事件中恢复并增强系统的故障恢复能力。通过自动备份 Amazon DocumentDB 集群,您将能够将系统恢复到某个时间点并最大限度地减少停机时间和数据丢失。在 Amazon DocumentDB 中,集群的默认备份保留期为 1 天。必须将其增加到 7 到 35 天之间的值才能通过此控件。

修复

要变更 Amazon DocumentDB 集群的备份保留期,请参阅 Amazon DocumentDB 开发人员指南中的修改 Amazon DocumentDB 集群。对于备份,选择备份保留期。

[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开

相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)

类别:保护 > 安全网络配置

严重性:严重

资源类型:AWS::RDS::DBClusterSnapshotAWS::RDS:DBSnapshot

AWS Config 规则:docdb-cluster-snapshot-public-prohibited

计划类型:已触发变更

参数:

此控件检查 Amazon DocumentDB 手动集群快照是否是公开的。如果手动集群快照是公共的,则控制失败。

除非有意图,否则 Amazon DocumentDB 手动集群快照不应公开。如果您将未加密的手动快照共享为公共快照,则该快照可供所有人使用 AWS 账户。 公开快照可能会导致意外的数据泄露。

注意

此控件评估手动集群快照。您无法共享 Amazon DocumentDB 自动集群快照。但是,您可以通过复制自动快照来创建手动快照,然后共享该副本。

修复

要移除对 Amazon DocumentDB 手动集群快照的公开访问权限,请参阅 Amazon DocumentDB 开发人员指南中的共享快照。通过编程方式,您可以使用 Amazon DocumentDB modify-db-snapshot-attribute 操作。将 attribute-name 设置为 restore,并将 values-to-remove 设置为 all

[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch

相关要求: NIST.800-53.r5 AC-2(4)、(26)、(9)、、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、NIST .800-53.r5 SI-4 (20)、.800-53.r5 (20)、NIST .800-53.r5 SI-7 (8) NIST

类别:识别 > 日志记录

严重性:

资源类型:AWS::RDS::DBCluster

AWS Config 规则:docdb-cluster-audit-logging-enabled

计划类型:已触发变更

参数:

此控件可检查 Amazon DocumentDB 集群是否向亚马逊 CloudWatch 日志发布审核日志。如果集群不向日志发布审核日 CloudWatch 志,则控制失败。

Amazon DocumentDB(与 MongoDB 兼容)允许您审核在集群中执行的事件。记录的事件的示例包括成功和失败的身份验证尝试、删除数据库中的集合或创建索引。默认情况下,审计在 Amazon DocumentDB 中处于禁用状态,需要您采取措施才能启用审计。

修复

要将 Amazon DocumentDB 审计日志发布到 CloudWatch 日志,请参阅亚马逊 DocumentDB 开发者指南中的启用审计

[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护

相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

类别:保护 > 数据保护 > 数据删除保护

严重性:

资源类型:AWS::RDS::DBCluster

AWS Config 规则:docdb-cluster-deletion-protection-enabled

计划类型:已触发变更

参数:

此控件检查 Amazon DocumentDB 集群是否已启用删除保护。如果集群未启用删除保护,则控制失败。

启用集群删除保护可提供额外保护,防止数据库意外删除或未经授权的用户删除。在启用删除保护时,无法删除 Amazon DocumentDB 集群。您必须先禁用删除保护,删除请求才能成功。当您在 Amazon DocumentDB 控制台中创建集群时,删除保护默认启用。

修复

要为现有 Amazon DocumentDB 集群启用删除保护,请参阅 Amazon DocumentDB 开发人员指南中的修改 Amazon DocumentDB 集群。在修改集群部分中,为删除保护选择启用