本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 适用于亚马逊 DocumentDB 的 Security Hub CSPM 控件
这些 AWS Security Hub CSPM 控件评估亚马逊文档数据库(兼容 MongoDB)服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。
## [DocumentDB.1] Amazon DocumentDB 集群应进行静态加密
**相关要求:** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)
**类别:**保护 > 数据保护 > 加密 data-at-rest
**严重性:**中
**资源类型:**`AWS::RDS::DBCluster`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 Amazon DocumentDB 集群是否进行静态加密。如果 Amazon DocumentDB 集群未进行静态加密,则控制失败。
静态数据指的是存储在持久、非易失性存储介质中的任何数据,无论存储时长如何。加密可帮助您保护此类数据的机密性,降低未经授权的用户访问这些数据的风险。Amazon DocumentDB 集群中的数据应进行静态加密,以增加安全性。Amazon DocumentDB 使用 256 位高级加密标准(AES-256),使用 AWS Key Management Service (AWS KMS)中存储的加密密钥来加密您的数据。
### 修复
您可以在创建 Amazon DocumentDB 集群时启用静态加密。创建集群后,您将无法变更加密设置。有关更多信息,请参阅 *Amazon DocumentDB 开发人员指南*中的[为 Amazon DocumentDB 集群启用静态加密](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling)。
## [DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期
**相关要求:**NIST.800-53.r5 SI-12、PCI DSS v4.0.1/3.2.1
**类别:**恢复 > 弹性 > 启用备份
**严重性:**中
**资源类型:**`AWS::RDS::DBCluster`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)
**计划类型:**已触发变更
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | 最小备份保留期(以天为单位) | 整数 | `7` 到 `35` | `7` |
此控件检查 Amazon DocumentDB 集群的备份保留期是否大于或等于指定时间范围。如果备份保留期小于指定时间范围,则控制失败。除非您为备份保留期提供自定义参数值,否则 Security Hub CSPM 将使用默认值 7 天。
备份可帮助您更快地从安全事件中恢复并增强系统的故障恢复能力。通过自动备份 Amazon DocumentDB 集群,您将能够将系统恢复到某个时间点并最大限度地减少停机时间和数据丢失。在 Amazon DocumentDB 中,集群的默认备份保留期为 1 天。必须将其增加到 7 到 35 天之间的值才能通过此控件。
### 修复
要变更 Amazon DocumentDB 集群的备份保留期,请参阅 *Amazon DocumentDB 开发人员指南*中的[修改 Amazon DocumentDB 集群](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html)。对于**备份**,选择备份保留期。
## [DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开
**相关要求:** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、、(11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、(4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4
**类别:**保护 > 安全网络配置
**严重性:**严重
**资源类型:**`AWS::RDS::DBClusterSnapshot`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 Amazon DocumentDB 手动集群快照是否是公开的。如果手动集群快照是公共的,则控制失败。
除非有意图,否则 Amazon DocumentDB 手动集群快照不应公开。如果您将未加密的手动快照公开共享,则该快照可供所有 AWS 账户使用。公开快照可能会导致意外的数据泄露。
**注意**
此控件评估手动集群快照。您无法共享 Amazon DocumentDB 自动集群快照。但是,您可以通过复制自动快照来创建手动快照,然后共享该副本。
### 修复
要移除对 Amazon DocumentDB 手动集群快照的公开访问权限,请参阅 *Amazon DocumentDB 开发人员指南*中的[共享快照](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots)。通过编程方式,您可以使用 Amazon DocumentDB `modify-db-snapshot-attribute` 操作。将 `attribute-name` 设置为 `restore`,并将 `values-to-remove` 设置为 `all`。
## [documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch
**相关要求:** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.3.3 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
**类别:**识别 > 日志记录
**严重性:**中
**资源类型:**`AWS::RDS::DBCluster`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 Amazon DocumentDB 集群是否将审核日志发布到亚马逊 CloudWatch 日志。如果集群不向日志发布审核日 CloudWatch 志,则控制失败。
Amazon DocumentDB(与 MongoDB 兼容)允许您审核在集群中执行的事件。记录的事件的示例包括成功和失败的身份验证尝试、删除数据库中的集合或创建索引。默认情况下,审计在 Amazon DocumentDB 中处于禁用状态,需要您采取措施才能启用审计。
### 修复
要将 Amazon DocumentDB 审计日志发布到 CloudWatch 日志,请参阅*亚马逊 DocumentDB 开发者指南*中的[启用审计](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing)。
## [DocumentDB.5] Amazon DocumentDB 集群应启用删除保护
**相关要求:** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**类别:**保护 > 数据保护 > 数据删除保护
**严重性:**中
**资源类型:**`AWS::RDS::DBCluster`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 Amazon DocumentDB 集群是否已启用删除保护。如果集群未启用删除保护,则控制失败。
启用集群删除保护可提供额外保护,防止数据库意外删除或未经授权的用户删除。在启用删除保护时,无法删除 Amazon DocumentDB 集群。您必须先禁用删除保护,删除请求才能成功。当您在 Amazon DocumentDB 控制台中创建集群时,删除保护默认启用。
### 修复
要为现有 Amazon DocumentDB 集群启用删除保护,请参阅 *Amazon DocumentDB 开发人员指南*中的[修改 Amazon DocumentDB 集群](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html)。在**修改集群**部分中,为**删除保护**选择**启用**。
## [DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密
**类别:**保护 > 数据保护 > 加密 data-in-transit
**严重性:**中
**资源类型:**`AWS::RDS::DBCluster`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)
**计划类型:**定期
**参数:** `excludeTlsParameters`:`disabled`、`enabled`(不可自定义)
此控件检查 Amazon DocumentDB 集群是否需要 TLS 才能连接到集群。如果与集群关联的集群参数组不同步,或者 TLS 集群参数设置为 `disabled` 或 `enabled`,则该控件会失败。
您可以使用 TLS 加密应用程序与 Amazon DocumentDB 集群之间的连接。使用 TLS 可帮助防止数据在应用程序和 Amazon DocumentDB 集群之间传输时被拦截。Amazon DocumentDB 集群的传输中加密通过与该集群关联的集群参数组中的 TLS 参数进行管理。启用传输中加密后,需要使用 TLS 进行安全连接才能连接到集群。我们建议使用以下 TLS 参数:`tls1.2+`、`tls1.3+` 和 `fips-140-3`。
### 修复
有关更改 Amazon DocumentDB 集群的 TLS 设置的信息,请参阅《Amazon DocumentDB 开发人员指南》**中的[加密传输中数据](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html)。