DynamoDB 的 Security Hub 控件 - AWS Security Hub
[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量[DynamoDB.2] DynamoDB 表应该启用恢复功能 point-in-time[DynamoDB.3] DynamoDB Accelerator () 集群应处于静态加密状态 DAX[DynamoDB.4] 备份计划中应有 DynamoDB 表[DynamoDB.5] 应标记 DynamoDB 表[DynamodB.6] DynamoDB 表应启用删除保护[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DynamoDB 的 Security Hub 控件

这些 AWS Security Hub 控制措施用于评估亚马逊 DynamoDB 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性

[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量

相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、NIST .800-53.r5 SI-13 (5)

类别:恢复 > 弹性 > 高可用性

严重性:

资源类型:AWS::DynamoDB::Table

AWS Config 规则:dynamodb-autoscaling-enabled

计划类型:定期

参数:

参数 描述 类型 有效的自定义值 Security Hub 默认值

minProvisionedReadCapacity

DynamoDB 自动扩缩的预置读取容量单位的最小数量

整数

140000

无默认值

targetReadUtilization

读取容量的目标使用率百分比

整数

2090

无默认值

minProvisionedWriteCapacity

DynamoDB 自动扩缩的预置写入容量单位的最小数量

整数

140000

无默认值

targetWriteUtilization

写入容量的目标使用率百分比

整数

2090

无默认值

此控件检查 Amazon DynamoDB 表是否可以根据需要扩展其读取和写入容量。如果表不使用按需容量模式或配置了自动扩缩的预置模式,则控制失败。默认情况下,此控件只需要配置其中一种模式,而不考虑特定的读取或写入容量级别。或者,您可以提供自定义参数值,以便要求特定的读取和写入容量级别或目标利用率。

按需扩展容量可以避免节流异常,这有助于保持应用程序的可用性。使用按需容量模式的 DynamoDB 表仅受 DynamoDB 吞吐量默认表配额的限制。要提高这些配额,您可以向提交支持请求 AWS Support。使用预置模式且具有自动扩缩功能的 DynamoDB 表会根据流量模式动态调整预置的吞吐能力。有关 DynamoDB 请求节流的更多信息,请参阅《Amazon DynamoDB 开发人员指南》中的请求节流和容量暴增

修复

要在容量模式下对现有表启用 DynamoDB 自动扩缩,请参阅《Amazon DynamoDB 开发人员指南》中的在现有表上启用 DynamoDB 自动扩缩

[DynamoDB.2] DynamoDB 表应该启用恢复功能 point-in-time

相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST .800-53.r5 SI-12、.800-53.r5 SI-13 (5) NIST

类别:恢复 > 弹性 > 启用备份

严重性:

资源类型:AWS::DynamoDB::Table

AWS Config 规则:dynamodb-pitr-enabled

计划类型:已触发变更

参数:

此控件检查是否为亚马逊 DynamoDB 表启用了 point-in-time恢复 (PITR)。

备份可以帮助您更快地从安全事件中恢复。它们还增强了系统的故障恢复能力。DynamoDB 恢复功能可 point-in-time自动对 DynamoDB 表进行备份。它可以缩短从意外删除或写入操作中恢复的时间。PITR已启用的 DynamoDB 表可以恢复到过去 35 天内的任何时间点。

修复

要将 DynamoDB 表恢复到某个时间点,请参阅 Amazon DynamoDB 开发人员指南中的将 DynamoDB 表恢复到某个时间点

[DynamoDB.3] DynamoDB Accelerator () 集群应处于静态加密状态 DAX

相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、NIST .800-53.r5 SI-7 (6)

类别:保护 > 数据保护 > 加密 data-at-rest

严重性:

资源类型:AWS::DAX::Cluster

AWS Config 规则:dax-encryption-enabled

计划类型:定期

参数:

此控件检查 Amazon DynamoDB 加速器 DAX () 集群是否处于静态加密状态。如果DAX集群未进行静态加密,则控制失败。

对静态数据进行加密可降低存储在磁盘上的数据被未经身份验证的用户访问的风险。 AWS加密添加了另一组访问控制,以限制未经授权的用户访问数据的能力。例如,需要API权限才能解密数据,然后才能读取数据。

修复

创建集群后,您无法启用或禁用静态加密。您必须重新创建集群才能启用静态加密。有关如何创建启用静态加密的DAX集群的详细说明,请参阅 Amazon DynamoD B 开发者指南 AWS Management Console中的使用静态加密启用静态加密。

[DynamoDB.4] 备份计划中应有 DynamoDB 表

相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST .800-53.r5 SI-12、.800-53.r5 SI-13 (5) NIST

类别:恢复 > 弹性 > 启用备份

严重性:

资源类型:AWS::DynamoDB::Table

AWS Config 规则:dynamodb-resources-protected-by-backup-plan

计划类型:定期

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

backupVaultLockCheck

如果将参数设置为,true并且资源使用 AWS Backup 文件库锁定,则控件会生成PASSED结果。

布尔值

true 或者 false

无默认值

此控件评估备份计划是否涵盖了处于 ACTIVE 状态的 Amazon DynamoDB 表。如果备份计划不涵盖 DynamoDB 表,则控制失败。如果将backupVaultLockCheck参数设置为true,则只有在锁定的文件库中备份 DynamoDB 表时,控制才会通过。 AWS Backup

AWS Backup 是一项完全托管的备份服务,可帮助您集中和自动备份数据 AWS 服务。使用 AWS Backup,您可以创建定义备份要求的备份计划,例如备份数据的频率以及保留这些备份的时间。将 DynamoDB 表纳入备份计划可帮助您保护数据免遭意外丢失或删除。

修复

要向备份计划添加 DynamoDB 表,请参阅开发人员指南中的AWS Backup 为备份计划分配资源。 AWS Backup

[DynamoDB.5] 应标记 DynamoDB 表

类别:识别 > 清单 > 标记

严重性:

资源类型:AWS::DynamoDB::Table

AWS Config 规则:tagged-dynamodb-table(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值
requiredTagKeys 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 StringList 符合 AWS 要求的标签列表 No default value

此控件可检查 Amazon DynamoDB 表是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果表没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果表未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。

注意

不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签AWS 一般参考

修复

要向 DynamoDB 表添加标签,请参阅《Amazon DynamoDB 开发者指南》中的在 DynamoDB 中为资源添加标签

[DynamodB.6] DynamoDB 表应启用删除保护

相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

类别:保护 > 数据保护 > 数据删除保护

严重性:

资源类型:AWS::DynamoDB::Table

AWS Config 规则:dynamodb-table-deletion-protection-enabled

计划类型:已触发变更

参数:

此控件检查 Amazon DynamoDB 表是否已启用删除保护。如果 DynamoDB 表未启用删除保护,则控制失败。

您可以使用删除保护属性保护 DynamoDB 表免遭意外删除。为表启用此属性有助于确保在管理员执行常规表管理操作期间不会意外删除表。这有助于防止您的常规业务运营受到干扰。

修复

要为 DynamoDB 表启用删除保护,请参阅《Amazon DynamoDB 开发者指南》中的使用删除保护

[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密

相关要求: NIST.800-53.r5 AC-17、、 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 3 NIST.800-53.r5 SC-8、PCI DSS v4.0.1/4.2.1

类别:保护 > 数据保护 > 加密 data-in-transit

严重性:

资源类型:AWS::DynamoDB::Table

AWS Config 规则:dax-tls-endpoint-encryption

计划类型:定期

参数:

此控件会检查 Amazon DynamoDB 加速器 DAX () 集群在传输过程中是否经过加密,终端节点加密类型设置为。TLS如果DAX集群在传输过程中未加密,则控制失败。

HTTPS(TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。您应该只允许加密连接TLS访问DAX集群。但是,加密传输中数据可能会影响性能。您应该在开启加密的情况下测试您的应用程序,以了解性能概况及其影响TLS。

修复

创建DAX集群后,您无法更改TLS加密设置。要加密现有DAX集群,请创建一个启用传输中加密功能的新集群,将应用程序的流量转移到该集群,然后删除旧集群。有关更多信息,请参阅《Amazon DynamoDB 开发人员指南》中的使用删除保护