DynamoDB 偵測性安全最佳實務 - Amazon DynamoDB

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

DynamoDB 偵測性安全最佳實務

下列 Amazon DynamoDB 最佳實務能幫助您偵測潛在安全弱點與事件。

使用 AWS CloudTrail 監控 AWS 受管 KMS 金鑰用量

如果您使用 AWS 受管金鑰進行靜態加密,則會登入此金鑰的使用 AWS CloudTrail。CloudTrail 透過記錄對您帳戶所採取的動作,來提供使用者活動的可見性。CloudTrail 會記錄每個動作的重要資訊,包括提出請求的人員、使用的服務、執行的動作、動作的參數,以及 AWS 服務傳回的回應元素。此資訊可協助您追蹤對 AWS 資源所做的變更,並對操作問題進行疑難排解。CloudTrail 可讓您更輕鬆地確保內部政策和法規標準的合規性。

您可以使用 CloudTrail 來稽核金鑰的使用情況。CloudTrail 會建立日誌檔案,其中包含您帳戶的 AWS API 呼叫和相關事件歷史記錄。這些日誌檔案包括使用 AWS Management Console、 AWS SDKs和命令列工具提出的所有 AWS KMS API 請求,以及透過整合 AWS 服務提出的請求。您可以使用這些日誌檔來取得使用 KMS 金鑰的時間、所請求的操作、請求者的身分、請求的來源 IP 地址等資訊。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》中的記錄 AWS KMS API 呼叫 和 AWS CloudTrail

使用 CloudTrail 監控 DynamoDB 操作

CloudTrail 可以監控控制平面事件和資料平面事件。控制平面操作可讓您建立及管理 DynamoDB 資料表。它們也可讓您使用索引、串流,以及相依於資料表的其他物件。資料平面操作可讓您對資料表中的資料執行建立、讀取、更新與刪除 (也稱為 CRUD) 動作。某些資料平面操作也可讓您從次要索引中讀取資料。若要在 CloudTrail 中啟用資料平面事件的記錄功能,您需要在 CloudTrail 中啟用資料平面 API 活動的記錄功能。如需詳細資訊,請參閱記錄追蹤的資料事件

當活動在 DynamoDB 中發生時,該活動會記錄於 CloudTrail 事件,以及事件歷史記錄中的其他服務 AWS 事件。如需詳細資訊,請參閱使用 AWS CloudTrail來記錄 DynamoDB 操作。您可以在 AWS 帳戶中檢視、搜尋和下載最近的事件。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》中的使用 CloudTrail 事件歷史記錄檢視事件

若要持續記錄您 AWS 帳戶中的事件,包括 DynamoDB 的事件,請建立追蹤。線索能讓 CloudTrail 將日誌檔案交付至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。根據預設,當您在主控台上建立追蹤時,追蹤會套用至所有 AWS 區域。該追蹤會記錄來自 AWS 分割區中所有區域的事件,並將日誌檔案交付到您指定的 S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析 CloudTrail 日誌中收集的事件資料並對其採取行動。

使用 DynamoDB Streams 監控資料平面操作

DynamoDB 已與 整合 AWS Lambda ,因此您可以建立觸發,也就是自動回應 DynamoDB Streams 中事件的程式碼片段。您可以利用觸發條件建立對 DynamoDB 資料表資料修改做出反應的應用程式。

如果您在資料表中啟用 DynamoDB Streams,就可以建立串流 Amazon Resource Name (ARN) 與您撰寫之 Lambda 函數的關聯。在修改資料表中的項目之後,資料表的 stream. AWS Lambda polls 中會立即顯示新記錄,並在偵測到新的串流記錄時同步叫用 Lambda 函數。Lambda 函數可以執行您指定的任何動作,例如傳送通知或啟動工作流程。

如需範例,請參閱教學課程:搭配 Amazon DynamoDB Streams 使用 AWS Lambda。此範例會接收 DynamoDB 事件輸入、處理其包含的訊息,並將部分傳入事件資料寫入 Amazon CloudWatch Logs。

使用 監控 DynamoDB 組態 AWS Config

您可以使用 AWS Config 持續監控並記錄 AWS 資源的變更。您也可以使用 AWS Config 來清查 AWS 資源。當偵測到先前狀態的變更時,Amazon Simple Notification Service (Amazon SNS) 會通知您檢閱並採取行動。遵循AWS Config 使用主控台設定中的指引,確保包含 DynamoDB 資源類型。

您可以設定 AWS Config 將組態變更和通知串流至 Amazon SNS 主題。例如,更新資源時,您可以收到傳送至您電子郵件的通知,因此您可以檢視變更。當 根據您的資源 AWS Config 評估自訂或受管規則時,您也會收到通知。

如需範例,請參閱《 AWS Config 開發人員指南》中的AWS Config 傳送至 Amazon SNS 主題的通知

監控 DynamoDB 對 AWS Config 規則的合規

AWS Config 會持續追蹤資源之間發生的組態變更。其會檢查這些變更是否違反您規則中的任何條件。如果資源違反規則, 會將資源和規則 AWS Config 標記為不合規。

透過使用 AWS Config 評估您的資源組態,您可以評估資源組態是否符合內部實務、產業準則和法規。 AWS Config 提供AWS 受管規則,這些是預先定義、可自訂的規則, AWS Config 用於評估您的 AWS 資源是否符合常見的最佳實務。

為您的 DynamoDB 資源加上標籤,以便進行識別和自動化

您可以將中繼資料以標籤的形式指派給 AWS 資源。每個標記都是由客戶定義金鑰和選用值組成的簡單標籤,能夠更輕鬆地管理、搜尋和篩選資源。

標記允許實現分組控制。雖然標籤不具固有類型,但能讓您依用途、擁有者、環境或其他條件分類資源。下列是一些範例:

  • 安全性:用於確定加密等需求。

  • 機密性:資源支援的特定資料機密等級識別符。

  • 環境:用來區分開發、測試和生產基礎設施。

如需詳細資訊,請參閱 AWS 標記策略DynamoDB 的標記

監控 Amazon DynamoDB 的使用量,因為它與使用 的安全最佳實務相關 AWS Security Hub。

Security Hub 會透過安全控制來評估資源組態和安全標準,協助您遵守各種合規架構。

如需有關使用 Security Hub 評估 DynamoDB 資源的詳細資訊,請參閱《AWS Security Hub 使用者指南》中的 Amazon DynamoDB 控制項