本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的 Security Hub 控制項 AWS DMS
這些 Security Hub 控制項會評估 AWS Database Migration Service (AWS DMS) 服務和資源。
這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性。
【DMS.1】 Database Migration Service 複寫執行個體不應為公有
相關要求:NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7)、SCNIST.800-53.r5 SC-7-15 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
類別:保護 > 安全網路組態
嚴重性:嚴重
資源類型: AWS::DMS::ReplicationInstance
AWS Config 規則:dms-replication-not-public
排程類型:定期
參數:無
此控制項會檢查 AWS DMS 複寫執行個體是否為公有。若要這樣做,它會檢查 PubliclyAccessible
欄位的值。
私有複寫執行個體具有您無法在複寫網路外部存取的私有 IP 地址。當來源和目標資料庫位於相同網路時,複寫執行個體應具有私有 IP 地址。網路也必須使用 VPN AWS Direct Connect或 VPC 對等互連連接到複寫執行個體的 VPC。若要進一步了解公有和私有複寫執行個體,請參閱AWS Database Migration Service 《 使用者指南》中的公有和私有複寫執行個體。
您也應該確保僅授權使用者才能存取 AWS DMS 執行個體組態。若要這樣做,請限制使用者的 IAM 許可來修改 AWS DMS 設定和資源。
修補
您無法在建立 DMS 複寫執行個體之後變更其公有存取設定。若要變更公有存取設定,請刪除您目前的執行個體,然後重新建立它。請勿選取可公開存取選項。
【DMS.2】 DMS 憑證應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::DMS::Certificate
AWS Config rule:tagged-dms-certificate
(自訂 Security Hub 規則)
排程類型:變更已觸發
參數:
參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 |
No default value
|
此控制項會檢查 AWS DMS 憑證是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys
。如果憑證沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys
。如果requiredTagKeys
未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果憑證未標記任何金鑰,則 控制項會失敗。系統標籤會自動套用並以 開頭aws:
,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為您的 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 DMS 憑證,請參閱AWS Database Migration Service 《 使用者指南》中的標記資源 AWS Database Migration Service。
【DMS.3】 DMS 事件訂閱應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::DMS::EventSubscription
AWS Config rule:tagged-dms-eventsubscription
(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 |
No default value
|
此控制項會檢查 AWS DMS 事件訂閱是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys
。如果事件訂閱沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys
。如果requiredTagKeys
未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果事件訂閱未標記任何索引鍵,則 控制項會失敗。系統標籤會自動套用並以 開頭aws:
,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為您的 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 DMS 事件訂閱,請參閱AWS Database Migration Service 《 使用者指南》中的標記資源 AWS Database Migration Service。
【DMS.4】 DMS 複寫執行個體應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::DMS::ReplicationInstance
AWS Config rule:tagged-dms-replicationinstance
(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 |
No default value
|
此控制項會檢查 AWS DMS 複寫執行個體是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys
。如果複寫執行個體沒有任何標籤索引鍵,或如果它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys
。如果requiredTagKeys
未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果複寫執行個體未標記任何金鑰,則 控制項會失敗。系統標籤會自動套用並以 開頭aws:
,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為您的 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 DMS 複寫執行個體,請參閱AWS Database Migration Service 《 使用者指南》中的標記資源 AWS Database Migration Service。
【DMS.5】 DMS 複寫子網路群組應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::DMS::ReplicationSubnetGroup
AWS Config rule:tagged-dms-replicationsubnetgroup
(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 |
No default value
|
此控制項會檢查 AWS DMS 複寫子網路群組是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys
。如果複寫子網路群組沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys
。如果requiredTagKeys
未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果複寫子網路群組未加上任何金鑰的標籤,則 會失敗。系統標籤會自動套用並以 開頭aws:
,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為您的 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 DMS 複寫子網路群組,請參閱AWS Database Migration Service 《 使用者指南》中的標記資源 AWS Database Migration Service。
【DMS.6】 DMS 複寫執行個體應該啟用自動次要版本升級
相關要求:NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3
類別:識別 > 漏洞、修補程式和版本管理
嚴重性:中
資源類型: AWS::DMS::ReplicationInstance
AWS Config 規則:dms-auto-minor-version-upgrade-check
排程類型:變更觸發
參數:無
此控制項會檢查是否已啟用複 AWS DMS 寫執行個體的自動次要版本升級。如果未針對 DMS 複寫執行個體啟用自動次要版本升級,則控制項會失敗。
DMS 提供每個支援的複寫引擎的自動次要版本升級,以便您可以讓複寫執行個體保持在up-to-date。次要版本可以引進新的軟體功能、錯誤修正、安全修補程式和效能改善。透過在 DMS 複寫執行個體上啟用自動次要版本升級,次要升級會在維護時段期間自動套用,或在選擇立即套用變更選項時立即套用。
修補
若要在 DMS 複寫執行個體上啟用自動次要版本升級,請參閱AWS Database Migration Service 《 使用者指南》中的修改複寫執行個體。
【DMS.7】 目標資料庫的 DMS 複寫任務應該已啟用記錄
相關要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.8000-5.CA-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.4.2
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::DMS::ReplicationTask
AWS Config 規則:dms-replication-task-targetdb-logging
排程類型:變更觸發
參數:無
此控制項會檢查是否針對 DMS 複寫任務 TARGET_APPLY
和 啟用最低嚴重性層級LOGGER_SEVERITY_DEFAULT
的日誌記錄TARGET_LOAD
。如果未針對這些任務啟用記錄,或如果最低嚴重性等級小於 ,則控制項會失敗LOGGER_SEVERITY_DEFAULT
。
DMS 使用 Amazon CloudWatch 在遷移過程中記錄資訊。使用記錄任務設定,您可以指定記錄哪些元件活動,以及記錄多少資訊。您應該為下列任務指定記錄:
TARGET_APPLY
– 將資料和資料定義語言 (DDL) 陳述式套用到目標資料庫。TARGET_LOAD
– 將資料載入目標資料庫。
記錄透過啟用監控、疑難排解、稽核、效能分析、錯誤偵測和復原,以及歷史分析和報告,在 DMS 複寫任務中扮演重要角色。它有助於確保資料庫之間的資料成功複寫,同時保持資料完整性並符合法規要求。在疑難排解期間,這些元件很少需要 DEFAULT
以外的日誌記錄層級。我們建議將記錄層級保留為這些元件DEFAULT
的 ,除非 特別要求變更 支援。的記錄層級最低,DEFAULT
可確保資訊性訊息、警告和錯誤訊息寫入日誌。此控制項會檢查記錄層級是否為上述複寫任務的下列至少其中一項:LOGGER_SEVERITY_DEBUG
、 LOGGER_SEVERITY_DEFAULT
或 LOGGER_SEVERITY_DETAILED_DEBUG
。
修補
若要啟用目標資料庫 DMS 複寫任務的記錄,請參閱AWS Database Migration Service 《 使用者指南》中的檢視和管理 AWS DMS 任務日誌。
【DMS.8】 來源資料庫的 DMS 複寫任務應該已啟用記錄
相關要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.8000-5.CA-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.4.2
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::DMS::ReplicationTask
AWS Config 規則:dms-replication-task-sourcedb-logging
排程類型:變更觸發
參數:無
此控制項會檢查記錄是否已啟用 DMS LOGGER_SEVERITY_DEFAULT
複寫任務SOURCE_CAPTURE
和 的最低嚴重性層級SOURCE_UNLOAD
。如果未針對這些任務啟用記錄,或如果最低嚴重性等級小於 ,則控制項會失敗LOGGER_SEVERITY_DEFAULT
。
DMS 使用 Amazon CloudWatch 在遷移過程中記錄資訊。使用記錄任務設定,您可以指定記錄哪些元件活動,以及記錄多少資訊。您應該為下列任務指定記錄:
SOURCE_CAPTURE
– 持續複寫或變更資料擷取 (CDC) 資料會從來源資料庫或服務擷取,並傳遞至SORTER
服務元件。SOURCE_UNLOAD
– 資料會在完全載入期間從來源資料庫或服務卸載。
記錄透過啟用監控、疑難排解、稽核、效能分析、錯誤偵測和復原,以及歷史分析和報告,在 DMS 複寫任務中扮演重要角色。它有助於確保資料庫之間的資料成功複寫,同時保持資料完整性並符合法規要求。在疑難排解期間,這些元件很少需要 DEFAULT
以外的日誌記錄層級。我們建議將記錄層級保留為這些元件DEFAULT
的 ,除非 特別要求變更 支援。的記錄層級最低,DEFAULT
可確保資訊性訊息、警告和錯誤訊息寫入日誌。此控制項會檢查記錄層級是否為上述複寫任務的下列至少其中一項:LOGGER_SEVERITY_DEBUG
、 LOGGER_SEVERITY_DEFAULT
或 LOGGER_SEVERITY_DETAILED_DEBUG
。
修補
若要啟用來源資料庫 DMS 複寫任務的記錄,請參閱AWS Database Migration Service 《 使用者指南》中的檢視和管理 AWS DMS 任務日誌。
【DMS.9】 DMS 端點應使用 SSL
相關要求:NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/4.2.1
類別:保護 > 資料保護 > data-in-transit
嚴重性:中
資源類型: AWS::DMS::Endpoint
AWS Config 規則:dms-endpoint-ssl-configured
排程類型:已觸發變更
參數:無
此控制項會檢查 AWS DMS 端點是否使用 SSL 連線。如果端點不使用 SSL,則控制項會失敗。
SSL/TLS 連線透過加密 DMS 複寫執行個體和資料庫之間的連線,提供一層安全性。使用憑證可驗證連線是否與預期的資料庫建立連線,藉此提供額外的安全層。它會檢查自動安裝在您佈建之所有資料庫執行個體上的伺服器憑證,藉此執行此作業。透過在 DMS 端點上啟用 SSL 連線,您可以在遷移期間保護資料的機密性。
修補
若要將 SSL 連線新增至新的或現有的 DMS 端點,請參閱AWS Database Migration Service 《 使用者指南》中的使用 SSL 搭配 AWS Database Migration Service 。
【DMS.10】 Neptune 資料庫的 DMS 端點應啟用 IAM 授權
相關要求:NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-17、NIST.800-53.r5 IA-2、NIST.800-53.r5 IA-5、PCI DSS v4.0.1/7.3.1
類別:保護 > 安全存取管理 > 無密碼身分驗證
嚴重性:中
資源類型: AWS::DMS::Endpoint
AWS Config 規則:dms-neptune-iam-authorization-enabled
排程類型:變更觸發
參數:無
此控制項會檢查 Amazon Neptune 資料庫的 AWS DMS 端點是否已設定 IAM 授權。如果 DMS 端點未啟用 IAM 授權,則控制項會失敗。
AWS Identity and Access Management (IAM) 跨 提供精細的存取控制 AWS。透過 IAM,您可以指定誰可以存取哪些 服務和資源,以及在哪些條件下。透過 IAM 政策,您可以管理人力資源和系統的許可,以確保最低權限許可。透過在 Neptune 資料庫的 AWS DMS 端點上啟用 IAM 授權,您可以使用 ServiceAccessRoleARN
參數指定的服務角色,將授權權限授予 IAM 使用者。
修補
若要在 Neptune 資料庫的 DMS 端點上啟用 IAM 授權,請參閱AWS Database Migration Service 《 使用者指南》中的使用 Amazon Neptune 做為 的目標 AWS Database Migration Service。
【DMS.11】 MongoDB 的 DMS 端點應啟用身分驗證機制
相關要求:NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-6、NIST.800-53.r5 IA-2、NIST.800-53.r5 IA-5、PCI DSS v4.0.1/7.3.1
類別:保護 > 安全存取管理 > 無密碼身分驗證
嚴重性:中
資源類型: AWS::DMS::Endpoint
AWS Config 規則:dms-mongo-db-authentication-enabled
排程類型:變更觸發
參數:無
此控制項會檢查 MongoDB 的 AWS DMS 端點是否已使用身分驗證機制設定。如果未為端點設定身分驗證類型,則控制項會失敗。
AWS Database Migration Service 支援適用於 MongoDB 2.x 版的 MongoDB—MONGODB-CR 的兩種身分驗證方法,以及適用於 MongoDB 3.x 版或更新版本的 SCRAM-SHA-1。 MongoDB 如果使用者想要使用密碼來存取資料庫,這些身分驗證方法會用來驗證和加密 MongoDB 密碼。 AWS DMS 端點上的身分驗證可確保只有授權使用者才能存取和修改在資料庫之間遷移的資料。如果沒有適當的身分驗證,未經授權的使用者可能可以在遷移過程中存取敏感資料。這可能會導致資料外洩、資料遺失或其他安全事件。
修補
若要在 MongoDB 的 DMS 端點上啟用身分驗證機制,請參閱AWS Database Migration Service 《 使用者指南》中的使用 MongoDB 作為 的來源 AWS DMS。
【DMS.12】 Redis OSS 的 DMS 端點應該已啟用 TLS
相關要求:NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-13、PCI DSS v4.0.1/4.2.1
類別:保護 > 資料保護 > data-in-transit
嚴重性:中
資源類型: AWS::DMS::Endpoint
AWS Config 規則:dms-redis-tls-enabled
排程類型:變更觸發
參數:無
此控制項會檢查 Redis OSS 的 AWS DMS 端點是否已設定 TLS 連線。如果端點未啟用 TLS,則控制項會失敗。
TLS 透過網際網路在應用程式或資料庫之間傳送資料時,提供end-to-end安全性。當您為 DMS 端點設定 SSL 加密時,它會在遷移過程中啟用來源和目標資料庫之間的加密通訊。這有助於防止惡意演員竊聽和攔截敏感資料。如果沒有 SSL 加密,可能會存取敏感資料,導致資料外洩、資料遺失或其他安全事件。
修補
若要在 Redis 的 DMS 端點上啟用 TLS 連線,請參閱AWS Database Migration Service 《 使用者指南》中的使用 Redis 做為 的目標 AWS Database Migration Service。