本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon DocumentDB 的 Security Hub 控制
這些 Security Hub 控制項會評估 Amazon DocumentDB (與 MongoDB 相容性) 服務和資源。
這些控制項可能不適用於所有 AWS 區域。 如需詳細資訊,請參閱各區域控制項的可用性。
[文件 DB.1] Amazon DocumentDB 叢集應在靜態時加密
相關要求: NIST.800-53.r5 CA-9(一)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1三、 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2八、NIST八 NIST.800-53.r5 SC-7 (一)、(十)、
分類:保護 > 資料保護 > 加密 data-at-rest
嚴重性:中
資源類型:AWS::RDS::DBCluster
AWS Config 規則:docdb-cluster-encrypted
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon 文件資料庫叢集是否在靜態時加密。如果 Amazon 文件資料庫叢集未在靜態時加密,則控制項會失敗。
靜態數據是指任何持續時間存儲在持久性非易失性存儲中的任何數據。加密可協助您保護此類資料的機密性,降低未經授權使用者存取資料的風險。Amazon DocumentDB 叢集中的資料應該在靜態時加密,以增加一層安全性。Amazon DocumentDB 使用 256 位元進階加密標準 (AES-256),使用儲存在中的加密金鑰來加密您的資料 AWS Key Management Service (AWS KMS).
修補
您可以在建立 Amazon DocumentDB 叢集時啟用靜態加密。建立叢集後,您無法變更加密設定。如需詳細資訊,請參閱 Amazon DocumentDB 開發人員指南中的為 Amazon DocumentDB 叢集啟用靜態加密。
[文件 DB.2] Amazon DocumentDB 叢集應該有足夠的備份保留期
相關要求:NISTSI-12
類別:復原 > 復原 > 啟用備份
嚴重性:中
資源類型:AWS::RDS::DBCluster
AWS Config 規則:docdb-cluster-backup-retention-check
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
最短備份保留期 (天) |
Integer |
|
|
此控制項會檢查 Amazon DocumentDB 叢集的備份保留期是否大於或等於指定的時間範圍。如果備份保留期間小於指定的時間範圍,則控制項會失敗。除非您為備份保留期提供自訂參數值,否則 Security Hub 會使用預設值 7 天。
備份可協助您更快速地從安全性事件中復原,並強化系統的復原能力。透過將 Amazon DocumentDB 叢集的備份自動化,您可以將系統還原到某個時間點,並將停機時間和資料遺失降到最低。在 Amazon DocumentDB 中,叢集的預設備份保留期為 1 天。必須將其增加到 7 到 35 天之間的值,才能通過此控制。
修補
若要變更 Amazon DocumentDB 叢集的備份保留期,請參閱亞馬遜文件資料庫開發人員指南中的修改 Amazon DocumentDB 叢集。在「Backup」中,選擇備份保留期間。
[文件 DB.3] 亞馬遜 DocumentDB 手動叢集快照不應該是公開的
相關要求: NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6,, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
類別:保護 > 安全網路組態
嚴重性:嚴重
資源類型:AWS::RDS::DBClusterSnapshot, AWS::RDS:DBSnapshot
AWS Config 規則:docdb-cluster-snapshot-public-prohibited
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon DocumentDB 手動叢集快照是否為公開狀態。如果手動叢集快照為公用,則控制項會失敗。
除非有意,否則 Amazon DocumentDB 手動叢集快照不應該是公開的。如果您將未加密的手動快照共用為公用,則所有人都可以使用該快照 AWS 帳戶。 公開快照可能會導致非預期的資料暴露。
注意
此控制項會評估手動叢集快照。您無法共用 Amazon DocumentDB 自動化叢集快照。不過,您可以透過複製自動快照,然後共用副本來建立手動快照。
修補
若要移除 Amazon DocumentDB 手動叢集快照的公開存取權,請參閱 Amazon Document DB 開發人員指南中的共用快照。以編程方式,您可以使用 Amazon DocumentDB 操作。modify-db-snapshot-attribute設定attribute-namevalues-to-remove為restore和all。
[文件 DB.4] Amazon DocumentDB 叢集應將稽核日誌發佈到日誌 CloudWatch
相關要求: NIST.800-53.r5 AC-2(四)、 NIST.800-53.r5 AC-4 (二十六)、 NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7 (9)、(9)、NIST .800-53.r5 三三 (8)、NIST .800-53.r5 (8) NIST
類別:識別 > 記錄日誌
嚴重性:中
資源類型:AWS::RDS::DBCluster
AWS Config 規則:docdb-cluster-audit-logging-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon DocumentDB 叢集是否將稽核日誌發佈到 Amazon CloudWatch 日誌。如果叢集未將稽核記錄發佈至 CloudWatch 記錄,則控制項會失敗。
Amazon DocumentDB (與 MongoDB 相容性) 可讓您稽核叢集中執行的事件。已記錄事件的範例包括成功和失敗的身分驗證嘗試、在資料庫中放入集合,或建立索引。根據預設,Amazon DocumentDB 中的稽核功能會停用,並要求您採取動作來啟用稽核功能。
修補
若要將 Amazon DocumentDB 稽核日誌發佈到日 CloudWatch 誌,請參閱 Amazon Document DB 開發人員指南中的啟用稽核功能。
[文件 DB.5] 亞馬遜 DocumentDB 叢集應啟用刪除保護
相關要求: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)
分類:保護 > 資料保護 > 資料刪除保護
嚴重性:中
資源類型:AWS::RDS::DBCluster
AWS Config 規則:docdb-cluster-deletion-protection-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon DocumentDB 叢集是否已啟用刪除保護。如果叢集未啟用刪除保護,則控制項會失敗。
啟用叢集刪除保護可提供額外的保護層,防止未經授權的使用者意外刪除資料庫或刪除。啟用刪除保護時,無法刪除 Amazon DocumentDB 叢集。您必須先停用刪除保護,刪除要求才能成功執行。當您在 Amazon DocumentDB 主控台中建立叢集時,依預設會啟用刪除保護。
修補
若要為現有 Amazon DocumentDB 叢集啟用刪除保護,請參閱亞馬遜文件資料庫開發人員指南中的修改 Amazon DocumentDB 叢集。在「修改叢集」段落中,選擇啟用刪除保護。
