本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon DocumentDB 的 Security Hub CSPM 控制項
這些 AWS Security Hub CSPM 控制項會評估 Amazon DocumentDB (與 MongoDB 相容) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。
## 【DocumentDB.1] Amazon DocumentDB 叢集應靜態加密
**相關要求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
**類別:**保護 > 資料保護 > data-at-rest加密
**嚴重性:**中
**資源類型:** `AWS::RDS::DBCluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Amazon DocumentDB 叢集是否靜態加密。如果 Amazon DocumentDB 叢集未靜態加密,則控制項會失敗。
靜態資料是指在任何期間內存放在持久性、非揮發性儲存體中的任何資料。加密可協助您保護此類資料的機密性,降低未經授權的使用者存取資料的風險。Amazon DocumentDB 叢集中的資料應靜態加密,以增加一層安全性。Amazon DocumentDB 使用 256 位元進階加密標準 (AES-256),使用存放在 AWS Key Management Service () 中的加密金鑰來加密您的資料AWS KMS。
### 修補
您可以在建立 Amazon DocumentDB 叢集時啟用靜態加密。您無法在建立叢集後變更加密設定。如需詳細資訊,請參閱《[Amazon DocumentDB 開發人員指南》中的為 Amazon DocumentDB 叢集啟用靜態加密](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling)。 *Amazon DocumentDB *
## 【DocumentDB.2] Amazon DocumentDB 叢集應具有足夠的備份保留期
**相關要求:**NIST.800-53.r5 SI-12、PCI DSS v4.0.1/3.2.1
**類別:**復原 > 恢復 > 備份已啟用
**嚴重性:**中
**資源類型:** `AWS::RDS::DBCluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | 最短備份保留期間,以天為單位 | Integer | `7` 至 `35` | `7` |
此控制項會檢查 Amazon DocumentDB 叢集的備份保留期間是否大於或等於指定的時間範圍。如果備份保留期小於指定的時間範圍,則控制項會失敗。除非您提供備份保留期間的自訂參數值,否則 Security Hub CSPM 會使用預設值 7 天。
備份可協助您更快地從安全事件中復原,並強化系統的彈性。透過自動化 Amazon DocumentDB 叢集的備份,您將能夠將系統還原到某個時間點,並將停機時間和資料遺失降至最低。在 Amazon DocumentDB 中,叢集的預設備份保留期間為 1 天。這必須增加到 7 到 35 天之間的值,才能通過此控制。
### 修補
若要變更 Amazon DocumentDB 叢集的備份保留期,請參閱《[Amazon DocumentDB 開發人員指南》中的修改 Amazon DocumentDB 叢集](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html)。 *Amazon DocumentDB * 針對**備份**,選擇備份保留期。
## 【DocumentDB.3] Amazon DocumentDB 手動叢集快照不應公開
**相關要求:**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 5
**類別:**保護 > 安全網路組態
**嚴重性:**嚴重
**資源類型:** `AWS::RDS::DBClusterSnapshot`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Amazon DocumentDB 手動叢集快照是否為公有。如果手動叢集快照為公有,則控制項會失敗。
除非預期,否則 Amazon DocumentDB 手動叢集快照不應公開。如果您將未加密的手動快照共用為公有,則該快照可供所有 使用 AWS 帳戶。公有快照可能會導致意外的資料暴露。
**注意**
此控制項會評估手動叢集快照。您無法共用 Amazon DocumentDB 自動化叢集快照。不過,您可以透過複製自動化快照來建立手動快照,然後共用複本。
### 修補
若要移除 Amazon DocumentDB 手動叢集快照的公有存取權,請參閱《*Amazon DocumentDB 開發人員指南*》中的[共用快照](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots)。您可以透過程式設計方式使用 Amazon DocumentDB 操作 `modify-db-snapshot-attribute`。將 `attribute-name`設定為 `restore`,將 `values-to-remove`設定為 `all`。
## 【DocumentDB.4] Amazon DocumentDB 叢集應將稽核日誌發佈至 CloudWatch Logs
**相關要求:**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.3.3
**類別:**識別 > 記錄日誌
**嚴重性:**中
**資源類型:** `AWS::RDS::DBCluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Amazon DocumentDB 叢集是否將稽核日誌發佈至 Amazon CloudWatch Logs。如果叢集未將稽核日誌發佈至 CloudWatch Logs,則控制項會失敗。
Amazon DocumentDB (與 MongoDB 相容) 可讓您稽核在叢集中執行的事件。已記錄事件的範例包括成功和失敗的身分驗證嘗試、在資料庫中放入集合,或建立索引。在預設情況下,稽核會在 Amazon DocumentDB 中停用,並要求您採取動作來啟用它。
### 修補
若要將 Amazon DocumentDB 稽核日誌發佈至 CloudWatch Logs,請參閱《*Amazon DocumentDB 開發人員指南*》中的[啟用稽核](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing)。
## 【DocumentDB.5] Amazon DocumentDB 叢集應該啟用刪除保護
**相關需求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)
**類別:**保護 > 資料保護 > 資料刪除保護
**嚴重性:**中
**資源類型:** `AWS::RDS::DBCluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Amazon DocumentDB 叢集是否已啟用刪除保護。如果叢集未啟用刪除保護,則控制項會失敗。
啟用叢集刪除保護可提供額外的保護層,防止未經授權的使用者意外刪除或刪除資料庫。啟用刪除保護時,無法刪除 Amazon DocumentDB 叢集。您必須先停用刪除保護,刪除請求才能成功。當您在 Amazon DocumentDB 主控台中建立叢集時,預設會啟用刪除保護。
### 修補
若要啟用現有 Amazon DocumentDB 叢集的刪除保護,請參閱《[Amazon DocumentDB 開發人員指南》中的修改 Amazon DocumentDB 叢集](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html)。 *Amazon DocumentDB * 在**修改叢集**區段中,選擇**啟用****刪除保護**。
## 【DocumentDB.6] Amazon DocumentDB 叢集應在傳輸中加密
**類別:**保護 > 資料保護 > data-in-transit
**嚴重性:**中
**資源類型:** `AWS::RDS::DBCluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)
**排程類型:**定期
**參數:**`excludeTlsParameters`:`disabled`、 `enabled`(不可自訂)
此控制項會檢查 Amazon DocumentDB 叢集是否需要 TLS 才能連線至叢集。如果與叢集相關聯的叢集參數群組未同步,或 TLS 叢集參數設定為 `disabled`或 ,則控制項會失敗`enabled`。
您可以使用 TLS 來加密應用程式與 Amazon DocumentDB 叢集之間的連線。使用 TLS 有助於防止資料在應用程式和 Amazon DocumentDB 叢集之間傳輸時遭到攔截。Amazon DocumentDB 叢集的傳輸中加密會使用與叢集相關聯的叢集參數群組中的 TLS 參數進行管理。當啟用傳輸中的加密時,需要使用 TLS 的安全連線來連線到叢集。建議使用下列 TLS 參數:`tls1.2+`、 `tls1.3+`和 `fips-140-3`。
### 修補
如需有關變更 Amazon DocumentDB 叢集 TLS 設定的資訊,請參閱《*Amazon DocumentDB 開發人員指南*》中的[加密傳輸中的資料](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html)。