适用于 Amazon DMS 的 Security Hub 控件
这些 Security Hub 控件可评估 Amazon Database Migration Service(Amazon DMS)服务和资源。
这些控件可能并未在所有的 Amazon Web Services 区域 上提供。有关更多信息,请参阅 按地区划分的控件可用性。
[DMS.1] Database Migration Service 复制实例不应公开
相关要求:PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
类别:保护 > 安全网络配置
严重性:严重
资源类型:AWS::DMS::ReplicationInstance
Amazon Config 规则:dms-replication-not-public
计划类型:定期
参数:无
此控件检查 Amazon DMS 复制实例是否是公共的。为此,它会检查 PubliclyAccessible
字段的值。
私有复制实例具有私有 IP 地址,您无法在复制网络外部访问该地址。当源数据库和目标数据库位于同一网络时,复制实例应具有私有 IP 地址。还必须使用 VPN、Amazon Direct Connect 或 VPC 对等将网络连接到复制实例的 VPC。要了解有关公有和私有复制实例的更多信息,请参阅 Amazon Database Migration Service 用户指南中的公有和私有复制实例。
您还应确保只有经过授权的用户才能访问 Amazon DMS 实例配置。为此,请限制用户修改 Amazon DMS 设置和资源的 IAM 权限。
修复
创建 DMS 复制实例后,您无法变更其公共访问设置。要变更公共访问设置,请删除您当前的实例,然后重新创建实例。不要选择公开访问选项。
[DMS.2] 应标记 DMS 证书
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::DMS::Certificate
Amazon Config规则:tagged-dms-certificate
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 Amazon 要求的标签列表 |
No default value
|
此控件可检查 Amazon DMS 证书是否具有带特定键的标签,这些键在 requiredTagKeys
参数中进行定义。如果证书没有任何标签键或者未在 requiredTagKeys
参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys
参数,则此控件仅检查标是否存在签密键,如果证书未使用任何键进行标记,则此控件将失败。自动应用并以 aws:
为开头的系统标签会被忽略。
标签是您分配给 Amazon 资源的标记,由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以将标签附加到 IAM 实体(用户或角色)以及 Amazon 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 IAM 用户指南中的什么是适用于 Amazon 的 ABAC?。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。可从许多 Amazon Web Services 服务 访问标签,包括 Amazon Billing。有关标记更多最佳实践,请参阅《Amazon Web Services 一般参考》中的标记 Amazon 资源。
修复
要向 DMS 证书添加标签,请参阅《Amazon Database Migration Service User Guide》中的 Tagging resources in Amazon Database Migration Service。
[DMS.3] 应标记 DMS 活动订阅
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::DMS::EventSubscription
Amazon Config规则:tagged-dms-eventsubscription
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 Amazon 要求的标签列表 |
No default value
|
此控件可检查 Amazon DMS 事件订阅是否具有带特定键的标签,这些键在 requiredTagKeys
参数中进行定义。如果事件订阅没有任何标签键或者未在 requiredTagKeys
参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys
参数,则此控件仅检查是否存在标签键,如果事件订阅未使用任何键进行标记,则此控件将失败。自动应用并以 aws:
为开头的系统标签会被忽略。
标签是您分配给 Amazon 资源的标记,由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以将标签附加到 IAM 实体(用户或角色)以及 Amazon 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 IAM 用户指南中的什么是适用于 Amazon 的 ABAC?。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。可从许多 Amazon Web Services 服务 访问标签,包括 Amazon Billing。有关标记更多最佳实践,请参阅《Amazon Web Services 一般参考》中的标记 Amazon 资源。
修复
要向 DMS 事件订阅添加标签,请参阅《Amazon Database Migration Service User Guide》中的 Tagging resources in Amazon Database Migration Service。
[DMS.4] 应标记 DMS 复制实例
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::DMS::ReplicationInstance
Amazon Config规则:tagged-dms-replicationinstance
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 Amazon 要求的标签列表 |
No default value
|
此控件可检查 Amazon DMS 复制实例是否具有带特定键的标签,这些键在 requiredTagKeys
参数中进行定义。如果复制实例没有任何标签键或者未在 requiredTagKeys
参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys
参数,则此控件仅检查是否存在标签键,如果复制实例未使用任何键进行标记,则此控件将失败。自动应用并以 aws:
为开头的系统标签会被忽略。
标签是您分配给 Amazon 资源的标记,由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以将标签附加到 IAM 实体(用户或角色)以及 Amazon 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 IAM 用户指南中的什么是适用于 Amazon 的 ABAC?。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。可从许多 Amazon Web Services 服务 访问标签,包括 Amazon Billing。有关标记更多最佳实践,请参阅《Amazon Web Services 一般参考》中的标记 Amazon 资源。
修复
要向 DMS 复制实例添加标签,请参阅《Amazon Database Migration Service User Guide》中的 Tagging resources in Amazon Database Migration Service。
[DMS.5] 应标记 DMS 复制子网组
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::DMS::ReplicationSubnetGroup
Amazon Config规则:tagged-dms-replicationsubnetgroup
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 Amazon 要求的标签列表 |
No default value
|
此控件可检查 Amazon DMS 复制子网组是否具有带特定键的标签,这些键在 requiredTagKeys
参数中进行定义。如果复制子网组没有任何标签键或者未在 requiredTagKeys
参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys
参数,则此控件仅检查是否存在标签键,如果复制子网组未使用任何键进行标记,则此控件将失败。自动应用并以 aws:
为开头的系统标签会被忽略。
标签是您分配给 Amazon 资源的标记,由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以将标签附加到 IAM 实体(用户或角色)以及 Amazon 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 IAM 用户指南中的什么是适用于 Amazon 的 ABAC?。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。可从许多 Amazon Web Services 服务 访问标签,包括 Amazon Billing。有关标记更多最佳实践,请参阅《Amazon Web Services 一般参考》中的标记 Amazon 资源。
修复
要向 DMS 复制子网组添加标签,请参阅《Amazon Database Migration Service User Guide》中的 Tagging resources in Amazon Database Migration Service。
[DMS.6] DMS 复制实例应启用自动次要版本升级
相关要求:NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)。
类别:识别 > 漏洞、补丁和版本管理
严重性:中
资源类型:AWS::DMS::ReplicationInstance
Amazon Config 规则:dms-auto-minor-version-upgrade-check
计划类型:已触发变更
参数:无
此控件检查是否为 Amazon DMS 复制实例启用了自动次要版本升级。如果未为 DMS 复制实例启用自动次要版本升级,则控制失败。
DMS 为每个支持的复制引擎提供自动次要版本升级,以便您可以使复制实例保持最新。次要版本可以引入新的软件功能、错误修复、安全补丁和性能改进。通过在 DMS 复制实例上启用自动次要版本升级,可以在维护时段内自动应用次要升级,或者如果选择了“立即应用变更”选项,则会立即应用次要升级。
修复
要在 DMS 复制实例上启用自动次要版本升级,请参阅 Amazon Database Migration Service 用户指南中的修改复制实例。
[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录
相关要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。
类别:识别 > 日志记录
严重性:中
资源类型:AWS::DMS::ReplicationTask
Amazon Config 规则:dms-replication-task-targetdb-logging
计划类型:已触发变更
参数:无
此控件检查是否启用了日志记录,并且 DMS 复制任务 TARGET_APPLY
和 TARGET_LOAD
的最低严重级别为 LOGGER_SEVERITY_DEFAULT
。如果未为这些任务启用日志记录,或者最低严重性级别低于 LOGGER_SEVERITY_DEFAULT
,则控制失败。
DMS 使用 Amazon CloudWatch 在迁移过程中记录信息。使用日志记录任务设置,您可以指定记录哪些组件活动以及记录多少信息。您应该为以下任务指定日志记录:
TARGET_APPLY
——数据和数据定义语言 (DDL) 语句应用于目标数据库。TARGET_LOAD
——数据将加载到目标数据库中。
日志记录通过启用监控、故障排除、审核、性能分析、错误检测和恢复以及历史分析和报告,在 DMS 复制任务中发挥着关键作用。日志记录有助于确保数据库之间数据的成功复制,同时保持数据完整性并符合法规要求。在故障排除期间,这些组件很少需要除了 DEFAULT
以外的其他日志级别。除非特别要求由 Amazon Web Services Support 变更这些组件的日志级别,否则我们建议保留这些组件的日志级别 DEFAULT
。最低日志级别为 DEFAULT
可确保将信息性消息、警告和错误消息写入日志。此控件检查上述复制任务的日志记录级别是否至少为以下级别之一:LOGGER_SEVERITY_DEFAULT
、LOGGER_SEVERITY_DEBUG
或 LOGGER_SEVERITY_DETAILED_DEBUG
。
修复
要启用目标数据库 DMS 复制任务的日志记录,请参阅 Amazon Database Migration Service 用户指南中的查看和管理 Amazon DMS 任务日志。
[DMS.8] 源数据库的 DMS 复制任务应启用日志记录
相关要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。
类别:识别 > 日志记录
严重性:中
资源类型:AWS::DMS::ReplicationTask
Amazon Config 规则:dms-replication-task-sourcedb-logging
计划类型:已触发变更
参数:无
此控件检查是否启用了日志记录,并且 DMS 复制任务 SOURCE_CAPTURE
和 SOURCE_UNLOAD
的最低严重级别为 LOGGER_SEVERITY_DEFAULT
。如果未为这些任务启用日志记录,或者最低严重性级别低于 LOGGER_SEVERITY_DEFAULT
,则控制失败。
DMS 使用 Amazon CloudWatch 在迁移过程中记录信息。使用日志记录任务设置,您可以指定记录哪些组件活动以及记录多少信息。您应该为以下任务指定日志记录:
SOURCE_CAPTURE
——正在进行的复制或变更数据捕获 (CDC) 数据从源数据库或服务中捕获,并传递到SORTER
服务组件。SOURCE_UNLOAD
——数据在满负荷期间从源数据库或服务中卸载。
日志记录通过启用监控、故障排除、审核、性能分析、错误检测和恢复以及历史分析和报告,在 DMS 复制任务中发挥着关键作用。日志记录有助于确保数据库之间数据的成功复制,同时保持数据完整性并符合法规要求。在故障排除期间,这些组件很少需要除了 DEFAULT
以外的其他日志级别。除非特别要求由 Amazon Web Services Support 变更这些组件的日志级别,否则我们建议保留这些组件的日志级别 DEFAULT
。最低日志级别为 DEFAULT
可确保将信息性消息、警告和错误消息写入日志。此控件检查上述复制任务的日志记录级别是否至少为以下级别之一:LOGGER_SEVERITY_DEFAULT
、LOGGER_SEVERITY_DEBUG
或 LOGGER_SEVERITY_DETAILED_DEBUG
。
修复
要启用源数据库 DMS 复制任务的日志记录,请参阅 Amazon Database Migration Service 用户指南中的查看和管理 Amazon DMS 任务日志。
[DMS.9] DMS 端点应使用 SSL
相关要求:NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)。
类别:保护 > 数据保护 > 传输中数据加密
严重性:中
资源类型:AWS::DMS::Endpoint
Amazon Config 规则:dms-endpoint-ssl-configured
计划类型:已触发变更
参数:无
此控件检查 Amazon DMS 端点是否使用 SSL 连接。如果端点不使用 SSL,则控制失败。
SSL/TLS 连接通过加密 DMS 复制实例与数据库之间的连接来提供一层安全性。使用证书通过验证是否与预期数据库建立连接来提供额外的安全保护。它通过检查自动安装在您预置的所有数据库实例上的服务器证书来实现这一点。通过在 DMS 端点上启用 SSL 连接,您可以在迁移过程中保护数据的机密性。
修复
要向新的或现有的 DMS 端点添加 SSL 连接,请参阅 Amazon Database Migration Service 用户指南中的将 SSL 与 Amazon Database Migration Service 配合使用。
[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权
相关要求:NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-17、NIST.800-53.r5 IA-2、NIST.800-53.r5 IA-5
类别:保护 > 安全访问管理 > 无密码身份验证
严重性:中
资源类型:AWS::DMS::Endpoint
Amazon Config 规则:dms-neptune-iam-authorization-enabled
计划类型:已触发变更
参数:无
此控件可检查 Amazon Neptune 数据库的 Amazon DMS 端点是否配置了 IAM 授权。如果 DMS 端点未启用 IAM 授权,则此控件将失败。
Amazon Identity and Access Management(IAM)提供跨 Amazon 的精细访问控制。通过 IAM,您可以指定谁可以在哪些条件下访问哪些服务和资源。使用 IAM 策略,您可以管理员工和系统的权限,以确保最低权限。在 Neptune 数据库的 Amazon DMS 端点上启用 IAM 授权,您就可以使用 ServiceAccessRoleARN
参数指定的服务角色向 IAM 用户授予授权权限。
修复
要在 Neptune 数据库的 DMS 端点上启用 IAM 授权,请参阅《Amazon Database Migration Service User Guide》中的 Using Amazon Neptune as a target for Amazon Database Migration Service。
[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制
相关要求:NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-6、NIST.800-53.r5 IA-2、NIST.800-53.r5 IA-5
类别:保护 > 安全访问管理 > 无密码身份验证
严重性:中
资源类型:AWS::DMS::Endpoint
Amazon Config 规则:dms-mongo-db-authentication-enabled
计划类型:已触发变更
参数:无
此控件可检查 MongoDB 的 Amazon DMS 端点是否配置了身份验证机制。如果没有为该端点设置身份验证类型,则此控件将失败。
Amazon Database Migration Service 支持两种 MongoDB 身份验证方法:适用于 MongoDB 版本 2.x 的 MONGODB-CR 和适用于 MongoDB 版本 3.x 或更高版本的 SCRAM-SHA-1。如果用户想使用密码访问数据库,则使用这些身份验证方法对 MongoDB 密码进行身份验证和加密。在 Amazon DMS 端点上进行身份验证可确保只有经过授权的用户才能访问和修改在数据库之间迁移的数据。如果没有适当的身份验证,未经授权的用户可能会在迁移过程中访问敏感数据。这样可能导致数据泄露、数据丢失或其他安全事件。
修复
要在 MongoDB 的 DMS 端点上启用身份验证机制,请参阅《Amazon Database Migration Service User Guide》中的 Using MongoDB as a source for Amazon DMS。
[DMS.12] Redis OSS 的 DMS 端点应启用 TLS
相关要求:NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-13
类别:保护 > 数据保护 > 传输中数据加密
严重性:中
资源类型:AWS::DMS::Endpoint
Amazon Config 规则:dms-redis-tls-enabled
计划类型:已触发变更
参数:无
此控件可检查 Redis OSS 的 Amazon DMS 端点是否配置了 TLS 连接。如果该端点未启用 TLS,则此控件将失败。
当通过互联网在应用程序或数据库之间进发送数据时,TLS 可提供端到端的安全性。当您为 DMS 端点配置 SSL 加密时,其会在迁移过程中启用源数据库和目标数据库之间的加密通信。这有助于防止恶意行为者侦听和拦截敏感数据。如果没有 SSL 加密,敏感数据可能会被访问,从而导致数据泄露、数据丢失或其他安全事件。
修复
要在 Redis 的 DMS 端点上启用 TLS 连接,请参阅《Amazon Database Migration Service User Guide》中的 Using Redis as a target for Amazon Database Migration Service。