Amazon Database Migration Service 控件 - Amazon Security Hub
[DMS.1] Database Migration Service 复制实例不应公开[DMS.6] DMS 复制实例应启用自动次要版本升级[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录[DMS.8] 源数据库的 DMS 复制任务应启用日志记录[DMS.9] DMS 端点应使用 SSL
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Database Migration Service 控件

这些控制措施与 Amazon DMS 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性

[DMS.1] Database Migration Service 复制实例不应公开

相关要求:PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

类别:保护 > 安全网络配置

严重性:严重

资源类型:AWS::DMS::ReplicationInstance

Amazon Config 规则:dms-replication-not-public

计划类型:定期

参数:

此控件检查 Amazon DMS 复制实例是否为公共实例。为此,它会检查 PubliclyAccessible 字段的值。

私有复制实例具有私有 IP 地址,您无法在复制网络外部访问该地址。当源数据库和目标数据库位于同一网络时,复制实例应具有私有 IP 地址。还必须使用 VPN 或 VPC 对等连接将网络连接到复制实例的 VPC。 Amazon Direct Connect要了解有关公有和私有复制实例的更多信息,请参阅 Amazon Database Migration Service 用户指南中的公有和私有复制实例

您还应确保只有经过授权的用户才能访问您的 Amazon DMS 实例配置。为此,请限制用户修改 Amazon DMS 设置和资源的 IAM 权限。

修复

创建 DMS 复制实例后,您无法变更其公共访问设置。要变更公共访问设置,请删除您当前的实例,然后重新创建实例。不要选择公开访问选项。

[DMS.6] DMS 复制实例应启用自动次要版本升级

相关要求:NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)。

类别:检测 > 漏洞、补丁和版本管理

严重性:

资源类型:AWS::DMS::ReplicationInstance

Amazon Config 规则:dms-auto-minor-version-upgrade-check

计划类型:已触发变更

参数:

此控件检查是否为 Amazon DMS 复制实例启用了自动次要版本升级。如果未为 DMS 复制实例启用自动次要版本升级,则控制失败。

DMS 为每个支持的复制引擎提供自动次要版本升级,以便您可以保留复制实例 up-to-date。次要版本可以引入新的软件功能、错误修复、安全补丁和性能改进。通过在 DMS 复制实例上启用自动次要版本升级,可以在维护时段内自动应用次要升级,或者如果选择了“立即应用变更”选项,则会立即应用次要升级。

修复

要在 DMS 复制实例上启用自动次要版本升级,请参阅 Amazon Database Migration Service 用户指南中的修改复制实例

[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录

相关要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::DMS::ReplicationTask

Amazon Config 规则:dms-replication-task-targetdb-logging

计划类型:已触发变更

参数:

此控件检查是否启用了日志记录,并且 DMS 复制任务 TARGET_APPLYTARGET_LOAD 的最低严重级别为 LOGGER_SEVERITY_DEFAULT。如果未为这些任务启用日志记录,或者最低严重性级别低于 LOGGER_SEVERITY_DEFAULT,则控制失败。

在迁移过程中,DMS 使用 Amazon CloudWatch 来记录信息。使用日志记录任务设置,您可以指定记录哪些组件活动以及记录多少信息。您应该为以下任务指定日志记录:

  • TARGET_APPLY——数据和数据定义语言 (DDL) 语句应用于目标数据库。

  • TARGET_LOAD——数据将加载到目标数据库中。

日志记录通过启用监控、故障排除、审核、性能分析、错误检测和恢复以及历史分析和报告,在 DMS 复制任务中发挥着关键作用。日志记录有助于确保数据库之间数据的成功复制,同时保持数据完整性并符合法规要求。在故障排除期间,这些组件很少需要除了 DEFAULT 以外的其他日志级别。除非特别要求由 Amazon Web Services Support变更这些组件的日志级别,否则我们建议保留这些组件的日志级别 DEFAULT。最低日志级别为 DEFAULT 可确保将信息性消息、警告和错误消息写入日志。此控件检查上述复制任务的日志记录级别是否至少为以下级别之一:LOGGER_SEVERITY_DEFAULTLOGGER_SEVERITY_DEBUGLOGGER_SEVERITY_DETAILED_DEBUG

修复

要启用目标数据库 DMS 复制任务的日志记录,请参阅《Amazon Database Migration Service 用户指南》中的查看和管理 Amazon DMS 任务日志

[DMS.8] 源数据库的 DMS 复制任务应启用日志记录

相关要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::DMS::ReplicationTask

Amazon Config 规则:dms-replication-task-sourcedb-logging

计划类型:已触发变更

参数:

此控件检查是否启用了日志记录,并且 DMS 复制任务 SOURCE_CAPTURESOURCE_UNLOAD 的最低严重级别为 LOGGER_SEVERITY_DEFAULT。如果未为这些任务启用日志记录,或者最低严重性级别低于 LOGGER_SEVERITY_DEFAULT,则控制失败。

在迁移过程中,DMS 使用 Amazon CloudWatch 来记录信息。使用日志记录任务设置,您可以指定记录哪些组件活动以及记录多少信息。您应该为以下任务指定日志记录:

  • SOURCE_CAPTURE——正在进行的复制或变更数据捕获 (CDC) 数据从源数据库或服务中捕获,并传递到 SORTER 服务组件。

  • SOURCE_UNLOAD——数据在满负荷期间从源数据库或服务中卸载。

日志记录通过启用监控、故障排除、审核、性能分析、错误检测和恢复以及历史分析和报告,在 DMS 复制任务中发挥着关键作用。日志记录有助于确保数据库之间数据的成功复制,同时保持数据完整性并符合法规要求。在故障排除期间,这些组件很少需要除了 DEFAULT 以外的其他日志级别。除非特别要求由 Amazon Web Services Support变更这些组件的日志级别,否则我们建议保留这些组件的日志级别 DEFAULT。最低日志级别为 DEFAULT 可确保将信息性消息、警告和错误消息写入日志。此控件检查上述复制任务的日志记录级别是否至少为以下级别之一:LOGGER_SEVERITY_DEFAULTLOGGER_SEVERITY_DEBUGLOGGER_SEVERITY_DETAILED_DEBUG

修复

要启用源数据库 DMS 复制任务的日志记录,请参阅《Amazon Database Migration Service 用户指南》中的查看和管理 Amazon DMS 任务日志

[DMS.9] DMS 端点应使用 SSL

相关要求:NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)。

类别:保护 > 加密 data-in-transit

严重性:

资源类型:AWS::DMS::Endpoint

Amazon Config 规则:dms-endpoint-ssl-configured

计划类型:已触发变更

参数:

此控件检查 Amazon DMS 端点是否使用 SSL 连接。如果端点不使用 SSL,则控制失败。

SSL/TLS 连接通过加密 DMS 复制实例与数据库之间的连接来提供一层安全性。使用证书通过验证是否与预期数据库建立连接来提供额外的安全保护。它通过检查自动安装在您预置的所有数据库实例上的服务器证书来实现这一点。通过在 DMS 端点上启用 SSL 连接,您可以在迁移过程中保护数据的机密性。

修复

要向新的或现有的 DMS 端点添加 SSL 连接,请参阅 Amazon Database Migration Service 用户指南中的将 SSL 与 Amazon Database Migration Service配合使用