本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
修复 DynamoDB 表的暴露
AmazonSecurity Hub 可以为 DynamoDB 表生成暴露结果。
在 Security Hub 控制台上,暴露调查发现中涉及的 DynamoDB 表及其识别信息列在调查发现详细信息的资源部分中。通过编程方式,您可以通过 Security Hub CSP GetFindingsV2M API 的操作来检索资源详细信息。
在确定暴露调查发现中涉及的资源后,如果不需要该资源,您可以将其删除。删除不必要的资源可以减少您的曝光概况和Amazon成本。如果资源至关重要,请按照这些建议的修复步骤进行操作以帮助降低风险。修复主题根据特征的类型进行划分。
单个暴露调查发现包含在多个修复主题中发现的问题。相反,您只需解决一个修复主题即可解决暴露调查发现并降低其严重性级别。您的风险修复方法取决于您的组织要求和工作负载。
注意
本主题中提供的补救指南可能需要在其他Amazon资源中进行进一步的咨询。
DynamoDB 中的错误配置特征
下面介绍了 DynamoDB 表的错误配置特征和修复步骤。
DynamoDB 表已禁用恢复 point-in-time
启用 DynamoDB 恢复 point-in-time
Dynam point-in-time oDB 恢复为您的 DynamoDB 表数据提供持续的自动备份。有关如何将 DynamoDB 表还原到特定时间点的信息,请参阅《Amazon DynamoDB 开发人员指南》中的将 DynamoDB 表还原到某个时间点。
DynamoDB 表不在备份计划的覆盖范围内
AmazonBackup 提供了一种集中式服务,用于配置、管理和自动执行跨Amazon服务(包括 DynamoDB)的备份。如果没有备份计划,您的表就会缺少具有可自定义保留期的定时自动备份,从而造成严重的安全风险。攻击者可能会恶意破坏或删除您的表格数据。如果没有适当的备份,则可能在 “恢复” 窗口以外没有 Point-in-Time恢复选项(如果启用),这可能会导致数据永久丢失。根据数据保护最佳实践,我们建议您通过备份计划涵盖 DynamoDB。
创建备份计划
在创建备份计划之前,请为您的数据确定合适的备份频率和保留期。有关如何创建备份计划的信息,请参阅《Amazon DynamoDB 用户指南》中的将资源分配给备份计划。
DynamoDB 表已禁用删除保护
删除保护可防止意外删除 DynamoDB 表。在禁用删除保护后,DynamoDB 表很容易通过控制台操作、API 调用、CLI 命令或自动流程被意外删除。这可能会使您的Amazon环境面临数据丢失风险,因为有权访问您的Amazon环境的未经授权的实体可能会故意删除表,从而导致服务中断和永久丢失数据。根据数据保护最佳实践,我们建议为 DynamoDB 表启用数据保护。
启用删除保护
如果您管理多个表,请考虑Amazon CloudFormation使用批量更新表属性。您可以修改Amazon CloudFormation模板以包含DeletionProtectionEnabled属性并更新堆栈。完成修复后,请在表设置选项卡的其他信息下拉列表中验证是否已启用删除保护。