本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 Neptune 的 Security Hub 控件
这些 Amazon Security Hub 控制措施用于评估 Amazon Neptune 服务和资源。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[Neptune.1] 应对 Neptune 数据库集群进行静态加密
相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、NIST .800-53.r5 SI-7 (6)
类别:保护 > 数据保护 > 加密 data-at-rest
严重性:中
资源类型:AWS::RDS::DBCluster
Amazon Config 规则:neptune-cluster-encrypted
计划类型:已触发变更
参数:无
此控件检查 Neptune 数据库集群是否进行静态加密。如果 Neptune 数据库集群未在静态状态下加密,则控制失败。
静态数据指的是存储在持久、非易失性存储介质中的任何数据,无论存储时长如何。加密可帮助您保护此类数据的机密性,降低未经授权的用户访问这些数据的风险。加密您的 Neptune 数据库集群可保护数据和元数据免遭未经授权的访问。它还满足了生产文件系统 data-at-rest加密的合规性要求。
修复
您可以在创建 Neptune 数据库集群时启用静态加密。创建集群后,您将无法变更加密设置。有关更多信息,请参阅 Neptune 用户指南中的加密 Neptune 静态资源。
[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch
相关要求: NIST.800-53.r5 AC-2(4)、(26)、(9)、、 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9)、NIST .800-53.r5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、.800-53.r5 SI-4 (20)、NIST .800-53.r5 SI-4 (5)、.8 NIST 00-53.r5 SI-7 (8)、v4.0.1/10.3.3 NIST NIST PCI DSS
类别:识别 > 日志记录
严重性:中
资源类型:AWS::RDS::DBCluster
Amazon Config 规则:neptune-cluster-cloudwatch-log-export-enabled
计划类型:已触发变更
参数:无
此控件检查 Neptune 数据库集群是否将审核日志发布到 Ama CloudWatch zon 日志。如果 Neptune 数据库集群不向 CloudWatch 日志发布审核日志,则控制失败。 EnableCloudWatchLogsExport
应设置为Audit
。
Amazon Neptune 和亚马逊 CloudWatch 集成在一起,因此您可以收集和分析绩效指标。Neptune 会自动向警报发送指标 CloudWatch ,还支持 CloudWatch 警报。审核日志是高度可定制的。审计数据库时,可以监视对数据的每个操作并将其记录到审计跟踪记录中,包括有关访问哪个数据库集群以及如何访问的信息。我们建议将这些日志发送到, CloudWatch 以帮助您监控 Neptune 数据库集群。
修复
要将 Neptune 审核日志发布到日 CloudWatch 志,请参阅《Neptune 用户指南》 CloudWatch 中的 “将 Neptune 日志发布到亚马逊日志”。在日志导出部分中,选择审计。
[Neptune.3] Neptune 数据库集群快照不应公开
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7、(16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、PCI DSS v4.0.1/1.4.4
类别:保护 > 安全网络配置 > 不公开访问的资源
严重性:严重
资源类型:AWS::RDS::DBClusterSnapshot
Amazon Config 规则:neptune-cluster-snapshot-public-prohibited
计划类型:已触发变更
参数:无
此控件检查 Neptune 手动数据库集群快照是否公开。如果 Neptune 手动数据库集群快照是公开的,则控制失败。
除非有意图,否则 Neptune 数据库集群手动快照不应公开。如果您将未加密的手动快照公开共享,则该快照可供所有 Amazon Web Services 账户使用。公开快照可能会导致意外的数据泄露。
修复
要移除 Neptune 手动数据库集群快照的公共访问权限,请参阅 Neptune 用户指南中的共享数据库集群快照。
[Neptune.4] Neptune 数据库集群应启用删除保护
相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
类别:保护 > 数据保护 > 数据删除保护
严重性:低
资源类型:AWS::RDS::DBCluster
Amazon Config 规则:neptune-cluster-deletion-protection-enabled
计划类型:已触发变更
参数:无
此控件检查 Neptune 数据库集群是否启用了删除保护。如果 Neptune 数据库集群未启用删除保护,则控制失败。
启用集群删除保护可提供额外保护,防止数据库意外删除或未经授权的用户删除。启用删除保护时,无法删除 Neptune 数据库集群。您必须先禁用删除保护,删除请求才能成功。
修复
要为现有 Neptune 数据库集群启用删除保护,请参阅 Amazon Aurora 用户指南CLIAPI中的使用控制台修改数据库集群。
[Neptune.5] Neptune 数据库集群应启用自动备份
相关要求:NIST.800-53.r5 SI-12
类别:恢复 > 弹性 > 启用备份
严重性:中
资源类型:AWS::RDS::DBCluster
Amazon Config 规则:neptune-cluster-backup-retention-check
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
|
最小备份保留期(以天为单位) |
整数 |
|
|
此控件检查 Neptune 数据库集群是否启用了自动备份,以及备份保留期是否大于或等于指定时间范围。如果没有为 Neptune 数据库集群启用备份,或者保留期小于指定时间范围,则控制失败。除非您为备份保留期提供自定义参数值,否则 Security Hub 将使用默认值即 7 天。
备份可帮助您更快地从安全事件中恢复并增强系统的故障恢复能力。通过自动备份 Neptune 数据库集群,您将能够将系统恢复到某个时间点,并最大限度地减少停机时间和数据丢失。
修复
要启用自动备份并为 Neptune 数据库集群设置备份保留期,请参阅 A mazon RDS 用户指南中的启用自动备份。对于备份保留期,请选择大于或等于 7 的值。
[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密
相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、 NIST.800-53.r5 SC-7 (18)
类别:保护 > 数据保护 > 加密 data-at-rest
严重性:中
资源类型:AWS::RDS::DBClusterSnapshot
Amazon Config 规则:neptune-cluster-snapshot-encrypted
计划类型:已触发变更
参数:无
此控件检查 Neptune 数据库集群快照是否处于静态加密状态。如果 Neptune 数据库集群未在静态状态下加密,则控制失败。
静态数据指的是存储在持久、非易失性存储介质中的任何数据,无论存储时长如何。加密可帮助您保护此类数据的机密性,降低未经授权的用户访问这些数据的风险。为了增加安全性,Neptune 数据库集群快照中的数据应进行静态加密。
修复
您无法加密现有的 Neptune 数据库集群快照。相反,您必须将快照还原到新的数据库集群并在集群上启用加密。您可以从加密集群创建加密快照。有关说明,请参阅 Neptune 用户指南中的从数据库集群快照恢复和在 Neptune 中创建数据库集群快照。
[Neptune.7] Neptune 数据库集群应启用数据库身份验证 IAM
相关要求: NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-6
类别:保护 > 安全访问管理 > 无密码身份验证
严重性:中
资源类型:AWS::RDS::DBCluster
Amazon Config 规则:neptune-cluster-iam-database-authentication
计划类型:已触发变更
参数:无
此控件检查 Neptune 数据库集群是否启用了IAM数据库身份验证。如果未为 Neptune IAM 数据库集群启用数据库身份验证,则控制失败。
IAMAmazon Neptune 数据库集群的数据库身份验证无需在数据库配置中存储用户证书,因为身份验证是使用外部管理的。IAM启用IAM数据库身份验证后,每个请求都需要使用签 Amazon 名版本 4 进行签名。
修复
默认情况下,创建 Neptune IAM 数据库集群时数据库身份验证处于禁用状态。要启用它,请参阅《Neptune 用户指南》中的 “在 Neptune 中启用IAM数据库身份验证”。
[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照
相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2、.800-53.r5 CM-2 (2) NIST
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::RDS::DBCluster
Amazon Config 规则:neptune-cluster-copy-tags-to-snapshot-enabled
计划类型:已触发变更
参数:无
此控制会检查 Neptune 数据库集群是否配置为在创建快照时将所有标签复制到快照。如果 Neptune 数据库集群未配置为将标签复制到快照,则控制失败。
IT 资产的识别和清点是治理和安全的一个重要方面。您应使用与其父 Amazon RDS 数据库集群相同的方式为快照添加标签。复制标签可确保数据库快照的元数据与父数据库集群的元数据匹配,并且数据库快照的访问策略也与父数据库实例的访问策略匹配。
修复
要将标签复制到 Neptune 数据库集群的快照,请参阅 Neptune 用户指南中的在 Neptune 中复制标签。
[Neptune.9] Neptune 数据库集群应跨多个可用区部署
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、NIST .800-53.r5 SI-13 (5)
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::RDS::DBCluster
Amazon Config 规则:neptune-cluster-multi-az-enabled
计划类型:已触发变更
参数:无
此控件会检查 Amazon Neptune 数据库集群在多个可用区中是否有只读副本实例()。AZs如果集群仅部署在一个可用区中,则控制失败。
如果可用区不可用且处于定期维护事件期间,只读副本将用作主实例的失效转移目标。也就是说,如果主实例失败,Neptune 将只读副本实例提升为主实例。相比之下,如果您的数据库集群不包含任何只读副本实例,则当主实例出现故障时,您的数据库集群将保持不可用状态,直到重新创建该实例。与提升只读副本相比,重新创建主实例所需的时间要长得多。为确保高可用性,我们建议您创建一个或多个只读副本实例,这些实例的数据库实例类别与主实例相同,并且位于不同的AZs主实例中。
修复
要在多个中部署 Neptune 数据库集群AZs,请参阅《Neptune 用户指南》中的 Neptune 数据库集群中的只读副本数据库实例。