Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para Amazon RDS

Estos AWS Security Hub los controles evalúan el servicio y los recursos del Amazon Relational Database Service (RDSAmazon).

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.

[RDS.1] La RDS instantánea debe ser privada

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16), (16) NIST.800-53.r5 AC-3, (20), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoría: Proteger - Configuración de red segura

Gravedad: crítica

Tipo de recurso: AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot

AWS Config regla: rds-snapshots-public-prohibited

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si las RDS instantáneas de Amazon son públicas. El control falla si las RDS instantáneas son públicas. Este control evalúa las RDS instancias, las instancias de base de datos Aurora, las instancias de base de datos Neptune y los clústeres de Amazon DocumentDB.

RDSLas instantáneas se utilizan para hacer copias de seguridad de los datos de RDS las instancias en un momento específico. Se pueden usar para restaurar estados anteriores de las RDS instancias.

Una RDS instantánea no debe ser pública a menos que esté prevista. Si comparte una instantánea manual no cifrada como pública, la instantánea estará disponible para todos Cuentas de AWS. Esto puede provocar una exposición no intencionada de los datos de la RDS instancia.

Tenga en cuenta que si se cambia la configuración para permitir el acceso público, AWS Config Es posible que la regla no pueda detectar el cambio hasta dentro de 12 horas. Hasta el AWS Config la regla detecta el cambio, la comprobación se aprueba aunque la configuración infrinja la regla.

Para obtener más información sobre cómo compartir una instantánea de base de datos, consulte Compartir una instantánea de base de datos en la Guía del RDS usuario de Amazon.

Corrección

Para eliminar el acceso público de RDS las instantáneas, consulta Compartir una instantánea en la Guía del RDS usuario de Amazon. En Visibilidad de las instantáneas de base de datos, elija Privada.

[RDS.2] Las RDS instancias de base de datos deben prohibir el acceso público, según lo determine la PubliclyAccessible AWS Config Duración

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.3.3, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, v3.2.1/1.3.6, v3.2.1/7.2.1, (21), (21), (11), (16), (21), PCI DSS (4), (5) PCI DSS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoría: Proteger - Configuración de red segura

Gravedad: crítica

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: rds-instance-public-access-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si RDS las instancias de Amazon son de acceso público evaluando el PubliclyAccessible campo del elemento de configuración de la instancia.

Las instancias de base de datos de Neptune y los clústeres de Amazon DocumentDB no tienen el indicador de PubliclyAccessible y no se pueden evaluar. Sin embargo, este control aún puede generar resultados para estos recursos. Puede suprimir estos resultados.

El PubliclyAccessible valor de la configuración de la RDS instancia indica si la instancia de base de datos es de acceso público. Cuando la instancia de base de datos se configura conPubliclyAccessible, es una instancia con acceso a Internet con un DNS nombre que se puede resolver públicamente y que se resuelve en una dirección IP pública. Cuando la instancia de base de datos no es de acceso público, es una instancia interna con un DNS nombre que se resuelve en una dirección IP privada.

A menos que pretenda que su RDS instancia sea de acceso público, la RDS instancia no debe configurarse con PubliclyAccessible value. Si lo hace, podría generar tráfico innecesario a su instancia de base de datos.

Corrección

Para eliminar el acceso público de las RDS instancias de base de datos, consulte Modificación de una RDS instancia de base de datos de Amazon en la Guía del RDS usuario de Amazon. En Acceso público, elija No.

[RDS.3] Las RDS instancias de base de datos deben tener activado el cifrado en reposo

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 .800-53.r5 SI-7 (6) NIST.800-53.r5 SC-7 NIST

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: rds-storage-encrypted

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el cifrado de almacenamiento está habilitado para sus instancias de Amazon RDS DB.

Este control está destinado a las RDS instancias de bases de datos. Sin embargo, también puede generar resultados para instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.

Para añadir un nivel de seguridad adicional a sus datos confidenciales en las RDS instancias de base de datos, debe configurar las RDS instancias de base de datos para que estén cifradas en reposo. Para cifrar las RDS instancias de base de datos y las instantáneas en reposo, habilite la opción de cifrado para las instancias de RDS base de datos. Los datos cifrados en reposo incluyen el almacenamiento subyacente de una instancia de base de datos, sus copias de seguridad automatizadas, sus réplicas de lectura y sus instantáneas.

RDSlas instancias de base de datos cifradas utilizan el algoritmo de cifrado estándar abierto AES -256 para cifrar los datos en el servidor que aloja las instancias de base de datos. RDS Una vez cifrados los datos, Amazon RDS gestiona la autenticación del acceso y el descifrado de los datos de forma transparente con un impacto mínimo en el rendimiento. No es necesario modificar las aplicaciones cliente de base de datos para utilizar el cifrado.

El RDS cifrado de Amazon está disponible actualmente para todos los motores de bases de datos y tipos de almacenamiento. El RDS cifrado de Amazon está disponible para la mayoría de las clases de instancias de base de datos. Para obtener información sobre las clases de instancias de base de datos que no admiten el RDS cifrado de Amazon, consulte Cifrar RDS los recursos de Amazon en la Guía del RDS usuario de Amazon.

Corrección

Para obtener información sobre el cifrado de instancias de base de datos en AmazonRDS, consulte Cifrado de RDS recursos de Amazon en la Guía RDSdel usuario de Amazon.

[RDS.4] Las instantáneas de RDS clústeres y las instantáneas de bases de datos deben cifrarse en reposo

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot

AWS Config regla: rds-snapshot-encrypted

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una instantánea de RDS base de datos está cifrada. El control falla si una instantánea de RDS base de datos no está cifrada.

Este control está diseñado para instancias de RDS base de datos. Sin embargo, también puede generar resultados para instantáneas de instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. Los datos de RDS las instantáneas deben cifrarse en reposo para ofrecer un nivel de seguridad adicional.

Corrección

Para cifrar una RDS instantánea, consulta Cómo cifrar los RDS recursos de Amazon en la Guía del RDSusuario de Amazon. Al cifrar una RDS instancia de base de datos, los datos cifrados incluyen el almacenamiento subyacente de la instancia, sus copias de seguridad automatizadas, réplicas de lectura e instantáneas.

Solo puede cifrar una RDS instancia de base de datos al crearla, no después de crearla. Sin embargo, debido a que se puede cifrar una copia de una instantánea de base de datos sin cifrar, en la práctica es posible agregar el cifrado a una instancia de base de datos sin cifrar. Es decir, puede crear una instantánea de una instancia de base de datos y, a continuación, crear una copia cifrada de esa instantánea. A continuación, se puede restaurar una instancia de base de datos a partir de la instantánea cifrada y de este modo, se tiene una copia cifrada de la instancia de base de datos original.

[RDS.5] Las RDS instancias de base de datos deben configurarse con varias zonas de disponibilidad

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: rds-multi-az-support

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la alta disponibilidad está habilitada para sus RDS instancias de base de datos.

RDSLas instancias de base de datos deben configurarse para varias zonas de disponibilidad (AZs). Esto garantiza la disponibilidad de los datos almacenados. Las implementaciones en zonas de disponibilidad múltiples permiten la conmutación por error automática si hay algún problema con la disponibilidad de las zonas de disponibilidad y durante el mantenimiento regular. RDS

Corrección

Para implementar sus instancias de base de datos en varias instanciasAZs, modifique una instancia de base de datos para que sea una implementación de instancia de base de datos Multi-AZ en la Guía del RDS usuario de Amazon.

[RDS.6] Se debe configurar una supervisión mejorada para RDS las instancias de base de datos

Requisitos relacionados: NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-2

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: rds-enhanced-monitoring-enabled

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si la supervisión mejorada está habilitada para una instancia de base de datos de Amazon Relational Database Service (RDSAmazon). Se produce un error en el control si la supervisión mejorada no está habilitada para la instancia. Si proporciona un valor personalizado para el parámetro monitoringInterval, el control pasa si se recopilan métricas de supervisión mejoradas para la instancia en el intervalo especificado.

En AmazonRDS, la monitorización mejorada permite una respuesta más rápida a los cambios de rendimiento en la infraestructura subyacente. Estos cambios en el rendimiento podrían provocar una falta de disponibilidad de los datos. La supervisión mejorada proporciona métricas en tiempo real del sistema operativo en el que se ejecuta la RDS instancia de base de datos. El agente está instalado en la instancia. El agente puede obtener métricas con mayor precisión de lo que es posible desde la capa del hipervisor.

Las métricas de supervisión mejorada son útiles cuando desea ver cómo las utilizan los diferentes procesos o subprocesos de una instancia de base de datosCPU. Para obtener más información, consulta Enhanced Monitoring en la Guía del RDS usuario de Amazon.

Corrección

Para obtener instrucciones detalladas sobre cómo habilitar la supervisión mejorada para su instancia de base de datos, consulte Configuración y activación de la supervisión mejorada en la Guía del RDS usuario de Amazon.

[RDS.7] RDS los clústeres deben tener habilitada la protección contra la eliminación

Requisitos relacionados: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos

Gravedad: baja

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: rds-cluster-deletion-protection-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un RDS clúster de base de datos tiene habilitada la protección contra la eliminación. El control falla si un RDS clúster de base de datos no tiene habilitada la protección contra la eliminación.

Este control está diseñado para instancias de RDS base de datos. Sin embargo, también puede generar resultados para instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.

Habilitar la protección contra la eliminación de clústeres es un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada.

Cuando la protección contra la eliminación está habilitada, no se puede eliminar un RDS clúster. Para que una solicitud de eliminación se pueda realizar correctamente, la protección contra la eliminación debe estar deshabilitada.

Corrección

Para habilitar la protección contra la eliminación de un RDS clúster de base de datos, consulte Modificación del clúster de base de datos mediante la consola y API en la Guía del RDS usuario de Amazon. CLI En Protección contra eliminación, elija Habilitar la protección contra eliminación.

[RDS.8] Las RDS instancias de base de datos deben tener habilitada la protección contra la eliminación

Requisitos relacionados: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos

Gravedad: baja

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: rds-instance-deletion-protection-enabled

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si las RDS instancias de base de datos que utilizan uno de los motores de bases de datos de la lista tienen habilitada la protección contra la eliminación. El control falla si una RDS instancia de base de datos no tiene habilitada la protección contra la eliminación.

La activación de la protección contra la eliminación de instancias es un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada.

Mientras la protección contra la eliminación está habilitada, no se puede eliminar una RDS instancia de base de datos. Para que una solicitud de eliminación se pueda realizar correctamente, la protección contra la eliminación debe estar deshabilitada.

Corrección

Para habilitar la protección contra la eliminación de una RDS instancia de base de datos, consulte Modificación de una RDS instancia de base de datos de Amazon en la Guía del RDS usuario de Amazon. En Protección contra eliminación, elija Habilitar la protección contra eliminación.

[RDS.9] Las RDS instancias de base de datos deben publicar los registros en Logs CloudWatch

Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (10), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: rds-logging-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una RDS instancia de base de datos de Amazon está configurada para publicar los siguientes registros en Amazon CloudWatch Logs. El control falla si la instancia no está configurada para publicar los siguientes registros en CloudWatch Logs:

RDSlas bases de datos deben tener habilitados los registros relevantes. El registro de la base de datos proporciona registros detallados de las solicitudes realizadas aRDS. Los registros de las bases de datos pueden ayudar con las auditorías de seguridad y acceso y pueden ayudar a diagnosticar problemas de disponibilidad.

Corrección

Para publicar registros RDS de bases de datos en CloudWatch Logs, consulta Especificar los registros que se van a publicar en CloudWatch Logs en la Guía del RDS usuario de Amazon.

La IAM autenticación [RDS.10] debe configurarse para las instancias RDS

Requisitos relacionados: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

Categoría: Proteger > Gestión del acceso seguro > Autenticación sin contraseña

Gravedad: media

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: rds-instance-iam-authentication-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una RDS instancia de base de datos tiene habilitada la autenticación IAM de bases de datos. El control falla si la IAM autenticación no está configurada para las RDS instancias de base de datos. Este control solo evalúa las RDS instancias con los siguientes tipos de motor: mysqlpostgres,aurora, aurora-mysqlaurora-postgresql, ymariadb. Una RDS instancia también debe estar en uno de los siguientes estados para que se genere un hallazgo:available, backing-upstorage-optimization, ostorage-full.

IAMla autenticación de bases de datos permite autenticar instancias de bases de datos con un token de autenticación en lugar de una contraseña. El tráfico de red hacia y desde la base de datos se cifra medianteSSL. Para obtener más información, consulte la autenticación IAM de bases de datos en la Guía del usuario de Amazon Aurora.

Corrección

Para activar la autenticación IAM de base de datos en una RDS instancia de base de datos, consulte Habilitar y deshabilitar la autenticación IAM de bases de datos en la Guía del RDS usuario de Amazon.

[RDS.11] las RDS instancias deben tener habilitadas las copias de seguridad automáticas

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Categoría: Recuperación > Resiliencia > Respaldos habilitados

Gravedad: media

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: db-instance-backup-enabled

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si la instancia de Amazon Relational Database Service tiene habilitadas las copias de seguridad automáticas y si el periodo de retención de las copias de seguridad es superior o igual al periodo especificado. Las réplicas de lectura se excluyen de la evaluación. Se produce un error en el control si las copias de seguridad no están habilitadas para la instancia o si el periodo de retención es inferior al periodo especificado. A menos que se proporcione un valor personalizado de parámetro para el periodo de retención de copia de seguridad, Security Hub utiliza un valor predeterminado de 7 días.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad y refuerzan la resiliencia de sus sistemas. Amazon RDS le permite configurar instantáneas diarias de volúmenes de instancias completas. Para obtener más información sobre las copias de seguridad RDS automatizadas de Amazon, consulte Trabajar con copias de seguridad en la Guía del RDS usuario de Amazon.

Corrección

Para habilitar las copias de seguridad automatizadas en una RDS instancia de base de datos, consulte Habilitar las copias de seguridad automatizadas en la Guía del RDS usuario de Amazon.

La IAM autenticación [RDS.12] debe configurarse para RDS los clústeres

Requisitos relacionados: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

Categoría: Proteger > Gestión del acceso seguro > Autenticación sin contraseña

Gravedad: media

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: rds-cluster-iam-authentication-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un clúster de Amazon RDS DB tiene habilitada la autenticación IAM de bases de datos.

IAMla autenticación de bases de datos permite autenticar las instancias de bases de datos sin contraseña. La autenticación usa un token de autenticación. El tráfico de red hacia y desde la base de datos se cifra mediante. SSL Para obtener más información, consulte la autenticación IAM de bases de datos en la Guía del usuario de Amazon Aurora.

Corrección

Para habilitar la IAM autenticación de un clúster de base de datos, consulte Habilitar y deshabilitar la autenticación de IAM bases de datos en la Guía del usuario de Amazon Aurora.

[RDS.13] Las actualizaciones RDS automáticas de las versiones secundarias deben estar habilitadas

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.3.2, NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST NIST

Categoría: Identificar > Administración de vulnerabilidades, parches y versiones

Gravedad: alta

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: rds-automatic-minor-version-upgrade-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si las actualizaciones automáticas de las versiones secundarias están habilitadas para la instancia RDS de base de datos.

Al habilitar las actualizaciones automáticas de las versiones secundarias, se garantiza que se instalen las últimas actualizaciones de las versiones secundarias del sistema de administración de bases de datos relacionales (RDBMS). Estas actualizaciones pueden incluir parches de seguridad y correcciones de errores. Mantenerse al día con la instalación de los parches es un paso importante para proteger los sistemas.

Corrección

Para habilitar las actualizaciones automáticas de versiones secundarias para una instancia de base de datos existente, consulte Modificación de una RDS instancia de base de datos de Amazon en la Guía del RDS usuario de Amazon. Para la actualización automática de una versión secundaria, seleccione Sí.

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso

Requisitos relacionados: NIST .800-53.r5 CP-10, .800-53.r5 CP-6, .800-53.r5 CP-6 (1), NIST .800-53.r5 CP-6 (2), .800-53.r5 CP-9, NIST .800-53.r5 SI-13 (5) NIST NIST NIST

Categoría: Recuperación > Resiliencia > Respaldos habilitados

Gravedad: media

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: aurora-mysql-backtracking-enabled

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si un clúster de Amazon Aurora tiene habilitada la característica de búsqueda de datos anteriores. Se produce un error en el control si el clúster no tiene habilitada la búsqueda de datos anteriores. Si proporciona un valor personalizado para el parámetro BacktrackWindowInHours, el control solo pasa si la búsqueda de datos anteriores en el clúster se hace durante el periodo especificado.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La búsqueda de datos anteriores de Aurora reduce el tiempo de recuperación de una base de datos en un punto en el tiempo. Para ello, no es necesario restaurar la base de datos.

Corrección

Para habilitar la búsqueda de datos anteriores de Aurora, consulte Configuración de la búsqueda de datos anteriores en la Guía del usuario de Amazon Aurora.

Tenga en cuenta que no puede habilitar la búsqueda de datos anteriores en un clúster existente. En su lugar, puede crear un clon que tenga habilitado la búsqueda de datos anteriores. Para obtener más información sobre las limitaciones del búsqueda de datos anteriores de Aurora, consulte la lista de limitaciones en Descripción general de búsqueda de datos anteriores.

[RDS.15] Los clústeres de RDS bases de datos deben configurarse para varias zonas de disponibilidad

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: rds-cluster-multi-az-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la alta disponibilidad está habilitada para sus clústeres de RDS base de datos. El control falla si un RDS clúster de base de datos no está implementado en varias zonas de disponibilidad (AZs).

RDSLos clústeres de bases de datos deben configurarse para varios AZs a fin de garantizar la disponibilidad de los datos almacenados. La implementación en varias zonas AZs permite la conmutación por error automática en caso de que se produzca un problema de disponibilidad en las zonas de disponibilidad y durante los períodos de RDS mantenimiento habituales.

Corrección

Para implementar sus clústeres de base de datos en variosAZs, modifique una instancia de base de datos para que sea un despliegue de instancias de base de datos Multi-AZ en la Guía del RDS usuario de Amazon.

Los pasos de solución son diferentes para las bases de datos globales de Aurora. Para configurar varias zonas de disponibilidad para una base de datos global de Aurora, seleccione su clúster de base de datos. A continuación, elija Acciones y Añadir lector, y especifique variosAZs. Para obtener más información, consulte Agregar réplicas Aurora a un clúster de base de datos en la Guía del usuario de Amazon Aurora.

[RDS.16] Los clústeres RDS de bases de datos deben configurarse para copiar etiquetas en las instantáneas

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoría: Identificar - Inventario

Gravedad: baja

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: rds-cluster-copy-tags-to-snapshots-enabled (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los RDS clústeres de bases de datos están configurados para copiar todas las etiquetas a las instantáneas cuando se crean las instantáneas.

La identificación y el inventario de sus activos de TI es un aspecto fundamental de seguridad y control. Debe tener visibilidad de todos sus clústeres de RDS bases de datos para poder evaluar su nivel de seguridad y tomar medidas en caso de posibles puntos débiles. Las instantáneas deben etiquetarse de la misma manera que sus clústeres de RDS bases de datos principales. Al habilitar esta configuración, se garantiza que las instantáneas hereden las etiquetas de sus clústeres de bases de datos principales.

Corrección

Para copiar automáticamente las etiquetas en las instantáneas de un RDS clúster de base de datos, consulte Modificación del clúster de base de datos mediante la consola y API en la Guía del usuario de Amazon Aurora. CLI Seleccione Copiar etiquetas en instantáneas

[RDS.17] Las RDS instancias de base de datos deben configurarse para copiar etiquetas en las instantáneas

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoría: Identificar - Inventario

Gravedad: baja

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: rds-instance-copy-tags-to-snapshots-enabled (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si las RDS instancias de base de datos están configuradas para copiar todas las etiquetas a las instantáneas cuando se crean las instantáneas.

La identificación y el inventario de sus activos de TI es un aspecto fundamental de seguridad y control. Debe tener visibilidad de todas sus RDS instancias de base de datos para poder evaluar su nivel de seguridad y tomar medidas en caso de posibles puntos débiles. Las instantáneas deben etiquetarse de la misma manera que sus instancias de RDS base de datos principales. Al habilitar esta configuración, se garantiza que las instantáneas hereden las etiquetas de sus instancias de base de datos principales.

Corrección

Para copiar automáticamente las etiquetas en las instantáneas de una RDS instancia de base de datos, consulte Modificación de una instancia de RDS base de datos de Amazon en la Guía del RDS usuario de Amazon. Seleccione Copiar etiquetas en instantáneas

[RDS.18] RDS las instancias se deben implementar en un VPC

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Categoría: Proteger > Configuración de red segura > Recursos disponibles VPC

Gravedad: alta

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: rds-deployed-in-vpc (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una RDS instancia de Amazon está desplegada en un archivo EC2 -VPC.

VPCsproporcionan una serie de controles de red para proteger el acceso a RDS los recursos. Estos controles incluyen VPC puntos finalesACLs, redes y grupos de seguridad. Para aprovechar estos controles, le recomendamos que cree sus RDS instancias en un formato EC2 -VPC.

Corrección

Para obtener instrucciones sobre cómo mover RDS instancias a unaVPC, consulte Actualización de una instancia VPC de base de datos en la Guía del RDS usuario de Amazon.

[RDS.19] Las suscripciones de notificación de RDS eventos existentes deben configurarse para los eventos críticos del clúster

Requisitos relacionados: NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-2

Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones

Gravedad: baja

Tipo de recurso: AWS::RDS::EventSubscription

AWS Config regla: rds-cluster-event-notifications-configured (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una suscripción a RDS eventos de Amazon existente para clústeres de bases de datos tiene habilitadas las notificaciones para los siguientes pares clave-valor de tipo de fuente y categoría de evento:

DBCluster: ["maintenance","failure"]

El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.

RDSLas notificaciones de eventos utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus RDS recursos. Estas notificaciones permiten una respuesta rápida. Para obtener información adicional sobre las notificaciones de RDS eventos, consulta Uso de las notificaciones de RDS eventos de Amazon en la Guía del RDS usuario de Amazon.

Corrección

Para suscribirte a las notificaciones de eventos de RDS clúster, consulta Suscribirse a las notificaciones de RDS eventos de Amazon en la Guía del RDS usuario de Amazon. Use los siguientes valores:

[RDS.20] Las suscripciones de notificaciones de RDS eventos existentes deben configurarse para eventos críticos de instancias de bases de datos

Requisitos relacionados: NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-2

Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones

Gravedad: baja

Tipo de recurso: AWS::RDS::EventSubscription

AWS Config regla: rds-instance-event-notifications-configured (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una suscripción de RDS eventos de Amazon existente para instancias de bases de datos tiene habilitadas las notificaciones para los siguientes pares clave-valor de tipo de fuente y categoría de evento:

DBInstance: ["maintenance","configuration change","failure"]

El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.

RDSlas notificaciones de eventos utilizan Amazon SNS para informarte de los cambios en la disponibilidad o la configuración de tus RDS recursos. Estas notificaciones permiten una respuesta rápida. Para obtener información adicional sobre las notificaciones de RDS eventos, consulta Uso de las notificaciones de RDS eventos de Amazon en la Guía del RDS usuario de Amazon.

Corrección

Para suscribirte a las notificaciones de eventos de RDS instancias, consulta Suscribirse a las notificaciones de RDS eventos de Amazon en la Guía del RDS usuario de Amazon. Use los siguientes valores:

[RDS.21] Se debe configurar una suscripción a las notificaciones de RDS eventos para los eventos críticos de los grupos de parámetros de bases de datos

Requisitos relacionados: NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-2

Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones

Gravedad: baja

Tipo de recurso: AWS::RDS::EventSubscription

AWS Config regla: rds-pg-event-notifications-configured (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si existe una suscripción a un RDS evento de Amazon con las notificaciones habilitadas para los siguientes pares clave-valor de tipo de fuente y categoría de evento. El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.

DBParameterGroup: ["configuration change"]

RDSlas notificaciones de eventos utilizan Amazon SNS para informarte de los cambios en la disponibilidad o la configuración de tus RDS recursos. Estas notificaciones permiten una respuesta rápida. Para obtener información adicional sobre las notificaciones de RDS eventos, consulta Uso de las notificaciones de RDS eventos de Amazon en la Guía del RDS usuario de Amazon.

Corrección

Para suscribirse a las notificaciones de eventos de los grupos de parámetros de la RDS base de datos, consulte Suscribirse a las notificaciones de RDS eventos de Amazon en la Guía del RDS usuario de Amazon. Use los siguientes valores:

[RDS.22] Se debe configurar una suscripción de notificaciones de RDS eventos para los eventos críticos de los grupos de seguridad de bases de datos

Requisitos relacionados: NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-2

Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones

Gravedad: baja

Tipo de recurso: AWS::RDS::EventSubscription

AWS Config regla: rds-sg-event-notifications-configured (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si existe una suscripción a un RDS evento de Amazon con las notificaciones habilitadas para los siguientes pares clave-valor de tipo de fuente y categoría de evento. El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.

DBSecurityGroup: ["configuration change","failure"]

RDSlas notificaciones de eventos utilizan Amazon SNS para informarte de los cambios en la disponibilidad o la configuración de tus RDS recursos. Estas notificaciones permiten una respuesta rápida. Para obtener información adicional sobre las notificaciones de RDS eventos, consulta Uso de las notificaciones de RDS eventos de Amazon en la Guía del RDS usuario de Amazon.

Corrección

Para suscribirte a las notificaciones de eventos de RDS instancias, consulta Suscribirse a las notificaciones de RDS eventos de Amazon en la Guía del RDS usuario de Amazon. Use los siguientes valores:

[RDS.23] RDS las instancias no deberían usar el puerto predeterminado de un motor de base de datos

Requisitos relacionados: NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Categoría: Proteger - Configuración de red segura

Gravedad: baja

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: rds-no-default-ports (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un RDS clúster o una instancia utilizan un puerto distinto del puerto predeterminado del motor de base de datos. El control falla si el RDS clúster o la instancia utilizan el puerto predeterminado.

Si utilizas un puerto conocido para implementar un RDS clúster o una instancia, un atacante puede adivinar la información sobre el clúster o la instancia. El atacante puede usar esta información junto con otra información para conectarse a un RDS clúster o instancia u obtener información adicional sobre la aplicación.

Al cambiar el puerto, también debe actualizar las cadenas de conexión existentes que se utilizaron para conectarse al puerto anterior. También debe comprobar el grupo de seguridad de la instancia de base de datos para asegurarse de que incluye una regla de entrada que permita la conectividad en el nuevo puerto.

Corrección

Para modificar el puerto predeterminado de una instancia de base de RDS datos existente, consulte Modificación de una RDS instancia de base de datos de Amazon en la Guía del RDS usuario de Amazon. Para modificar el puerto predeterminado de un RDS clúster de base de datos existente, consulte Modificación del clúster de base de datos mediante la consola y API en la Guía del usuario de Amazon Aurora. CLI Para el Puerto de base de datos, cambie el valor del puerto por un valor que no sea el predeterminado.

[RDS.24] Los clústeres RDS de bases de datos deben usar un nombre de usuario de administrador personalizado

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoría: Identificar > Configuración de recursos

Gravedad: media

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: rds-cluster-default-admin-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un clúster de RDS base de datos de Amazon ha cambiado el nombre de usuario de administrador con respecto a su valor predeterminado. El control no se aplica a los motores del tipo neptune (Neptune DB) o docdb (DocumentDB). Esta regla fallará si el nombre de usuario del administrador está establecido en el valor predeterminado.

Al crear una RDS base de datos de Amazon, debes cambiar el nombre de usuario de administrador predeterminado por un valor único. Los nombres de usuario predeterminados son de dominio público y deben cambiarse durante la creación de la RDS base de datos. Cambiar los nombres de usuario predeterminados reduce el riesgo de accesos no deseados.

Corrección

Para cambiar el nombre de usuario de administrador asociado al clúster de RDS base de datos de Amazon, cree un nuevo clúster de RDS base de datos y cambie el nombre de usuario de administrador predeterminado al crear la base de datos.

[RDS.25] las instancias RDS de bases de datos deben usar un nombre de usuario de administrador personalizado

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoría: Identificar > Configuración de recursos

Gravedad: media

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: rds-instance-default-admin-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si ha cambiado el nombre de usuario administrativo de las instancias de bases de datos de Amazon Relational Database Service (RDSAmazon) con respecto al valor predeterminado. El control no se aplica a los motores del tipo neptune (Neptune DB) o docdb (DocumentDB). El control falla si el nombre de usuario administrativo está establecido en el valor predeterminado.

Los nombres de usuario administrativos predeterminados en las RDS bases de datos de Amazon son de dominio público. Al crear una RDS base de datos de Amazon, debe cambiar el nombre de usuario administrativo predeterminado por un valor único para reducir el riesgo de acceso no deseado.

Corrección

Para cambiar el nombre de usuario administrativo asociado a una instancia de RDS base de datos, cree primero una nueva instancia de RDS base de datos. Cambie el nombre de usuario administrativo predeterminado al crear la base de datos.

[RDS.26] Las RDS instancias de base de datos deben protegerse mediante un plan de respaldo

Categoría: Recuperación > Resiliencia > Respaldos habilitados

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Gravedad: media

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: rds-resources-protected-by-backup-plan

Tipo de programa: Periódico

Parámetros:

Este control evalúa si las instancias de Amazon RDS DB están cubiertas por un plan de respaldo. Este control falla si la RDS instancia de base de datos no está cubierta por un plan de respaldo. Si establece el backupVaultLockCheck parámetro en un valor igual atrue, el control solo se transfiere si la instancia está respaldada en un AWS Backup bóveda cerrada.

AWS Backup es un servicio de respaldo totalmente administrado que centraliza y automatiza el respaldo de los datos en todas partes Servicios de AWS. Con AWS Backup, puede crear políticas de respaldo denominadas planes de respaldo. Puede utilizar estos planes para definir los requisitos de copia de seguridad, como la frecuencia con la que se va a realizar la copia de seguridad de los datos y el tiempo durante el que se van a conservar esas copias de seguridad. La inclusión de RDS instancias de bases de datos en un plan de respaldo le ayuda a proteger sus datos contra pérdidas o eliminaciones involuntarias.

Corrección

Para añadir una RDS instancia de base de datos a un AWS Backup plan de respaldo, consulte Asignación de recursos a un plan de respaldo en AWS Backup Guía para desarrolladores.

[RDS.27] Los clústeres RDS de bases de datos deben cifrarse en reposo

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: rds-cluster-encrypted-at-rest

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un RDS clúster de base de datos está cifrado en reposo. El control falla si un RDS clúster de base de datos no está cifrado en reposo.

Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado pueda acceder a ellos. El cifrado de los RDS clústeres de bases de datos protege sus datos y metadatos contra el acceso no autorizado. También cumple con los requisitos de conformidad para el data-at-rest cifrado de los sistemas de archivos de producción.

Corrección

Puede habilitar el cifrado en reposo al crear un RDS clúster de base de datos. No se puede cambiar la configuración de cifrado después de crear un clúster. Para obtener más información, consulte Cifrado de un clúster de base de datos de Amazon Aurora en la Guía del usuario de Amazon Aurora.

[RDS.28] Los clústeres de RDS bases de datos deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: tagged-rds-dbcluster (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si un clúster de Amazon RDS DB tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el clúster de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y genera un error si el clúster de base de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

Corrección

Para añadir etiquetas a un RDS clúster de base de datos, consulte Etiquetado de RDS los recursos de Amazon en la Guía del RDS usuario de Amazon.

[RDS.29] Las instantáneas de los clústeres RDS de bases de datos deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::RDS::DBClusterSnapshot

AWS Config regla: tagged-rds-dbclustersnapshot (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si una instantánea de un clúster de Amazon RDS DB tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la instantánea del clúster de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y produce un error si la instantánea del clúster de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

Corrección

Para añadir etiquetas a una instantánea de un RDS clúster de base de datos, consulte Etiquetado de RDS los recursos de Amazon en la Guía del RDS usuario de Amazon.

[RDS.30] Las RDS instancias de base de datos deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regla: tagged-rds-dbinstance (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si una RDS instancia de base de datos de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la instancia de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y genera un error si la instancia de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

Corrección

Para añadir etiquetas a una RDS instancia de base de datos, consulte Etiquetado de RDS los recursos de Amazon en la Guía del RDS usuario de Amazon.

[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::RDS::DBSecurityGroup

AWS Config regla: tagged-rds-dbsecuritygroup (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si un grupo de seguridad de Amazon RDS DB tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el grupo de seguridad de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y produce un error si el grupo de seguridad de base de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

Corrección

Para añadir etiquetas a un grupo de seguridad de RDS base de datos, consulte Etiquetado de RDS los recursos de Amazon en la Guía del RDS usuario de Amazon.

[RDS.32] Las instantáneas de bases de RDS datos deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::RDS::DBSnapshot

AWS Config regla: tagged-rds-dbsnapshot (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si una instantánea de Amazon RDS DB tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la instantánea de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y produce un error si la instantánea de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

Corrección

Para añadir etiquetas a una instantánea de RDS base de datos, consulte Etiquetado de RDS los recursos de Amazon en la Guía del RDS usuario de Amazon.

[RDS.33] Los grupos de subredes de RDS bases de datos deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::RDS::DBSubnetGroup

AWS Config regla: tagged-rds-dbsubnetgroups (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Este control comprueba si un grupo de subredes de Amazon RDS DB tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el grupo de subredes de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro. requiredTagKeys Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y produce un error si el grupo de subredes de base de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

Corrección

Para añadir etiquetas a un grupo de subredes de RDS base de datos, consulte Etiquetado de RDS los recursos de Amazon en la Guía RDSdel usuario de Amazon.

[RDS.34] Los clústeres de Aurora My SQL DB deberían publicar los registros de auditoría en Logs CloudWatch

Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: rds-aurora-mysql-audit-logging-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un clúster de Amazon Aurora My SQL DB está configurado para publicar registros de auditoría en Amazon CloudWatch Logs. El control falla si el clúster no está configurado para publicar los registros de auditoría en CloudWatch Logs. El control no genera resultados para los clústeres de bases de datos Aurora Serverless v1.

Los registros de auditoría recopilan un registro de la actividad de la base de datos, incluidos los intentos de inicio de sesión, las modificaciones de datos, los cambios de esquema y otros eventos que se pueden auditar por motivos de seguridad y conformidad. Al configurar un clúster de Aurora My SQL DB para publicar registros de auditoría en un grupo de registros de Amazon CloudWatch Logs, puede realizar un análisis en tiempo real de los datos de registro. CloudWatch Logs conserva los registros en un almacenamiento de alta duración. También puede crear alarmas y ver las métricas en CloudWatch.

Corrección

Para publicar los registros de auditoría del clúster de My SQL DB de Aurora en CloudWatch Logs, consulte Publicar Amazon Aurora My SQL Logs en Amazon CloudWatch Logs en la Guía del usuario de Amazon Aurora.

[RDS.35] Los clústeres de RDS bases de datos deben tener habilitada la actualización automática de las versiones secundarias

Requisitos relacionados: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST

Categoría: Identificar > Administración de vulnerabilidades, parches y versiones

Gravedad: media

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regla: rds-cluster-auto-minor-version-upgrade-enable

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la actualización automática de la versión secundaria está habilitada para un clúster de base de datos Amazon RDS Multi-AZ. El control falla si la actualización automática de la versión secundaria no está habilitada para el clúster de base de datos Multi-AZ.

RDSproporciona una actualización automática de las versiones secundarias para que pueda mantener actualizado su clúster de base de datos Multi-AZ. Las versiones secundarias pueden introducir nuevas funciones de software, correcciones de errores, parches de seguridad y mejoras de rendimiento. Al habilitar la actualización automática de las versiones secundarias en los clústeres de RDS bases de datos, el clúster, junto con las instancias del clúster, recibirán actualizaciones automáticas de la versión secundaria cuando haya nuevas versiones disponibles. Las actualizaciones se aplican automáticamente durante el período de mantenimiento.

Corrección

Para habilitar la actualización automática de la versión secundaria en los clústeres de bases de datos Multi-AZ, consulte Modificación de un clúster de base de datos Multi-AZ en la Guía RDSdel usuario de Amazon.