Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Amazon RDS
Estos AWS Security Hub controles evalúan el servicio y los recursos de Amazon Relational Database Service (Amazon RDS).
Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte Disponibilidad de los controles por región.
[RDS.1] La instantánea de RDS debe ser privada
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoría: Proteger - Configuración de red segura
Gravedad: crítica
Tipo de recurso: AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
Regla de AWS Config : rds-snapshots-public-prohibited
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las instantáneas de Amazon RDS son públicas. El control falla si las instantáneas de RDS son públicas. Este control evalúa instancias de RDS, instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB.
Las instantáneas de RDS se utilizan para realizar copias de seguridad de los datos de las instancias de RDS en un momento determinado. Se pueden utilizar para restaurar estados anteriores de instancias de RDS.
Una instantánea de RDS no debe ser pública a menos que se quiera. Si comparte una instantánea manual sin cifrar públicamente, estará disponible para todas las cuentas de Cuentas de AWS. Esto puede provocar una exposición no intencionada de los datos de su instancia de RDS.
Tenga en cuenta que si se cambia la configuración para permitir el acceso público, es posible que la AWS Config regla no pueda detectar el cambio hasta dentro de 12 horas. Hasta que la AWS Config regla detecte el cambio, la comprobación se realizará aunque la configuración infrinja la regla.
Para obtener más información sobre cómo compartir una instantánea de base de datos, consulte Cómo compartir una instantánea de base de datos en la Guía del usuario de Amazon RDS.
Corrección
Para eliminar el acceso público de las instantáneas de RDS, consulte Compartir una instantánea en la Guía del usuario de Amazon RDS. En Visibilidad de las instantáneas de base de datos, elija Privada.
[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible
Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.3.3, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PPCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4
Categoría: Proteger - Configuración de red segura
Gravedad: crítica
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-instance-public-access-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las instancias de Amazon RDS son accesibles públicamente mediante la evaluación del campo PubliclyAccessible en el elemento de configuración de instancia.
Las instancias de base de datos de Neptune y los clústeres de Amazon DocumentDB no tienen el indicador de PubliclyAccessible y no se pueden evaluar. Sin embargo, este control aún puede generar resultados para estos recursos. Puede suprimir estos resultados.
El valor PubliclyAccessible de la configuración de la instancia de RDS indica si la instancia de base de datos es accesible públicamente. Si la instancia de base de datos se ha configurado con PubliclyAccessible, se trata de una instancia orientada a Internet con un nombre DNS que se puede resolver públicamente y que se resuelve en una dirección IP pública. Cuando la instancia de base de datos no es accesible públicamente, se trata de una instancia interna con un nombre DNS que se resuelve en una dirección IP privada.
A menos que tenga la intención de dar acceso público a su instancia de RDS, la instancia de RDS no debe configurarse con el valor PubliclyAccessible. Si lo hace, podría generar tráfico innecesario a su instancia de base de datos.
Corrección
Para eliminar el acceso público a las instancias de base de datos de RDS, consulte Modificación de una instancia de base de datos de Amazon RDS en la Guía del usuario de Amazon RDS. En Acceso público, elija No.
[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo
Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8, 8 NIST.800-53.r5 SC-7 (1), (10), NISt.800-53.r5 SI-7 (6)
Categoría: Proteger > Protección de datos > Cifrado de data-at-rest
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-storage-encrypted
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el cifrado de almacenamiento está habilitado para las instancias de base de datos de Amazon RDS.
Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.
Para obtener una capa adicional de seguridad para la información confidencial en las instancias de base de datos de RDS, debe configurar las instancias de base de datos de RDS de tal manera que se cifren en reposo. Para cifrar las instancias de base de datos de RDS y las instantáneas en reposo, debe habilitar la opción de cifrado para las instancias de base de datos de RDS. Los datos cifrados en reposo incluyen el almacenamiento subyacente de una instancia de base de datos, sus copias de seguridad automatizadas, sus réplicas de lectura y sus instantáneas.
En las instancias de base de datos cifradas de RDS se utiliza el algoritmo de cifrado AES-256 de código estándar para cifrar los datos en el servidor que aloja la instancia de base de datos de RDS. Una vez cifrados los datos, Amazon RDS se encarga de la autenticación de acceso y del descifrado de los datos de forma transparente, con un impacto mínimo en el desempeño. No es necesario modificar las aplicaciones cliente de base de datos para utilizar el cifrado.
El cifrado de Amazon RDS actualmente está disponible para todos los motores de bases de datos y tipos de almacenamiento. El cifrado de Amazon RDS está disponible para la mayoría de las clases de instancias de bases de datos. Para obtener información acerca de las clases de instancia de base de datos que no admiten el cifrado de Amazon RDS, consulte Cifrado de recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
Corrección
Para obtener información sobre el cifrado de instancias de base de datos en Amazon RDS, consulte Cifrar los recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
Categoría: Proteger > Protección de datos > Cifrado de data-at-rest
Gravedad: media
Tipo de recurso: AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
Regla de AWS Config : rds-snapshot-encrypted
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una instantánea de base de datos de RDS está cifrada. El control falla si una instantánea de base de datos de RDS no está cifrada.
Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para instantáneas de instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.
El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. Los datos de las instantáneas de RDS deben cifrarse en reposo para ofrecer un nivel de seguridad adicional.
Corrección
Para cifrar una instantánea de RDS, consulte Cifrar los recursos de Amazon RDS en la Guía del usuario de Amazon RDS. Cuando cifra una instancia de base de datos de RDS, los datos cifrados incluyen el almacenamiento subyacente de la instancia, sus copias de seguridad automatizadas, sus réplicas de lectura y sus instantáneas.
Solo se puede cifrar una instancia de base de datos de RDS al crearla, no después de que se haya creado. Sin embargo, debido a que se puede cifrar una copia de una instantánea de base de datos sin cifrar, en la práctica es posible agregar el cifrado a una instancia de base de datos sin cifrar. Es decir, puede crear una instantánea de una instancia de base de datos y, a continuación, crear una copia cifrada de esa instantánea. A continuación, se puede restaurar una instancia de base de datos a partir de la instantánea cifrada y de este modo, se tiene una copia cifrada de la instancia de base de datos original.
Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-multi-az-support
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la alta disponibilidad está habilitada para sus instancias de base de datos de RDS. El control falla si una instancia de base de datos de RDS no está configurada con varias zonas de disponibilidad (). AZs Este control no se aplica a las instancias de base de datos de RDS que forman parte de una implementación de un clúster de base de datos Multi-AZ.
La configuración de las instancias de base de datos de Amazon RDS AZs ayuda a garantizar la disponibilidad de los datos almacenados. Las implementaciones en zonas de disponibilidad múltiples permiten la conmutación por error automática si hay algún problema con la disponibilidad de las zonas de disponibilidad y durante el mantenimiento regular del RDS.
Corrección
Para implementar sus instancias de base de datos en varias instancias AZs, modifique una instancia de base de datos para que sea una implementación de instancia de base de datos Multi-AZ en la Guía del usuario de Amazon RDS.
Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]
Requisitos relacionados: NIST.800-53.r5 NIST.800-53.r5 CA-7 SI-2
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-enhanced-monitoring-enabled
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Número de segundos entre los intervalos de recopilación de métricas de supervisión |
Enum |
|
Sin valor predeterminado |
Este control comprueba si la supervisión mejorada está habilitada para una instancia de base de datos de Amazon Relational Database Service (Amazon RDS). Se produce un error en el control si la supervisión mejorada no está habilitada para la instancia. Si proporciona un valor personalizado para el parámetro monitoringInterval, el control pasa si se recopilan métricas de supervisión mejoradas para la instancia en el intervalo especificado.
En Amazon RDS, la supervisión mejorada permite una respuesta más rápida a los cambios de rendimiento en la infraestructura subyacente. Estos cambios en el rendimiento podrían provocar una falta de disponibilidad de los datos. El monitoreo mejorado proporciona métricas en tiempo real para el sistema operativo en el que se ejecuta la instancia de base de datos de RDS. El agente está instalado en la instancia. El agente puede obtener métricas con mayor precisión de lo que es posible desde la capa del hipervisor.
Las métricas de monitorización mejoradas son útiles cuando desea ver cómo diferentes procesos o subprocesos en una instancia de base de datos usan la CPU. Para obtener más información, consulte Enhanced Monitoring (Supervisión mejorada) en la Guía del usuario de Amazon RDS.
Corrección
Para obtener instrucciones detalladas sobre cómo habilitar la supervisión mejorada para su instancia de base de datos, consulte Configuración y activación de la supervisión mejorada en la Guía del usuario de Amazon RDS.
Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación
Requisitos relacionados: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos
Gravedad: baja
Tipo de recurso: AWS::RDS::DBCluster
Regla de AWS Config : rds-cluster-deletion-protection-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de base de datos RDS tiene habilitada la protección contra eliminación. El control falla si un clúster de base de datos RDS no tiene habilitada la protección contra eliminación.
Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.
Habilitar la protección contra la eliminación de clústeres es un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada.
Cuando la protección de eliminación está habilitada, no se puede eliminar un clúster de base de datos. Para que una solicitud de eliminación se pueda realizar correctamente, la protección contra la eliminación debe estar deshabilitada.
Corrección
Para habilitar la protección contra la eliminación de un clúster de base de datos de RDS, consulte Modificación del clúster de base de datos mediante la consola, la CLI y la API en la Guía del usuario de Amazon RDS. En Protección contra eliminación, elija Habilitar la protección contra eliminación.
Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación
Requisitos relacionados: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos
Gravedad: baja
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-instance-deletion-protection-enabled
Tipo de horario: provocado por un cambio
Parámetros:
-
databaseEngines:mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(no personalizable)
Este control comprueba si las instancias de base de datos de RDS que utilizan uno de los motores de bases de datos de la lista tienen habilitada la protección contra la eliminación. El control falla si una instancia de base de datos RDS no tiene habilitada la protección contra eliminación.
La activación de la protección contra la eliminación de instancias es un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada.
Mientras la protección contra la eliminación está habilitada, no se puede eliminar una instancia de base de datos de RDS. Para que una solicitud de eliminación se pueda realizar correctamente, la protección contra la eliminación debe estar deshabilitada.
Corrección
Para habilitar la protección contra la eliminación de una instancia de base de datos de RDS, consulte Modificación de una instancia de base de datos de Amazon RDS en la Guía del usuario de Amazon RDS. En Protección contra eliminación, elija Habilitar la protección contra eliminación.
[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIst.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIst.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una instancia de base de datos de Amazon RDS está configurada para publicar los siguientes registros en Amazon CloudWatch Logs. El control falla si la instancia no está configurada para publicar los siguientes registros en CloudWatch Logs:
-
Oracle: (Alert, Audit, Trace, Listener)
-
PostgreSQL: (Postgresql, Upgrade)
-
MySQL: (Auditoría, Error, General, SlowQuery)
-
MariaDB: (Auditoría, error, general,) SlowQuery
-
SQL Server: (Error, Agent)
-
Aurora: (Auditoría, error, general, SlowQuery)
-
Aurora-MySQL: (Auditoría, error, general,) SlowQuery
-
Aurora-PostgreSQL: (Postgresql, Upgrade).
Las bases de datos de RDS deben tener habilitados los registros relevantes. El registro de la base de datos proporciona registros detallados de las solicitudes realizadas a RDS. Los registros de las bases de datos pueden ayudar con las auditorías de seguridad y acceso y pueden ayudar a diagnosticar problemas de disponibilidad.
Corrección
Para publicar registros de bases de datos de RDS en CloudWatch Logs, consulte Especificar los registros que se van a publicar en CloudWatch Logs en la Guía del usuario de Amazon RDS.
La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS
Requisitos relacionados: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Categoría: Proteger > Gestión del acceso seguro > Autenticación sin contraseña
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-instance-iam-authentication-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una instancia de base de datos de RDS tiene habilitada la autenticación de bases de datos de IAM. El control falla si la autenticación de IAM no está configurada para las instancias de base de datos de RDS. Este control solo evalúa las instancias de RDS con los siguientes tipos de motor: mysql, postgres, aurora, aurora-mysql, aurora-postgresql y mariadb. Una instancia de RDS también debe estar en uno de los siguientes estados para que se genere un resultado: available, backing-up, storage-optimization o storage-full.
La autenticación de bases de datos de IAM permite autenticar las instancias de bases de datos con un token de autenticación en lugar de una contraseña. El tráfico de red hacia y desde la base de datos se cifra mediante SSL. Para obtener más información, consulte Autenticación de bases de datos de IAM en la Guía del usuario de Amazon Aurora.
Corrección
Para activar la autenticación de bases de datos de IAM en una instancia de base de datos de RDS, consulte Habilitar y deshabilitar la autenticación de bases de datos de IAM en la Guía del usuario de Amazon RDS.
Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NiSt.800-53.r5 SI-12, NiSt.800-53.r5 SI-13 (5)
Categoría: Recuperación > Resiliencia > Respaldos habilitados
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : db-instance-backup-enabled
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
El periodo mínimo de retención de copias de seguridad en días |
Entero |
De |
|
|
|
Comprueba si las instancias de base de datos de RDS tienen habilitadas las copias de seguridad para las réplicas de lectura |
Booleano |
No personalizable |
|
Este control comprueba si la instancia de Amazon Relational Database Service tiene habilitadas las copias de seguridad automáticas y si el periodo de retención de las copias de seguridad es superior o igual al periodo especificado. Las réplicas de lectura se excluyen de la evaluación. Se produce un error en el control si las copias de seguridad no están habilitadas para la instancia o si el periodo de retención es inferior al periodo especificado. A menos que se proporcione un valor personalizado de parámetro para el periodo de retención de copia de seguridad, Security Hub utiliza un valor predeterminado de 7 días.
Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad y refuerzan la resiliencia de sus sistemas. Amazon RDS permite configurar instantáneas diarias del volumen de instancias completo. Para más información sobre las copias de seguridad automatizadas de Amazon RDS, consulte Trabajo con copias de seguridad en la Guía del usuario de Amazon RDS.
Corrección
Para habilitar copias de seguridad automatizadas para una instancia de base de datos de RDS, consulte Habilitación de copias de seguridad automatizadas en Guía del usuario de Amazon RDS.
La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS
Requisitos relacionados: (1), (15), (7), NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
Categoría: Proteger > Gestión del acceso seguro > Autenticación sin contraseña
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
Regla de AWS Config : rds-cluster-iam-authentication-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de base de datos de Amazon RDS tiene habilitada la autenticación de bases de datos de IAM.
La autenticación de bases de datos de IAM permite autenticar las instancias de bases de datos sin contraseña. La autenticación usa un token de autenticación. El tráfico de red hacia y desde la base de datos se cifra mediante SSL. Para obtener más información, consulte Autenticación de bases de datos de IAM en la Guía del usuario de Amazon Aurora.
Corrección
Para habilitar la autenticación de IAM para un clúster de base de datos, consulte Habilitar y deshabilitar la autenticación de bases de datos de IAM en la Guía del usuario de Amazon Aurora.
Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas
Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.3.2, NISt.800-53.r5 SI-2, NISt.800-53.r5 SI-2 (2), NISt.800-53.r5 SI-2 (4), NISt.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3
Categoría: Identificar > Administración de vulnerabilidades, parches y versiones
Gravedad: alta
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-automatic-minor-version-upgrade-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las actualizaciones automáticas de las versiones secundarias están habilitadas para la instancia de base de datos de RDS.
Al habilitar las actualizaciones automáticas de las versiones secundarias, se garantiza que se instalen las últimas actualizaciones de las versiones secundarias del sistema de administración de bases de datos relacionales (RDBMS). Estas actualizaciones pueden incluir parches de seguridad y correcciones de errores. Mantenerse al día con la instalación de los parches es un paso importante para proteger los sistemas.
Corrección
Para habilitar las actualizaciones automáticas de las versiones secundarias de una instancia de base de datos existente, consulte Modificación de una instancia de base de datos de Amazon RDS en la Guía del usuario de Amazon RDS. Para la actualización automática de una versión secundaria, seleccione Sí.
Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Respaldos habilitados
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
Regla de AWS Config : aurora-mysql-backtracking-enabled
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Número de horas necesarias para hacer búsquedas de datos anteriores en un clúster Aurora MySQL |
Doble |
De |
Sin valor predeterminado |
Este control comprueba si un clúster de Amazon Aurora tiene habilitada la característica de búsqueda de datos anteriores. Se produce un error en el control si el clúster no tiene habilitada la búsqueda de datos anteriores. Si proporciona un valor personalizado para el parámetro BacktrackWindowInHours, el control solo pasa si la búsqueda de datos anteriores en el clúster se hace durante el periodo especificado.
Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La búsqueda de datos anteriores de Aurora reduce el tiempo de recuperación de una base de datos en un punto en el tiempo. Para ello, no es necesario restaurar la base de datos.
Corrección
Para habilitar la búsqueda de datos anteriores de Aurora, consulte Configuración de la búsqueda de datos anteriores en la Guía del usuario de Amazon Aurora.
Tenga en cuenta que no puede habilitar la búsqueda de datos anteriores en un clúster existente. En su lugar, puede crear un clon que tenga habilitado la búsqueda de datos anteriores. Para obtener más información sobre las limitaciones del búsqueda de datos anteriores de Aurora, consulte la lista de limitaciones en Descripción general de búsqueda de datos anteriores.
Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NiST.800-53.r5 SI-13 (5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
Regla de AWS Config : rds-cluster-multi-az-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la alta disponibilidad está habilitada para sus clústeres de base de datos de RDS. El control falla si un clúster de base de datos de RDS no está implementado en varias zonas de disponibilidad (). AZs
Los clústeres de bases de datos de RDS deben configurarse para varios AZs a fin de garantizar la disponibilidad de los datos almacenados. La implementación en varias zonas AZs permite la conmutación por error automática en caso de que se produzca un problema de disponibilidad en las zonas de disponibilidad y durante los eventos de mantenimiento habituales del RDS.
Corrección
Para implementar sus clústeres de base de datos en varios AZs, modifique una instancia de base de datos para que sea un despliegue de instancias de base de datos Multi-AZ en la Guía del usuario de Amazon RDS.
Los pasos de solución son diferentes para las bases de datos globales de Aurora. Para configurar varias zonas de disponibilidad para una base de datos global de Aurora, seleccione su clúster de base de datos. A continuación, elija Acciones y Añadir lector, y especifique varios. AZs Para obtener más información, consulte Agregar réplicas Aurora a un clúster de base de datos en la Guía del usuario de Amazon Aurora.
Los clústeres de bases de datos de RDS [RDS.16] deben configurarse para copiar etiquetas en las instantáneas
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NIst.800-53.r5 CM-2 (2)
Categoría: Identificar - Inventario
Gravedad: baja
Tipo de recurso: AWS::RDS::DBCluster
Regla de AWS Config : rds-cluster-copy-tags-to-snapshots-enabled (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si los clústeres de bases de datos de RDS están configurados para copiar todas las etiquetas en las instantáneas cuando se crean las instantáneas.
La identificación y el inventario de sus activos de TI es un aspecto fundamental de seguridad y control. Tiene que tener una visión de todos sus clústeres de base de datos de RDS para que pueda evaluar sus posiciones de seguridad y tomar así las acciones pertinentes respecto a las posibles áreas débiles. Las instantáneas deben etiquetarse de la misma manera que sus clústeres de bases de datos de RDS principales. Al habilitar esta configuración, se garantiza que las instantáneas hereden las etiquetas de sus clústeres de bases de datos principales.
Corrección
Para copiar automáticamente las etiquetas en las instantáneas de un clúster de base de datos de RDS, consulte Modificación del clúster de base de datos mediante la consola, la CLI y la API en la Guía del usuario de Amazon Aurora. Seleccione Copiar etiquetas en instantáneas
Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 CM-2 (2)
Categoría: Identificar - Inventario
Gravedad: baja
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-instance-copy-tags-to-snapshots-enabled (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las instancias de base de datos de RDS están configuradas para copiar todas las etiquetas a las instantáneas cuando se crean las instantáneas.
La identificación y el inventario de sus activos de TI es un aspecto fundamental de seguridad y control. Tiene que tener una visión de todas sus instancias de base de datos de RDS para que pueda evaluar sus posiciones de seguridad y tomar así las acciones pertinentes respecto a las posibles áreas débiles. Las instantáneas se deben etiquetar de la misma manera que las instancias de base de datos RDS principales. Al habilitar esta configuración, se garantiza que las instantáneas hereden las etiquetas de sus instancias de base de datos principales.
Corrección
Para copiar automáticamente las etiquetas en las instantáneas de una instancia de base de datos de RDS, consulte Modificación de una instancia de base de datos de Amazon RDS en la Guía del usuario de Amazon RDS. Seleccione Copiar etiquetas en instantáneas
Las instancias de RDS [RDS.18] deben implementarse en una VPC
Categoría: Proteger > Configuración de red segura > Recursos dentro de VPC
Gravedad: alta
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-deployed-in-vpc (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una instancia de Amazon RDS está implementada en una EC2 -VPC.
VPCs proporcionan una serie de controles de red para proteger el acceso a los recursos de RDS. Estos controles incluyen puntos finales de VPC ACLs, redes y grupos de seguridad. Para aprovechar estos controles, le recomendamos que cree las instancias de RDS en una EC2 -VPC.
Corrección
Para obtener instrucciones sobre cómo mover instancias de RDS a una VPC, consulte Actualización de la VPC de una instancia de base de datos en la Guía del usuario de Amazon RDS.
Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos
Requisitos relacionados: NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-2
Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones
Gravedad: baja
Tipo de recurso: AWS::RDS::EventSubscription
Regla de AWS Config : rds-cluster-event-notifications-configured (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una suscripción a eventos de Amazon RDS existente para clústeres de base de datos tiene habilitadas notificaciones para los siguientes pares clave-valor de tipo de origen y categoría de evento:
DBCluster: ["maintenance","failure"]
El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.
Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte Uso de las notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.
Corrección
Para suscribirse a las notificaciones de eventos del clúster de RDS, consulte Suscribirse a las notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS. Use los siguientes valores:
| Campo | Valor |
|---|---|
|
Tipo de origen |
Clústeres |
|
Clústeres que se van a incluir |
Todos los clústeres |
|
Categorías de eventos a incluir |
Seleccione categorías de eventos específicas o Todas las categorías de eventos |
Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos
Requisitos relacionados: NIst.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2 NIST.800-53.r5 CA-7
Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones
Gravedad: baja
Tipo de recurso: AWS::RDS::EventSubscription
Regla de AWS Config : rds-instance-event-notifications-configured (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una suscripción a eventos de Amazon RDS existente para instancias de base de datos tiene habilitadas notificaciones para los siguientes pares clave-valor de tipo de origen y categoría de evento:
DBInstance: ["maintenance","configuration change","failure"]
El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.
Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte Uso de las notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.
Corrección
Para suscribirse a las notificaciones de eventos de instancias de RDS, consulte Suscribirse a las notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS. Use los siguientes valores:
| Campo | Valor |
|---|---|
|
Tipo de origen |
instancias |
|
Instancias que se van a incluir |
Todas las instancias |
|
Categorías de eventos a incluir |
Seleccione categorías de eventos específicas o Todas las categorías de eventos |
Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos
Requisitos relacionados: NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2
Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones
Gravedad: baja
Tipo de recurso: AWS::RDS::EventSubscription
Regla de AWS Config : rds-pg-event-notifications-configured (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si existe una suscripción a eventos de Amazon RDS con notificaciones habilitadas para los siguientes pares clave-valor de tipo de fuente y categoría de evento. El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.
DBParameterGroup: ["configuration change"]
Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte Uso de las notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.
Corrección
Para suscribirse a las notificaciones de eventos del grupo de parámetros de la base de datos de RDS, consulte Suscripción a la notificación de eventos de Amazon RDS en la Guía del usuario de Amazon RDS. Use los siguientes valores:
| Campo | Valor |
|---|---|
|
Tipo de origen |
Grupos de parámetros |
|
Grupos de parámetros que se van a incluir |
Todos los grupos de parámetros |
|
Categorías de eventos a incluir |
Seleccione categorías de eventos específicas o Todas las categorías de eventos |
Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos
Requisitos relacionados: NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2
Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones
Gravedad: baja
Tipo de recurso: AWS::RDS::EventSubscription
Regla de AWS Config : rds-sg-event-notifications-configured (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si existe una suscripción a eventos de Amazon RDS con notificaciones habilitadas para los siguientes pares clave-valor de tipo de fuente y categoría de evento. El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.
DBSecurityGroup: ["configuration change","failure"]
Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte Uso de las notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.
Corrección
Para suscribirse a las notificaciones de eventos de instancias de RDS, consulte Suscribirse a las notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS. Use los siguientes valores:
| Campo | Valor |
|---|---|
|
Tipo de origen |
Grupos de seguridad |
|
Grupos de seguridad que se van a incluir |
Todos los grupos de seguridad |
|
Categorías de eventos a incluir |
Seleccione categorías de eventos específicas o Todas las categorías de eventos |
Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos
Requisitos relacionados: (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16), (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoría: Proteger - Configuración de red segura
Gravedad: baja
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-no-default-ports (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster o instancia de RDS utiliza un puerto distinto del puerto predeterminado del motor de base de datos. El control falla si el clúster o la instancia de RDS utilizan el puerto predeterminado. Este control no se aplica a las instancias de RDS que forman parte de un clúster.
Si utiliza un puerto conocido para implementar un clúster o una instancia de RDS, un atacante puede adivinar la información sobre el clúster o la instancia. El atacante puede usar esta información junto con otra información para conectarse a un clúster o instancia de RDS u obtener información adicional sobre la aplicación.
Al cambiar el puerto, también debe actualizar las cadenas de conexión existentes que se utilizaron para conectarse al puerto anterior. También debe comprobar el grupo de seguridad de la instancia de base de datos para asegurarse de que incluye una regla de entrada que permita la conectividad en el nuevo puerto.
Corrección
Para modificar el puerto predeterminado de una instancia de base de datos de RDS existente, consulte Modificación de una instancia de base de datos de Amazon RDS en la Guía del usuario de Amazon RDS. Para modificar el puerto predeterminado de un clúster de base de datos de RDS existente, consulte Modificación del clúster de base de datos mediante la consola, la CLI y la API en la Guía del usuario de Amazon Aurora. Para el Puerto de base de datos, cambie el valor del puerto por un valor que no sea el predeterminado.
Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2
Categoría: Identificar > Configuración de recursos
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
Regla de AWS Config : rds-cluster-default-admin-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de base de datos de Amazon RDS ha cambiado el nombre de usuario de administrador con respecto a su valor predeterminado. El control no se aplica a los motores del tipo neptune (Neptune DB) o docdb (DocumentDB). Esta regla fallará si el nombre de usuario del administrador está establecido en el valor predeterminado.
Al crear una base de datos de Amazon RDS, debe cambiar el nombre de usuario de administrador predeterminado por un valor único. Los nombres de usuario predeterminados son de dominio público y deben cambiarse durante la creación de la base de datos de RDS. Cambiar los nombres de usuario predeterminados reduce el riesgo de accesos no deseados.
Corrección
Para cambiar el nombre de usuario de administrador asociado al clúster de base de datos de Amazon RDS, cree un nuevo clúster de base de datos de RDS y cambie el nombre de usuario de administrador predeterminado al crear la base de datos.
Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2
Categoría: Identificar > Configuración de recursos
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-instance-default-admin-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si ha cambiado el nombre de usuario administrativo de las instancias de base de datos de Amazon Relational Database Service (Amazon RDS) con respecto al valor predeterminado. El control falla si el nombre de usuario administrativo está establecido en el valor predeterminado. El control no se aplica a los motores del tipo neptune (Neptune DB) o docdb (DocumentDB) ni a las instancias de RDS que forman parte de un clúster.
Los nombres de usuario administrativos predeterminados en las bases de datos de Amazon RDS son de dominio público. Al crear una base de datos de Amazon RDS, debe cambiar el nombre de usuario administrativo predeterminado por un valor único para reducir el riesgo de accesos no deseados.
Corrección
Para cambiar el nombre de usuario administrativo asociado a una instancia de base de datos de RDS, cree primero una nueva instancia de base de datos de RDS. Cambie el nombre de usuario administrativo predeterminado al crear la base de datos.
Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad
Categoría: Recuperación > Resiliencia > Respaldos habilitados
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), niST.800-53.r5 SI-12, niST.800-53.r5 SI-13 (5)
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config regla: rds-resources-protected-by-backup-plan
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
El control produce un |
Booleano |
|
Sin valor predeterminado |
Este control evalúa si las instancias de base de datos de Amazon RDS están cubiertas por un plan de copias de seguridad. Se produce un error en este control si la instancia de base de datos de RDS no está cubierta por un plan de copias de seguridad. Si establece el backupVaultLockCheck parámetro en un valor igual atrue, el control solo se activará si la instancia está guardada en un almacén AWS Backup cerrado con llave.
AWS Backup es un servicio de copias de seguridad totalmente gestionado que centraliza y automatiza las copias de seguridad de todos los datos. Servicios de AWS Con él AWS Backup, puede crear políticas de respaldo denominadas planes de respaldo. Puede utilizar estos planes para definir los requisitos de copia de seguridad, como la frecuencia con la que se va a realizar la copia de seguridad de los datos y el tiempo durante el que se van a conservar esas copias de seguridad. La inclusión de instancias de base de datos de RDS en un plan de copias de seguridad le ayuda a proteger sus datos contra pérdidas o eliminaciones involuntarias.
Corrección
Para añadir una instancia de base de datos de RDS a un plan de AWS Backup respaldo, consulte Asignación de recursos a un plan de respaldo en la Guía para AWS Backup desarrolladores.
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)
Categoría: Proteger > Protección de datos > Cifrado de data-at-rest
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regla: rds-cluster-encrypted-at-rest
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de base de datos de RDS está cifrado en reposo. El control falla si un clúster de base de datos de RDS no está cifrado en reposo.
Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado pueda acceder a ellos. El cifrado de los clústeres de bases de datos de RDS protege sus datos y metadatos contra el acceso no autorizado. También cumple con los requisitos de conformidad para el data-at-rest cifrado de los sistemas de archivos de producción.
Corrección
Puede habilitar el cifrado en reposo al crear un clúster de base de datos de RDS. No se puede cambiar la configuración de cifrado después de crear un clúster. Para obtener más información, consulte Cifrado de un clúster de base de datos de Amazon Aurora en la Guía del usuario de Amazon Aurora.
[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regla: tagged-rds-dbcluster (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS | Sin valor predeterminado |
Este control comprueba si un clúster de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si el clúster de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el clúster de base de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para agregar etiquetas a un clúster de base de datos de RDS, consulte Etiquetado de los recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::RDS::DBClusterSnapshot
AWS Config regla: tagged-rds-dbclustersnapshot (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS | Sin valor predeterminado |
Este control comprueba si una instantánea de clúster de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si la instantánea de clúster de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instantánea de clúster de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para agregar etiquetas a la instantánea de clúster de base de datos de RDS, consulte Etiquetado de los recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::RDS::DBInstance
AWS Config regla: tagged-rds-dbinstance (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS | Sin valor predeterminado |
Este control comprueba si una instancia de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si la instancia de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instancia de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para agregar etiquetas a una instancia de base de datos de RDS, consulte Etiquetado de los recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::RDS::DBSecurityGroup
AWS Config regla: tagged-rds-dbsecuritygroup (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS | Sin valor predeterminado |
Este control comprueba si un grupo de seguridad de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si el grupo de seguridad de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de seguridad de base de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para agregar etiquetas a un grupo de seguridad de base de datos de RDS, consulte Etiquetado de los recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::RDS::DBSnapshot
AWS Config regla: tagged-rds-dbsnapshot (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS | Sin valor predeterminado |
Este control comprueba si una instantánea de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si la instantánea de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instantánea de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para agregar una instantánea de base de datos de RDS, consulte Etiquetado de los recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::RDS::DBSubnetGroup
AWS Config regla: tagged-rds-dbsubnetgroups (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS | Sin valor predeterminado |
Este control comprueba si un grupo de subredes de bases de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si el grupo de subredes de bases de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de subredes de bases de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para agregar etiquetas a un grupo de subredes de bases de datos de RDS, consulte Etiquetado de los recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regla: rds-aurora-mysql-audit-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de base de datos Amazon Aurora MySQL está configurado para publicar registros de auditoría en Amazon CloudWatch Logs. El control falla si el clúster no está configurado para publicar los registros de auditoría en CloudWatch Logs. El control no genera resultados para los clústeres de base de datos Aurora sin servidor v1.
Los registros de auditoría recopilan un registro de la actividad de la base de datos, incluidos los intentos de inicio de sesión, las modificaciones de datos, los cambios de esquema y otros eventos que se pueden auditar por motivos de seguridad y conformidad. Al configurar un clúster de base de datos Aurora MySQL para publicar registros de auditoría en un grupo de CloudWatch registros de Amazon Logs, puede realizar un análisis en tiempo real de los datos de registro. CloudWatch Logs conserva los registros en un almacenamiento de alta duración. También puede crear alarmas y ver las métricas en CloudWatch.
nota
Una forma alternativa de publicar los registros de auditoría en CloudWatch Logs consiste en habilitar la auditoría avanzada y configurar el parámetro de base de datos a nivel de clúster en. server_audit_logs_upload 1 El valor predeterminado de server_audit_logs_upload parameter es 0. Sin embargo, le recomendamos que utilice las siguientes instrucciones de corrección para pasar este control.
Corrección
Para publicar los registros de auditoría del clúster de base de datos Aurora MySQL en CloudWatch Logs, consulte Publicar registros de Amazon Aurora MySQL en Amazon CloudWatch Logs en la Guía del usuario de Amazon Aurora.
Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias
Requisitos relacionados: NIST.800-53.r5 SI-2, niST.800-53.r5 SI-2 (2), NISt.800-53.r5 SI-2 (4), NISt.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3
Categoría: Identificar > Administración de vulnerabilidades, parches y versiones
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regla: rds-cluster-auto-minor-version-upgrade-enable
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la actualización automática de la versión secundaria está habilitada para un clúster de base de datos de Amazon RDS Multi-AZ. El control lanza un error si la actualización automática de la versión secundaria no está habilitada para un clúster de base de datos en varias zonas de disponibilidad.
RDS proporciona la actualización automática de las versiones secundarias para que pueda mantener actualizado el clúster de base de datos en varias zonas de disponibilidad. Las versiones secundarias pueden introducir nuevas funciones de software, correcciones de errores, parches de seguridad y mejoras de rendimiento. Al habilitar la actualización automática de las versiones secundarias en los clústeres de bases de datos de RDS, el clúster, junto con las instancias del clúster, recibirá actualizaciones automáticas de la versión secundaria cuando haya nuevas versiones disponibles. Las actualizaciones se aplican automáticamente durante el período de mantenimiento.
Corrección
Para habilitar la actualización automática de las versiones secundarias en clústeres de bases de datos en varias zonas de disponibilidad, consulte Modificación de un clúster de base de datos Multi-AZ en la Guía del usuario de Amazon RDS.
[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch
Requisitos relacionados: PCI DSS v4.0.1/10.4.2
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-postgresql-logs-to-cloudwatch
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Lista de tipos de registros separados por comas que se publicarán en Logs CloudWatch |
StringList |
No personalizable |
|
Este control comprueba si una instancia de base de datos de Amazon RDS for PostgreSQL está configurada para publicar registros en Amazon Logs. CloudWatch El control falla si la instancia de base de datos PostgreSQL no está configurada para publicar los tipos de registro mencionados en logTypes el parámetro en Logs. CloudWatch
El registro de base de datos proporciona detalles sobre las solicitudes realizadas a una instancia de RDS. PostgreSQL genera registros de eventos que contienen información útil para los administradores. La publicación de estos registros en CloudWatch Logs centraliza la administración de registros y le ayuda a realizar análisis en tiempo real de los datos de registro. CloudWatch Logs conserva los registros en un almacenamiento muy duradero. También puede crear alarmas y ver las métricas enCloudWatch.
Corrección
Para publicar registros de instancias de base de datos de PostgreSQL en Logs, consulte CloudWatch Publicar registros de PostgreSQL en Amazon Logs en la Guía del usuario de CloudWatch Amazon RDS.
[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch
Requisitos relacionados: PCI DSS v4.0.1/10.4.2
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
Regla de AWS Config : rds-aurora-postgresql-logs-to-cloudwatch
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de base de datos PostgreSQL de Amazon Aurora está configurado para publicar registros en Amazon Logs. CloudWatch El control falla si el clúster de base de datos Aurora PostgreSQL no está configurado para publicar registros de PostgreSQL en Logs. CloudWatch
El registro de base de datos proporciona detalles sobre las solicitudes realizadas a un clúster de RDS. Aurora PostgreSQL genera registros de eventos que contienen información útil para los administradores. La publicación de estos registros en CloudWatch Logs centraliza la administración de registros y le ayuda a realizar análisis en tiempo real de los datos de registro. CloudWatch Logs conserva los registros en un almacenamiento muy duradero. También puede crear alarmas y ver las métricas en CloudWatch.
Corrección
Para publicar los registros del clúster de base de datos Aurora PostgreSQL en Logs, consulte CloudWatch Publicar registros de Aurora PostgreSQL en Amazon Logs en la Guía del usuario de CloudWatch Amazon RDS.
[RDS.38] Las instancias de base de datos de RDS para PostgreSQL deben cifrarse en tránsito
Categoría: Proteger > Protección de datos > Cifrado de data-in-transit
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-postgres-instance-encrypted-in-transit
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si una conexión a una instancia Amazon RDS for PostgreSQL de base de datos (DB) está cifrada en tránsito. El control falla si el rds.force_ssl parámetro del grupo de parámetros asociado a la instancia está establecido en 0 (desactivado). Este control no evalúa las instancias de base de datos de RDS que forman parte de un clúster de base de datos.
Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.
Corrección
Para exigir que todas las conexiones a su instancia de base de datos de RDS para PostgreSQL utilicen SSL, consulte Uso de SSL con una instancia de base de datos de PostgreSQL en la Guía del usuario de Amazon RDS.
[RDS.39] Las instancias de base de datos de RDS para MySQL deben cifrarse en tránsito
Categoría: Proteger > Protección de datos > Cifrado de data-in-transit
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-mysql-instance-encrypted-in-transit
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si una conexión a una instancia Amazon RDS for MySQL de base de datos (DB) está cifrada en tránsito. El control falla si el rds.require_secure_transport parámetro del grupo de parámetros asociado a la instancia está establecido en 0 (desactivado). Este control no evalúa las instancias de base de datos de RDS que forman parte de un clúster de base de datos.
Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.
Corrección
Para exigir que todas las conexiones a su instancia de base de datos RDS para MySQL utilicen SSL, consulte la compatibilidad con SSL/TLS para instancias de base de datos MySQL en Amazon RDS en la Guía del usuario de Amazon RDS.
[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIst.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIst.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config : rds-sql-server-logs-to-cloudwatch
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Lista de los tipos de registros que una instancia CloudWatch de base de datos de RDS para SQL Server debe configurarse para publicarlos en los registros. Este control produce un error si una instancia de base de datos no está configurada para publicar un tipo de registro especificado en la lista. |
EnumList (máximo de 2 elementos) |
|
|
Este control comprueba si una instancia de base de datos de Amazon RDS for Microsoft SQL Server está configurada para publicar registros en CloudWatch Amazon Logs. El control falla si la instancia de base de datos de RDS para SQL Server no está configurada para publicar registros en Logs. CloudWatch Si lo desea, puede especificar los tipos de registros que debe configurarse para publicar una instancia de base de datos.
El registro de la base de datos proporciona registros detallados de las solicitudes realizadas a una instancia de base de datos de Amazon RDS. La publicación de registros en CloudWatch Logs centraliza la administración de registros y le ayuda a realizar análisis de los datos de registro en tiempo real. CloudWatch Logs conserva los registros en un almacenamiento muy duradero. Además, puede usarlo para crear alarmas para errores específicos que puedan producirse, como los reinicios frecuentes que se registran en un registro de errores. Del mismo modo, puede crear alarmas para los errores o advertencias que se registren en los registros de los agentes de SQL Server relacionados con las tareas de los agentes de SQL.
Corrección
Para obtener información sobre la publicación de registros en CloudWatch los registros de una instancia de base de datos de RDS para SQL Server, consulte los archivos de registro de bases de datos de Amazon RDS para Microsoft SQL Server en la Guía del usuario de Amazon Relational Database Service.
