Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour Amazon RDS

Ces AWS Security Hub contrôles évaluent le service et les ressources Amazon Relational Database Service (Amazon RDS).

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[RDS.1] L'instantané RDS doit être privé

Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21), (3), (4) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Critique

Type de ressource :AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot

Règle AWS Config  : rds-snapshots-public-prohibited

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les instantanés Amazon RDS sont publics. Le contrôle échoue si les instantanés RDS sont publics. Ce contrôle évalue les instances RDS, les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB.

Les instantanés RDS sont utilisés pour sauvegarder les données sur vos instances RDS à un moment donné. Ils peuvent être utilisés pour restaurer les états précédents des instances RDS.

Un instantané RDS ne doit pas être public si ce n’est pas prévu. Si vous partagez un instantané manuel non chiffré en tant que public, cela le rend accessible à tous Comptes AWS. Cela peut entraîner une exposition involontaire des données de votre instance RDS.

Notez que si la configuration est modifiée pour autoriser l'accès public, la AWS Config règle risque de ne pas être en mesure de détecter le changement avant 12 heures. Tant que la AWS Config règle ne détecte pas le changement, le contrôle est réussi même si la configuration enfreint la règle.

Pour en savoir plus sur le partage d'un instantané de base de données, consultez la section Partage d'un instantané de base de données dans le guide de l'utilisateur Amazon RDS.

Correction

Pour supprimer l'accès public aux instantanés RDS, consultez la section Partage d'un instantané dans le guide de l'utilisateur Amazon RDS. Pour la visibilité des instantanés de base de données, nous choisissons Private.

[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible

Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/2.3.3, (21), (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS 3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Critique

Type de ressource : AWS::RDS::DBInstance

Règle AWS Config  : rds-instance-public-access-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les instances Amazon RDS sont accessibles au public en évaluant le PubliclyAccessible champ dans l'élément de configuration de l'instance.

Les instances de base de données Neptune et les clusters Amazon DocumentDB n'ont pas cet indicateur et ne PubliclyAccessible peuvent pas être évalués. Cependant, ce contrôle peut toujours générer des résultats pour ces ressources. Vous pouvez supprimer ces résultats.

La valeur PubliclyAccessible de la configuration de l'instance RDS indique si l'instance DB est publiquement accessible. Lorsque l'instance de base de données est configuré avec la valeur PubliclyAccessible, il s'agit d'une instance connectée à Internet avec un nom DNS qui peut être publiquement résolu, qui correspond à une adresse IP publique. Lorsque l'instance de base de données n'est pas accessible publiquement, il s'agit d'une instance interne avec un nom DNS qui correspond à une adresse IP privée.

À moins que vous ne souhaitiez que votre instance RDS soit accessible au public, l'instance RDS ne doit pas être configurée avec une PubliclyAccessible valeur. Cela risque d'entraîner un trafic inutile vers votre instance de base de données.

Correction

Pour supprimer l'accès public aux instances de base de données RDS, consultez la section Modification d'une instance de base de données Amazon RDS dans le guide de l'utilisateur Amazon RDS. Pour l'accès public, choisissez Non.

[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 (6) NIST.800-53.r5 SC-7

Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest

Gravité : Moyenne

Type de ressource : AWS::RDS::DBInstance

Règle AWS Config  : rds-storage-encrypted

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le chiffrement du stockage est activé pour vos instances de base de données Amazon RDS.

Ce contrôle est destiné aux instances de base de données RDS. Cependant, il peut également générer des résultats pour les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.

Pour une couche de sécurité supplémentaire pour vos données sensibles dans les instances DB RDS, vous devez configurer ces dernières pour qu'elles soient chiffrées au repos. Pour chiffrer vos instances et vos instantanés de base de données RDS au repos, activez l'option de chiffrement pour vos instances de base de données RDS. Les données qui sont chiffrées au repos incluent le stockage sous-jacent pour des instance DB, les sauvegardes automatisées, les réplicas en lecture et les instantanés.

Les instances de base de données RDS chiffrées utilisent l'algorithme de chiffrement AES-256 standard pour chiffrer vos données sur le serveur qui héberge vos instances de base de données RDS. Une fois vos données chiffrées, Amazon RDS gère l'authentification de l'accès et le déchiffrement de vos données de manière transparente avec un impact minimal sur les performances. Vous n'avez pas besoin de modifier vos applications clientes de base de données pour utiliser le chiffrement.

Le chiffrement Amazon RDS est actuellement disponible pour tous les moteurs de base de données et types de stockage. Le chiffrement Amazon RDS est disponible pour la plupart des classes d'instance de base de données. Pour en savoir plus sur les classes d'instances de base de données qui ne prennent pas en charge le chiffrement Amazon RDS, consultez la section Chiffrement des ressources Amazon RDS dans le guide de l'utilisateur Amazon RDS.

Correction

Pour plus d'informations sur le chiffrement des instances de base de données dans Amazon RDS, consultez la section Chiffrement des ressources Amazon RDS dans le guide de l'utilisateur Amazon RDS.

[RDS.4] Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest

Gravité : Moyenne

Type de ressource :AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot

Règle AWS Config  : rds-snapshot-encrypted

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un instantané de base de données RDS est chiffré. Le contrôle échoue si un instantané de base de données RDS n'est pas chiffré.

Ce contrôle est destiné aux instances de base de données RDS. Toutefois, il peut également générer des résultats pour les instantanés des instances de base de données Aurora, des instances de base de données Neptune et des clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.

Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. Les données contenues dans les instantanés RDS doivent être chiffrées au repos pour renforcer la sécurité.

Correction

Pour chiffrer un instantané RDS, consultez la section Chiffrer les ressources Amazon RDS dans le guide de l'utilisateur Amazon RDS. Lorsque vous chiffrez une instance de base de données RDS, les données chiffrées incluent le stockage sous-jacent de l'instance, ses sauvegardes automatisées, ses répliques de lecture et ses instantanés.

Vous ne pouvez chiffrer une instance de base de données RDS que lorsque vous la créez, et non une fois l'instance de base de données créée. Cependant, parce que vous pouvez chiffrer une copie d'un instantané non chiffré, vous pouvez ajouter le chiffrement efficacement à une instance de base de données non chiffrée. Autrement dit, vous pouvez créer un instantané de votre instance de base de données et ensuite créer une copie chiffrée de l'instantané. Vous pouvez ensuite restaurer une instance de base de données à partir de l'instantané chiffré et vous aurez une copie chiffrée de votre instance de base de données d'origine.

[RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::RDS::DBInstance

Règle AWS Config  : rds-multi-az-support

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la haute disponibilité est activée pour vos instances de base de données RDS. Le contrôle échoue si une instance de base de données RDS n'est pas configurée avec plusieurs zones de disponibilité (AZs). Ce contrôle ne s'applique pas aux instances de base de données RDS qui font partie d'un déploiement de cluster de base de données multi-AZ.

La configuration des instances de base de données Amazon RDS AZs permet de garantir la disponibilité des données stockées. Les déploiements multi-AZ permettent un basculement automatique en cas de problème de disponibilité de l'AZ et lors de la maintenance régulière du RDS.

Correction

Pour déployer vos instances de base de données en plusieurs AZs, modifiez une instance de base de données pour en faire un déploiement d'instance de base de données multi-AZ dans le guide de l'utilisateur Amazon RDS.

[RDS.6] Une surveillance améliorée doit être configurée pour les instances de base de données RDS

Exigences connexes : NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

Catégorie : Détecter - Services de détection

Gravité : Faible

Type de ressource : AWS::RDS::DBInstance

Règle AWS Config  : rds-enhanced-monitoring-enabled

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si la surveillance améliorée est activée pour une instance de base de données Amazon Relational Database Service (Amazon RDS). Le contrôle échoue si la surveillance améliorée n'est pas activée pour l'instance. Si vous fournissez une valeur personnalisée pour le monitoringInterval paramètre, le contrôle est effectué uniquement si des mesures de surveillance améliorées sont collectées pour l'instance à l'intervalle spécifié.

Dans Amazon RDS, la surveillance améliorée permet de réagir plus rapidement aux changements de performances de l'infrastructure sous-jacente. Ces modifications des performances peuvent entraîner un manque de disponibilité des données. La surveillance améliorée fournit des mesures en temps réel du système d'exploitation sur lequel s'exécute votre instance de base de données RDS. Un agent est installé sur l'instance. L'agent peut obtenir des métriques avec plus de précision que ce n'est possible à partir de la couche hyperviseur.

Les métriques de la surveillance améliorée sont utiles pour évaluer l'utilisation de l'UC par différents processus ou threads sur une instance de base de données. Pour de plus amples informations sur la surveillance améliorée, veuillez consulter la rubrique Enhanced Monitoring (Surveillance améliorée) dans le Guide de l'utilisateur Amazon RDS.

Correction

Pour obtenir des instructions détaillées sur l'activation de la surveillance améliorée pour votre instance de base de données, consultez la section Configuration et activation de la surveillance améliorée dans le guide de l'utilisateur Amazon RDS.

[RDS.7] La protection contre la suppression des clusters RDS doit être activée

Exigences connexes : NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

Catégorie : Protéger > Protection des données > Protection contre la suppression des données

Gravité : Faible

Type de ressource : AWS::RDS::DBCluster

Règle AWS Config  : rds-cluster-deletion-protection-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la protection contre les suppressions est activée sur un cluster de base de données RDS. Le contrôle échoue si la protection contre la suppression n'est pas activée sur un cluster de base de données RDS.

Ce contrôle est destiné aux instances de base de données RDS. Cependant, il peut également générer des résultats pour les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.

L'activation de la protection contre la suppression de clusters constitue un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par une entité non autorisée.

Lorsque la protection contre la suppression est activée, un cluster RDS ne peut pas être supprimé. Pour qu'une demande de suppression puisse aboutir, la protection contre la suppression doit être désactivée.

Correction

Pour activer la protection contre la suppression pour un cluster de base de données RDS, consultez la section Modification du cluster de base de données à l'aide de la console, de la CLI et de l'API dans le guide de l'utilisateur Amazon RDS. Pour la protection contre la suppression, choisissez Activer la protection contre la suppression.

[RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée

Exigences connexes : NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Catégorie : Protéger > Protection des données > Protection contre la suppression des données

Gravité : Faible

Type de ressource : AWS::RDS::DBInstance

Règle AWS Config  : rds-instance-deletion-protection-enabled

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si la protection contre les suppressions est activée sur vos instances de base de données RDS qui utilisent l'un des moteurs de base de données répertoriés. Le contrôle échoue si la protection contre la suppression n'est pas activée sur une instance de base de données RDS.

L'activation de la protection contre la suppression d'instance constitue un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par une entité non autorisée.

Lorsque la protection contre la suppression est activée, une instance de base de données RDS ne peut pas être supprimée. Pour qu'une demande de suppression puisse aboutir, la protection contre la suppression doit être désactivée.

Correction

Pour activer la protection contre la suppression pour une instance de base de données RDS, consultez la section Modification d'une instance de base de données Amazon RDS dans le guide de l'utilisateur Amazon RDS. Pour la protection contre la suppression, choisissez Activer la protection contre la suppression.

[RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch

Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::RDS::DBInstance

Règle AWS Config  : rds-logging-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une instance de base de données Amazon RDS est configurée pour publier les journaux suivants sur Amazon CloudWatch Logs. Le contrôle échoue si l'instance n'est pas configurée pour publier les journaux suivants dans CloudWatch Logs :

Les journaux pertinents doivent être activés dans les bases de données RDS. La journalisation de la base de données fournit des enregistrements détaillés des demandes adressées à RDS. Les journaux de base de données peuvent faciliter les audits de sécurité et d'accès et peuvent aider à diagnostiquer les problèmes de disponibilité.

Correction

Pour publier les journaux de base de données RDS dans CloudWatch Logs, consultez la section Spécification des CloudWatch journaux à publier dans Logs dans le guide de l'utilisateur Amazon RDS.

[RDS.10] L'authentification IAM doit être configurée pour les instances RDS

Exigences connexes : NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe

Gravité : Moyenne

Type de ressource : AWS::RDS::DBInstance

Règle AWS Config  : rds-instance-iam-authentication-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'authentification de base de données IAM est activée sur une instance de base de données RDS. Le contrôle échoue si l'authentification IAM n'est pas configurée pour les instances de base de données RDS. Ce contrôle évalue uniquement les instances RDS dotées des types de moteurs suivants :mysql,,postgres, aurora aurora-mysqlaurora-postgresql, et. mariadb Une instance RDS doit également être dans l'un des états suivants pour qu'une recherche soit générée :available, backing-upstorage-optimization, oustorage-full.

L'authentification de base de données IAM permet d'authentifier les instances de base de données à l'aide d'un jeton d'authentification au lieu d'un mot de passe. Le trafic réseau à destination et en provenance de la base de données est crypté à l'aide du protocole SSL. Pour de plus amples informations, veuillez consulter Authentification de base de données IAM dans le Guide de l'utilisateur Amazon Aurora.

Correction

Pour activer l'authentification de base de données IAM sur une instance de base de données RDS, consultez la section Activation et désactivation de l'authentification de base de données IAM dans le guide de l'utilisateur Amazon RDS.

[RDS.11] Les sauvegardes automatiques doivent être activées sur les instances RDS

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

Catégorie : Restauration > Résilience > Sauvegardes activées

Gravité : Moyenne

Type de ressource : AWS::RDS::DBInstance

Règle AWS Config  : db-instance-backup-enabled

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si les sauvegardes automatisées sont activées sur une instance Amazon Relational Database Service et si la période de conservation des sauvegardes est supérieure ou égale à la période spécifiée. Les répliques de lecture sont exclues de l'évaluation. Le contrôle échoue si les sauvegardes ne sont pas activées pour l'instance ou si la période de rétention est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des sauvegardes, Security Hub utilise une valeur par défaut de 7 jours.

Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité et renforcent la résilience de vos systèmes. Amazon RDS vous permet de configurer des instantanés quotidiens du volume complet de l'instance. Pour plus d'informations sur les sauvegardes automatisées Amazon RDS, consultez Working with Backups dans le guide de l'utilisateur Amazon RDS.

Correction

Pour activer les sauvegardes automatisées sur une instance de base de données RDS, consultez la section Activation des sauvegardes automatisées dans le guide de l'utilisateur Amazon RDS.

[RDS.12] L'authentification IAM doit être configurée pour les clusters RDS

Exigences connexes : NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe

Gravité : Moyenne

Type de ressource : AWS::RDS::DBCluster

Règle AWS Config  : rds-cluster-iam-authentication-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'authentification de base de données IAM est activée sur un cluster de base de données Amazon RDS.

L'authentification de base de données IAM permet une authentification sans mot de passe pour les instances de base de données. L'authentification utilise un jeton d'authentification. Le trafic réseau à destination et en provenance de la base de données est crypté à l'aide du protocole SSL. Pour de plus amples informations, veuillez consulter Authentification de base de données IAM dans le Guide de l'utilisateur Amazon Aurora.

Correction

Pour activer l'authentification IAM pour un cluster de base de données, consultez la section Activation et désactivation de l'authentification de base de données IAM dans le guide de l'utilisateur Amazon Aurora.

[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées

Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/2.3.2, Nist.800-53.R5 SI-2, Nist.800-53.R5 SI-2 (2), Nist.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions

Gravité : Élevée

Type de ressource : AWS::RDS::DBInstance

Règle AWS Config  : rds-automatic-minor-version-upgrade-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les mises à niveau automatiques des versions mineures sont activées pour l'instance de base de données RDS.

L'activation des mises à niveau automatiques des versions mineures garantit que les dernières mises à jour des versions mineures du système de gestion de base de données relationnelle (RDBMS) sont installées. Ces mises à niveau peuvent inclure des correctifs de sécurité et des corrections de bogues. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes.

Correction

Pour activer les mises à niveau automatiques de versions mineures pour une instance de base de données existante, consultez la section Modification d'une instance de base de données Amazon RDS dans le guide de l'utilisateur Amazon RDS. Pour la mise à niveau automatique de la version mineure, sélectionnez Oui.

[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora

Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SI-13 (5)

Catégorie : Restauration > Résilience > Sauvegardes activées

Gravité : Moyenne

Type de ressource : AWS::RDS::DBCluster

Règle AWS Config  : aurora-mysql-backtracking-enabled

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si le retour en arrière est activé sur un cluster Amazon Aurora. Le contrôle échoue si le retour en arrière n'est pas activé sur le cluster. Si vous fournissez une valeur personnalisée pour le BacktrackWindowInHours paramètre, le contrôle est transféré uniquement si le cluster fait l'objet d'un retour en arrière pendant la durée spécifiée.

Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent également la résilience de vos systèmes. Le retour en arrière d'Aurora réduit le délai de restauration d'une base de données à un point précis dans le temps. Pour ce faire, il n'est pas nécessaire de restaurer la base de données.

Correction

Pour activer le retour en arrière sur Aurora, consultez la section Configuration du retour arrière dans le guide de l'utilisateur Amazon Aurora.

Notez que vous ne pouvez pas activer le retour en arrière sur un cluster existant. Au lieu de cela, vous pouvez créer un clone sur lequel le retour en arrière est activé. Pour plus d'informations sur les limites du retour en arrière d'Aurora, consultez la liste des limitations dans la section Présentation du retour en arrière.

[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::RDS::DBCluster

Règle AWS Config  : rds-cluster-multi-az-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la haute disponibilité est activée pour vos clusters de base de données RDS. Le contrôle échoue si un cluster de base de données RDS n'est pas déployé dans plusieurs zones de disponibilité (AZs).

Les clusters de base de données RDS doivent être configurés pour plusieurs AZs afin de garantir la disponibilité des données stockées. Le déploiement sur plusieurs AZs sites permet un basculement automatique en cas de problème de disponibilité de l'AZ et lors d'événements de maintenance RDS réguliers.

Correction

Pour déployer vos clusters de base de données en plusieurs AZs, modifiez une instance de base de données pour en faire un déploiement d'instance de base de données multi-AZ dans le guide de l'utilisateur Amazon RDS.

Les étapes de correction diffèrent pour les bases de données globales Aurora. Pour configurer plusieurs zones de disponibilité pour une base de données globale Aurora, sélectionnez votre cluster de base de données. Choisissez ensuite Actions et Ajouter un lecteur, puis spécifiez plusieurs AZs. Pour plus d'informations, consultez la section Ajouter des répliques Aurora à un cluster de bases de données dans le guide de l'utilisateur Amazon Aurora.

[RDS.16] Les clusters de base de données RDS doivent être configurés pour copier des balises dans des instantanés

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

Catégorie : Identifier - Inventaire

Gravité : Faible

Type de ressource : AWS::RDS::DBCluster

AWS Config règle : rds-cluster-copy-tags-to-snapshots-enabled (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les clusters de base de données RDS sont configurés pour copier toutes les balises dans les instantanés lors de leur création.

L'identification et l'inventaire de vos actifs informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité sur tous vos clusters de base de données RDS afin de pouvoir évaluer leur niveau de sécurité et prendre des mesures sur les points faibles potentiels. Les instantanés doivent être balisés de la même manière que leurs clusters de base de données RDS parents. L'activation de ce paramètre garantit que les instantanés héritent des balises de leurs clusters de base de données parents.

Correction

Pour copier automatiquement les balises dans les instantanés d'un cluster de base de données RDS, consultez la section Modification du cluster de base de données à l'aide de la console, de la CLI et de l'API dans le guide de l'utilisateur Amazon Aurora. Sélectionnez Copier les balises dans les instantanés.

[RDS.17] Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

Catégorie : Identifier - Inventaire

Gravité : Faible

Type de ressource : AWS::RDS::DBInstance

AWS Config règle : rds-instance-copy-tags-to-snapshots-enabled (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les instances de base de données RDS sont configurées pour copier toutes les balises dans les instantanés lors de leur création.

L'identification et l'inventaire de vos actifs informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité sur toutes vos instances de base de données RDS afin de pouvoir évaluer leur niveau de sécurité et prendre des mesures sur les points faibles potentiels. Les instantanés doivent être balisés de la même manière que leurs instances de base de données RDS parentes. L'activation de ce paramètre garantit que les instantanés héritent des balises de leurs instances de base de données parentes.

Correction

Pour copier automatiquement les balises dans les instantanés d'une instance de base de données RDS, consultez la section Modification d'une instance de base de données Amazon RDS dans le guide de l'utilisateur Amazon RDS. Sélectionnez Copier les balises dans les instantanés.

[RDS.18] Les instances RDS doivent être déployées dans un VPC

Exigences connexes : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Catégorie : Protection > Configuration réseau sécurisée > Ressources au sein du VPC

Gravité : Élevée

Type de ressource : AWS::RDS::DBInstance

AWS Config règle : rds-deployed-in-vpc (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une instance Amazon RDS est déployée sur un EC2 -VPC.

VPCs fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux ressources RDS. Ces contrôles incluent les points de terminaison VPC, le réseau et les groupes de ACLs sécurité. Pour tirer parti de ces contrôles, nous vous recommandons de créer vos instances RDS sur un EC2 -VPC.

Correction

Pour obtenir des instructions sur le déplacement d'instances RDS vers un VPC, consultez la section Mise à jour du VPC pour une instance de base de données dans le guide de l'utilisateur Amazon RDS.

[RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster

Exigences connexes : NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

Catégorie : Détecter > Services de détection > Surveillance des applications

Gravité : Faible

Type de ressource : AWS::RDS::EventSubscription

AWS Config règle : rds-cluster-event-notifications-configured (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un abonnement aux événements Amazon RDS existant pour les clusters de base de données comporte des notifications activées pour les paires clé-valeur du type de source et de la catégorie d'événement suivantes :

DBCluster: ["maintenance","failure"]

Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.

Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section Utilisation des notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS.

Correction

Pour vous abonner aux notifications d'événements du cluster RDS, consultez la section S'abonner aux notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS. Utilisez les valeurs suivantes :

[RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données

Exigences connexes : NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2

Catégorie : Détecter > Services de détection > Surveillance des applications

Gravité : Faible

Type de ressource : AWS::RDS::EventSubscription

AWS Config règle : rds-instance-event-notifications-configured (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un abonnement aux événements Amazon RDS existant pour les instances de base de données comporte des notifications activées pour les paires clé-valeur du type de source et de la catégorie d'événement suivantes :

DBInstance: ["maintenance","configuration change","failure"]

Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.

Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section Utilisation des notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS.

Correction

Pour vous abonner aux notifications d'événements d'instance RDS, consultez la section S'abonner aux notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS. Utilisez les valeurs suivantes :

[RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques de groupes de paramètres de base de données

Exigences connexes : NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2

Catégorie : Détecter > Services de détection > Surveillance des applications

Gravité : Faible

Type de ressource : AWS::RDS::EventSubscription

AWS Config règle : rds-pg-event-notifications-configured (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie s'il existe un abonnement aux événements Amazon RDS avec les notifications activées pour les paires clé-valeur suivantes : type de source, catégorie d'événement. Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.

DBParameterGroup: ["configuration change"]

Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section Utilisation des notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS.

Correction

Pour vous abonner aux notifications d'événements de groupes de paramètres de base de données RDS, consultez la section Abonnement aux notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS. Utilisez les valeurs suivantes :

[RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données

Exigences connexes : NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2

Catégorie : Détecter > Services de détection > Surveillance des applications

Gravité : Faible

Type de ressource : AWS::RDS::EventSubscription

AWS Config règle : rds-sg-event-notifications-configured (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie s'il existe un abonnement aux événements Amazon RDS avec les notifications activées pour les paires clé-valeur suivantes : type de source, catégorie d'événement. Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.

DBSecurityGroup: ["configuration change","failure"]

Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section Utilisation des notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS.

Correction

Pour vous abonner aux notifications d'événements d'instance RDS, consultez la section S'abonner aux notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS. Utilisez les valeurs suivantes :

[RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données

Exigences connexes : NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Faible

Type de ressource : AWS::RDS::DBInstance

AWS Config règle : rds-no-default-ports (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un cluster ou une instance RDS utilise un port autre que le port par défaut du moteur de base de données. Le contrôle échoue si le cluster ou l'instance RDS utilise le port par défaut. Ce contrôle ne s'applique pas aux instances RDS qui font partie d'un cluster.

Si vous utilisez un port connu pour déployer un cluster ou une instance RDS, un attaquant peut deviner des informations sur le cluster ou l'instance. L'attaquant peut utiliser ces informations conjointement avec d'autres informations pour se connecter à un cluster ou à une instance RDS ou obtenir des informations supplémentaires sur votre application.

Lorsque vous modifiez le port, vous devez également mettre à jour les chaînes de connexion existantes utilisées pour vous connecter à l'ancien port. Vous devez également vérifier le groupe de sécurité de l'instance de base de données pour vous assurer qu'il inclut une règle d'entrée qui autorise la connectivité sur le nouveau port.

Correction

Pour modifier le port par défaut d'une instance de base de données RDS existante, consultez la section Modification d'une instance de base de données Amazon RDS dans le guide de l'utilisateur Amazon RDS. Pour modifier le port par défaut d'un cluster de base de données RDS existant, consultez la section Modification du cluster de base de données à l'aide de la console, de la CLI et de l'API dans le guide de l'utilisateur Amazon Aurora. Pour le port de base de données, remplacez la valeur du port par une valeur autre que celle par défaut.

[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2

Catégorie : Identifier > Configuration des ressources

Gravité : Moyenne

Type de ressource : AWS::RDS::DBCluster

Règle AWS Config  : rds-cluster-default-admin-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un cluster de bases de données Amazon RDS a modifié le nom d'utilisateur de l'administrateur par rapport à sa valeur par défaut. Le contrôle ne s'applique pas aux moteurs du type neptune (Neptune DB) ou docdb (DocumentDB). Cette règle échouera si le nom d'utilisateur de l'administrateur est défini sur la valeur par défaut.

Lorsque vous créez une base de données Amazon RDS, vous devez remplacer le nom d'utilisateur administrateur par défaut par une valeur unique. Les noms d'utilisateur par défaut sont de notoriété publique et doivent être modifiés lors de la création de la base de données RDS. La modification des noms d'utilisateur par défaut réduit le risque d'accès involontaire.

Correction

Pour modifier le nom d'utilisateur d'administrateur associé au cluster de bases de données Amazon RDS, créez un nouveau cluster de base de données RDS et modifiez le nom d'utilisateur d'administrateur par défaut lors de la création de la base de données.

[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2

Catégorie : Identifier > Configuration des ressources

Gravité : Moyenne

Type de ressource : AWS::RDS::DBInstance

Règle AWS Config  : rds-instance-default-admin-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si vous avez modifié le nom d'utilisateur administratif des instances de base de données Amazon Relational Database Service (Amazon RDS) par rapport à la valeur par défaut. Le contrôle échoue si le nom d'utilisateur administratif est défini sur la valeur par défaut. Le contrôle ne s'applique pas aux moteurs du type neptune (Neptune DB) ou docdb (DocumentDB), ni aux instances RDS qui font partie d'un cluster.

Les noms d'utilisateur administratifs par défaut sur les bases de données Amazon RDS sont de notoriété publique. Lorsque vous créez une base de données Amazon RDS, vous devez remplacer le nom d'utilisateur administratif par défaut par une valeur unique afin de réduire le risque d'accès involontaire.

Correction

Pour modifier le nom d'utilisateur administratif associé à une instance de base de données RDS, créez d'abord une nouvelle instance de base de données RDS. Modifiez le nom d'utilisateur administratif par défaut lors de la création de la base de données.

[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde

Catégorie : Restauration > Résilience > Sauvegardes activées

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

Gravité : Moyenne

Type de ressource : AWS::RDS::DBInstance

AWS Config règle : rds-resources-protected-by-backup-plan

Type de calendrier : Périodique

Paramètres :

Ce contrôle évalue si les instances de base de données Amazon RDS sont couvertes par un plan de sauvegarde. Ce contrôle échoue si l'instance de base de données RDS n'est pas couverte par un plan de sauvegarde. Si vous définissez le backupVaultLockCheck paramètre égal àtrue, le contrôle est transféré uniquement si l'instance est sauvegardée dans un coffre-fort AWS Backup verrouillé.

AWS Backup est un service de sauvegarde entièrement géré qui centralise et automatise la sauvegarde des données d'un bout à l'autre. Services AWS Avec AWS Backup, vous pouvez créer des politiques de sauvegarde appelées plans de sauvegarde. Vous pouvez utiliser ces plans pour définir vos besoins en matière de sauvegarde, notamment la fréquence de sauvegarde de vos données et la durée de conservation de ces sauvegardes. L'inclusion d'instances de base de données RDS dans un plan de sauvegarde vous permet de protéger vos données contre toute perte ou suppression involontaire.

Correction

Pour ajouter une instance de base de données RDS à un plan de AWS Backup sauvegarde, consultez la section Affectation de ressources à un plan de sauvegarde dans le Guide du AWS Backup développeur.

[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest

Gravité : Moyenne

Type de ressource : AWS::RDS::DBCluster

AWS Config règle : rds-cluster-encrypted-at-rest

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un cluster de base de données RDS est chiffré au repos. Le contrôle échoue si un cluster de base de données RDS n'est pas chiffré au repos.

Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé puisse y accéder. Le chiffrement de vos clusters de base de données RDS protège vos données et métadonnées contre tout accès non autorisé. Il répond également aux exigences de conformité relatives au data-at-rest chiffrement des systèmes de fichiers de production.

Correction

Vous pouvez activer le chiffrement au repos lorsque vous créez un cluster de base de données RDS. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un cluster. Pour plus d'informations, consultez la section Chiffrement d'un cluster de base de données Amazon Aurora dans le guide de l'utilisateur Amazon Aurora.

[RDS.28] Les clusters de base de données RDS doivent être balisés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::RDS::DBCluster

AWS Config règle : tagged-rds-dbcluster (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si un cluster de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le cluster de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Correction

Pour ajouter des balises à un cluster de base de données RDS, consultez la section Marquage des ressources Amazon RDS dans le guide de l'utilisateur Amazon RDS.

[RDS.29] Les instantanés du cluster de base de données RDS doivent être balisés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::RDS::DBClusterSnapshot

AWS Config règle : tagged-rds-dbclustersnapshot (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si un instantané de cluster de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le snapshot du cluster de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le snapshot du cluster de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Correction

Pour ajouter des balises à un instantané de cluster de base de données RDS, consultez la section Marquage des ressources Amazon RDS dans le guide de l'utilisateur Amazon RDS.

[RDS.30] Les instances de base de données RDS doivent être étiquetées

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::RDS::DBInstance

AWS Config règle : tagged-rds-dbinstance (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si une instance de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si l'instance de base de données ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'instance de base de données n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Correction

Pour ajouter des balises à une instance de base de données RDS, consultez la section Marquage des ressources Amazon RDS dans le guide de l'utilisateur Amazon RDS.

[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::RDS::DBSecurityGroup

AWS Config règle : tagged-rds-dbsecuritygroup (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si un groupe de sécurité de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le groupe de sécurité de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sécurité de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Correction

Pour ajouter des balises à un groupe de sécurité de base de données RDS, consultez la section Marquage des ressources Amazon RDS dans le guide de l'utilisateur Amazon RDS.

[RDS.32] Les instantanés de base de données RDS doivent être balisés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::RDS::DBSnapshot

AWS Config règle : tagged-rds-dbsnapshot (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si un instantané de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le snapshot de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le snapshot de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Correction

Pour ajouter des balises à un instantané de base de données RDS, consultez la section Marquage des ressources Amazon RDS dans le guide de l'utilisateur Amazon RDS.

[RDS.33] Les groupes de sous-réseaux de base de données RDS doivent être balisés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::RDS::DBSubnetGroup

AWS Config règle : tagged-rds-dbsubnetgroups (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si un groupe de sous-réseaux de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si le groupe de sous-réseaux de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sous-réseaux de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Correction

Pour ajouter des balises à un groupe de sous-réseaux de base de données RDS, consultez la section Marquage des ressources Amazon RDS dans le guide de l'utilisateur Amazon RDS.

[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch

Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::RDS::DBCluster

AWS Config règle : rds-aurora-mysql-audit-logging-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un cluster de base de données Amazon Aurora MySQL est configuré pour publier des journaux d'audit sur Amazon CloudWatch Logs. Le contrôle échoue si le cluster n'est pas configuré pour publier les journaux d'audit dans CloudWatch Logs. Le contrôle ne génère pas de résultats pour les clusters de base de données Aurora Serverless v1.

Les journaux d'audit enregistrent l'activité de la base de données, y compris les tentatives de connexion, les modifications de données, les modifications de schéma et d'autres événements pouvant être audités à des fins de sécurité et de conformité. Lorsque vous configurez un cluster de base de données Aurora MySQL pour publier des journaux d'audit dans un groupe de CloudWatch journaux dans Amazon Logs, vous pouvez effectuer une analyse en temps réel des données des journaux. CloudWatch Logs conserve les journaux dans un espace de stockage très durable. Vous pouvez également créer des alarmes et consulter les métriques dans CloudWatch.

Correction

Pour publier les journaux d'audit du cluster de bases de données Aurora MySQL dans CloudWatch Logs, consultez la section Publication des journaux Amazon Aurora MySQL sur Amazon CloudWatch Logs dans le guide de l'utilisateur Amazon Aurora.

[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée

Exigences connexes : NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions

Gravité : Moyenne

Type de ressource : AWS::RDS::DBCluster

AWS Config règle : rds-cluster-auto-minor-version-upgrade-enable

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la mise à niveau automatique des versions mineures est activée pour un cluster de base de données Amazon RDS Multi-AZ. Le contrôle échoue si la mise à niveau automatique des versions mineures n'est pas activée pour le cluster de base de données multi-AZ.

RDS fournit une mise à niveau automatique des versions mineures afin que vous puissiez maintenir votre cluster de base de données multi-AZ à jour. Les versions mineures peuvent introduire de nouvelles fonctionnalités logicielles, des corrections de bogues, des correctifs de sécurité et des améliorations de performances. En activant la mise à niveau automatique des versions mineures sur les clusters de bases de données RDS, le cluster, ainsi que les instances du cluster, recevront des mises à jour automatiques de la version mineure lorsque de nouvelles versions seront disponibles. Les mises à jour sont appliquées automatiquement pendant la fenêtre de maintenance.

Correction

Pour activer la mise à niveau automatique des versions mineures sur les clusters de base de données multi-AZ, consultez la section Modification d'un cluster de base de données multi-AZ dans le guide de l'utilisateur Amazon RDS.

[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch

Exigences connexes : PCI DSS v4.0.1/10.4.2

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::RDS::DBInstance

Règle AWS Config  : rds-postgresql-logs-to-cloudwatch

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si une instance de base de données Amazon RDS pour PostgreSQL est configurée pour publier des journaux sur Amazon Logs. CloudWatch Le contrôle échoue si l'instance de base de données PostgreSQL n'est pas configurée pour publier les types de journaux mentionnés dans logTypes le paramètre dans Logs. CloudWatch

La journalisation de base de données fournit des enregistrements détaillés des demandes adressées à une instance RDS. PostgreSQL génère des journaux d'événements qui contiennent des informations utiles pour les administrateurs. La publication de ces CloudWatch journaux dans Logs centralise la gestion des journaux et vous permet d'effectuer une analyse en temps réel des données des journaux. CloudWatch Logs conserve les journaux dans un espace de stockage très durable. Vous pouvez également créer des alarmes et consulter les métriques dansCloudWatch.

Correction

Pour publier les journaux des instances de base de données PostgreSQL dans Logs, consultez CloudWatch la section Publication des journaux PostgreSQL sur Amazon Logs dans le guide de l'utilisateur CloudWatch Amazon RDS.

[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch

Exigences connexes : PCI DSS v4.0.1/10.4.2

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::RDS::DBCluster

Règle AWS Config  : rds-aurora-postgresql-logs-to-cloudwatch

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un cluster de base de données Amazon Aurora PostgreSQL est configuré pour publier des journaux sur Amazon Logs. CloudWatch Le contrôle échoue si le cluster de base de données Aurora PostgreSQL n'est pas configuré pour publier les journaux PostgreSQL dans Logs. CloudWatch

La journalisation de base de données fournit des enregistrements détaillés des demandes adressées à un cluster RDS. Aurora PostgreSQL génère des journaux d'événements contenant des informations utiles pour les administrateurs. La publication de ces CloudWatch journaux dans Logs centralise la gestion des journaux et vous permet d'effectuer une analyse en temps réel des données des journaux. CloudWatch Logs conserve les journaux dans un espace de stockage très durable. Vous pouvez également créer des alarmes et consulter les métriques dans CloudWatch.

Correction

Pour publier les journaux CloudWatch du cluster de base de données Aurora PostgreSQL dans Logs, consultez la section Publication des journaux Aurora PostgreSQL sur Amazon Logs dans le guide de l'utilisateur CloudWatch Amazon RDS.

[RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::RDS::DBInstance

Règle AWS Config  : rds-postgres-instance-encrypted-in-transit

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si une connexion à une instance Amazon RDS for PostgreSQL de base de données (DB) est chiffrée en transit. Le contrôle échoue si le rds.force_ssl paramètre du groupe de paramètres associé à l'instance est défini sur 0 (off). Ce contrôle n'évalue pas les instances de base de données RDS qui font partie d'un cluster de base de données.

Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.

Correction

Pour exiger que toutes les connexions à votre instance de base de données RDS pour PostgreSQL utilisent le protocole SSL, consultez la section Utilisation du protocole SSL avec une instance de base de données PostgreSQL dans le guide de l'utilisateur Amazon RDS.

[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::RDS::DBInstance

Règle AWS Config  : rds-mysql-instance-encrypted-in-transit

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si une connexion à une instance Amazon RDS for MySQL de base de données (DB) est chiffrée en transit. Le contrôle échoue si le rds.require_secure_transport paramètre du groupe de paramètres associé à l'instance est défini sur 0 (off). Ce contrôle n'évalue pas les instances de base de données RDS qui font partie d'un cluster de base de données.

Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.

Correction

Pour exiger que toutes les connexions à votre instance de base de données RDS for MySQL utilisent le protocole SSL, consultez le support SSL/TLS pour les instances de base de données MySQL sur Amazon RDS dans le guide de l'utilisateur Amazon RDS.