Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk Amazon RDS
AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya Amazon Relational Database Service (RDSAmazon).
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[RDS.1] RDS snapshot harus bersifat pribadi
Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Kritis
Jenis sumber daya:AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
AWS Config aturan: rds-snapshots-public-prohibited
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah RDS snapshot Amazon bersifat publik. Kontrol gagal jika RDS snapshot bersifat publik. Kontrol ini mengevaluasi RDS instans, instans Aurora DB, instans DB Neptune, dan cluster Amazon DocumentDB.
RDSsnapshot digunakan untuk mencadangkan data pada RDS instans Anda pada titik waktu tertentu. Mereka dapat digunakan untuk mengembalikan status RDS instance sebelumnya.
RDSCuplikan tidak boleh bersifat publik kecuali dimaksudkan. Jika Anda membagikan snapshot manual yang tidak terenkripsi sebagai publik, ini membuat snapshot tersedia untuk semua. Akun AWS Hal ini dapat mengakibatkan eksposur data yang tidak diinginkan dari RDS instans Anda.
Perhatikan bahwa jika konfigurasi diubah untuk mengizinkan akses publik, AWS Config aturan mungkin tidak dapat mendeteksi perubahan hingga 12 jam. Sampai AWS Config aturan mendeteksi perubahan, cek lolos meskipun konfigurasi melanggar aturan.
Untuk mempelajari lebih lanjut tentang berbagi snapshot DB, lihat Berbagi snapshot DB di RDSPanduan Pengguna Amazon.
Remediasi
Untuk menghapus akses publik dari RDS snapshot, lihat Berbagi snapshot di RDSPanduan Pengguna Amazon. Untuk visibilitas snapshot DB, kami memilih Private.
[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible
Persyaratan terkait: CIS AWS Yayasan Benchmark v3.0.0/2.3.3,, (21),, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (4) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), v3.2.1/1.2.1, NIST.800-53.r5 SC-7 v3.2.1/1.3.1, NIST.800-53.r5 SC-7 v3.2.1/1.3.2, NIST.800-53.r5 SC-7 v3.2.1/1.3.4, v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4 PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Kritis
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-instance-public-access-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah RDS instans Amazon dapat diakses publik dengan mengevaluasi PubliclyAccessible bidang dalam item konfigurasi instans.
Instans Neptunus DB dan cluster Amazon DocumentDB tidak memiliki bendera dan tidak dapat dievaluasi. PubliclyAccessible Namun, kontrol ini masih dapat menghasilkan temuan untuk sumber daya ini. Anda dapat menekan temuan ini.
PubliclyAccessibleNilai dalam konfigurasi RDS instance menunjukkan apakah instans DB dapat diakses publik. Ketika instans DB dikonfigurasi denganPubliclyAccessible, itu adalah instance yang menghadap Internet dengan DNS nama yang dapat diselesaikan secara publik, yang diselesaikan ke alamat IP publik. Ketika instans DB tidak dapat diakses publik, itu adalah instance internal dengan DNS nama yang menyelesaikan ke alamat IP pribadi.
Kecuali jika Anda bermaksud agar RDS instance Anda dapat diakses oleh publik, RDS instance tidak boleh dikonfigurasi dengan PubliclyAccessible nilai. Melakukannya mungkin memungkinkan lalu lintas yang tidak perlu ke instance database Anda.
Remediasi
Untuk menghapus akses publik dari instans RDS DB, lihat Memodifikasi instans Amazon RDS DB di RDSPanduan Pengguna Amazon. Untuk akses Publik, pilih No.
[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v3.0.0/2.3.1, Tolok Ukur CIS AWS Yayasan v1.4.0/2.3.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), .800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6) NIST.800-53.r5 SC-7 NIST
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-storage-encrypted
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah enkripsi penyimpanan diaktifkan untuk instans Amazon RDS DB Anda.
Kontrol ini ditujukan untuk instans RDS DB. Namun, itu juga dapat menghasilkan temuan untuk instans Aurora DB, instans DB Neptunus, dan cluster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda bisa menekannya.
Untuk lapisan keamanan tambahan untuk data sensitif Anda dalam instans RDS DB, Anda harus mengonfigurasi instans RDS DB Anda untuk dienkripsi saat istirahat. Untuk mengenkripsi instans dan snapshot RDS DB Anda saat istirahat, aktifkan opsi enkripsi untuk instans DB AndaRDS. Data yang dienkripsi saat istirahat mencakup penyimpanan yang mendasari untuk instans DB, pencadangan otomatisnya, replika baca, dan snapshot.
RDSInstans DB terenkripsi menggunakan algoritme enkripsi standar terbuka AES -256 untuk mengenkripsi data Anda di server yang menghosting instans DB Anda. RDS Setelah data Anda dienkripsi, Amazon RDS menangani otentikasi akses dan dekripsi data Anda secara transparan dengan dampak minimal pada kinerja. Anda tidak perlu memodifikasi aplikasi klien database Anda untuk menggunakan enkripsi.
RDSEnkripsi Amazon saat ini tersedia untuk semua mesin database dan jenis penyimpanan. RDSEnkripsi Amazon tersedia untuk sebagian besar kelas instans DB. Untuk mempelajari tentang kelas instans DB yang tidak mendukung RDS enkripsi Amazon, lihat Mengenkripsi RDS sumber daya Amazon di RDSPanduan Pengguna Amazon.
Remediasi
Untuk informasi tentang mengenkripsi instans DB di AmazonRDS, lihat Mengenkripsi sumber daya Amazon RDS di Panduan Pengguna Amazon. RDS
[RDS.4] snapshot RDS cluster dan snapshot database harus dienkripsi saat istirahat
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya:AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
AWS Config aturan: rds-snapshot-encrypted
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah snapshot RDS DB dienkripsi. Kontrol gagal jika snapshot RDS DB tidak dienkripsi.
Kontrol ini ditujukan untuk instans RDS DB. Namun, ini juga dapat menghasilkan temuan untuk snapshot instans Aurora DB, instans DB Neptune, dan cluster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda bisa menekannya.
Mengenkripsi data saat istirahat mengurangi risiko bahwa pengguna yang tidak diautentikasi mendapatkan akses ke data yang disimpan pada disk. Data dalam RDS snapshot harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.
Remediasi
Untuk mengenkripsi RDS snapshot, lihat Mengenkripsi sumber daya RDS Amazon di Panduan Pengguna Amazon RDS. Saat Anda mengenkripsi instans RDS DB, data terenkripsi mencakup penyimpanan yang mendasari untuk instance, pencadangan otomatisnya, replika baca, dan snapshot.
Anda hanya dapat mengenkripsi instans RDS DB saat Anda membuatnya, bukan setelah instans DB dibuat. Namun, karena Anda dapat mengenkripsi salinan snapshot yang tidak dienkripsi, Anda dapat menambahkan enkripsi secara efektif ke instans DB yang tidak terenkripsi. Artinya, Anda dapat membuat snapshot instans DB, lalu membuat salinan terenkripsi dari snapshot tersebut. Anda kemudian dapat memulihkan instans DB dari snapshot terenkripsi untuk menghasilkan salinan terenkripsi dari instans DB asli.
[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-multi-az-support
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah ketersediaan tinggi diaktifkan untuk instans RDS DB Anda. Kontrol gagal jika instans RDS DB tidak dikonfigurasi dengan beberapa Availability Zones (AZs).
Mengonfigurasi instans Amazon RDS DB dengan AZs membantu memastikan ketersediaan data yang disimpan. Penerapan multi-AZ memungkinkan failover otomatis jika ada masalah dengan ketersediaan AZ dan selama pemeliharaan rutin. RDS
Remediasi
Untuk menerapkan instans DB Anda dalam beberapa kaliAZs, Memodifikasi instans DB menjadi penerapan instans DB multi-AZ di Panduan Pengguna Amazon. RDS
[RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB
Persyaratan terkait: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-enhanced-monitoring-enabled
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Jumlah detik antara pemantauan interval pengumpulan metrik |
Enum |
|
Tidak ada nilai default |
Kontrol ini memeriksa apakah pemantauan yang disempurnakan diaktifkan untuk instans DB Amazon Relational Database Service (RDSAmazon). Kontrol gagal jika pemantauan yang ditingkatkan tidak diaktifkan untuk instance. Jika Anda memberikan nilai khusus untuk monitoringInterval parameter, kontrol hanya akan diteruskan jika metrik pemantauan yang disempurnakan dikumpulkan untuk instance pada interval yang ditentukan.
Di AmazonRDS, Enhanced Monitoring memungkinkan respons yang lebih cepat terhadap perubahan kinerja di infrastruktur yang mendasarinya. Perubahan kinerja ini dapat mengakibatkan kurangnya ketersediaan data. Enhanced Monitoring menyediakan metrik real-time dari sistem operasi yang dijalankan instans RDS DB Anda. Agen diinstal pada instance. Agen dapat memperoleh metrik lebih akurat daripada yang mungkin dari lapisan hypervisor.
Metrik Pemantauan yang Ditingkatkan berguna ketika Anda ingin melihat bagaimana berbagai proses atau utas pada instans DB menggunakan. CPU Untuk informasi selengkapnya, lihat Pemantauan yang Ditingkatkan di Panduan RDS Pengguna Amazon.
Remediasi
Untuk petunjuk mendetail tentang mengaktifkan Pemantauan yang Ditingkatkan untuk instans DB Anda, lihat Menyiapkan dan mengaktifkan Pemantauan yang Ditingkatkan di RDSPanduan Pengguna Amazon.
[RDS.7] RDS cluster harus mengaktifkan perlindungan penghapusan
Persyaratan terkait: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Kategori: Lindungi > Perlindungan data > Perlindungan penghapusan data
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-cluster-deletion-protection-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah cluster RDS DB memiliki perlindungan penghapusan diaktifkan. Kontrol gagal jika cluster RDS DB tidak mengaktifkan perlindungan penghapusan.
Kontrol ini ditujukan untuk instans RDS DB. Namun, itu juga dapat menghasilkan temuan untuk instans Aurora DB, instans DB Neptunus, dan cluster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda bisa menekannya.
Mengaktifkan perlindungan penghapusan klaster adalah lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh entitas yang tidak sah.
Ketika proteksi penghapusan diaktifkan, RDS klaster tidak dapat dihapus. Sebelum permintaan penghapusan berhasil, perlindungan penghapusan harus dinonaktifkan.
Remediasi
Untuk mengaktifkan perlindungan penghapusan klaster RDS DB, lihat Memodifikasi cluster DB menggunakan konsolCLI, dan API di Panduan Pengguna Amazon RDS. Untuk perlindungan penghapusan, pilih Aktifkan perlindungan penghapusan.
[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan
Persyaratan terkait: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Kategori: Lindungi > Perlindungan data > Perlindungan penghapusan data
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-instance-deletion-protection-enabled
Jenis jadwal: Perubahan dipicu
Parameter:
-
databaseEngines:mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah instans RDS DB Anda yang menggunakan salah satu mesin database yang terdaftar memiliki perlindungan penghapusan diaktifkan. Kontrol gagal jika instans RDS DB tidak mengaktifkan perlindungan penghapusan.
Mengaktifkan perlindungan penghapusan instance adalah lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh entitas yang tidak sah.
Sementara perlindungan penghapusan diaktifkan, instans RDS DB tidak dapat dihapus. Sebelum permintaan penghapusan berhasil, perlindungan penghapusan harus dinonaktifkan.
Remediasi
Untuk mengaktifkan perlindungan penghapusan instans RDS DB, lihat Memodifikasi instans Amazon RDS DB di Panduan Pengguna Amazon RDS. Untuk perlindungan penghapusan, pilih Aktifkan perlindungan penghapusan.
[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch
Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (10), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.2.1 NIST PCI DSS
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-logging-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah instans Amazon RDS DB dikonfigurasi untuk mempublikasikan log berikut ke Amazon CloudWatch Logs. Kontrol gagal jika instance tidak dikonfigurasi untuk mempublikasikan log berikut ke CloudWatch Log:
-
Oracle: (Peringatan, Audit, Jejak, Pendengar)
-
PostgreSQL: (Postgresql, Upgrade)
-
SayaSQL: (Audit, Kesalahan, Umum, SlowQuery)
-
MariaDB: (Audit, Kesalahan, Umum,) SlowQuery
-
SQLServer: (Kesalahan, Agen)
-
Aurora: (Audit, Kesalahan, Umum,) SlowQuery
-
Aurora-MySQL: (Audit, Kesalahan, Umum,) SlowQuery
-
Aurora-PostgreSQL: (Postgresql, Tingkatkan).
RDSdatabase harus mengaktifkan log yang relevan. Database logging menyediakan catatan rinci dari permintaan yang dibuat untukRDS. Log basis data dapat membantu audit keamanan dan akses dan dapat membantu mendiagnosis masalah ketersediaan.
Remediasi
Untuk memublikasikan log RDS database ke CloudWatch Log, lihat Menentukan log yang akan dipublikasikan ke CloudWatch Log di Panduan RDS Pengguna Amazon.
[RDS.10] IAM otentikasi harus dikonfigurasi untuk instance RDS
Persyaratan terkait: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Kategori: Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-instance-iam-authentication-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah instans RDS DB memiliki otentikasi IAM database yang diaktifkan. Kontrol gagal jika IAM otentikasi tidak dikonfigurasi untuk instans RDS DB. Kontrol ini hanya mengevaluasi RDS instance dengan jenis mesin berikut:mysql,,,postgres, aurora aurora-mysqlaurora-postgresql, dan. mariadb Sebuah RDS instance juga harus berada di salah satu status berikut untuk menghasilkan temuan:available,, backing-upstorage-optimization, ataustorage-full.
IAMotentikasi database memungkinkan otentikasi ke instance database dengan token otentikasi alih-alih kata sandi. Lalu lintas jaringan ke dan dari database dienkripsi menggunakan. SSL Untuk informasi selengkapnya, lihat otentikasi IAM database di Panduan Pengguna Amazon Aurora.
Remediasi
Untuk mengaktifkan otentikasi IAM database pada instans RDS DB, lihat Mengaktifkan dan menonaktifkan otentikasi IAM database di Panduan Pengguna Amazon. RDS
[RDS.11] RDS instance harus mengaktifkan pencadangan otomatis
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Kategori: Pulih> Ketahanan > Cadangan diaktifkan
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: db-instance-backup-enabled
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Periode retensi cadangan minimum dalam beberapa hari |
Bilangan Bulat |
|
|
|
|
Memeriksa apakah instans RDS DB memiliki cadangan yang diaktifkan untuk replika baca |
Boolean |
Tidak dapat disesuaikan |
|
Kontrol ini memeriksa apakah instans Amazon Relational Database Service telah mengaktifkan pencadangan otomatis, dan periode retensi cadangan yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Baca replika dikecualikan dari evaluasi. Kontrol gagal jika cadangan tidak diaktifkan untuk instance, atau jika periode retensi kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode penyimpanan cadangan, Security Hub menggunakan nilai default 7 hari.
Pencadangan membantu Anda pulih lebih cepat dari insiden keamanan dan memperkuat ketahanan sistem Anda. Amazon RDS memungkinkan Anda mengonfigurasi snapshot volume instans penuh harian. Untuk informasi selengkapnya tentang pencadangan RDS otomatis Amazon, lihat Bekerja dengan Pencadangan di Panduan Pengguna Amazon. RDS
Remediasi
Untuk mengaktifkan pencadangan otomatis pada instans RDS DB, lihat Mengaktifkan pencadangan otomatis di Panduan Pengguna Amazon. RDS
[RDS.12] IAM otentikasi harus dikonfigurasi untuk cluster RDS
Persyaratan terkait: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Kategori: Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-cluster-iam-authentication-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah cluster Amazon RDS DB memiliki otentikasi IAM database yang diaktifkan.
IAMotentikasi database memungkinkan otentikasi bebas kata sandi ke instance database. Otentikasi menggunakan token otentikasi. Lalu lintas jaringan ke dan dari database dienkripsi menggunakan. SSL Untuk informasi selengkapnya, lihat otentikasi IAM database di Panduan Pengguna Amazon Aurora.
Remediasi
Untuk mengaktifkan IAM otentikasi klaster DB, lihat Mengaktifkan dan menonaktifkan otentikasi IAM database di Panduan Pengguna Amazon Aurora.
[RDS.13] peningkatan versi minor RDS otomatis harus diaktifkan
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v3.0.0/2.3.2, NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5), v4.0.1/6.3.3 NIST NIST PCI DSS
Kategori: Identifikasi > Kerentanan, tambalan, dan manajemen versi
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-automatic-minor-version-upgrade-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah upgrade versi minor otomatis diaktifkan untuk instance RDS database.
Mengaktifkan upgrade versi minor otomatis memastikan bahwa pembaruan versi minor terbaru ke sistem manajemen database relasional (RDBMS) diinstal. Upgrade ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.
Remediasi
Untuk mengaktifkan upgrade versi minor otomatis untuk instans DB yang ada, lihat Memodifikasi instans Amazon RDS DB di RDSPanduan Pengguna Amazon. Untuk upgrade versi minor otomatis, pilih Ya.
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
Persyaratan terkait: NIST .800-53.r5 CP-10, .800-53.r5 CP-6, .800-53.r5 CP-6 (1), NIST .800-53.r5 CP-6 (2), .800-53.r5 CP-9, NIST .800-53.r5 SI-13 (5) NIST NIST NIST
Kategori: Pulih> Ketahanan > Cadangan diaktifkan
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: aurora-mysql-backtracking-enabled
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Jumlah jam untuk mundur cluster Aurora My SQL |
Ganda |
|
Tidak ada nilai default |
Kontrol ini memeriksa apakah klaster Amazon Aurora telah mengaktifkan backtracking. Kontrol gagal jika cluster tidak mengaktifkan backtracking. Jika Anda memberikan nilai kustom untuk BacktrackWindowInHours parameter, kontrol hanya akan diteruskan jika cluster mundur untuk jangka waktu yang ditentukan.
Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. Aurora backtracking mengurangi waktu untuk memulihkan database ke titik waktu. Hal ini tidak memerlukan database restore untuk melakukannya.
Remediasi
Untuk mengaktifkan backtracking Aurora, lihat Mengonfigurasi backtracking di Panduan Pengguna Amazon Aurora.
Perhatikan bahwa Anda tidak dapat mengaktifkan backtracking pada klaster yang ada. Sebagai gantinya, Anda dapat membuat klon yang mengaktifkan backtracking. Untuk informasi selengkapnya tentang batasan backtracking Aurora, lihat daftar batasan di Ikhtisar mundur.
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-cluster-multi-az-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah ketersediaan tinggi diaktifkan untuk cluster RDS DB Anda. Kontrol gagal jika cluster RDS DB tidak digunakan di beberapa Availability Zones (AZs).
RDSCluster DB harus dikonfigurasi untuk beberapa AZs untuk memastikan ketersediaan data yang disimpan. Penerapan ke beberapa AZs memungkinkan failover otomatis jika terjadi masalah ketersediaan AZ dan selama acara RDS pemeliharaan rutin.
Remediasi
Untuk menerapkan cluster DB Anda dalam beberapaAZs, Memodifikasi instans DB menjadi penerapan instans DB multi-AZ di Panduan Pengguna Amazon. RDS
Langkah-langkah remediasi berbeda untuk database global Aurora. Untuk mengonfigurasi beberapa Availability Zone untuk database global Aurora, pilih cluster DB Anda. Kemudian, pilih Actions and Add reader, dan tentukan beberapaAZs. Untuk informasi selengkapnya, lihat Menambahkan Replika Aurora ke cluster DB di Panduan Pengguna Amazon Aurora.
[RDS.16] Cluster RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Kategori: Identifikasi > Persediaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-cluster-copy-tags-to-snapshots-enabled (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah cluster RDS DB dikonfigurasi untuk menyalin semua tag ke snapshot saat snapshot dibuat.
Identifikasi dan inventaris aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus memiliki visibilitas semua cluster RDS DB Anda sehingga Anda dapat menilai postur keamanan mereka dan mengambil tindakan pada area kelemahan potensial. Snapshot harus diberi tag dengan cara yang sama seperti cluster RDS database induknya. Mengaktifkan pengaturan ini memastikan bahwa snapshot mewarisi tag cluster database induknya.
Remediasi
Untuk secara otomatis menyalin tag ke snapshot untuk cluster RDS DB, lihat Memodifikasi cluster DB menggunakan konsolCLI, dan API di Panduan Pengguna Amazon Aurora. Pilih Salin tag ke snapshot.
[RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Kategori: Identifikasi > Persediaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-instance-copy-tags-to-snapshots-enabled (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah instance RDS DB dikonfigurasi untuk menyalin semua tag ke snapshot saat snapshot dibuat.
Identifikasi dan inventaris aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus memiliki visibilitas semua instans RDS DB Anda sehingga Anda dapat menilai postur keamanan mereka dan mengambil tindakan pada area kelemahan potensial. Snapshot harus diberi tag dengan cara yang sama seperti instance RDS database induknya. Mengaktifkan pengaturan ini memastikan bahwa snapshot mewarisi tag dari instance database induknya.
Remediasi
Untuk secara otomatis menyalin tag ke snapshot untuk instans RDS DB, lihat Memodifikasi instans Amazon RDS DB di RDSPanduan Pengguna Amazon. Pilih Salin tag ke snapshot.
[RDS.18] RDS instance harus diterapkan di a VPC
Persyaratan terkait: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Kategori: Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-deployed-in-vpc (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah RDS instans Amazon diterapkan pada EC2 -VPC.
VPCsmenyediakan sejumlah kontrol jaringan untuk mengamankan akses ke RDS sumber daya. Kontrol ini termasuk VPC Endpoint, jaringanACLs, dan grup keamanan. Untuk memanfaatkan kontrol ini, kami sarankan Anda membuat RDS instans di EC2 -VPC.
Remediasi
Untuk petunjuk tentang memindahkan RDS instance ke aVPC, lihat Memperbarui instans DB di Panduan RDS Pengguna Amazon. VPC
[RDS.19] Langganan pemberitahuan RDS acara yang ada harus dikonfigurasi untuk peristiwa klaster kritis
Persyaratan terkait: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2
Kategori: Deteksi > Layanan deteksi > Pemantauan aplikasi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::EventSubscription
AWS Config aturan: rds-cluster-event-notifications-configured (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah langganan RDS peristiwa Amazon yang ada untuk kluster database telah mengaktifkan notifikasi untuk jenis sumber dan pasangan nilai kunci kategori peristiwa berikut:
DBCluster: ["maintenance","failure"]
Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.
RDSpemberitahuan acara menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber RDS daya Anda. Pemberitahuan ini memungkinkan respons cepat. Untuk informasi tambahan tentang pemberitahuan RDS acara, lihat Menggunakan pemberitahuan RDS peristiwa Amazon di Panduan RDS Pengguna Amazon.
Remediasi
Untuk berlangganan notifikasi acara RDS klaster, lihat Berlangganan pemberitahuan RDS acara Amazon di Panduan RDS Pengguna Amazon. Gunakan nilai berikut:
| Bidang | Nilai |
|---|---|
|
Jenis sumber |
Klaster |
|
Cluster untuk dimasukkan |
Semua cluster |
|
Kategori acara untuk disertakan |
Pilih kategori acara tertentu atau Semua kategori acara |
[RDS.20] Langganan pemberitahuan RDS acara yang ada harus dikonfigurasi untuk peristiwa instance database penting
Persyaratan terkait: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2, v4.0.1/11.5.2 PCI DSS
Kategori: Deteksi > Layanan deteksi > Pemantauan aplikasi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::EventSubscription
AWS Config aturan: rds-instance-event-notifications-configured (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah langganan RDS peristiwa Amazon yang ada untuk instans database telah mengaktifkan notifikasi untuk jenis sumber berikut dan pasangan nilai kunci kategori peristiwa:
DBInstance: ["maintenance","configuration change","failure"]
Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.
RDSpemberitahuan acara menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber RDS daya Anda. Pemberitahuan ini memungkinkan respons cepat. Untuk informasi tambahan tentang pemberitahuan RDS acara, lihat Menggunakan pemberitahuan RDS peristiwa Amazon di Panduan RDS Pengguna Amazon.
Remediasi
Untuk berlangganan notifikasi kejadian RDS instans, lihat Berlangganan pemberitahuan RDS acara Amazon di Panduan RDS Pengguna Amazon. Gunakan nilai berikut:
| Bidang | Nilai |
|---|---|
|
Jenis sumber |
Instans |
|
Contoh untuk disertakan |
Semua contoh |
|
Kategori acara untuk disertakan |
Pilih kategori acara tertentu atau Semua kategori acara |
[RDS.21] Langganan pemberitahuan RDS acara harus dikonfigurasi untuk peristiwa grup parameter basis data kritis
Persyaratan terkait: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2, v4.0.1/11.5.2 PCI DSS
Kategori: Deteksi > Layanan deteksi > Pemantauan aplikasi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::EventSubscription
AWS Config aturan: rds-pg-event-notifications-configured (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah langganan RDS acara Amazon ada dengan notifikasi diaktifkan untuk jenis sumber berikut, pasangan nilai kunci kategori peristiwa. Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.
DBParameterGroup: ["configuration change"]
RDSpemberitahuan acara menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber RDS daya Anda. Pemberitahuan ini memungkinkan respons cepat. Untuk informasi tambahan tentang pemberitahuan RDS acara, lihat Menggunakan pemberitahuan RDS peristiwa Amazon di Panduan RDS Pengguna Amazon.
Remediasi
Untuk berlangganan pemberitahuan peristiwa grup parameter RDS database, lihat Berlangganan pemberitahuan RDS acara Amazon di Panduan RDS Pengguna Amazon. Gunakan nilai berikut:
| Bidang | Nilai |
|---|---|
|
Jenis sumber |
Grup parameter |
|
Kelompok parameter untuk disertakan |
Semua kelompok parameter |
|
Kategori acara untuk disertakan |
Pilih kategori acara tertentu atau Semua kategori acara |
[RDS.22] Langganan pemberitahuan RDS acara harus dikonfigurasi untuk acara grup keamanan basis data penting
Persyaratan terkait: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2, v4.0.1/11.5.2 PCI DSS
Kategori: Deteksi > Layanan Deteksi > Pemantauan aplikasi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::EventSubscription
AWS Config aturan: rds-sg-event-notifications-configured (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah langganan RDS acara Amazon ada dengan notifikasi diaktifkan untuk jenis sumber berikut, pasangan nilai kunci kategori peristiwa. Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.
DBSecurityGroup: ["configuration change","failure"]
RDSpemberitahuan acara menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber RDS daya Anda. Pemberitahuan ini memungkinkan respons yang cepat. Untuk informasi tambahan tentang pemberitahuan RDS acara, lihat Menggunakan pemberitahuan RDS peristiwa Amazon di Panduan RDS Pengguna Amazon.
Remediasi
Untuk berlangganan notifikasi kejadian RDS instans, lihat Berlangganan pemberitahuan RDS acara Amazon di Panduan RDS Pengguna Amazon. Gunakan nilai berikut:
| Bidang | Nilai |
|---|---|
|
Jenis sumber |
Grup keamanan |
|
Kelompok keamanan untuk memasukkan |
Semua kelompok keamanan |
|
Kategori acara untuk disertakan |
Pilih kategori acara tertentu atau Semua kategori acara |
[RDS.23] RDS instance tidak boleh menggunakan port default mesin database
Persyaratan terkait: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-no-default-ports (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah RDS cluster atau instance menggunakan port selain port default mesin database. Kontrol gagal jika RDS cluster atau instance menggunakan port default. Kontrol ini tidak berlaku untuk RDS instance yang merupakan bagian dari cluster.
Jika Anda menggunakan port yang dikenal untuk menyebarkan RDS cluster atau instance, penyerang dapat menebak informasi tentang cluster atau instance. Penyerang dapat menggunakan informasi ini bersama dengan informasi lain untuk terhubung ke RDS cluster atau instance atau mendapatkan informasi tambahan tentang aplikasi Anda.
Ketika Anda mengubah port, Anda juga harus memperbarui string koneksi yang ada yang digunakan untuk terhubung ke port lama. Anda juga harus memeriksa grup keamanan instans DB untuk memastikan bahwa itu termasuk aturan masuk yang memungkinkan konektivitas pada port baru.
Remediasi
Untuk mengubah port default instans RDS DB yang ada, lihat Memodifikasi instans Amazon RDS DB di Panduan RDS Pengguna Amazon. Untuk mengubah port default kluster RDS DB yang ada, lihat Memodifikasi cluster DB menggunakan konsolCLI, dan API di Panduan Pengguna Amazon Aurora. Untuk port Database, ubah nilai port ke nilai non-default.
[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, v4.0.1/2.2.2 PCI DSS
Kategori: Identifikasi > Konfigurasi Sumber Daya
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-cluster-default-admin-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah kluster RDS database Amazon telah mengubah nama pengguna admin dari nilai defaultnya. Kontrol tidak berlaku untuk mesin jenis neptunus (Neptunus DB) atau docdb (DocumentDB). Aturan ini akan gagal jika nama pengguna admin diatur ke nilai default.
Saat membuat RDS database Amazon, Anda harus mengubah nama pengguna admin default menjadi nilai unik. Nama pengguna default adalah pengetahuan umum dan harus diubah selama pembuatan RDS database. Mengubah nama pengguna default mengurangi risiko akses yang tidak diinginkan.
Remediasi
Untuk mengubah nama pengguna admin yang terkait dengan kluster RDS database Amazon, buat kluster RDS database baru dan ubah nama pengguna admin default saat membuat database.
[RDS.25] contoh RDS basis data harus menggunakan nama pengguna administrator khusus
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, v4.0.1/2.2.2 PCI DSS
Kategori: Identifikasi > Konfigurasi Sumber Daya
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-instance-default-admin-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah Anda telah mengubah nama pengguna administratif untuk instance database Amazon Relational Database Service (RDSAmazon) dari nilai default. Kontrol gagal jika nama pengguna administratif diatur ke nilai default. Kontrol tidak berlaku untuk mesin jenis neptunus (Neptunus DB) atau docdb (DocumentDB), dan untuk instance yang merupakan bagian dari cluster. RDS
Nama pengguna administratif default pada RDS database Amazon adalah pengetahuan publik. Saat membuat RDS database Amazon, Anda harus mengubah nama pengguna administratif default ke nilai unik untuk mengurangi risiko akses yang tidak diinginkan.
Remediasi
Untuk mengubah nama pengguna administratif yang terkait dengan instance RDS database, pertama buat instance RDS database baru. Ubah nama pengguna administratif default saat membuat database.
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
Kategori: Pulih> Ketahanan > Cadangan diaktifkan
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-resources-protected-by-backup-plan
Jenis jadwal: Periodik
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Kontrol menghasilkan |
Boolean |
|
Tidak ada nilai default |
Kontrol ini mengevaluasi jika instans Amazon RDS DB dicakup oleh paket cadangan. Kontrol ini gagal jika instans RDS DB tidak tercakup oleh rencana cadangan. Jika Anda menyetel backupVaultLockCheck parameter sama dengantrue, kontrol hanya akan diteruskan jika instance dicadangkan di brankas yang AWS Backup terkunci.
AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya yang memusatkan dan mengotomatiskan pencadangan data di seluruh. Layanan AWS Dengan AWS Backup, Anda dapat membuat kebijakan cadangan yang disebut rencana cadangan. Anda dapat menggunakan paket ini untuk menentukan persyaratan pencadangan Anda, seperti seberapa sering mencadangkan data Anda dan berapa lama untuk menyimpan cadangan tersebut. RDSMenyertakan instans DB dalam paket cadangan membantu Anda melindungi data Anda dari kehilangan atau penghapusan yang tidak diinginkan.
Remediasi
Untuk menambahkan instans RDS DB ke paket AWS Backup cadangan, lihat Menetapkan sumber daya ke paket cadangan di Panduan AWS Backup Pengembang.
[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-cluster-encrypted-at-rest
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah cluster RDS DB dienkripsi saat istirahat. Kontrol gagal jika cluster RDS DB tidak dienkripsi saat istirahat.
Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya. Mengenkripsi cluster RDS DB Anda melindungi data dan metadata Anda terhadap akses yang tidak sah. Ini juga memenuhi persyaratan kepatuhan untuk data-at-rest enkripsi sistem file produksi.
Remediasi
Anda dapat mengaktifkan enkripsi saat istirahat saat Anda membuat cluster RDS DB. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat cluster. Untuk informasi selengkapnya, lihat Mengenkripsi klaster Amazon Aurora DB di Panduan Pengguna Amazon Aurora.
[RDS.28] Cluster RDS DB harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: tagged-rds-dbcluster (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan | Tidak ada nilai default |
Kontrol ini memeriksa apakah kluster Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika cluster DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke kluster RDS DB, lihat Menandai RDS sumber daya Amazon di Panduan RDS Pengguna Amazon.
[RDS.29] Snapshot cluster RDS DB harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBClusterSnapshot
AWS Config aturan: tagged-rds-dbclustersnapshot (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan | Tidak ada nilai default |
Kontrol ini memeriksa apakah snapshot kluster Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika snapshot cluster DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot cluster DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke snapshot cluster RDS DB, lihat Menandai RDS sumber daya Amazon di RDSPanduan Pengguna Amazon.
[RDS.30] Instans RDS DB harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: tagged-rds-dbinstance (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan | Tidak ada nilai default |
Kontrol ini memeriksa apakah instans Amazon RDS DB memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika instans DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika instance DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke instans RDS DB, lihat Menandai RDS sumber daya Amazon di Panduan RDS Pengguna Amazon.
[RDS.31] Grup keamanan RDS DB harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBSecurityGroup
AWS Config aturan: tagged-rds-dbsecuritygroup (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan | Tidak ada nilai default |
Kontrol ini memeriksa apakah grup keamanan Amazon RDS DB memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika grup keamanan DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup keamanan DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke grup keamanan RDS DB, lihat Menandai RDS sumber daya Amazon di Panduan RDS Pengguna Amazon.
[RDS.32] Snapshot RDS DB harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBSnapshot
AWS Config aturan: tagged-rds-dbsnapshot (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan | Tidak ada nilai default |
Kontrol ini memeriksa apakah snapshot Amazon RDS DB memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika snapshot DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke snapshot RDS DB, lihat Menandai RDS sumber daya Amazon di RDSPanduan Pengguna Amazon.
[RDS.33] Grup subnet RDS DB harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBSubnetGroup
AWS Config aturan: tagged-rds-dbsubnetgroups (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan | Tidak ada nilai default |
Kontrol ini memeriksa apakah grup subnet Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika grup subnet DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup subnet DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke grup subnet RDS DB, lihat Menandai RDS sumber daya Amazon di RDSPanduan Pengguna Amazon.
[RDS.34] Aurora Cluster DB SQL saya harus menerbitkan log audit ke Log CloudWatch
Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.2.1 NIST PCI DSS
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-aurora-mysql-audit-logging-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah klaster Amazon Aurora My SQL DB dikonfigurasi untuk mempublikasikan log audit ke Amazon CloudWatch Logs. Kontrol gagal jika klaster tidak dikonfigurasi untuk mempublikasikan log audit ke CloudWatch Log. Kontrol tidak menghasilkan temuan untuk cluster Aurora Serverless v1 DB.
Log audit menangkap catatan aktivitas database, termasuk upaya login, modifikasi data, perubahan skema, dan peristiwa lain yang dapat diaudit untuk tujuan keamanan dan kepatuhan. Saat mengonfigurasi klaster Aurora My SQL DB untuk mempublikasikan log audit ke grup log di Amazon CloudWatch Logs, Anda dapat melakukan analisis data log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Anda juga dapat membuat alarm dan melihat metrik di. CloudWatch
catatan
Cara alternatif untuk mempublikasikan log audit ke CloudWatch Log adalah dengan mengaktifkan audit lanjutan dan menyetel parameter DB tingkat cluster ke. server_audit_logs_upload 1 Default untuk server_audit_logs_upload parameter adalah0. Namun, kami sarankan Anda menggunakan instruksi remediasi berikut sebagai gantinya untuk melewati kontrol ini.
Remediasi
Untuk mempublikasikan log audit klaster Aurora My SQL DB ke CloudWatch Log, lihat Menerbitkan Amazon Aurora SQL Log saya ke Log Amazon di CloudWatch Panduan Pengguna Amazon Aurora.
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
Persyaratan terkait: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5), v4.0.1/6.3.3 NIST NIST PCI DSS
Kategori: Identifikasi > Kerentanan, tambalan, dan manajemen versi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-cluster-auto-minor-version-upgrade-enable
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah pemutakhiran versi minor otomatis diaktifkan untuk cluster DB RDS Multi-AZ Amazon. Kontrol gagal jika pemutakhiran versi minor otomatis tidak diaktifkan untuk cluster DB multi-AZ.
RDSmenyediakan upgrade versi minor otomatis sehingga Anda dapat memperbarui cluster DB Multi-AZ Anda. Versi minor dapat memperkenalkan fitur perangkat lunak baru, perbaikan bug, patch keamanan, dan peningkatan kinerja. Dengan mengaktifkan upgrade versi minor otomatis pada cluster RDS database, cluster, bersama dengan instance di cluster, akan menerima update otomatis ke versi minor ketika versi baru tersedia. Pembaruan diterapkan secara otomatis selama jendela pemeliharaan.
Remediasi
Untuk mengaktifkan pemutakhiran versi minor otomatis pada klaster DB multi-AZ, lihat Memodifikasi klaster DB Multi-AZ di Panduan Pengguna Amazon. RDS
[RDS.36] RDS untuk instance Postgre SQL DB harus menerbitkan log ke Log CloudWatch
Persyaratan terkait: PCI DSS v4.0.1/10.4.2
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-postgresql-logs-to-cloudwatch
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Daftar tipe log yang dipisahkan koma untuk dipublikasikan ke Log CloudWatch |
StringList |
Tidak dapat disesuaikan |
|
Kontrol ini memeriksa apakah instans Amazon RDS untuk Postgre SQL DB dikonfigurasi untuk menerbitkan log ke Amazon CloudWatch Logs. Kontrol gagal jika instans Postgre SQL DB tidak dikonfigurasi untuk mempublikasikan jenis log yang disebutkan dalam logTypes parameter ke CloudWatch Log.
Database logging menyediakan catatan rinci permintaan yang dibuat untuk sebuah RDS instance. Postgre SQL menghasilkan log peristiwa yang berisi informasi yang berguna bagi administrator. Menerbitkan log ini ke CloudWatch Log memusatkan manajemen log dan membantu Anda melakukan analisis data log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Anda juga dapat membuat alarm dan melihat metrik di. CloudWatch
Remediasi
Untuk memublikasikan log instans Postgre SQL DB ke CloudWatch Log, lihat Menerbitkan log Postgre SQL ke Log Amazon CloudWatch di Panduan Pengguna Amazon. RDS
[RDS.37] Cluster Aurora SQL Postgre DB harus menerbitkan log ke Log CloudWatch
Persyaratan terkait: PCI DSS v4.0.1/10.4.2
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-aurora-postgresql-logs-to-cloudwatch
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah klaster SQL DB Amazon Aurora Postgre dikonfigurasi untuk menerbitkan log ke Amazon Logs. CloudWatch Kontrol gagal jika cluster Aurora Postgre SQL DB tidak dikonfigurasi untuk mempublikasikan log SQL Postgre ke Log. CloudWatch
Database logging menyediakan catatan rinci permintaan yang dibuat untuk sebuah RDS cluster. Aurora Postgre SQL menghasilkan log peristiwa yang berisi informasi berguna bagi administrator. Menerbitkan log ini ke CloudWatch Log memusatkan manajemen log dan membantu Anda melakukan analisis data log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Anda juga dapat membuat alarm dan melihat metrik di. CloudWatch
Remediasi
Untuk mempublikasikan log klaster Aurora Postgre SQL DB ke Log, lihat Menerbitkan CloudWatch log Aurora Postgre SQL ke Log Amazon di Panduan Pengguna Amazon CloudWatch . RDS
[RDS.38] RDS untuk instance Postgre SQL DB harus dienkripsi saat transit
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-postgres-instance-encrypted-in-transit
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah koneksi ke instance Amazon RDS for PostgreSQL database (DB) dienkripsi dalam perjalanan. Kontrol gagal jika rds.force_ssl parameter untuk grup parameter yang terkait dengan instance disetel ke 0 (off). Kontrol ini tidak mengevaluasi instans RDS DB yang merupakan bagian dari cluster DB.
Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara cluster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.
Remediasi
Untuk mewajibkan semua koneksi ke instans Postgre SQL DB Anda RDS untuk digunakanSSL, lihat Menggunakan SSL dengan instans Postgre SQL DB di Panduan Pengguna Amazon. RDS
[RDS.39] RDS untuk instance SQL DB saya harus dienkripsi saat transit
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-mysql-instance-encrypted-in-transit
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah koneksi ke instance Amazon RDS for MySQL database (DB) dienkripsi dalam perjalanan. Kontrol gagal jika rds.force_ssl parameter untuk grup parameter yang terkait dengan instance disetel ke 0 (off). Kontrol ini tidak mengevaluasi instans RDS DB yang merupakan bagian dari cluster DB.
Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara cluster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.
Remediasi
Untuk mewajibkan semua koneksi ke instans SQL DB Saya RDS untuk digunakanSSL, lihat SSL/TLSdukungan untuk instans SQL DB Saya di Amazon RDS di Panduan RDS Pengguna Amazon.
