Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli del Security Hub per Amazon RDS

Questi AWS Security Hub controlli valutano il servizio e le risorse di Amazon Relational Database Service (Amazon RDS).

Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[RDS.1] L'istantanea RDS deve essere privata

Requisiti correlati: PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4)) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Severità: critica

Tipo di risorsa:AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot

Regola AWS Config : rds-snapshots-public-prohibited

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se gli snapshot di Amazon RDS sono pubblici. Il controllo fallisce se le istantanee RDS sono pubbliche. Questo controllo valuta le istanze RDS, le istanze Aurora DB, le istanze Neptune DB e i cluster Amazon DocumentDB.

Gli snapshot RDS vengono utilizzati per eseguire il backup dei dati nelle istanze RDS in un determinato momento. Possono essere utilizzati per ripristinare gli stati precedenti delle istanze RDS.

Uno snapshot RDS non deve essere pubblico a meno che non sia previsto. Se condividi uno snapshot manuale non crittografato come pubblico, questo rende lo snapshot disponibile a tutti. Account AWS Ciò potrebbe comportare l'esposizione non intenzionale dei dati dell'istanza RDS.

Tieni presente che se la configurazione viene modificata per consentire l'accesso pubblico, la AWS Config regola potrebbe non essere in grado di rilevare la modifica per un massimo di 12 ore. Finché la AWS Config regola non rileva la modifica, il controllo viene superato anche se la configurazione viola la regola.

Per ulteriori informazioni sulla condivisione di uno snapshot DB, consulta Sharing a DB snapshot nella Amazon RDS User Guide.

Correzione

Per rimuovere l'accesso pubblico dagli snapshot RDS, consulta Sharing a snapshot nella Amazon RDS User Guide. Per la visibilità degli snapshot DB, scegliamo Private.

[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible

Requisiti correlati: benchmark CIS AWS Foundations versione 3.0.0/2.3.3, (21), (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.3.3 6, PCI DSS versione 3.2.1/7.2.1, PCI DSS versione 4.0.1/1.4.4 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Severità: critica

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-instance-public-access-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se le istanze di Amazon RDS sono accessibili al pubblico valutando il PubliclyAccessible campo nell'elemento di configurazione dell'istanza.

Le istanze DB Neptune e i cluster Amazon DocumentDB non hanno il flag e non PubliclyAccessible possono essere valutati. Tuttavia, questo controllo può comunque generare risultati per queste risorse. È possibile sopprimere questi risultati.

Il valore PubliclyAccessible nella configurazione dell'istanza RDS indica se l'istanza database è accessibile pubblicamente. Quando l'istanza database è configurata con PubliclyAccessible, si tratta di un'istanza con connessione Internet con un nome DNS risolvibile pubblicamente, che si risolve in un indirizzo IP pubblico. Quando l'istanza database non è accessibile pubblicamente, è un'istanza interna con un nome DNS che si risolve in un indirizzo IP privato.

A meno che non si intenda rendere l'istanza RDS accessibile al pubblico, l'istanza RDS non deve essere configurata con valore. PubliclyAccessible In questo modo si potrebbe consentire un traffico non necessario verso l'istanza del database.

Correzione

Per rimuovere l'accesso pubblico dalle istanze DB RDS, consulta Modificare un'istanza DB Amazon RDS nella Amazon RDS User Guide. Per l'accesso pubblico, scegli No.

[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-storage-encrypted

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se la crittografia dello storage è abilitata per le istanze database di Amazon RDS.

Questo controllo è destinato alle istanze DB RDS. Tuttavia, può anche generare risultati per le istanze Aurora DB, le istanze Neptune DB e i cluster Amazon DocumentDB. Se questi risultati non sono utili, puoi eliminarli.

Per un ulteriore livello di sicurezza per i dati sensibili nelle istanze database RDS è necessario configurare la crittografia dei dati inattivi delle istanze database RDS. Per crittografare i dati inattivi delle istanze database RDS e degli snapshot, abilita l'opzione di crittografia per le istanze database RDS. I dati che vengono crittografati quando sono inattivi includono lo storage sottostante per le istanze database, i backup automatici, le repliche di lettura e gli snapshot.

Le istanze database crittografate RDS utilizzano l'algoritmo di crittografia AES-256 standard aperto per crittografare i dati sul server che ospita l'istanza database RDS. Dopo la crittografia dei dati, Amazon RDS gestisce l'autenticazione dell'accesso e la decrittografia dei dati in modo trasparente con un impatto minimo sulle prestazioni. Non è quindi necessario modificare le applicazioni client di database per utilizzare la crittografia.

La crittografia Amazon RDS è attualmente disponibile per tutti i motori di database e i tipi di storage. La crittografia Amazon RDS è disponibile per la maggior parte delle classi di istanza database. Per informazioni sulle classi di istanze DB che non supportano la crittografia Amazon RDS, consulta Encrypting Amazon RDS resources nella Amazon RDS User Guide.

Correzione

Per informazioni sulla crittografia delle istanze DB in Amazon RDS, consulta Encrypting Amazon RDS resources nella Amazon RDS User Guide.

[RDS.4] Le istantanee dei cluster RDS e le istantanee del database devono essere crittografate quando sono inattive

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 ( NIST.800-53.r5 SC-26)

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa:AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot

Regola AWS Config : rds-snapshot-encrypted

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un'istantanea di RDS DB è crittografata. Il controllo ha esito negativo se uno snapshot RDS DB non è crittografato.

Questo controllo è destinato alle istanze DB RDS. Tuttavia, può anche generare risultati per istantanee di istanze Aurora DB, istanze DB Neptune e cluster Amazon DocumentDB. Se questi risultati non sono utili, puoi eliminarli.

La crittografia dei dati inattivi riduce il rischio che un utente non autenticato acceda ai dati archiviati su disco. I dati nelle istantanee RDS devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza.

Correzione

Per crittografare uno snapshot RDS, consulta Encrypting Amazon RDS resources nella Amazon RDS User Guide. Quando crittografi un'istanza DB RDS, i dati crittografati includono lo storage sottostante dell'istanza, i relativi backup automatici, le repliche di lettura e le istantanee.

È possibile crittografare un'istanza DB RDS solo al momento della creazione, non dopo la creazione dell'istanza DB. Tuttavia, poiché è possibile crittografare una copia di uno snapshot DB non crittografata, puoi aggiungere in modo efficace la crittografia a un'istanza database non crittografata. Ovvero, è possibile creare uno snapshot dell'istanza database e quindi creare una copia crittografata di quella snapshot. Puoi quindi ripristinare un'istanza database da uno snapshot crittografata e pertanto disporre di una copia crittografata dell'istanza database originale.

[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-multi-az-support

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se l'alta disponibilità è abilitata per le istanze DB RDS. Il controllo fallisce se un'istanza DB RDS non è configurata con più zone di disponibilità (). AZs Questo controllo non si applica alle istanze DB RDS che fanno parte di una distribuzione di cluster DB Multi-AZ.

La configurazione delle istanze DB di Amazon RDS con AZs aiuta a garantire la disponibilità dei dati archiviati. Le implementazioni Multi-AZ consentono il failover automatico in caso di problemi con la disponibilità di AZ e durante la normale manutenzione RDS.

Correzione

Per distribuire le tue istanze DB in più istanze AZs, modifica di un'istanza DB per renderla un'istanza DB Multi-AZ nella Amazon RDS User Guide.

[RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS

Requisiti correlati:, NIST.800-53.R5 SI-2 NIST.800-53.r5 CA-7

Categoria: Rilevamento > Servizi di rilevamento

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-enhanced-monitoring-enabled

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se il monitoraggio avanzato è abilitato per un'istanza DB di Amazon Relational Database Service (Amazon RDS). Il controllo fallisce se il monitoraggio avanzato non è abilitato per l'istanza. Se fornisci un valore personalizzato per il monitoringInterval parametro, il controllo passa solo se le metriche di monitoraggio avanzate vengono raccolte per l'istanza all'intervallo specificato.

In Amazon RDS, Enhanced Monitoring consente una risposta più rapida ai cambiamenti delle prestazioni nell'infrastruttura sottostante. Queste modifiche delle prestazioni potrebbero comportare una mancanza di disponibilità dei dati. Enhanced Monitoring fornisce metriche in tempo reale del sistema operativo su cui viene eseguita l'istanza DB RDS. Sull'istanza è installato un agente. L'agente può ottenere le metriche in modo più accurato di quanto sia possibile dal livello dell'hypervisor.

I parametri di monitoraggio avanzato sono utili quando si desidera vedere come viene utilizzata la CPU in un'istanza database dai diversi processi o thread. Per ulteriori informazioni, consulta la sezione Enhanced Monitoring (Monitoraggio avanzato) nella Guida per l'utente di Amazon RDS.

Correzione

Per istruzioni dettagliate sull'attivazione di Enhanced Monitoring per la tua istanza DB, consulta Configurazione e attivazione di Enhanced Monitoring nella Amazon RDS User Guide.

[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata

Requisiti correlati: (2) NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

Categoria: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : rds-cluster-deletion-protection-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un cluster RDS DB ha la protezione da eliminazione abilitata. Il controllo ha esito negativo se in un cluster RDS DB non è abilitata la protezione da eliminazione.

Questo controllo è destinato alle istanze DB RDS. Tuttavia, può anche generare risultati per le istanze Aurora DB, le istanze Neptune DB e i cluster Amazon DocumentDB. Se questi risultati non sono utili, puoi eliminarli.

L'attivazione della protezione dall'eliminazione del cluster è un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un'entità non autorizzata.

Quando la protezione da eliminazione è abilitata, non è possibile eliminare un cluster RDS. Prima che una richiesta di eliminazione possa avere esito positivo, è necessario disabilitare la protezione dall'eliminazione.

Correzione

Per abilitare la protezione da eliminazione per un cluster RDS DB, consulta Modificare il cluster DB utilizzando la console, la CLI e l'API nella Amazon RDS User Guide. Per la protezione da eliminazione, scegli Abilita protezione da eliminazione.

[RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata

Requisiti correlati: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

Categoria: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-instance-deletion-protection-enabled

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se le istanze DB RDS che utilizzano uno dei motori di database elencati hanno la protezione dall'eliminazione abilitata. Il controllo ha esito negativo se per un'istanza RDS DB non è abilitata la protezione da eliminazione.

L'attivazione della protezione dall'eliminazione delle istanze è un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un'entità non autorizzata.

Mentre la protezione dall'eliminazione è abilitata, un'istanza DB RDS non può essere eliminata. Prima che una richiesta di eliminazione possa avere esito positivo, è necessario disabilitare la protezione dall'eliminazione.

Correzione

Per abilitare la protezione da eliminazione per un'istanza DB RDS, consulta Modificare un'istanza DB Amazon RDS nella Amazon RDS User Guide. Per la protezione da eliminazione, scegli Abilita protezione da eliminazione.

[RDS.9] Le istanze DB RDS devono pubblicare i log in Logs CloudWatch

Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-logging-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un'istanza DB di Amazon RDS è configurata per pubblicare i seguenti log su Amazon CloudWatch Logs. Il controllo fallisce se l'istanza non è configurata per pubblicare i seguenti log su Logs: CloudWatch

I database RDS devono avere i registri pertinenti abilitati. La registrazione del database fornisce registrazioni dettagliate delle richieste effettuate a RDS. I log del database possono facilitare i controlli di sicurezza e accesso e possono aiutare a diagnosticare i problemi di disponibilità.

Correzione

Per pubblicare i log del database RDS su CloudWatch Logs, consulta Specificare i log da pubblicare su Logs CloudWatch nella Amazon RDS User Guide.

[RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS

Requisiti correlati: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Categoria: Protezione > Gestione sicura degli accessi > Autenticazione senza password

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-instance-iam-authentication-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un'istanza DB RDS ha l'autenticazione del database IAM abilitata. Il controllo fallisce se l'autenticazione IAM non è configurata per le istanze DB RDS. Questo controllo valuta solo le istanze RDS con i seguenti tipi di motore:mysql,,,postgres, aurora e. aurora-mysql aurora-postgresql mariadb Un'istanza RDS deve inoltre trovarsi in uno dei seguenti stati per generare un risultato:available,, backing-up o. storage-optimization storage-full

L'autenticazione del database IAM consente l'autenticazione delle istanze del database con un token di autenticazione anziché una password. Il traffico di rete da e verso il database viene crittografato tramite SSL. Per ulteriori informazioni, consulta Autenticazione database IAM nella Guida per l'utente di Amazon Aurora.

Correzione

Per attivare l'autenticazione del database IAM su un'istanza DB RDS, consulta Abilitazione e disabilitazione dell'autenticazione del database IAM nella Amazon RDS User Guide.

[RDS.11] Le istanze RDS devono avere i backup automatici abilitati

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

Categoria: Ripristino > Resilienza > Backup abilitati

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : db-instance-backup-enabled

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un'istanza di Amazon Relational Database Service ha abilitato i backup automatici e un periodo di conservazione dei backup maggiore o uguale al periodo di tempo specificato. Le repliche di lettura sono escluse dalla valutazione. Il controllo fallisce se i backup non sono abilitati per l'istanza o se il periodo di conservazione è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione del backup, Security Hub utilizza un valore predefinito di 7 giorni.

I backup aiutano a ripristinare più rapidamente un incidente di sicurezza e rafforzano la resilienza dei sistemi. Amazon RDS consente di configurare istantanee giornaliere di volumi completi di istanze. Per ulteriori informazioni sui backup automatici di Amazon RDS, consulta Working with Backups nella Amazon RDS User Guide.

Correzione

Per abilitare i backup automatici su un'istanza DB RDS, consulta Enabling automation backup nella Amazon RDS User Guide.

[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS

Requisiti correlati: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Categoria: Protezione > Gestione sicura degli accessi > Autenticazione senza password

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : rds-cluster-iam-authentication-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un cluster Amazon RDS DB ha l'autenticazione del database IAM abilitata.

L'autenticazione del database IAM consente l'autenticazione senza password per le istanze di database. L'autenticazione utilizza un token di autenticazione. Il traffico di rete da e verso il database è crittografato tramite SSL. Per ulteriori informazioni, consulta Autenticazione database IAM nella Guida per l'utente di Amazon Aurora.

Correzione

Per abilitare l'autenticazione IAM per un cluster DB, consulta Abilitazione e disabilitazione dell'autenticazione del database IAM nella Guida per l'utente di Amazon Aurora.

[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/2.3.2, nIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), nIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3

Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni

Gravità: alta

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-automatic-minor-version-upgrade-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se gli aggiornamenti automatici delle versioni secondarie sono abilitati per l'istanza del database RDS.

L'abilitazione degli aggiornamenti automatici delle versioni secondarie garantisce l'installazione degli ultimi aggiornamenti delle versioni secondarie del sistema di gestione del database relazionale (RDBMS). Questi aggiornamenti potrebbero includere patch di sicurezza e correzioni di bug. Mantenersi aggiornati sull'installazione delle patch è un passaggio importante per proteggere i sistemi.

Correzione

Per abilitare gli aggiornamenti automatici delle versioni secondarie per un'istanza DB esistente, consulta Modificare un'istanza DB Amazon RDS nella Amazon RDS User Guide. Per l'aggiornamento automatico delle versioni secondarie, seleziona Sì.

[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6 (1), NIST.800-53.r5 CP-6 (2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SI-13 (5)

Categoria: Ripristino > Resilienza > Backup abilitati

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : aurora-mysql-backtracking-enabled

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un cluster Amazon Aurora ha il backtracking abilitato. Il controllo fallisce se il backtracking non è abilitato nel cluster. Se si fornisce un valore personalizzato per il BacktrackWindowInHours parametro, il controllo passa solo se il cluster viene eseguito a ritroso per il periodo di tempo specificato.

I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. Il backtracking di Aurora riduce il tempo necessario per ripristinare un database a un determinato punto nel tempo. A tale scopo, non è necessario ripristinare il database.

Correzione

Per abilitare il backtracking di Aurora, consulta Configurazione del backtracking nella Guida per l'utente di Amazon Aurora.

Tieni presente che non puoi abilitare il backtracking su un cluster esistente. Puoi invece creare un clone con il backtracking abilitato. Per ulteriori informazioni sulle limitazioni del backtracking di Aurora, consulta l'elenco delle limitazioni in Panoramica del backtracking.

[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : rds-cluster-multi-az-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se l'alta disponibilità è abilitata per i cluster DB RDS. Il controllo fallisce se un cluster RDS DB non è distribuito in più zone di disponibilità (). AZs

I cluster RDS DB devono essere configurati per più cluster per AZs garantire la disponibilità dei dati archiviati. L'implementazione su più piattaforme AZs consente il failover automatico in caso di problemi di disponibilità di AZ e durante i normali eventi di manutenzione RDS.

Correzione

Per distribuire i tuoi cluster DB in più AZs, modifica di un'istanza DB in un'istanza DB Multi-AZ nella Amazon RDS User Guide.

I passaggi di riparazione sono diversi per i database globali di Aurora. Per configurare più zone di disponibilità per un database globale Aurora, seleziona il tuo cluster DB. Quindi, scegli Azioni e Aggiungi lettore e specificane più AZs. Per ulteriori informazioni, consulta Aggiungere repliche Aurora a un cluster DB nella Amazon Aurora User Guide.

[RDS.16] I cluster RDS DB devono essere configurati per copiare i tag nelle istantanee

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

Categoria: Identificazione > Inventario

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBCluster

AWS Config regola: rds-cluster-copy-tags-to-snapshots-enabled (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i cluster RDS DB sono configurati per copiare tutti i tag nelle istantanee al momento della creazione delle istantanee.

L'identificazione e l'inventario delle risorse IT sono un aspetto cruciale della governance e della sicurezza. È necessario disporre della visibilità di tutti i cluster DB RDS in modo da poterne valutare il livello di sicurezza e intervenire sulle potenziali aree di debolezza. Le istantanee devono essere etichettate nello stesso modo dei cluster di database RDS principali. L'attivazione di questa impostazione garantisce che le istantanee ereditino i tag dei cluster di database principali.

Correzione

Per copiare automaticamente i tag negli snapshot per un cluster RDS DB, consulta Modificare il cluster DB utilizzando la console, la CLI e l'API nella Guida per l'utente di Amazon Aurora. Seleziona Copia i tag negli snapshot.

[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

Categoria: Identificazione > Inventario

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBInstance

AWS Config regola: rds-instance-copy-tags-to-snapshots-enabled (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se le istanze DB RDS sono configurate per copiare tutti i tag nelle istantanee al momento della creazione delle istantanee.

L'identificazione e l'inventario delle risorse IT sono un aspetto cruciale della governance e della sicurezza. È necessario disporre della visibilità di tutte le istanze DB RDS in modo da poterne valutare il livello di sicurezza e intervenire sulle potenziali aree di debolezza. Le istantanee devono essere etichettate nello stesso modo delle istanze del database RDS principale. L'attivazione di questa impostazione garantisce che le istantanee ereditino i tag delle istanze di database principali.

Correzione

Per copiare automaticamente i tag negli snapshot per un'istanza DB RDS, consulta Modifying an Amazon RDS DB Instance nella Amazon RDS User Guide. Seleziona Copia i tag negli snapshot.

[RDS.18] Le istanze RDS devono essere distribuite in un VPC

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete sicura > Risorse all'interno del VPC

Gravità: alta

Tipo di risorsa: AWS::RDS::DBInstance

AWS Config regola: rds-deployed-in-vpc (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un'istanza Amazon RDS è distribuita su un EC2 -VPC.

VPCs forniscono una serie di controlli di rete per proteggere l'accesso alle risorse RDS. Questi controlli includono endpoint VPC ACLs, rete e gruppi di sicurezza. Per sfruttare questi controlli, ti consigliamo di creare le tue istanze RDS su un EC2 -VPC.

Correzione

Per istruzioni su come spostare le istanze RDS su un VPC, consulta Aggiornamento del VPC per un'istanza DB nella Amazon RDS User Guide.

[RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster

Requisiti correlati:, NIST.800-53.R5 SI-2 NIST.800-53.r5 CA-7

Categoria: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni

Gravità: bassa

Tipo di risorsa: AWS::RDS::EventSubscription

AWS Config regola: rds-cluster-event-notifications-configured (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un abbonamento a eventi Amazon RDS esistente per cluster di database ha le notifiche abilitate per le seguenti coppie chiave-valore del tipo di origine e della categoria di evento:

DBCluster: ["maintenance","failure"]

Il controllo passa se non ci sono abbonamenti a eventi esistenti nel tuo account.

Le notifiche degli eventi RDS utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue risorse RDS. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche degli eventi RDS, consulta Using Amazon RDS event notification nella Amazon RDS User Guide.

Correzione

Per iscriverti alle notifiche degli eventi del cluster RDS, consulta la sezione Sottoscrizione alla notifica degli eventi di Amazon RDS nella Amazon RDS User Guide. Utilizzare i seguenti valori:

[RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database

Requisiti correlati: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2

Categoria: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni

Gravità: bassa

Tipo di risorsa: AWS::RDS::EventSubscription

AWS Config regola: rds-instance-event-notifications-configured (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un abbonamento ad eventi Amazon RDS esistente per le istanze di database ha le notifiche abilitate per le seguenti coppie chiave-valore del tipo di origine e della categoria di evento:

DBInstance: ["maintenance","configuration change","failure"]

Il controllo passa se non ci sono abbonamenti a eventi esistenti nel tuo account.

Le notifiche degli eventi RDS utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue risorse RDS. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche degli eventi RDS, consulta Using Amazon RDS event notification nella Amazon RDS User Guide.

Correzione

Per iscriverti alle notifiche degli eventi delle istanze RDS, consulta la sezione Sottoscrizione alla notifica degli eventi di Amazon RDS nella Amazon RDS User Guide. Utilizzare i seguenti valori:

[RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database

Requisiti correlati: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2

Categoria: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni

Gravità: bassa

Tipo di risorsa: AWS::RDS::EventSubscription

AWS Config regola: rds-pg-event-notifications-configured (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se esiste un abbonamento ad Amazon RDS per eventi con le notifiche abilitate per le seguenti coppie chiave-valore per tipo di sorgente, categoria di evento. Il controllo passa se non ci sono abbonamenti a eventi esistenti nel tuo account.

DBParameterGroup: ["configuration change"]

Le notifiche degli eventi RDS utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue risorse RDS. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche degli eventi RDS, consulta Using Amazon RDS event notification nella Amazon RDS User Guide.

Correzione

Per iscriverti alle notifiche degli eventi dei gruppi di parametri del database RDS, consulta la sezione Sottoscrizione alla notifica degli eventi di Amazon RDS nella Amazon RDS User Guide. Utilizzare i seguenti valori:

[RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database

Requisiti correlati: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2

Categoria: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni

Gravità: bassa

Tipo di risorsa: AWS::RDS::EventSubscription

AWS Config regola: rds-sg-event-notifications-configured (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se esiste un abbonamento ad Amazon RDS per eventi con le notifiche abilitate per le seguenti coppie chiave-valore per tipo di sorgente, categoria di evento. Il controllo passa se non ci sono abbonamenti a eventi esistenti nel tuo account.

DBSecurityGroup: ["configuration change","failure"]

Le notifiche degli eventi RDS utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue risorse RDS. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche degli eventi RDS, consulta Using Amazon RDS event notification nella Amazon RDS User Guide.

Correzione

Per iscriverti alle notifiche degli eventi delle istanze RDS, consulta la sezione Sottoscrizione alla notifica degli eventi di Amazon RDS nella Amazon RDS User Guide. Utilizzare i seguenti valori:

[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBInstance

AWS Config regola: rds-no-default-ports (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un cluster o un'istanza RDS utilizza una porta diversa dalla porta predefinita del motore di database. Il controllo ha esito negativo se il cluster o l'istanza RDS utilizza la porta predefinita. Questo controllo non si applica alle istanze RDS che fanno parte di un cluster.

Se utilizzi una porta nota per distribuire un cluster o un'istanza RDS, un utente malintenzionato può indovinare le informazioni sul cluster o sull'istanza. L'autore dell'attacco può utilizzare queste informazioni insieme ad altre informazioni per connettersi a un cluster o a un'istanza RDS o ottenere informazioni aggiuntive sull'applicazione.

Quando si modifica la porta, è necessario aggiornare anche le stringhe di connessione esistenti utilizzate per connettersi alla porta precedente. È inoltre necessario controllare il gruppo di sicurezza dell'istanza DB per assicurarsi che includa una regola di ingresso che consenta la connettività sulla nuova porta.

Correzione

Per modificare la porta predefinita di un'istanza DB RDS esistente, consulta Modifying an Amazon RDS DB nella Amazon RDS User Guide. Per modificare la porta predefinita di un cluster RDS DB esistente, consulta Modificare il cluster DB utilizzando la console, la CLI e l'API nella Guida per l'utente di Amazon Aurora. Per la porta del database, modifica il valore della porta con un valore non predefinito.

[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2

Categoria: Identificazione > Configurazione delle risorse

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : rds-cluster-default-admin-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un cluster di database Amazon RDS ha modificato il nome utente dell'amministratore rispetto al valore predefinito. Il controllo non si applica ai motori del tipo neptune (Neptune DB) o docdb (DocumentDB). Questa regola avrà esito negativo se il nome utente dell'amministratore è impostato sul valore predefinito.

Quando crei un database Amazon RDS, devi modificare il nome utente amministratore predefinito con un valore univoco. I nomi utente predefiniti sono di dominio pubblico e devono essere modificati durante la creazione del database RDS. La modifica dei nomi utente predefiniti riduce il rischio di accessi involontari.

Correzione

Per modificare il nome utente di amministratore associato al cluster di database Amazon RDS, crea un nuovo cluster di database RDS e modifica il nome utente amministratore predefinito durante la creazione del database.

[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2

Categoria: Identificazione > Configurazione delle risorse

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-instance-default-admin-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se hai cambiato il nome utente amministrativo per le istanze di database Amazon Relational Database Service (Amazon RDS) rispetto al valore predefinito. Il controllo fallisce se il nome utente amministrativo è impostato sul valore predefinito. Il controllo non si applica ai motori del tipo neptune (Neptune DB) o docdb (DocumentDB) e alle istanze RDS che fanno parte di un cluster.

I nomi utente amministrativi predefiniti sui database Amazon RDS sono di dominio pubblico. Quando crei un database Amazon RDS, devi modificare il nome utente amministrativo predefinito con un valore univoco per ridurre il rischio di accessi involontari.

Correzione

Per modificare il nome utente amministrativo associato a un'istanza di database RDS, crea prima una nuova istanza di database RDS. Modifica il nome utente amministrativo predefinito durante la creazione del database.

[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup

Categoria: Recover > Resilience > Backup abilitati

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

AWS Config regola: rds-resources-protected-by-backup-plan

Tipo di pianificazione: periodica

Parametri:

Questo controllo valuta se le istanze database di Amazon RDS sono coperte da un piano di backup. Questo controllo fallisce se l'istanza DB RDS non è coperta da un piano di backup. Se si imposta il backupVaultLockCheck parametro uguale atrue, il controllo passa solo se l'istanza è sottoposta a backup in un vault AWS Backup bloccato.

AWS Backup è un servizio di backup completamente gestito che centralizza e automatizza il backup dei dati in tutto il mondo. Servizi AWS Con AWS Backup, è possibile creare politiche di backup denominate piani di backup. È possibile utilizzare questi piani per definire i requisiti di backup, ad esempio la frequenza con cui eseguire il backup dei dati e la durata di conservazione di tali backup. L'inclusione delle istanze DB RDS in un piano di backup consente di proteggere i dati da perdite o eliminazioni involontarie.

Correzione

Per aggiungere un'istanza DB RDS a un piano di AWS Backup backup, consulta Assegnazione di risorse a un piano di backup nella Guida per gli sviluppatori.AWS Backup

[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

AWS Config regola: rds-cluster-encrypted-at-rest

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un cluster DB RDS è crittografato quando è inattivo. Il controllo ha esito negativo se un cluster RDS DB non è crittografato a riposo.

I dati inattivi si riferiscono a tutti i dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia aiuta a proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. La crittografia dei cluster RDS DB protegge i dati e i metadati dall'accesso non autorizzato. Soddisfa inoltre i requisiti di conformità per la crittografia dei file system di produzione. data-at-rest

Correzione

È possibile abilitare la crittografia a riposo quando si crea un cluster DB RDS. Non è possibile modificare le impostazioni di crittografia dopo aver creato un cluster. Per ulteriori informazioni, consulta Encrypting an Amazon Aurora DB cluster nella Amazon Aurora User Guide.

[RDS.28] I cluster RDS DB devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBCluster

AWS Config regola: tagged-rds-dbcluster (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un cluster Amazon RDS DB dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il cluster DB non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Correzione

Per aggiungere tag a un cluster RDS DB, consulta Tagging delle risorse Amazon RDS nella Amazon RDS User Guide.

[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBClusterSnapshot

AWS Config regola: tagged-rds-dbclustersnapshot (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se uno snapshot del cluster Amazon RDS DB contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se lo snapshot del cluster DB non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo snapshot del cluster DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Correzione

Per aggiungere tag a uno snapshot del cluster RDS DB, consulta Tagging delle risorse Amazon RDS nella Amazon RDS User Guide.

[RDS.30] Le istanze DB RDS devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBInstance

AWS Config regola: tagged-rds-dbinstance (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un'istanza database Amazon RDS ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'istanza DB non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'istanza DB non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Correzione

Per aggiungere tag a un'istanza DB RDS, consulta Tagging delle risorse Amazon RDS nella Amazon RDS User Guide.

[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBSecurityGroup

AWS Config regola: tagged-rds-dbsecuritygroup (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un gruppo di sicurezza Amazon RDS DB dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il gruppo di sicurezza DB non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sicurezza DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Correzione

Per aggiungere tag a un gruppo di sicurezza RDS DB, consulta Tagging delle risorse Amazon RDS nella Amazon RDS User Guide.

[RDS.32] Gli snapshot RDS DB devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBSnapshot

AWS Config regola: tagged-rds-dbsnapshot (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se uno snapshot di Amazon RDS DB contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se lo snapshot DB non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo snapshot DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Correzione

Per aggiungere tag a uno snapshot DB RDS, consulta Tagging delle risorse Amazon RDS nella Amazon RDS User Guide.

[RDS.33] I gruppi di sottoreti RDS DB devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBSubnetGroup

AWS Config regola: tagged-rds-dbsubnetgroups (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un gruppo di sottoreti Amazon RDS DB dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gruppo di sottoreti DB non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sottorete DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Correzione

Per aggiungere tag a un sottogruppo di database RDS, consulta Tagging delle risorse Amazon RDS nella Amazon RDS User Guide.

[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch

Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

AWS Config regola: rds-aurora-mysql-audit-logging-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un cluster Amazon Aurora MySQL DB è configurato per pubblicare log di audit su Amazon Logs. CloudWatch Il controllo fallisce se il cluster non è configurato per pubblicare i log di controllo su Logs. CloudWatch Il controllo non genera risultati per i cluster DB Aurora Serverless v1.

I log di controllo registrano le attività del database, inclusi tentativi di accesso, modifiche dei dati, modifiche dello schema e altri eventi che possono essere verificati per scopi di sicurezza e conformità. Quando configuri un cluster Aurora MySQL DB per pubblicare i log di controllo in un gruppo di log in Amazon CloudWatch Logs, puoi eseguire analisi in tempo reale dei dati di log. CloudWatch Logs conserva i log in uno storage altamente durevole. Puoi anche creare allarmi e visualizzare le metriche in. CloudWatch

Correzione

Per pubblicare i log di audit del cluster Aurora MySQL DB su Logs, CloudWatch consulta Pubblicazione dei log di Amazon Aurora MySQL su Amazon Logs nella Amazon Aurora User Guide. CloudWatch

[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie

Requisiti correlati: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3

Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

AWS Config regola: rds-cluster-auto-minor-version-upgrade-enable

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se l'aggiornamento automatico della versione secondaria è abilitato per un cluster Amazon RDS Multi-AZ DB. Il controllo fallisce se l'aggiornamento automatico della versione secondaria non è abilitato per il cluster DB Multi-AZ.

RDS fornisce l'aggiornamento automatico delle versioni secondarie in modo da poter mantenere aggiornato il cluster DB Multi-AZ. Le versioni minori possono introdurre nuove funzionalità software, correzioni di bug, patch di sicurezza e miglioramenti delle prestazioni. Abilitando l'aggiornamento automatico delle versioni secondarie sui cluster di database RDS, il cluster, insieme alle istanze del cluster, riceverà aggiornamenti automatici alla versione secondaria quando saranno disponibili nuove versioni. Gli aggiornamenti vengono applicati automaticamente durante la finestra di manutenzione.

Correzione

Per abilitare l'aggiornamento automatico delle versioni secondarie sui cluster DB Multi-AZ, consulta Modificare un cluster DB Multi-AZ nella Amazon RDS User Guide.

[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch

Requisiti correlati: PCI DSS v4.0.1/10.4.2

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-postgresql-logs-to-cloudwatch

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un'istanza DB Amazon RDS for PostgreSQL è configurata per pubblicare log su Amazon Logs. CloudWatch Il controllo fallisce se l'istanza DB PostgreSQL non è configurata per pubblicare i tipi di log menzionati nel parametro su Logs. logTypes CloudWatch

La registrazione del database fornisce registrazioni dettagliate delle richieste effettuate a un'istanza RDS. PostgreSQL genera registri degli eventi che contengono informazioni utili per gli amministratori. La pubblicazione di questi log su CloudWatch Logs centralizza la gestione dei log e consente di eseguire analisi in tempo reale dei dati di registro. CloudWatch Logs conserva i registri in un archivio altamente durevole. Puoi anche creare allarmi e visualizzare le metriche in. CloudWatch

Correzione

Per pubblicare i log delle istanze di PostgreSQL DB in Logs, consulta Pubblicazione dei log di PostgreSQL su Amazon CloudWatch Logs nella Amazon RDS User Guide. CloudWatch

[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch

Requisiti correlati: PCI DSS v4.0.1/10.4.2

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : rds-aurora-postgresql-logs-to-cloudwatch

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un cluster Amazon Aurora PostgreSQL DB è configurato per pubblicare log su Amazon Logs. CloudWatch Il controllo fallisce se il cluster Aurora PostgreSQL DB non è configurato per pubblicare i log PostgreSQL su Logs. CloudWatch

La registrazione del database fornisce registrazioni dettagliate delle richieste effettuate a un cluster RDS. Aurora PostgreSQL genera registri degli eventi che contengono informazioni utili per gli amministratori. La pubblicazione di questi log su Logs centralizza la gestione CloudWatch dei log e consente di eseguire analisi in tempo reale dei dati di registro. CloudWatch Logs conserva i registri in un archivio altamente durevole. Puoi anche creare allarmi e visualizzare le metriche in. CloudWatch

Correzione

Per pubblicare i log del cluster Aurora PostgreSQL DB su Logs, consulta CloudWatch Pubblicazione dei log di Aurora PostgreSQL su Amazon Logs nella Amazon RDS User Guide. CloudWatch

[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-postgres-instance-encrypted-in-transit

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se una connessione a un'istanza di Amazon RDS for PostgreSQL database (DB) è crittografata in transito. Il controllo ha esito negativo se il rds.force_ssl parametro per il gruppo di parametri associato all'istanza è impostato su 0 (off). Questo controllo non valuta le istanze DB RDS che fanno parte di un cluster DB.

I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.

Correzione

Per richiedere che tutte le connessioni alla tua istanza DB RDS for PostgreSQL utilizzino SSL, consulta Using SSL with a PostgreSQL DB nella Amazon RDS User Guide.

[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-mysql-instance-encrypted-in-transit

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se una connessione a un'istanza di Amazon RDS for MySQL database (DB) è crittografata in transito. Il controllo ha esito negativo se il rds.require_secure_transport parametro per il gruppo di parametri associato all'istanza è impostato su 0 (off). Questo controllo non valuta le istanze DB RDS che fanno parte di un cluster DB.

I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.

Correzione

Per richiedere che tutte le connessioni alla tua istanza DB RDS for MySQL utilizzino SSL, consulta il supporto SSL/TLS per le istanze DB MySQL su Amazon RDS nella Amazon RDS User Guide.