Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli del Security Hub per Amazon RDS

Questi AWS Security Hub controlli valutano il servizio e le risorse di Amazon Relational Database Service (RDSAmazon).

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[RDS.1] l'RDSistantanea deve essere privata

Requisiti correlati: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Severità: critica

Tipo di risorsa:, AWS::RDS::DBClusterSnapshot AWS::RDS::DBSnapshot

Regola AWS Config : rds-snapshots-public-prohibited

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se RDS gli snapshot di Amazon sono pubblici. Il controllo fallisce se le RDS istantanee sono pubbliche. Questo controllo valuta le istanze, RDS le istanze Aurora DB, le istanze Neptune DB e i cluster Amazon DocumentDB.

RDSle istantanee vengono utilizzate per eseguire il backup dei dati sulle istanze in un momento specifico. RDS Possono essere utilizzate per ripristinare gli stati precedenti delle RDS istanze.

Un'RDSistantanea non deve essere pubblica a meno che non sia prevista. Se si condivide un'istantanea manuale non crittografata come pubblica, l'istantanea diventa disponibile per tutti. Account AWS Ciò può comportare l'esposizione involontaria dei dati dell'istanza. RDS

Tieni presente che se la configurazione viene modificata per consentire l'accesso pubblico, la AWS Config regola potrebbe non essere in grado di rilevare la modifica per un massimo di 12 ore. Finché la AWS Config regola non rileva la modifica, il controllo viene superato anche se la configurazione viola la regola.

Per ulteriori informazioni sulla condivisione di uno snapshot DB, consulta Sharing a DB snapshot nella Amazon RDS User Guide.

Correzione

Per rimuovere l'accesso pubblico dalle RDS istantanee, consulta Sharing a snapshot nella Amazon RDS User Guide. Per la visibilità degli snapshot DB, scegliamo Privato.

[RDS.2] Le istanze RDS DB dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/2.3.3, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS PCI DSS v3.2.1/1.3.2, v3.2.1/1.3.4, v3.2.1/1.3.6, v3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4 PCI DSS PCI DSS PCI DSS

Categoria: Protezione > Configurazione di rete protetta

Severità: critica

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-instance-public-access-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se RDS le istanze Amazon sono accessibili pubblicamente valutando il PubliclyAccessible campo nell'elemento di configurazione dell'istanza.

Le istanze DB Neptune e i cluster Amazon DocumentDB non hanno il flag e non PubliclyAccessible possono essere valutati. Tuttavia, questo controllo può comunque generare risultati per queste risorse. È possibile sopprimere questi risultati.

Il PubliclyAccessible valore nella configurazione dell'RDSistanza indica se l'istanza DB è accessibile pubblicamente. Quando l'istanza DB è configurata conPubliclyAccessible, si tratta di un'istanza con accesso a Internet con un DNS nome risolvibile pubblicamente, che si risolve in un indirizzo IP pubblico. Quando l'istanza DB non è accessibile pubblicamente, è un'istanza interna con un DNS nome che si risolve in un indirizzo IP privato.

A meno che tu non intenda rendere l'RDSistanza accessibile al pubblico, l'RDSistanza non deve essere configurata con PubliclyAccessible valore. In questo modo si potrebbe consentire un traffico non necessario verso l'istanza del database.

Correzione

Per rimuovere l'accesso pubblico dalle istanze RDS DB, consulta Modificare un'istanza Amazon RDS DB nella Amazon RDS User Guide. Per l'accesso pubblico, scegli No.

[RDS.3] Le istanze RDS DB devono avere la crittografia a riposo abilitata

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, 8 NIST.800-53.r5 CA-9 (1), (10), .800-53.r5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-storage-encrypted

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se la crittografia dello storage è abilitata per le tue istanze Amazon RDS DB.

Questo controllo è destinato alle istanze RDS DB. Tuttavia, può anche generare risultati per le istanze Aurora DB, le istanze Neptune DB e i cluster Amazon DocumentDB. Se questi risultati non sono utili, puoi eliminarli.

Per un ulteriore livello di sicurezza per i dati sensibili nelle istanze RDS DB, è necessario configurare le istanze RDS DB in modo che vengano crittografate quando sono inattive. Per crittografare le istanze RDS DB e le istantanee inutilizzate, abilita l'opzione di crittografia per le istanze DB. RDS I dati che vengono crittografati quando sono inattivi includono lo storage sottostante per le istanze database, i backup automatici, le repliche di lettura e gli snapshot.

RDSle istanze DB crittografate utilizzano l'algoritmo di crittografia standard aperto AES -256 per crittografare i dati sul server che ospita le istanze DB. RDS Dopo la crittografia dei dati, Amazon RDS gestisce l'autenticazione dell'accesso e la decrittografia dei dati in modo trasparente con un impatto minimo sulle prestazioni. Non è quindi necessario modificare le applicazioni client di database per utilizzare la crittografia.

La RDS crittografia Amazon è attualmente disponibile per tutti i motori di database e i tipi di storage. La RDS crittografia Amazon è disponibile per la maggior parte delle classi di istanze DB. Per informazioni sulle classi di istanze DB che non supportano la RDS crittografia Amazon, consulta Encrypting Amazon RDS resources nella Amazon RDS User Guide.

Correzione

Per informazioni sulla crittografia delle istanze DB in AmazonRDS, consulta Encrypting Amazon resources nella RDS RDSAmazon User Guide.

[RDS.4] Le istantanee RDS del cluster e le istantanee del database devono essere crittografate quando sono inattive

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa:AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot

Regola AWS Config : rds-snapshot-encrypted

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un'istantanea del RDS DB è crittografata. Il controllo fallisce se un'istantanea del RDS DB non è crittografata.

Questo controllo è destinato alle istanze RDS DB. Tuttavia, può anche generare risultati per istantanee di istanze Aurora DB, istanze DB Neptune e cluster Amazon DocumentDB. Se questi risultati non sono utili, puoi eliminarli.

La crittografia dei dati inattivi riduce il rischio che un utente non autenticato acceda ai dati archiviati su disco. I dati nelle RDS istantanee devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza.

Correzione

Per crittografare uno RDS snapshot, consulta Encrypting Amazon resources nella RDS RDSAmazon User Guide. Quando crittografi un'istanza RDS DB, i dati crittografati includono lo storage sottostante dell'istanza, i relativi backup automatici, le repliche di lettura e le istantanee.

È possibile crittografare un'istanza RDS DB solo al momento della creazione, non dopo la creazione dell'istanza DB. Tuttavia, poiché è possibile crittografare una copia di uno snapshot DB non crittografata, puoi aggiungere in modo efficace la crittografia a un'istanza database non crittografata. Ovvero, è possibile creare uno snapshot dell'istanza database e quindi creare una copia crittografata di quella snapshot. Puoi quindi ripristinare un'istanza database da uno snapshot crittografata e pertanto disporre di una copia crittografata dell'istanza database originale.

[RDS.5] Le istanze RDS DB devono essere configurate con più zone di disponibilità

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-multi-az-support

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se l'alta disponibilità è abilitata per le istanze RDS DB. Il controllo fallisce se un'istanza RDS DB non è configurata con più zone di disponibilità (AZs).

La configurazione delle istanze Amazon RDS DB con AZs aiuta a garantire la disponibilità dei dati archiviati. Le implementazioni Multi-AZ consentono il failover automatico in caso di problemi con la disponibilità di AZ e durante la manutenzione regolare. RDS

Correzione

Per distribuire le tue istanze DB in più istanzeAZs, modifica di un'istanza DB per renderla un'istanza DB Multi-AZ nella Amazon User Guide. RDS

[RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS

Requisiti correlati: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2

Categoria: Rilevamento > Servizi di rilevamento

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-enhanced-monitoring-enabled

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se il monitoraggio avanzato è abilitato per un'istanza DB di Amazon Relational Database Service (RDSAmazon). Il controllo fallisce se il monitoraggio avanzato non è abilitato per l'istanza. Se fornisci un valore personalizzato per il monitoringInterval parametro, il controllo passa solo se le metriche di monitoraggio avanzate vengono raccolte per l'istanza all'intervallo specificato.

In AmazonRDS, Enhanced Monitoring consente una risposta più rapida ai cambiamenti delle prestazioni nell'infrastruttura sottostante. Queste modifiche delle prestazioni potrebbero comportare una mancanza di disponibilità dei dati. Enhanced Monitoring fornisce metriche in tempo reale del sistema operativo su cui viene eseguita l'istanza RDS DB. Sull'istanza è installato un agente. L'agente può ottenere le metriche in modo più accurato di quanto sia possibile dal livello dell'hypervisor.

Le metriche di Enhanced Monitoring sono utili quando si desidera vedere in che modo diversi processi o thread su un'istanza DB utilizzano il. CPU Per ulteriori informazioni, consulta Enhanced Monitoring nella Amazon RDS User Guide.

Correzione

Per istruzioni dettagliate sull'attivazione di Enhanced Monitoring per la tua istanza DB, consulta Configurazione e attivazione di Enhanced Monitoring nella Amazon RDS User Guide.

[RDS.7] RDS i cluster dovrebbero avere la protezione da eliminazione abilitata

Requisiti correlati: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

Categoria: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : rds-cluster-deletion-protection-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se in un cluster RDS DB è abilitata la protezione da eliminazione. Il controllo ha esito negativo se in un cluster RDS DB non è abilitata la protezione da eliminazione.

Questo controllo è destinato alle istanze RDS DB. Tuttavia, può anche generare risultati per le istanze Aurora DB, le istanze Neptune DB e i cluster Amazon DocumentDB. Se questi risultati non sono utili, puoi eliminarli.

L'attivazione della protezione dall'eliminazione del cluster è un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un'entità non autorizzata.

Quando la protezione dall'eliminazione è abilitata, non è possibile eliminare un RDS cluster. Prima che una richiesta di eliminazione possa avere esito positivo, è necessario disabilitare la protezione dall'eliminazione.

Correzione

Per abilitare la protezione da eliminazione per un cluster RDS DB, consulta Modificare il cluster DB utilizzando la console e API nella Amazon RDS User Guide. CLI Per la protezione da eliminazione, scegli Abilita protezione da eliminazione.

[RDS.8] Le istanze RDS DB devono avere la protezione da eliminazione abilitata

Requisiti correlati: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-instance-deletion-protection-enabled

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se le istanze RDS DB che utilizzano uno dei motori di database elencati hanno la protezione dall'eliminazione abilitata. Il controllo ha esito negativo se in un'istanza RDS DB non è abilitata la protezione da eliminazione.

L'attivazione della protezione dall'eliminazione delle istanze è un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un'entità non autorizzata.

Mentre la protezione dall'eliminazione è abilitata, un'istanza RDS DB non può essere eliminata. Prima che una richiesta di eliminazione possa avere esito positivo, è necessario disabilitare la protezione da eliminazione.

Correzione

Per abilitare la protezione da eliminazione per un'istanza RDS DB, consulta Modificare un'istanza Amazon RDS DB nella Amazon RDS User Guide. Per la protezione da eliminazione, scegli Abilita protezione da eliminazione.

[RDS.9] Le istanze RDS DB devono pubblicare i log in Logs CloudWatch

Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (10), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8), NIST v4.0.1/10.2.1 NIST PCI DSS

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-logging-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un'istanza Amazon RDS DB è configurata per pubblicare i seguenti log su Amazon CloudWatch Logs. Il controllo fallisce se l'istanza non è configurata per pubblicare i seguenti log su Logs: CloudWatch

RDSi database dovrebbero avere i log pertinenti abilitati. La registrazione del database fornisce registrazioni dettagliate delle richieste effettuate a. RDS I log del database possono facilitare i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.

Correzione

Per pubblicare i log del RDS database su CloudWatch Logs, consulta Specificare i log da pubblicare su CloudWatch Logs nella Amazon User Guide. RDS

[RDS.10] IAM l'autenticazione deve essere configurata per le istanze RDS

Requisiti correlati: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

Categoria: Protezione > Gestione sicura degli accessi > Autenticazione senza password

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-instance-iam-authentication-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un'istanza RDS DB ha l'autenticazione IAM del database abilitata. Il controllo fallisce se IAM l'autenticazione non è configurata per le istanze RDS DB. Questo controllo valuta solo le RDS istanze con i seguenti tipi di motore:mysql,,, postgres auroraaurora-mysql, aurora-postgresql e. mariadb Un'RDSistanza deve inoltre trovarsi in uno dei seguenti stati per generare un risultato:available, backing-upstorage-optimization, o. storage-full

IAMl'autenticazione del database consente l'autenticazione delle istanze del database con un token di autenticazione anziché una password. Il traffico di rete da e verso il database viene crittografato utilizzandoSSL. Per ulteriori informazioni, consulta l'autenticazione del IAM database nella Guida per l'utente di Amazon Aurora.

Correzione

Per attivare l'autenticazione del IAM database su un'istanza RDS DB, consulta Abilitazione e disabilitazione dell'autenticazione del IAM database nella Amazon RDS User Guide.

[RDS.11] RDS le istanze devono avere i backup automatici abilitati

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Categoria: Ripristino > Resilienza > Backup abilitati

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : db-instance-backup-enabled

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un'istanza di Amazon Relational Database Service ha abilitato i backup automatici e un periodo di conservazione dei backup maggiore o uguale al periodo di tempo specificato. Le repliche di lettura sono escluse dalla valutazione. Il controllo fallisce se i backup non sono abilitati per l'istanza o se il periodo di conservazione è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione del backup, Security Hub utilizza un valore predefinito di 7 giorni.

I backup aiutano a ripristinare più rapidamente un incidente di sicurezza e rafforzano la resilienza dei sistemi. Amazon RDS ti consente di configurare istantanee giornaliere di volumi completi di istanze. Per ulteriori informazioni sui backup RDS automatici di Amazon, consulta Working with Backups nella Amazon RDS User Guide.

Correzione

Per abilitare i backup automatici su un'istanza RDS DB, consulta Enabling automatic backup nella Amazon RDS User Guide.

[RDS.12] IAM l'autenticazione deve essere configurata per i cluster RDS

Requisiti correlati: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

Categoria: Protezione > Gestione sicura degli accessi > Autenticazione senza password

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : rds-cluster-iam-authentication-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un cluster Amazon RDS DB ha l'autenticazione IAM del database abilitata.

IAMl'autenticazione del database consente l'autenticazione senza password delle istanze del database. L'autenticazione utilizza un token di autenticazione. Il traffico di rete da e verso il database viene crittografato utilizzandoSSL. Per ulteriori informazioni, consulta l'autenticazione del IAM database nella Guida per l'utente di Amazon Aurora.

Correzione

Per abilitare IAM l'autenticazione per un cluster DB, consulta Abilitazione e disabilitazione dell'autenticazione del IAM database nella Guida per l'utente di Amazon Aurora.

[RDS.13] gli aggiornamenti RDS automatici delle versioni secondarie devono essere abilitati

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/2.3.2, NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5), v4.0.1/6.3.3 NIST NIST PCI DSS

Categoria: Identificazione > Gestione delle vulnerabilità, delle patch e delle versioni

Gravità: alta

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-automatic-minor-version-upgrade-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se gli aggiornamenti automatici delle versioni secondarie sono abilitati per l'istanza del RDS database.

L'abilitazione degli aggiornamenti automatici delle versioni secondarie garantisce l'installazione degli ultimi aggiornamenti delle versioni secondarie del sistema di gestione del database relazionale (RDBMS). Questi aggiornamenti possono includere patch di sicurezza e correzioni di bug. Mantenersi aggiornati sull'installazione delle patch è un passaggio importante per proteggere i sistemi.

Correzione

Per abilitare gli aggiornamenti automatici delle versioni secondarie per un'istanza DB esistente, consulta Modifying an Amazon RDS DB Instance nella Amazon RDS User Guide. Per l'aggiornamento automatico della versione secondaria, seleziona Sì.

[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

Requisiti correlati: NIST .800-53.r5 CP-10, .800-53.r5 CP-6, .800-53.r5 CP-6 (1), NIST .800-53.r5 CP-6 (2), .800-53.r5 CP-9, NIST .800-53.r5 SI-13 (5) NIST NIST NIST

Categoria: Recover > Resilienza > Backup abilitati

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : aurora-mysql-backtracking-enabled

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un cluster Amazon Aurora ha il backtracking abilitato. Il controllo fallisce se il backtracking non è abilitato nel cluster. Se si fornisce un valore personalizzato per il BacktrackWindowInHours parametro, il controllo passa solo se il cluster viene eseguito a ritroso per il periodo di tempo specificato.

I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. Il backtracking di Aurora riduce il tempo necessario per ripristinare un database a un determinato punto nel tempo. A tale scopo, non è necessario ripristinare il database.

Correzione

Per abilitare il backtracking di Aurora, consulta Configurazione del backtracking nella Guida per l'utente di Amazon Aurora.

Tieni presente che non puoi abilitare il backtracking su un cluster esistente. Puoi invece creare un clone con il backtracking abilitato. Per ulteriori informazioni sulle limitazioni del backtracking di Aurora, consulta l'elenco delle limitazioni in Panoramica del backtracking.

[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : rds-cluster-multi-az-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se l'alta disponibilità è abilitata per i cluster RDS DB. Il controllo fallisce se un cluster RDS DB non è distribuito in più zone di disponibilità ()AZs.

RDSI cluster DB devono essere configurati per più cluster per AZs garantire la disponibilità dei dati archiviati. L'implementazione su più AZs piattaforme consente il failover automatizzato in caso di problemi di disponibilità di AZ e durante gli eventi di RDS manutenzione regolari.

Correzione

Per distribuire i tuoi cluster DB in piùAZs, modifica di un'istanza DB in un'istanza DB Multi-AZ nella Amazon User Guide. RDS

I passaggi di riparazione sono diversi per i database globali di Aurora. Per configurare più zone di disponibilità per un database globale Aurora, seleziona il tuo cluster DB. Quindi, scegli Azioni e Aggiungi lettore e specificane piùAZs. Per ulteriori informazioni, consulta Aggiungere repliche Aurora a un cluster DB nella Amazon Aurora User Guide.

[RDS.16] I cluster RDS DB devono essere configurati per copiare i tag nelle istantanee

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoria: Identificazione > Inventario

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBCluster

AWS Config regola: rds-cluster-copy-tags-to-snapshots-enabled (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i cluster RDS DB sono configurati per copiare tutti i tag nelle istantanee al momento della creazione delle istantanee.

L'identificazione e l'inventario delle risorse IT sono un aspetto cruciale della governance e della sicurezza. È necessario disporre della visibilità di tutti i cluster RDS DB in modo da poterne valutare il livello di sicurezza e intervenire sulle potenziali aree di debolezza. Le istantanee devono essere etichettate nello stesso modo dei cluster di database principaliRDS. L'attivazione di questa impostazione garantisce che le istantanee ereditino i tag dei cluster di database principali.

Correzione

Per copiare automaticamente i tag negli snapshot per un cluster RDS DB, consulta Modificare il cluster DB utilizzando la console e API nella Guida CLI per l'utente di Amazon Aurora. Seleziona Copia i tag negli snapshot.

[RDS.17] Le istanze RDS DB devono essere configurate per copiare i tag nelle istantanee

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoria: Identificazione > Inventario

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBInstance

AWS Config regola: rds-instance-copy-tags-to-snapshots-enabled (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se le istanze RDS DB sono configurate per copiare tutti i tag nelle istantanee al momento della creazione delle istantanee.

L'identificazione e l'inventario delle risorse IT sono un aspetto cruciale della governance e della sicurezza. È necessario disporre della visibilità di tutte le istanze RDS DB in modo da poterne valutare il livello di sicurezza e intervenire sulle potenziali aree di debolezza. Le istantanee devono essere etichettate nello stesso modo delle istanze del database principaleRDS. L'attivazione di questa impostazione garantisce che le istantanee ereditino i tag delle istanze del database principale.

Correzione

Per copiare automaticamente i tag negli snapshot per un'istanza RDS DB, consulta Modifying an Amazon RDS DB Instance nella Amazon RDS User Guide. Seleziona Copia i tag negli snapshot.

Le RDS istanze [RDS.18] devono essere distribuite in un VPC

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete sicura > Risorse interne VPC

Gravità: alta

Tipo di risorsa: AWS::RDS::DBInstance

AWS Config regola: rds-deployed-in-vpc (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un'RDSistanza Amazon è distribuita su un EC2 -VPC.

VPCsforniscono una serie di controlli di rete per proteggere l'accesso alle RDS risorse. Questi controlli includono VPC endpointACLs, rete e gruppi di sicurezza. Per sfruttare questi controlli, ti consigliamo di creare le tue RDS istanze su un EC2 -. VPC

Correzione

Per istruzioni su come spostare le RDS istanze in un'istanza databaseVPC, consulta Updating the VPC for a DB nella Amazon RDS User Guide.

[RDS.19] Le sottoscrizioni esistenti per la notifica degli RDS eventi devono essere configurate per gli eventi critici del cluster

Requisiti correlati: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2

Categoria: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni

Gravità: bassa

Tipo di risorsa: AWS::RDS::EventSubscription

AWS Config regola: rds-cluster-event-notifications-configured (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un abbonamento Amazon RDS Event esistente per cluster di database ha le notifiche abilitate per le seguenti coppie chiave-valore del tipo di sorgente e della categoria di evento:

DBCluster: ["maintenance","failure"]

Il controllo passa se non ci sono abbonamenti a eventi esistenti nel tuo account.

RDSle notifiche di eventi utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue RDS risorse. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche di RDS eventi, consulta Using Amazon RDS Event Notification nella Amazon RDS User Guide.

Correzione

Per iscriverti alle notifiche degli eventi RDS del cluster, consulta la sezione Abbonamento alla notifica RDS degli eventi di Amazon nella Amazon RDS User Guide. Utilizzare i seguenti valori:

[RDS.20] Le sottoscrizioni esistenti per le notifiche di RDS eventi devono essere configurate per gli eventi critici delle istanze di database

Requisiti correlati: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2, v4.0.1/11.5.2 PCI DSS

Categoria: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni

Gravità: bassa

Tipo di risorsa: AWS::RDS::EventSubscription

AWS Config regola: rds-instance-event-notifications-configured (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un abbonamento Amazon RDS Event esistente per le istanze di database ha le notifiche abilitate per le seguenti coppie chiave-valore del tipo di sorgente e della categoria di evento:

DBInstance: ["maintenance","configuration change","failure"]

Il controllo passa se non ci sono abbonamenti a eventi esistenti nel tuo account.

RDSle notifiche di eventi utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue RDS risorse. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche di RDS eventi, consulta Using Amazon RDS Event Notification nella Amazon RDS User Guide.

Correzione

Per iscriverti alle notifiche degli eventi delle RDS istanze, consulta la sezione Abbonamento alla notifica RDS degli eventi di Amazon nella Amazon RDS User Guide. Utilizzare i seguenti valori:

[RDS.21] È necessario configurare un abbonamento alle notifiche di RDS eventi per gli eventi dei gruppi di parametri critici del database

Requisiti correlati: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2, v4.0.1/11.5.2 PCI DSS

Categoria: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni

Gravità: bassa

Tipo di risorsa: AWS::RDS::EventSubscription

AWS Config regola: rds-pg-event-notifications-configured (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se esiste un abbonamento ad Amazon RDS Event con le notifiche abilitate per le seguenti coppie chiave-valore del tipo di sorgente, categoria di evento. Il controllo passa se non ci sono abbonamenti agli eventi esistenti nel tuo account.

DBParameterGroup: ["configuration change"]

RDSle notifiche di eventi utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue RDS risorse. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche di RDS eventi, consulta Using Amazon RDS Event Notification nella Amazon RDS User Guide.

Correzione

Per iscriverti alle notifiche degli eventi dei gruppi di parametri del RDS database, consulta la sezione Subscribing to Amazon RDS Event Notification nella Amazon RDS User Guide. Utilizzare i seguenti valori:

[RDS.22] È necessario configurare un abbonamento alle notifiche di RDS eventi per gli eventi critici dei gruppi di sicurezza del database

Requisiti correlati: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2, v4.0.1/11.5.2 PCI DSS

Categoria: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni

Gravità: bassa

Tipo di risorsa: AWS::RDS::EventSubscription

AWS Config regola: rds-sg-event-notifications-configured (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se esiste un abbonamento ad Amazon RDS Event con le notifiche abilitate per le seguenti coppie chiave-valore del tipo di sorgente, categoria di evento. Il controllo passa se non ci sono abbonamenti agli eventi esistenti nel tuo account.

DBSecurityGroup: ["configuration change","failure"]

RDSle notifiche di eventi utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue RDS risorse. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche di RDS eventi, consulta Using Amazon RDS Event Notification nella Amazon RDS User Guide.

Correzione

Per iscriverti alle notifiche degli eventi delle RDS istanze, consulta la sezione Abbonamento alla notifica RDS degli eventi di Amazon nella Amazon RDS User Guide. Utilizzare i seguenti valori:

RDSLe istanze [RDS.23] non devono utilizzare una porta predefinita del motore di database

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Categoria: Protezione > Configurazione di rete protetta

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBInstance

AWS Config regola: rds-no-default-ports (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un RDS cluster o un'istanza utilizza una porta diversa dalla porta predefinita del motore di database. Il controllo ha esito negativo se il RDS cluster o l'istanza utilizza la porta predefinita. Questo controllo non si applica alle RDS istanze che fanno parte di un cluster.

Se utilizzi una porta nota per distribuire un RDS cluster o un'istanza, un utente malintenzionato può indovinare le informazioni sul cluster o sull'istanza. L'aggressore può utilizzare queste informazioni insieme ad altre informazioni per connettersi a un RDS cluster o a un'istanza o ottenere ulteriori informazioni sull'applicazione.

Quando si modifica la porta, è necessario aggiornare anche le stringhe di connessione esistenti utilizzate per connettersi alla vecchia porta. È inoltre necessario controllare il gruppo di sicurezza dell'istanza DB per assicurarsi che includa una regola di ingresso che consenta la connettività sulla nuova porta.

Correzione

Per modificare la porta predefinita di un'istanza RDS DB esistente, consulta Modificare un'istanza Amazon RDS DB nella Amazon RDS User Guide. Per modificare la porta predefinita di un cluster RDS DB esistente, consulta Modificare il cluster DB utilizzando la console e API nella Amazon Aurora User Guide. CLI Per la porta del database, modifica il valore della porta con un valore non predefinito.

[RDS.24] I cluster di RDS database devono utilizzare un nome utente di amministratore personalizzato

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, v4.0.1/2.2.2 PCI DSS

Categoria: Identifica > Configurazione delle risorse

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : rds-cluster-default-admin-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un cluster di RDS database Amazon ha modificato il nome utente di amministratore rispetto al valore predefinito. Il controllo non si applica ai motori del tipo neptune (Neptune DB) o docdb (DocumentDB). Questa regola avrà esito negativo se il nome utente dell'amministratore è impostato sul valore predefinito.

Quando crei un RDS database Amazon, devi modificare il nome utente amministratore predefinito con un valore univoco. I nomi utente predefiniti sono di dominio pubblico e devono essere modificati durante la creazione RDS del database. La modifica dei nomi utente predefiniti riduce il rischio di accessi involontari.

Correzione

Per modificare il nome utente di amministratore associato al cluster di RDS database Amazon, crea un nuovo cluster di RDS database e modifica il nome utente amministratore predefinito durante la creazione del database.

[RDS.25] le istanze di RDS database devono utilizzare un nome utente di amministratore personalizzato

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, v4.0.1/2.2.2 PCI DSS

Categoria: Identifica > Configurazione delle risorse

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-instance-default-admin-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se hai cambiato il nome utente amministrativo per le istanze di database Amazon Relational Database Service (RDSAmazon) rispetto al valore predefinito. Il controllo non si applica ai motori del tipo neptune (Neptune DB) o docdb (DocumentDB). Il controllo ha esito negativo se il nome utente amministrativo è impostato sul valore predefinito.

I nomi utente amministrativi predefiniti sui RDS database Amazon sono di dominio pubblico. Quando crei un RDS database Amazon, devi modificare il nome utente amministrativo predefinito con un valore univoco per ridurre il rischio di accessi involontari.

Correzione

Per modificare il nome utente amministrativo associato a un'istanza di RDS database, crea prima una nuova istanza di RDS database. Modifica il nome utente amministrativo predefinito durante la creazione del database.

[RDS.26] Le istanze RDS DB devono essere protette da un piano di backup

Categoria: Recover > Resilience > Backup abilitati

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

AWS Config regola: rds-resources-protected-by-backup-plan

Tipo di pianificazione: periodica

Parametri:

Questo controllo valuta se le istanze Amazon RDS DB sono coperte da un piano di backup. Questo controllo fallisce se l'istanza RDS DB non è coperta da un piano di backup. Se si imposta il backupVaultLockCheck parametro uguale atrue, il controllo passa solo se l'istanza è sottoposta a backup in un vault AWS Backup bloccato.

AWS Backup è un servizio di backup completamente gestito che centralizza e automatizza il backup dei dati in tutto il mondo. Servizi AWS Con AWS Backup, è possibile creare politiche di backup denominate piani di backup. È possibile utilizzare questi piani per definire i requisiti di backup, ad esempio la frequenza con cui eseguire il backup dei dati e la durata di conservazione di tali backup. L'inclusione delle istanze RDS DB in un piano di backup consente di proteggere i dati da perdite o eliminazioni involontarie.

Correzione

Per aggiungere un'istanza RDS DB a un piano di AWS Backup backup, consulta Assegnazione di risorse a un piano di backup nella Guida per gli AWS Backup sviluppatori.

[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

AWS Config regola: rds-cluster-encrypted-at-rest

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un cluster RDS DB è crittografato a riposo. Il controllo fallisce se un cluster RDS DB non è crittografato a riposo.

I dati inattivi si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia aiuta a proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. La crittografia dei cluster RDS DB protegge i dati e i metadati dall'accesso non autorizzato. Soddisfa inoltre i requisiti di conformità per data-at-rest la crittografia dei file system di produzione.

Correzione

È possibile abilitare la crittografia a riposo quando si crea un cluster RDS DB. Non è possibile modificare le impostazioni di crittografia dopo aver creato un cluster. Per ulteriori informazioni, consulta Encrypting an Amazon Aurora DB cluster nella Amazon Aurora User Guide.

[RDS.28] I cluster RDS DB devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBCluster

AWS Config regola: tagged-rds-dbcluster (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un cluster Amazon RDS DB dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il cluster DB non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.

Correzione

Per aggiungere tag a un cluster RDS DB, consulta Tagging Amazon RDS resources nella Amazon RDS User Guide.

[RDS.29] Le istantanee dei cluster RDS DB devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBClusterSnapshot

AWS Config regola: tagged-rds-dbclustersnapshot (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se uno snapshot del cluster Amazon RDS DB contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se lo snapshot del cluster DB non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo snapshot del cluster DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.

Correzione

Per aggiungere tag a uno snapshot del cluster RDS DB, consulta Tagging Amazon RDS resources nella Amazon RDS User Guide.

[RDS.30] Le istanze RDS DB devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBInstance

AWS Config regola: tagged-rds-dbinstance (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un'istanza Amazon RDS DB ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'istanza DB non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'istanza DB non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.

Correzione

Per aggiungere tag a un'istanza RDS DB, consulta Tagging Amazon RDS resources nella Amazon RDS User Guide.

[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBSecurityGroup

AWS Config regola: tagged-rds-dbsecuritygroup (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un gruppo di sicurezza Amazon RDS DB dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il gruppo di sicurezza DB non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sicurezza DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.

Correzione

Per aggiungere tag a un gruppo di sicurezza RDS DB, consulta Tagging Amazon RDS resources nella Amazon RDS User Guide.

[RDS.32] Gli snapshot RDS DB devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBSnapshot

AWS Config regola: tagged-rds-dbsnapshot (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se uno snapshot di Amazon RDS DB ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se lo snapshot DB non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo snapshot DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.

Correzione

Per aggiungere tag a uno snapshot RDS DB, consulta Tagging Amazon RDS resources nella Amazon RDS User Guide.

[RDS.33] I gruppi di RDS sottoreti DB devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::RDS::DBSubnetGroup

AWS Config regola: tagged-rds-dbsubnetgroups (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un sottogruppo di Amazon RDS DB dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il gruppo di sottoreti DB non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sottorete DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.

Correzione

Per aggiungere tag a un sottogruppo di RDS database, consulta Tagging Amazon RDS resources nella Amazon RDS User Guide.

[RDS.34] Aurora I SQL miei cluster DB dovrebbero pubblicare i log di controllo in Logs CloudWatch

Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8), NIST v4.0.1/10.2.1 NIST PCI DSS

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

AWS Config regola: rds-aurora-mysql-audit-logging-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un cluster Amazon Aurora My SQL DB è configurato per pubblicare log di audit su Amazon Logs. CloudWatch Il controllo fallisce se il cluster non è configurato per pubblicare i log di controllo su Logs. CloudWatch Il controllo non genera risultati per i cluster DB Aurora Serverless v1.

I log di controllo registrano le attività del database, inclusi tentativi di accesso, modifiche dei dati, modifiche dello schema e altri eventi che possono essere verificati per scopi di sicurezza e conformità. Quando configuri un cluster Aurora My SQL DB per pubblicare i log di audit in un gruppo di log in Amazon CloudWatch Logs, puoi eseguire analisi in tempo reale dei dati di log. CloudWatch Logs conserva i log in uno storage altamente durevole. Puoi anche creare allarmi e visualizzare le metriche in. CloudWatch

Correzione

Per pubblicare i log di controllo del cluster Aurora My SQL DB su Logs, consulta Publishing Amazon Aurora My CloudWatch logs to Amazon SQL Logs to Amazon Logs CloudWatch nella Amazon Aurora User Guide.

[RDS.35] Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

Requisiti correlati: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5), v4.0.1/6.3.3 NIST NIST PCI DSS

Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

AWS Config regola: rds-cluster-auto-minor-version-upgrade-enable

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se l'aggiornamento automatico della versione secondaria è abilitato per un cluster Amazon RDS Multi-AZ DB. Il controllo fallisce se l'aggiornamento automatico della versione secondaria non è abilitato per il cluster DB Multi-AZ.

RDSfornisce l'aggiornamento automatico delle versioni secondarie in modo da poter mantenere aggiornato il cluster DB Multi-AZ. Le versioni minori possono introdurre nuove funzionalità software, correzioni di bug, patch di sicurezza e miglioramenti delle prestazioni. Abilitando l'aggiornamento automatico delle versioni secondarie sui cluster di RDS database, il cluster, insieme alle istanze del cluster, riceverà aggiornamenti automatici alla versione secondaria quando saranno disponibili nuove versioni. Gli aggiornamenti vengono applicati automaticamente durante la finestra di manutenzione.

Correzione

Per abilitare l'aggiornamento automatico delle versioni secondarie sui cluster DB Multi-AZ, consulta Modificare un cluster DB Multi-AZ nella Amazon User Guide. RDS

[RDS.36] RDS per le istanze DB di Postgres devono pubblicare i log in SQL Logs CloudWatch

PCIDSSRequisiti correlati: v4.0.1/10.4.2

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::RDS::DBInstance

Regola AWS Config : rds-postgresql-logs-to-cloudwatch

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un'istanza Amazon RDS for Postgre SQL DB è configurata per pubblicare log su Amazon Logs. CloudWatch Il controllo fallisce se l'istanza SQL DB di Postgre non è configurata per pubblicare i tipi di log menzionati nel parametro su Logs. logTypes CloudWatch

La registrazione del database fornisce registrazioni dettagliate delle richieste fatte a un'istanza. RDS Postgre SQL genera registri degli eventi che contengono informazioni utili per gli amministratori. La pubblicazione di questi registri su CloudWatch Logs centralizza la gestione dei log e consente di eseguire analisi in tempo reale dei dati di registro. CloudWatch Logs conserva i log in uno spazio di archiviazione estremamente durevole. Puoi anche creare allarmi e visualizzare le metriche in. CloudWatch

Correzione

Per pubblicare i log delle istanze di Postgre SQL DB su CloudWatch Logs, consulta Pubblicazione dei log di Postgre su Amazon SQL Logs nella Amazon CloudWatch User Guide. RDS

[RDS.37] I cluster Aurora SQL Postgre DB devono pubblicare i log in Logs CloudWatch

PCIDSSRequisiti correlati: v4.0.1/10.4.2

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::RDS::DBCluster

Regola AWS Config : rds-aurora-postgresql-logs-to-cloudwatch

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un cluster Amazon Aurora Postgre SQL DB è configurato per pubblicare log su Amazon Logs. CloudWatch Il controllo fallisce se il cluster Aurora Postgre SQL DB non è configurato per pubblicare i log di SQL Postgre su Logs. CloudWatch

La registrazione del database fornisce registrazioni dettagliate delle richieste fatte a un cluster. RDS Aurora Postgre SQL genera registri degli eventi che contengono informazioni utili per gli amministratori. La pubblicazione di questi registri su Logs centralizza la gestione CloudWatch dei registri e consente di eseguire analisi in tempo reale dei dati di registro. CloudWatch Logs conserva i log in uno spazio di archiviazione estremamente durevole. Puoi anche creare allarmi e visualizzare le metriche in. CloudWatch

Correzione

Per pubblicare i log del cluster Aurora Postgre SQL DB su CloudWatch Logs, consulta Pubblicazione dei log di Aurora SQL Postgre su Amazon Logs nella Amazon User Guide. CloudWatch RDS