Amazon에 대한 Security Hub 제어 RDS - AWS Security Hub
[RDS.1] RDS 스냅샷은 프라이빗이어야 합니다.[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성에 따라 퍼블릭 액세스를 금지해야 합니다.[RDS.3] RDS DB 인스턴스에는 저장 시 암호화가 활성화되어 있어야 합니다.[RDS.4] RDS 클러스터 스냅샷 및 데이터베이스 스냅샷은 저장 시 암호화되어야 합니다.[RDS.5] RDS DB 인스턴스는 여러 가용 영역으로 구성되어야 합니다.[RDS.6] RDS DB 인스턴스에 대해 향상된 모니터링을 구성해야 합니다.[RDS.7] RDS 클러스터에는 삭제 방지가 활성화되어 있어야 합니다.[RDS.8] RDS DB 인스턴스에는 삭제 방지가 활성화되어 있어야 합니다.[RDS.9] RDS DB 인스턴스는 로그에 CloudWatch 로그를 게시해야 합니다.RDS 인스턴스에 대해 [RDS.10] IAM 인증을 구성해야 합니다.[RDS.11] RDS 인스턴스에는 자동 백업이 활성화되어 있어야 합니다.[RDS.12] RDS 클러스터에 대한 IAM 인증을 구성해야 합니다.[RDS.13] 마이너 버전 RDS 자동 업그레이드를 활성화해야 합니다.[RDS.14] Amazon Aurora 클러스터에는 역추적이 활성화되어 있어야 합니다.[RDS.15] RDS DB 클러스터는 여러 가용 영역에 대해 구성되어야 합니다.[RDS.16] 스냅샷에 태그를 복사하도록 RDS DB 클러스터를 구성해야 합니다.[RDS.17] 스냅샷에 태그를 복사하도록 RDS DB 인스턴스를 구성해야 합니다.[RDS.18] RDS 인스턴스는에 배포해야 합니다. VPC [RDS.19] 중요한 클러스터 RDS 이벤트에 대해 기존 이벤트 알림 구독을 구성해야 합니다.[RDS.20] 중요한 데이터베이스 인스턴스 RDS 이벤트에 대해 기존 이벤트 알림 구독을 구성해야 합니다.[RDS.21] 중요한 데이터베이스 파라미터 그룹 RDS 이벤트에 대해 이벤트 알림 구독을 구성해야 합니다.[RDS.22] 중요한 데이터베이스 보안 그룹 RDS 이벤트에 대해 이벤트 알림 구독을 구성해야 합니다.[RDS.23] RDS 인스턴스는 데이터베이스 엔진 기본 포트를 사용해서는 안 됩니다.[RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.[RDS.25] RDS 데이터베이스 인스턴스는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.[RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.[RDS.27] RDS DB 클러스터는 저장 시 암호화되어야 합니다.[RDS.28] RDS DB 클러스터에 태그를 지정해야 합니다.[RDS.29] RDS DB 클러스터 스냅샷에 태그를 지정해야 합니다.[RDS.30] RDS DB 인스턴스에 태그를 지정해야 합니다.[RDS.31] RDS DB 보안 그룹에 태그를 지정해야 합니다.[RDS.32] RDS DB 스냅샷에 태그를 지정해야 합니다.[RDS.33] RDS DB 서브넷 그룹에 태그를 지정해야 합니다.[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch 로그에 게시해야 합니다.[RDS.35] RDS DB 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다.PostgreSQL DB 인스턴스RDS의 경우 [RDS.36] 로그를 CloudWatch 로그에 게시해야 합니다.[RDS.37] Aurora PostgreSQL DB 클러스터는 로그에 CloudWatch 로그를 게시해야 합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon에 대한 Security Hub 제어 RDS

이러한 AWS Security Hub 제어는 Amazon Relational Database Service(Amazon RDS) 서비스 및 리소스를 평가합니다.

이러한 제어는 일부만 사용할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[RDS.1] RDS 스냅샷은 프라이빗이어야 합니다.

관련 요구 사항: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7,(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성

심각도: 심각

리소스 유형: AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot

AWS Config 규칙: rds-snapshots-public-prohibited

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon RDS 스냅샷이 퍼블릭인지 확인합니다. RDS 스냅샷이 퍼블릭인 경우 제어가 실패합니다. 이 제어는 RDS 인스턴스, Aurora DB 인스턴스, Neptune DB 인스턴스 및 Amazon DocumentDB 클러스터를 평가합니다.

RDS 스냅샷은 특정 시점에 RDS 인스턴스의 데이터를 백업하는 데 사용됩니다. RDS 인스턴스의 이전 상태를 복원하는 데 사용할 수 있습니다.

RDS 스냅샷은 의도되지 않은 한 공개되어서는 안 됩니다. 암호화되지 않은 수동 스냅샷을 공개로 공유하면 모든 AWS 계정에서 해당 스냅샷을 사용할 수 있습니다. 이로 인해 RDS 인스턴스의 의도하지 않은 데이터 노출이 발생할 수 있습니다.

퍼블릭 액세스를 허용하도록 구성을 변경하면 AWS Config 규칙이 최대 12시간 동안 변경 사항을 감지하지 못할 수 있습니다. AWS Config 규칙이 변경 사항을 감지할 때까지 구성이 규칙을 위반하더라도 검사는 통과합니다.

DB 스냅샷 공유에 대한 자세한 내용은 Amazon RDS 사용 설명서DB 스냅샷 공유를 참조하세요.

문제 해결

RDS 스냅샷에서 퍼블릭 액세스를 제거하려면 Amazon RDS 사용 설명서스냅샷 공유를 참조하세요. DB 스냅샷 가시성에서 비공개를 선택합니다.

[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성에 따라 퍼블릭 액세스를 금지해야 합니다.

관련 요구 사항: CIS AWS Foundations Benchmark v3.0.0/2.3.3, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(5), PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4

범주: 보호 > 보안 네트워크 구성

심각도: 심각

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: rds-instance-public-access-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 RDS 인스턴스 구성 항목의 PubliclyAccessible 필드를 평가하여 Amazon 인스턴스에 공개적으로 액세스할 수 있는지 확인합니다.

Neptune DB 인스턴스와 Amazon DocumentDB 클러스터에는 PubliclyAccessible 플래그가 없으므로 평가할 수 없습니다. 그러나 이 제어는 여전히 이러한 리소스에 대한 조사 결과를 생성할 수 있습니다. 이러한 조사 결과를 숨길 수 있습니다.

RDS 인스턴스 구성의 PubliclyAccessible 값은 DB 인스턴스에 공개적으로 액세스할 수 있는지 여부를 나타냅니다. DB 인스턴스가 로 구성된 경우 공개적으로 확인 가능한 DNS 이름이 있는 인터넷 연결 인스턴스PubliclyAccessible로, 퍼블릭 IP 주소로 확인됩니다. DB 인스턴스에 공개적으로 액세스할 수 없는 경우 DNS 이름은 프라이빗 IP 주소로 확인되는 내부 인스턴스입니다.

RDS 인스턴스에 공개적으로 액세스하려는 경우가 아니면 RDS 인스턴스를 PubliclyAccessible 값으로 구성해서는 안 됩니다. 이렇게 하면 데이터베이스 인스턴스에 불필요한 트래픽이 발생할 수 있습니다.

문제 해결

RDS DB 인스턴스에서 퍼블릭 액세스를 제거하려면 Amazon 사용 설명서의 Amazon RDS DB 인스턴스 수정을 참조하세요. RDS 퍼블릭 액세스에서 아니오를 선택합니다.

[RDS.3] RDS DB 인스턴스에는 저장 시 암호화가 활성화되어 있어야 합니다.

관련 요구 사항: CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호 > 암호화 data-at-rest

심각도: 중간

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: rds-storage-encrypted

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon RDS DB 인스턴스에 스토리지 암호화가 활성화되어 있는지 확인합니다.

이 제어는 RDS DB 인스턴스를 위한 것입니다. 하지만 Aurora DB 인스턴스, Neptune DB 인스턴스 및 Amazon DocumentDB 클러스터에 대한 조사 결과를 생성할 수도 있습니다. 이러한 조사 결과가 유용하지 않으면 숨길 수 있습니다.

RDS DB 인스턴스의 민감한 데이터에 대한 보안 계층을 추가하려면 저장 시 암호화되도록 RDS DB 인스턴스를 구성해야 합니다. 저장 DB RDS 인스턴스 및 스냅샷을 암호화하려면 RDS DB 인스턴스에 대한 암호화 옵션을 활성화합니다. 유휴 시 암호화된 데이터에는 DB 인스턴스에 대한 기본 스토리지, 자동 백업, 읽기 전용 복제본 및 스냅샷이 포함됩니다.

RDS 암호화된 DB 인스턴스는 개방형 표준 AES-256 암호화 알고리즘을 사용하여 RDS DB 인스턴스를 호스팅하는 서버에서 데이터를 암호화합니다. 데이터가 암호화되면 Amazon은 성능에 미치는 영향을 최소화하면서 데이터의 액세스 인증 및 복호화를 투명하게 RDS 처리합니다. 암호화를 사용하도록 데이터베이스 클라이언트 애플리케이션을 수정하지 않아도 됩니다.

Amazon RDS 암호화는 현재 모든 데이터베이스 엔진 및 스토리지 유형에 사용할 수 있습니다. Amazon RDS 암호화는 대부분의 DB 인스턴스 클래스에서 사용할 수 있습니다. Amazon RDS 암호화를 지원하지 않는 DB 인스턴스 클래스에 대한 자세한 내용은 Amazon RDS 사용 설명서의 Amazon RDS 리소스 암호화를 참조하세요.

문제 해결

Amazon에서 DB 인스턴스를 암호화하는 방법에 대한 자세한 내용은 Amazon RDS 사용 설명서Amazon RDS 리소스 암호화를 RDS참조하세요.

[RDS.4] RDS 클러스터 스냅샷 및 데이터베이스 스냅샷은 저장 시 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호 > 암호화 data-at-rest

심각도: 중간

리소스 유형: AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot

AWS Config 규칙: rds-snapshot-encrypted

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 RDS DB 스냅샷이 암호화되었는지 확인합니다. RDS DB 스냅샷이 암호화되지 않으면 제어가 실패합니다.

이 제어는 RDS DB 인스턴스를 위한 것입니다. 하지만 Aurora DB 인스턴스, Neptune DB 인스턴스 및 Amazon DocumentDB 클러스터의 스냅샷에 대한 조사 결과를 생성할 수도 있습니다. 이러한 조사 결과가 유용하지 않으면 숨길 수 있습니다.

데이터를 저장 시 암호화하면 인증되지 않은 사용자가 디스크에 저장된 데이터에 액세스할 위험이 줄어듭니다. RDS 스냅샷의 데이터는 보안 계층을 강화하기 위해 저장 시 암호화해야 합니다.

문제 해결

RDS 스냅샷을 암호화하려면 Amazon 사용 설명서의 Amazon RDS 리소스 암호화를 참조하세요. RDS RDS DB 인스턴스를 암호화할 때 암호화된 데이터에는 인스턴스의 기본 스토리지, 자동 백업, 읽기 전용 복제본 및 스냅샷이 포함됩니다.

RDS DB 인스턴스를 생성할 때만 DB 인스턴스를 암호화할 수 있으며, DB 인스턴스를 생성한 후에는 암호화할 수 없습니다. 다만 암호화되지 않은 스냅샷의 사본을 암호화할 수 있기 때문에 암호화되지 않은 DB 인스턴스에 실질적으로 암호화를 추가할 수 있습니다. 즉, DB 인스턴스의 스냅샷을 만든 다음 해당 스냅샷의 암호화된 사본을 만들 수 있습니다. 그런 다음 암호화된 스냅샷에서 DB 인스턴스를 복구할 수 있고, 원본 DB 인스턴스의 암호화된 사본이 생깁니다.

[RDS.5] RDS DB 인스턴스는 여러 가용 영역으로 구성되어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: rds-multi-az-support

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 RDS DB 인스턴스에 고가용성이 활성화되어 있는지 확인합니다. RDS DB 인스턴스가 여러 가용 영역()으로 구성되어 있지 않으면 제어가 실패합니다AZs.

를 사용하여 Amazon RDS DB 인스턴스를 구성하면 저장된 데이터의 가용성을 보장하는 AZs 데 도움이 됩니다. 다중 AZ 배포를 사용하면 AZ 가용성에 문제가 있는 경우 및 정기 RDS 유지 관리 중에 자동 장애 조치가 가능합니다.

문제 해결

여러에 DB 인스턴스를 배포하려면 Amazon RDS 사용 설명서에서 DB 인스턴스를 다중 AZ DB 인스턴스 배포로 AZs수정합니다. https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating

[RDS.6] RDS DB 인스턴스에 대해 향상된 모니터링을 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

범주: 감지 > 감지 서비스

심각도: 낮음

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: rds-enhanced-monitoring-enabled

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값

monitoringInterval

모니터링 지표 수집 간격(초)

Enum

1, 5, 10, 15, 30, 60

기본값 없음

이 제어는 Amazon Relational Database Service(AmazonRDS) DB 인스턴스에 대해 향상된 모니터링이 활성화되어 있는지 확인합니다. 인스턴스에 대해 향상된 모니터링이 활성화되지 않은 경우, 제어가 실패합니다. monitoringInterval 파라미터에 사용자 지정 값을 제공하는 경우, 인스턴스에 대해 지정된 간격으로 향상된 모니터링 지표가 수집되는 경우에만 제어가 통과합니다.

Amazon에서 RDSEnhanced Monitoring을 사용하면 기본 인프라의 성능 변화에 더 빠르게 대응할 수 있습니다. 이러한 성능 변화로 인해 데이터 가용성이 부족해질 수 있습니다. Enhanced Monitoring은 RDS DB 인스턴스가 실행되는 운영 체제의 실시간 지표를 제공합니다. 에이전트가 인스턴스에 설치되어 있습니다. 에이전트는 하이퍼바이저 계층에서 가능한 것보다 더 정확하게 지표를 얻을 수 있습니다.

향상된 모니터링 지표는 DB 인스턴스의 다양한 프로세스 또는 스레드가를 사용하는 방식을 확인하고 싶을 때 유용합니다CPU. 자세한 내용은 Amazon RDS 사용 설명서Enhanced Monitoring을 참조하세요.

문제 해결

DB 인스턴스에 대해 Enhanced Monitoring을 활성화하는 방법에 대한 자세한 지침은 Amazon RDS 사용 설명서Enhanced Monitoring 설정 및 활성화를 참조하세요.

[RDS.7] RDS 클러스터에는 삭제 방지가 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)

범주: 보호 > 데이터 보호 > 데이터 삭제 보호

심각도: 낮음

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: rds-cluster-deletion-protection-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 RDS DB 클러스터에 삭제 방지가 활성화되어 있는지 확인합니다. RDS DB 클러스터에 삭제 방지가 활성화되어 있지 않으면 제어가 실패합니다.

이 제어는 RDS DB 인스턴스를 위한 것입니다. 하지만 Aurora DB 인스턴스, Neptune DB 인스턴스 및 Amazon DocumentDB 클러스터에 대한 조사 결과를 생성할 수도 있습니다. 이러한 조사 결과가 유용하지 않으면 숨길 수 있습니다.

클러스터 삭제 보호를 활성화하면 우발적인 데이터베이스 삭제 또는 승인되지 않은 개체에 의한 삭제에 대한 추가 보호 계층이 제공됩니다.

삭제 방지가 활성화되면 RDS 클러스터를 삭제할 수 없습니다. 삭제 요청이 성공하려면 먼저 삭제 보호를 비활성화해야 합니다.

문제 해결

RDS DB 클러스터에 대한 삭제 보호를 활성화하려면 Amazon RDS 사용 설명서의 콘솔, CLI및를 사용하여 DB 클러스터 수정API을 참조하세요. 삭제 방지에서 삭제 방지 활성화를 선택합니다.

[RDS.8] RDS DB 인스턴스에는 삭제 방지가 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 보호 > 데이터 보호 > 데이터 삭제 보호

심각도: 낮음

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: rds-instance-deletion-protection-enabled

스케줄 유형: 변경이 트리거됨

파라미터:

  • databaseEngines: mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(사용자 지정할 수 없음)

이 제어는 나열된 데이터베이스 엔진 중 하나를 사용하는 RDS DB 인스턴스에 삭제 방지가 활성화되어 있는지 확인합니다. RDS DB 인스턴스에 삭제 방지가 활성화되어 있지 않으면 제어가 실패합니다.

인스턴스 삭제 보호를 활성화하면 우발적인 데이터베이스 삭제 또는 승인되지 않은 개체에 의한 삭제에 대한 추가 보호 계층이 제공됩니다.

삭제 방지가 활성화되어 있는 동안에는 RDS DB 인스턴스를 삭제할 수 없습니다. 삭제 요청이 성공하려면 먼저 삭제 보호를 비활성화해야 합니다.

문제 해결

RDS DB 인스턴스에 대한 삭제 보호를 활성화하려면 Amazon 사용 설명서의 Amazon RDS DB 인스턴스 수정을 참조하세요. RDS 삭제 방지에서 삭제 방지 활성화를 선택합니다.

[RDS.9] RDS DB 인스턴스는 로그에 CloudWatch 로그를 게시해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.2.1

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: rds-logging-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon RDS DB 인스턴스가 다음 로그를 Amazon CloudWatch Logs에 게시하도록 구성되어 있는지 확인합니다. 인스턴스가 다음 로그를 CloudWatch 로그에 게시하도록 구성되지 않은 경우 제어가 실패합니다.

  • Oracle: (Alert, Audit, Trace, Listener)

  • PostgreSQL: (Postgresql, 업그레이드)

  • 내SQL: (감사, 오류, 일반, SlowQuery)

  • MariaDB: (감사, 오류, 일반, SlowQuery)

  • SQL 서버: (오류, 에이전트)

  • Aurora: (감사, 오류, 일반, SlowQuery)

  • Aurora-MySQL: (감사, 오류, 일반 SlowQuery)

  • Aurora-PostgreSQL: (Postgresql, 업그레이드).

RDS 데이터베이스에는 관련 로그가 활성화되어 있어야 합니다. 데이터베이스 로깅은에 대한 요청에 대한 자세한 레코드를 제공합니다RDS. 데이터베이스 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.

문제 해결

CloudWatch 로그에 RDS 데이터베이스 로그를 게시하려면 Amazon RDS 사용 설명서의 로그에 게시할 CloudWatch 로그 지정을 참조하세요.

RDS 인스턴스에 대해 [RDS.10] IAM 인증을 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6

범주: 보호 > 보안 액세스 관리 > 비밀번호 없는 인증

심각도: 중간

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: rds-instance-iam-authentication-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 RDS DB 인스턴스에 IAM 데이터베이스 인증이 활성화되어 있는지 확인합니다. RDS DB 인스턴스에 대한 IAM 인증이 구성되지 않은 경우 제어가 실패합니다. 이 제어는 mysql, , , postgres, 및 엔진 유형이 있는 RDS 인스턴스만 평가합니다auroraaurora-mysqlaurora-postgresqlmariadb. 또한 결과를 생성하려면 RDS 인스턴스가 available, backing-up, storage-optimization또는 상태 중 하나여야 합니다storage-full.

IAM 데이터베이스 인증을 사용하면 암호 대신 인증 토큰을 사용하여 데이터베이스 인스턴스에 대한 인증을 허용합니다. 데이터베이스와 주고받는 네트워크 트래픽은를 사용하여 암호화됩니다SSL. 자세한 내용은 Amazon Aurora 사용 설명서IAM 데이터베이스 인증을 참조하세요.

문제 해결

RDS DB 인스턴스에서 IAM 데이터베이스 인증을 활성화하려면 Amazon RDS 사용 설명서 IAM 데이터베이스 인증 활성화 및 비활성화를 참조하세요.

[RDS.11] RDS 인스턴스에는 자동 백업이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 백업 활성화

심각도: 중간

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: db-instance-backup-enabled

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값

backupRetentionMinimum

백업 보존 기간(일수)

Integer

7~35

7

checkReadReplicas

RDS DB 인스턴스에 읽기 전용 복제본에 대한 백업이 활성화되어 있는지 확인합니다.

사용자 지정할 수 없음

false

이 제어는 Amazon Relational Database Service 인스턴스에 자동 백업이 활성화되어 있고 백업 보존 기간이 지정된 기간 이상인지 확인합니다. 읽기 전용 복제본은 평가에서 제외됩니다. 인스턴트에 대한 백업이 활성화되지 않았거나 보존 기간이 지정된 기간 미만인 경우, 제어가 실패합니다. 백업 보존 기간에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub는 기본값인 7일을 사용합니다.

백업을 통해 보안 사고로부터 더 빠르게 복구할 수 있고 시스템의 복원력을 강화할 수 있습니다. AmazonRDS을 사용하면 일일 전체 인스턴스 볼륨 스냅샷을 구성할 수 있습니다. Amazon RDS 자동 백업에 대한 자세한 내용은 Amazon RDS 사용 설명서백업 작업을 참조하세요.

문제 해결

RDS DB 인스턴스에서 자동 백업을 활성화하려면 Amazon RDS 사용 설명서자동 백업 활성화를 참조하세요.

[RDS.12] RDS 클러스터에 대한 IAM 인증을 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6

범주: 보호 > 보안 액세스 관리 > 비밀번호 없는 인증

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: rds-cluster-iam-authentication-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon RDS DB 클러스터에 IAM 데이터베이스 인증이 활성화되어 있는지 확인합니다.

IAM 데이터베이스 인증을 사용하면 데이터베이스 인스턴스에 암호 없이 인증할 수 있습니다. 인증은 인증 토큰을 사용합니다. 데이터베이스와 주고받는 네트워크 트래픽은를 사용하여 암호화됩니다SSL. 자세한 내용은 Amazon Aurora 사용 설명서IAM 데이터베이스 인증을 참조하세요.

문제 해결

DB 클러스터에 대한 IAM 인증을 활성화하려면 Amazon Aurora 사용 설명서 IAM 데이터베이스 인증 활성화 및 비활성화를 참조하세요.

[RDS.13] 마이너 버전 RDS 자동 업그레이드를 활성화해야 합니다.

관련 요구 사항: CIS AWS Foundations Benchmark v3.0.0/2.3.2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

범주: 식별 > 취약성, 패치 및 버전 관리

심각도: 높음

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: rds-automatic-minor-version-upgrade-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 RDS 데이터베이스 인스턴스에 대해 자동 마이너 버전 업그레이드가 활성화되어 있는지 확인합니다.

자동 마이너 버전 업그레이드를 활성화하면 관계형 데이터베이스 관리 시스템(RDBMS)에 대한 최신 마이너 버전 업데이트가 설치됩니다. 이러한 업그레이드에는 보안 패치 및 버그 수정이 포함될 수 있습니다. 패치 설치를 최신 상태로 유지하는 것은 시스템 보안의 중요한 단계입니다.

문제 해결

기존 DB 인스턴스에 대해 마이너 버전 자동 업그레이드를 활성화하려면 Amazon 사용 설명서의 Amazon RDS DB 인스턴스 수정을 참조하세요. RDS 자동 마이너 버전 업그레이드의 경우, 를 선택합니다.

[RDS.14] Amazon Aurora 클러스터에는 역추적이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 백업 활성화

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: aurora-mysql-backtracking-enabled

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값

BacktrackWindowInHours

Aurora MySQL 클러스터를 역추적하는 데 걸리는 시간

Double

0.1~72

기본값 없음

이 제어는 Amazon Aurora 클러스터에 역추적이 활성화되어 있는지 확인합니다. 클러스터에 역추적이 활성화되지 않은 경우, 제어가 실패합니다. BacktrackWindowInHours 파라미터에 사용자 지정 값을 제공하는 경우 지정된 시간 동안 클러스터를 역추적하는 경우에만 제어가 통과합니다.

백업을 통해 보안 사고로부터 더 빠르게 복구할 수 있습니다. 또한 시스템의 복원력을 강화합니다. Aurora 역추적은 데이터베이스를 특정 시점으로 복구하는 데 걸리는 시간을 줄여줍니다. 이를 위해 데이터베이스를 복원할 필요는 없습니다.

문제 해결

Aurora 역추적을 활성화하려면 Amazon Aurora 사용 설명서역추적 구성을 참조하세요.

기존 클러스터에서는 역추적을 활성화할 수 없다는 점에 유의하세요. 대신 역추적이 활성화된 복제본을 생성할 수 있습니다. Aurora 역추적 제한 사항에 대한 자세한 내용은 역추적 개요의 제한 사항 목록을 참조하세요.

[RDS.15] RDS DB 클러스터는 여러 가용 영역에 대해 구성되어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: rds-cluster-multi-az-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 RDS DB 클러스터에 고가용성이 활성화되어 있는지 확인합니다. RDS DB 클러스터가 여러 가용 영역()에 배포되지 않으면 제어가 실패합니다AZs.

RDS DB 클러스터는 저장된 데이터의 가용성을 보장하기 위해 여러 AZs에 대해 구성되어야 합니다. 여러에 배포하면 AZ 가용성 문제가 발생하거나 정기 RDS 유지 관리 이벤트 중에 자동 장애 조치가 AZs 가능합니다.

문제 해결

여러에 DB 클러스터를 배포하려면 Amazon RDS 사용 설명서에서 DB 인스턴스를 다중 AZ DB 인스턴스 배포로 AZs수정합니다. https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating

Aurora 글로벌 데이터베이스에 대한 수정 단계가 다릅니다. Aurora 글로벌 데이터베이스에 대해 여러 가용 영역을 구성하려면 DB 클러스터를 선택합니다. 그런 다음 작업리더 추가를 선택하고 여러를 지정합니다AZs. 자세한 내용을 알아보려면 Amazon Aurora 사용 설명서DB 클러스터에 Aurora 복제본 추가를 참조하세요.

[RDS.16] 스냅샷에 태그를 복사하도록 RDS DB 클러스터를 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)

범주: 식별 > 인벤토리

심각도: 낮음

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: rds-cluster-copy-tags-to-snapshots-enabled (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 스냅샷이 생성될 때 RDS DB 클러스터가 모든 태그를 스냅샷에 복사하도록 구성되어 있는지 확인합니다.

IT 자산의 식별 및 인벤토리는 거버넌스 및 보안의 중요한 측면입니다. 보안 태세를 평가하고 잠재적 취약 영역에 대한 조치를 취할 수 있도록 모든 RDS DB 클러스터를 볼 수 있어야 합니다. 스냅샷에는 상위 RDS 데이터베이스 클러스터와 동일한 방식으로 태그를 지정해야 합니다. 이 설정을 활성화하면 스냅샷이 상위 데이터베이스 클러스터의 태그를 상속하게 됩니다.

문제 해결

RDS DB 클러스터의 스냅샷에 태그를 자동으로 복사하려면 Amazon Aurora 사용 설명서API의 콘솔, CLI및를 사용하여 DB 클러스터 수정을 참조하세요. 스냅샷으로 태그 복사를 선택합니다.

[RDS.17] 스냅샷에 태그를 복사하도록 RDS DB 인스턴스를 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)

범주: 식별 > 인벤토리

심각도: 낮음

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: rds-instance-copy-tags-to-snapshots-enabled (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 스냅샷이 생성될 때 RDS DB 인스턴스가 모든 태그를 스냅샷에 복사하도록 구성되어 있는지 확인합니다.

IT 자산의 식별 및 인벤토리는 거버넌스 및 보안의 중요한 측면입니다. 보안 태세를 평가하고 잠재적 취약 영역에 대한 조치를 취할 수 있도록 모든 RDS DB 인스턴스를 볼 수 있어야 합니다. 스냅샷에는 상위 RDS 데이터베이스 인스턴스와 동일한 방식으로 태그를 지정해야 합니다. 이 설정을 활성화하면 스냅샷이 상위 데이터베이스 인스턴스의 태그를 상속하게 됩니다.

문제 해결

RDS DB 인스턴스의 스냅샷에 태그를 자동으로 복사하려면 Amazon 사용 설명서의 Amazon RDS DB 인스턴스 수정을 참조하세요. RDS 스냅샷으로 태그 복사를 선택합니다.

[RDS.18] RDS 인스턴스는에 배포해야 합니다. VPC

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성 > 내 리소스 VPC

심각도: 높음

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: rds-deployed-in-vpc (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon RDS 인스턴스가 EC2-에 배포되었는지 확인합니다VPC.

VPCs는 RDS 리소스에 대한 액세스를 보호하기 위한 여러 네트워크 제어를 제공합니다. 이러한 제어에는 VPC 엔드포인트, 네트워크 ACLs및 보안 그룹이 포함됩니다. 이러한 제어를 활용하려면 EC2-에서 RDS 인스턴스를 생성하는 것이 좋습니다VPC.

문제 해결

RDS 인스턴스를 로 이동하는 방법에 대한 지침은 Amazon RDS 사용 설명서DB 인스턴스에 VPC 대한 업데이트를 VPC참조하세요.

[RDS.19] 중요한 클러스터 RDS 이벤트에 대해 기존 이벤트 알림 구독을 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

범주: 감지 > 감지 서비스 > 애플리케이션 모니터링

심각도: 낮음

리소스 유형: AWS::RDS::EventSubscription

AWS Config 규칙: rds-cluster-event-notifications-configured (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 데이터베이스 클러스터에 대한 기존 Amazon RDS 이벤트 구독에 다음 소스 유형 및 이벤트 범주 키-값 페어에 대한 알림이 활성화되어 있는지 확인합니다.

DBCluster: ["maintenance","failure"]

계정에 기존 이벤트 구독이 없는 경우, 제어가 통과됩니다.

RDS 이벤트 알림은 AmazonSNS을 사용하여 RDS 리소스의 가용성 또는 구성의 변경 사항을 알려줍니다. 이러한 알림을 통해 신속하게 대응할 수 있습니다. RDS 이벤트 알림에 대한 자세한 내용은 Amazon 사용 설명서의 Amazon RDS 이벤트 알림 사용을 참조하세요. RDS

문제 해결

RDS 클러스터 이벤트 알림을 구독하려면 Amazon 사용 설명서의 Amazon RDS 이벤트 알림 구독을 참조하세요. RDS 다음 값을 사용합니다.

필드

소스 유형

클러스터

포함할 클러스터

모든 클러스터

포함할 이벤트 범주

특정 이벤트 범주 또는 모든 이벤트 범주를 선택합니다.

[RDS.20] 중요한 데이터베이스 인스턴스 RDS 이벤트에 대해 기존 이벤트 알림 구독을 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2

범주: 감지 > 감지 서비스 > 애플리케이션 모니터링

심각도: 낮음

리소스 유형: AWS::RDS::EventSubscription

AWS Config 규칙: rds-instance-event-notifications-configured (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 데이터베이스 인스턴스에 대한 기존 Amazon RDS 이벤트 구독에 다음 소스 유형 및 이벤트 범주 키-값 페어에 대한 알림이 활성화되어 있는지 확인합니다.

DBInstance: ["maintenance","configuration change","failure"]

계정에 기존 이벤트 구독이 없는 경우, 제어가 통과됩니다.

RDS 이벤트 알림은 AmazonSNS을 사용하여 RDS 리소스의 가용성 또는 구성의 변경 사항을 알려줍니다. 이러한 알림을 통해 신속하게 대응할 수 있습니다. RDS 이벤트 알림에 대한 자세한 내용은 Amazon 사용 설명서의 Amazon RDS 이벤트 알림 사용을 참조하세요. RDS

문제 해결

RDS 인스턴스 이벤트 알림을 구독하려면 Amazon 사용 설명서의 Amazon RDS 이벤트 알림 구독을 참조하세요. RDS 다음 값을 사용합니다.

필드

소스 유형

인스턴스

포함할 인스턴스

모든 인스턴스

포함할 이벤트 범주

특정 이벤트 범주 또는 모든 이벤트 범주를 선택합니다.

[RDS.21] 중요한 데이터베이스 파라미터 그룹 RDS 이벤트에 대해 이벤트 알림 구독을 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2

범주: 감지 > 감지 서비스 > 애플리케이션 모니터링

심각도: 낮음

리소스 유형: AWS::RDS::EventSubscription

AWS Config 규칙: rds-pg-event-notifications-configured (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 다음 소스 유형, RDS 이벤트 범주 키-값 페어에 대해 활성화된 알림이 있는 Amazon 이벤트 구독이 존재하는지 확인합니다. 계정에 기존 이벤트 구독이 없는 경우, 제어가 통과됩니다.

DBParameterGroup: ["configuration change"]

RDS 이벤트 알림은 AmazonSNS을 사용하여 RDS 리소스의 가용성 또는 구성의 변경 사항을 알려줍니다. 이러한 알림을 통해 신속하게 대응할 수 있습니다. RDS 이벤트 알림에 대한 자세한 내용은 Amazon 사용 설명서의 Amazon RDS 이벤트 알림 사용을 참조하세요. RDS

문제 해결

RDS 데이터베이스 파라미터 그룹 이벤트 알림을 구독하려면 Amazon 사용 설명서의 Amazon RDS 이벤트 알림 구독을 참조하세요. RDS 다음 값을 사용합니다.

필드

소스 유형

파라미터 그룹

포함할 파라미터 그룹

모든 파라미터 그룹

포함할 이벤트 범주

특정 이벤트 범주 또는 모든 이벤트 범주를 선택합니다.

[RDS.22] 중요한 데이터베이스 보안 그룹 RDS 이벤트에 대해 이벤트 알림 구독을 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2

범주: 감지 > 감지 서비스 > 애플리케이션 모니터링

심각도: 낮음

리소스 유형: AWS::RDS::EventSubscription

AWS Config 규칙: rds-sg-event-notifications-configured (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 다음 소스 유형, RDS 이벤트 범주 키-값 페어에 대해 활성화된 알림이 있는 Amazon 이벤트 구독이 존재하는지 확인합니다. 계정에 기존 이벤트 구독이 없는 경우, 제어가 통과됩니다.

DBSecurityGroup: ["configuration change","failure"]

RDS 이벤트 알림은 AmazonSNS을 사용하여 RDS 리소스의 가용성 또는 구성의 변경 사항을 알려줍니다. 이러한 알림을 통해 신속하게 대응할 수 있습니다. RDS 이벤트 알림에 대한 자세한 내용은 Amazon 사용 설명서의 Amazon RDS 이벤트 알림 사용을 참조하세요. RDS

문제 해결

RDS 인스턴스 이벤트 알림을 구독하려면 Amazon 사용 설명서의 Amazon RDS 이벤트 알림 구독을 참조하세요. RDS 다음 값을 사용합니다.

필드

소스 유형

보안 그룹

포함해야 할 보안 그룹

모든 보안 그룹

포함할 이벤트 범주

특정 이벤트 범주 또는 모든 이벤트 범주를 선택합니다.

[RDS.23] RDS 인스턴스는 데이터베이스 엔진 기본 포트를 사용해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(5)

범주: 보호 > 보안 네트워크 구성

심각도: 낮음

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: rds-no-default-ports (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 RDS 클러스터 또는 인스턴스가 데이터베이스 엔진의 기본 포트 이외의 포트를 사용하는지 확인합니다. RDS 클러스터 또는 인스턴스가 기본 포트를 사용하는 경우 제어가 실패합니다. 이 제어는 클러스터의 일부인 RDS 인스턴스에는 적용되지 않습니다.

알려진 포트를 사용하여 RDS 클러스터 또는 인스턴스를 배포하는 경우 공격자는 클러스터 또는 인스턴스에 대한 정보를 추측할 수 있습니다. 공격자는이 정보를 다른 정보와 함께 사용하여 RDS 클러스터 또는 인스턴스에 연결하거나 애플리케이션에 대한 추가 정보를 얻을 수 있습니다.

포트를 변경할 때는 이전 포트에 연결하는 데 사용된 기존 연결 문자열도 업데이트해야 합니다. 또한 DB 인스턴스의 보안 그룹에 새로운 포트에서의 연결을 허용하는 인그레스 규칙이 포함되어 있는지 확인해야 합니다.

문제 해결

기존 RDS DB 인스턴스의 기본 포트를 수정하려면 Amazon 사용 설명서의 Amazon RDS DB 인스턴스 수정을 참조하세요. RDS 기존 RDS DB 클러스터의 기본 포트를 수정하려면 Amazon Aurora 사용 설명서API의 콘솔, CLI및를 사용하여 DB 클러스터 수정을 참조하세요. 데이터베이스 포트의 경우, 포트 값을 기본값이 아닌 값으로 변경하세요.

[RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2

범주: 식별 > 리소스 구성

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: rds-cluster-default-admin-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon RDS 데이터베이스 클러스터가 관리자 사용자 이름을 기본값에서 변경했는지 확인합니다. 이 제어는 neptune(Neptune DB) 또는 docdb(DocumentDB) 유형의 엔진에는 적용되지 않습니다. 관리자 사용자 이름을 기본값으로 설정하면 이 규칙이 실패합니다.

Amazon RDS 데이터베이스를 생성할 때 기본 관리자 사용자 이름을 고유한 값으로 변경해야 합니다. 기본 사용자 이름은 퍼블릭 지식이며 RDS 데이터베이스 생성 중에 변경해야 합니다. 기본 사용자 이름을 변경하면 의도하지 않은 액세스의 위험이 줄어듭니다.

문제 해결

Amazon RDS 데이터베이스 클러스터와 연결된 관리자 사용자 이름을 변경하려면 새 RDS 데이터베이스 클러스터를 생성하고 데이터베이스를 생성하는 동안 기본 관리자 사용자 이름을 변경합니다.

[RDS.25] RDS 데이터베이스 인스턴스는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2

범주: 식별 > 리소스 구성

심각도: 중간

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: rds-instance-default-admin-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon Relational Database Service(AmazonRDS) 데이터베이스 인스턴스의 관리 사용자 이름을 기본값에서 변경했는지 확인합니다. 이 제어는 neptune(Neptune DB) 또는 docdb(DocumentDB) 유형의 엔진에는 적용되지 않습니다. 관리자 사용자 이름이 기본값으로 설정된 경우, 제어가 실패합니다.

Amazon RDS 데이터베이스의 기본 관리 사용자 이름은 퍼블릭 지식입니다. Amazon RDS 데이터베이스를 생성할 때는 기본 관리 사용자 이름을 고유한 값으로 변경하여 의도하지 않은 액세스의 위험을 줄여야 합니다.

문제 해결

RDS 데이터베이스 인스턴스와 연결된 관리 사용자 이름을 변경하려면 먼저 새 RDS 데이터베이스 인스턴스를 생성합니다. 데이터베이스를 생성할 때 기본 관리 사용자 이름을 변경하세요.

[RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.

범주: 복구 > 복원력 > 백업 활성화

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

심각도: 중간

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: rds-resources-protected-by-backup-plan

스케줄 유형: 주기적

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값

backupVaultLockCheck

파라미터가 true로 설정되고 리소스가 AWS Backup 볼트 잠금을 사용하는 경우 제어가 PASSED 결과를 생성합니다.

true 또는 false

기본값 없음

이 제어는 Amazon RDS DB 인스턴스가 백업 계획의 적용을 받는지 평가합니다. RDS DB 인스턴스가 백업 계획에서 다루지 않으면이 제어가 실패합니다. backupVaultLockCheck 파라미터를와 동일하게 설정하면 인스턴스true가 AWS Backup 잠긴 볼트에 백업된 경우에만 제어가 전달됩니다.

AWS Backup 는 데이터 백업을 중앙 집중화하고 자동화하는 완전 관리형 백업 서비스입니다 AWS 서비스. 를 사용하면 백업 계획이라고 하는 백업 정책을 생성할 AWS Backup수 있습니다. 이러한 계획을 사용하여 데이터 백업 빈도 및 백업 보존 기간과 같은 백업 요구 사항을 정의할 수 있습니다. 백업 계획에 RDS DB 인스턴스를 포함하면 의도하지 않은 손실이나 삭제로부터 데이터를 보호할 수 있습니다.

문제 해결

AWS Backup 백업 계획에 RDS DB 인스턴스를 추가하려면 AWS Backup 개발자 안내서백업 계획에 리소스 할당을 참조하세요.

[RDS.27] RDS DB 클러스터는 저장 시 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호 > 암호화 data-at-rest

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: rds-cluster-encrypted-at-rest

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 RDS DB 클러스터가 저장 시 암호화되었는지 확인합니다. RDS DB 클러스터가 저장 시 암호화되지 않으면 제어가 실패합니다.

저장 데이터는 일정 기간 동안 영구 비휘발성 스토리지에 저장되는 모든 데이터를 의미합니다. 암호화를 사용하면 해당 데이터의 기밀성을 보호하여 권한 없는 사용자가 해당 데이터에 액세스할 수 있는 위험을 줄일 수 있습니다. RDS DB 클러스터를 암호화하면 무단 액세스로부터 데이터와 메타데이터가 보호됩니다. 또한 프로덕션 파일 시스템의 암호화에 대한 data-at-rest 규정 준수 요구 사항도 충족합니다.

문제 해결

RDS DB 클러스터를 생성할 때 저장 시 암호화를 활성화할 수 있습니다. 클러스터를 생성한 후에는 암호화 설정을 변경할 수 없습니다. 자세한 내용을 알아보려면 Amazon Aurora 사용 설명서Amazon Aurora DB 클러스터 암호화를 참조하세요.

[RDS.28] RDS DB 클러스터에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태그 지정

심각도: 낮음

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙:tagged-rds-dbcluster (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값
requiredTagKeys 평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록입니다. 태그 키는 대소문자를 구별합니다. StringList AWS 요구 사항을 충족하는 태그 목록 기본값 없음

이 제어는 Amazon RDS DB 클러스터에 파라미터에 정의된 특정 키가 있는 태그가 있는지 확인합니다requiredTagKeys. DB 클러스터에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우 제어는 태그 키의 존재만 확인하고 DB 클러스터에 키로 태그가 지정되지 않은 경우, 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태그 지정은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태그 지정을 사용하는 경우 속성 기반 액세스 제어(ABAC)를 권한 부여 전략으로 구현할 수 있습니다. 권한 부여 전략은 태그를 기반으로 권한을 정의합니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. 보안 IAM 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서AWS의 ABAC 용도를 참조하세요.

참고

개인 식별 정보(PII) 또는 기타 기밀 또는 민감한 정보를 태그에 추가하지 마세요. 태그를 AWS 서비스비롯한 많은 사용자가 태그에 액세스할 수 있습니다 AWS Billing. 자세한 태그 지정 모범 사례는의 AWS 리소스 태그 지정을 참조하세요AWS 일반 참조.

문제 해결

RDS DB 클러스터에 태그를 추가하려면 Amazon 사용 설명서의 Amazon RDS 리소스 태그 지정을 참조하세요. RDS

[RDS.29] RDS DB 클러스터 스냅샷에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태그 지정

심각도: 낮음

리소스 유형: AWS::RDS::DBClusterSnapshot

AWS Config 규칙:tagged-rds-dbclustersnapshot (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값
requiredTagKeys 평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록입니다. 태그 키는 대소문자를 구별합니다. StringList AWS 요구 사항을 충족하는 태그 목록 기본값 없음

이 제어는 Amazon RDS DB 클러스터 스냅샷에 파라미터에 정의된 특정 키가 있는 태그가 있는지 확인합니다requiredTagKeys. DB 클러스터 스냅샷에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 DB 클러스터 스냅샷에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태그 지정은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태그 지정을 사용하는 경우 속성 기반 액세스 제어(ABAC)를 권한 부여 전략으로 구현할 수 있습니다. 권한 부여 전략은 태그를 기반으로 권한을 정의합니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. 보안 IAM 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서AWS의 ABAC 용도를 참조하세요.

참고

개인 식별 정보(PII) 또는 기타 기밀 또는 민감한 정보를 태그에 추가하지 마세요. 태그를 AWS 서비스비롯한 많은 사용자가 태그에 액세스할 수 있습니다 AWS Billing. 자세한 태그 지정 모범 사례는의 AWS 리소스 태그 지정을 참조하세요AWS 일반 참조.

문제 해결

RDS DB 클러스터 스냅샷에 태그를 추가하려면 Amazon 사용 설명서의 Amazon RDS 리소스 태그 지정을 참조하세요. RDS

[RDS.30] RDS DB 인스턴스에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태그 지정

심각도: 낮음

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙:tagged-rds-dbinstance (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값
requiredTagKeys 평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록입니다. 태그 키는 대소문자를 구별합니다. StringList AWS 요구 사항을 충족하는 태그 목록 기본값 없음

이 제어는 Amazon RDS DB 인스턴스에 파라미터에 정의된 특정 키가 있는 태그가 있는지 확인합니다requiredTagKeys. DB 인스턴스에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 DB 인스턴스에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태그 지정은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태그 지정을 사용하는 경우 속성 기반 액세스 제어(ABAC)를 권한 부여 전략으로 구현할 수 있습니다. 권한 부여 전략은 태그를 기반으로 권한을 정의합니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. 보안 IAM 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서AWS의 ABAC 용도를 참조하세요.

참고

개인 식별 정보(PII) 또는 기타 기밀 또는 민감한 정보를 태그에 추가하지 마세요. 태그를 AWS 서비스비롯한 많은 사용자가 태그에 액세스할 수 있습니다 AWS Billing. 자세한 태그 지정 모범 사례는의 AWS 리소스 태그 지정을 참조하세요AWS 일반 참조.

문제 해결

RDS DB 인스턴스에 태그를 추가하려면 Amazon 사용 설명서의 Amazon RDS 리소스 태그 지정을 참조하세요. RDS

[RDS.31] RDS DB 보안 그룹에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태그 지정

심각도: 낮음

리소스 유형: AWS::RDS::DBSecurityGroup

AWS Config 규칙:tagged-rds-dbsecuritygroup (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값
requiredTagKeys 평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록입니다. 태그 키는 대소문자를 구별합니다. StringList AWS 요구 사항을 충족하는 태그 목록 기본값 없음

이 제어는 Amazon RDS DB 보안 그룹에 파라미터에 정의된 특정 키가 있는 태그가 있는지 확인합니다requiredTagKeys. DB 보안 그룹에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 DB 보안 그룹에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태그 지정은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태그 지정을 사용하는 경우 속성 기반 액세스 제어(ABAC)를 권한 부여 전략으로 구현할 수 있습니다. 권한 부여 전략은 태그를 기반으로 권한을 정의합니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. 보안 IAM 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서AWS의 ABAC 용도를 참조하세요.

참고

개인 식별 정보(PII) 또는 기타 기밀 또는 민감한 정보를 태그에 추가하지 마세요. 태그를 AWS 서비스비롯한 많은 사용자가 태그에 액세스할 수 있습니다 AWS Billing. 자세한 태그 지정 모범 사례는의 AWS 리소스 태그 지정을 참조하세요AWS 일반 참조.

문제 해결

RDS DB 보안 그룹에 태그를 추가하려면 Amazon 사용 설명서의 Amazon RDS 리소스 태그 지정을 참조하세요. RDS

[RDS.32] RDS DB 스냅샷에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태그 지정

심각도: 낮음

리소스 유형: AWS::RDS::DBSnapshot

AWS Config 규칙:tagged-rds-dbsnapshot (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값
requiredTagKeys 평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록입니다. 태그 키는 대소문자를 구별합니다. StringList AWS 요구 사항을 충족하는 태그 목록 기본값 없음

이 제어는 Amazon RDS DB 스냅샷에 파라미터에 정의된 특정 키가 있는 태그가 있는지 확인합니다requiredTagKeys. DB 스냅샷에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 DB 스냅샷에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태그 지정은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태그 지정을 사용하는 경우 속성 기반 액세스 제어(ABAC)를 권한 부여 전략으로 구현할 수 있습니다. 권한 부여 전략은 태그를 기반으로 권한을 정의합니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. 보안 IAM 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서AWS의 ABAC 용도를 참조하세요.

참고

개인 식별 정보(PII) 또는 기타 기밀 또는 민감한 정보를 태그에 추가하지 마세요. 태그를 AWS 서비스비롯한 많은 사용자가 태그에 액세스할 수 있습니다 AWS Billing. 자세한 태그 지정 모범 사례는의 AWS 리소스 태그 지정을 참조하세요AWS 일반 참조.

문제 해결

RDS DB 스냅샷에 태그를 추가하려면 Amazon 사용 설명서의 Amazon RDS 리소스 태그 지정을 참조하세요. RDS

[RDS.33] RDS DB 서브넷 그룹에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태그 지정

심각도: 낮음

리소스 유형: AWS::RDS::DBSubnetGroup

AWS Config 규칙:tagged-rds-dbsubnetgroups (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값
requiredTagKeys 평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록입니다. 태그 키는 대소문자를 구별합니다. StringList AWS 요구 사항을 충족하는 태그 목록 기본값 없음

이 제어는 Amazon RDS DB 서브넷 그룹에 파라미터에 정의된 특정 키가 있는 태그가 있는지 확인합니다requiredTagKeys. DB 서브넷 그룹에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 DB 서브넷에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태그 지정은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태그 지정을 사용하는 경우 속성 기반 액세스 제어(ABAC)를 권한 부여 전략으로 구현할 수 있습니다. 권한 부여 전략은 태그를 기반으로 권한을 정의합니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. 보안 IAM 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서AWS의 ABAC 용도를 참조하세요.

참고

개인 식별 정보(PII) 또는 기타 기밀 또는 민감한 정보를 태그에 추가하지 마세요. 태그를 AWS 서비스비롯한 많은 사용자가 태그에 액세스할 수 있습니다 AWS Billing. 자세한 태그 지정 모범 사례는의 AWS 리소스 태그 지정을 참조하세요AWS 일반 참조.

문제 해결

RDS DB 서브넷 그룹에 태그를 추가하려면 Amazon 사용 설명서의 Amazon RDS 리소스 태그 지정을 참조하세요. RDS

[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch 로그에 게시해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.2.1

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: rds-aurora-mysql-audit-logging-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon Aurora MySQL DB 클러스터가 감사 로그를 Amazon CloudWatch Logs에 게시하도록 구성되어 있는지 확인합니다. 클러스터가 감사 로그를 CloudWatch 로그에 게시하도록 구성되지 않은 경우 제어가 실패합니다. 제어는 Aurora Serverless v1 DB 클러스터에 대한 조사 결과를 생성하지 않습니다.

감사 로그는 로그인 시도, 데이터 수정, 스키마 변경 및 보안 및 규정 준수를 위해 감사할 수 있는 기타 이벤트를 포함한 데이터베이스 활동 기록을 캡처합니다. Amazon CloudWatch Logs의 로그 그룹에 감사 로그를 게시하도록 Aurora MySQL DB 클러스터를 구성하면 로그 데이터에 대한 실시간 분석을 수행할 수 있습니다. CloudWatch 로그는 내구성이 뛰어난 스토리지에 로그를 유지합니다. 에서 경보를 생성하고 지표를 볼 수도 있습니다 CloudWatch.

참고

감사 로그를 CloudWatch 로그에 게시하는 다른 방법은 고급 감사를 활성화하고 클러스터 수준 DB 파라미터를 server_audit_logs_upload로 설정하는 것입니다1. server_audit_logs_upload parameter의 기본값은 0입니다. 그러나 이 제어를 통과하려면 대신 다음 수정 지침을 사용하는 것이 좋습니다.

문제 해결

Aurora MySQL DB 클러스터 감사 로그를 CloudWatch 로그에 게시하려면 Amazon Aurora 사용 설명서의 Amazon Aurora MySQL 로그를 Amazon CloudWatch Logs에 게시를 참조하세요.

[RDS.35] RDS DB 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

범주: 식별 > 취약성, 패치 및 버전 관리

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: rds-cluster-auto-minor-version-upgrade-enable

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon RDS Multi-AZ DB 클러스터에 대해 자동 마이너 버전 업그레이드가 활성화되어 있는지 확인합니다. 다중-AZ DB 클러스터에서 자동 마이너 버전 업그레이드를 활성화하지 않으면 제어가 실패합니다.

RDS는 다중 AZ DB 클러스터를 최신 상태로 유지할 수 있도록 마이너 버전 자동 업그레이드를 제공합니다. 마이너 버전은 새로운 소프트웨어 기능, 버그 수정, 보안 패치 및 성능 개선을 도입할 수 있습니다. RDS 데이터베이스 클러스터에서 마이너 버전 자동 업그레이드를 활성화하면 클러스터와 클러스터의 인스턴스가 새 버전을 사용할 수 있을 때 마이너 버전에 대한 자동 업데이트를 받게 됩니다. 업데이트는 유지 관리 기간 동안 자동으로 적용됩니다.

문제 해결

다중 AZ DB 클러스터에서 자동 마이너 버전 업그레이드를 활성화하려면 Amazon RDS 사용 설명서다중 AZ DB 클러스터 수정을 참조하세요.

PostgreSQL DB 인스턴스RDS의 경우 [RDS.36] 로그를 CloudWatch 로그에 게시해야 합니다.

관련 요구 사항: PCI DSS v4.0.1/10.4.2

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::RDS::DBInstance

AWS Config 규칙: rds-postgresql-logs-to-cloudwatch

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값

logTypes

로그에 게시할 로그 유형의 쉼표로 구분된 목록 CloudWatch

StringList

사용자 지정할 수 없음

postgresql

이 제어는 Amazon RDS for PostgreSQL DB 인스턴스가 Amazon CloudWatch Logs에 로그를 게시하도록 구성되어 있는지 확인합니다. logTypes 파라미터에 언급된 로그 유형을 CloudWatch 로그에 게시하도록 PostgreSQL DB 인스턴스가 구성되지 않은 경우 제어가 실패합니다.

데이터베이스 로깅은 RDS 인스턴스에 대한 요청에 대한 자세한 레코드를 제공합니다. PostgreSQL는 관리자에게 유용한 정보가 포함된 이벤트 로그를 생성합니다. 이러한 로그를 CloudWatch Logs에 게시하면 로그 관리를 중앙 집중화하고 로그 데이터에 대한 실시간 분석을 수행할 수 있습니다. CloudWatch 로그는 내구성이 뛰어난 스토리지에 로그를 보관합니다. 에서 경보를 생성하고 지표를 볼 수도 있습니다CloudWatch.

문제 해결

PostgreSQL DB 인스턴스 로그를 CloudWatch 로그에 게시하려면 Amazon 사용 설명서의 Amazon CloudWatch Logs에 PostgreSQL 로그 게시를 참조하세요. RDS

[RDS.37] Aurora PostgreSQL DB 클러스터는 로그에 CloudWatch 로그를 게시해야 합니다.

관련 요구 사항: PCI DSS v4.0.1/10.4.2

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::RDS::DBCluster

AWS Config 규칙: rds-aurora-postgresql-logs-to-cloudwatch

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon Aurora PostgreSQL DB 클러스터가 Amazon CloudWatch Logs에 로그를 게시하도록 구성되어 있는지 확인합니다. Aurora PostgreSQL DB 클러스터가 PostgreSQL 로그를 CloudWatch 로그에 게시하도록 구성되지 않은 경우 제어가 실패합니다.

데이터베이스 로깅은 RDS 클러스터에 대한 요청에 대한 자세한 레코드를 제공합니다. Aurora PostgreSQL는 관리자에게 유용한 정보가 포함된 이벤트 로그를 생성합니다. 이러한 로그를 CloudWatch Logs에 게시하면 로그 관리를 중앙 집중화하고 로그 데이터에 대한 실시간 분석을 수행할 수 있습니다. CloudWatch 로그는 내구성이 뛰어난 스토리지에 로그를 보관합니다. 에서 경보를 생성하고 지표를 볼 수도 있습니다 CloudWatch.

문제 해결

Aurora PostgreSQL DB 클러스터 로그를 CloudWatch 로그에 게시하려면 Amazon RDS 사용 설명서의 Amazon CloudWatch 로그에 Aurora PostgreSQL 로그 게시를 참조하세요.