As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para Amazon RDS
Esses AWS Security Hub controles avaliam o serviço e os recursos do Amazon Relational Database Service (RDSAmazon).
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[RDS.1] o RDS instantâneo deve ser privado
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoria: Proteger > Configuração de rede segura
Severidade: crítica
Tipo de recurso: AWS::RDS::DBClusterSnapshot,AWS::RDS::DBSnapshot
Regra do AWS Config : rds-snapshots-public-prohibited
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os RDS snapshots da Amazon são públicos. O controle falhará se os RDS instantâneos forem públicos. Esse controle avalia RDS instâncias, instâncias de banco de dados Aurora, instâncias de banco de dados Neptune e clusters Amazon DocumentDB.
RDSos snapshots são usados para fazer backup dos dados em suas RDS instâncias em um momento específico. Eles podem ser usados para restaurar estados anteriores de RDS instâncias.
Um RDS instantâneo não deve ser público, a menos que seja pretendido. Se você compartilhar um instantâneo manual não criptografado como público, isso o disponibilizará para todas as Contas da AWS. Isso pode resultar na exposição não intencional dos dados da sua RDS instância.
Observe que, se a configuração for alterada para permitir o acesso público, talvez a AWS Config regra não consiga detectar a alteração por até 12 horas. Até que a AWS Config regra detecte a alteração, a verificação é aprovada mesmo que a configuração viole a regra.
Para saber mais sobre o compartilhamento de um DB snapshot, consulte Compartilhamento de um DB snapshot no Guia RDS do usuário da Amazon.
Correção
Para remover o acesso público dos RDS instantâneos, consulte Compartilhamento de um instantâneo no Guia RDS do usuário da Amazon. Em DB instantâneo visibility (Visibilidade do instantâneo de banco de dados), escolha Private (Privado).
[RDS.2] As instâncias de RDS banco de dados devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible
Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.3.3,, (21), (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (4) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), v3.2.1/1.2.1, NIST.800-53.r5 SC-7 v3.2.1/1.3.1, NIST.800-53.r5 SC-7 v3.2.1/1.3.2, NIST.800-53.r5 SC-7 v3.2.1/1.3.4, v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4 PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS
Categoria: Proteger > Configuração de rede segura
Severidade: crítica
Tipo de recurso: AWS::RDS::DBInstance
Regra do AWS Config : rds-instance-public-access-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as RDS instâncias da Amazon estão acessíveis publicamente avaliando o PubliclyAccessible campo no item de configuração da instância.
As instâncias de banco de dados Neptune e os clusters do Amazon DocumentDB não têm o sinalizador PubliclyAccessible e não podem ser avaliados. No entanto, esse controle ainda pode gerar descobertas para esses recursos. Você pode suprimir essas descobertas.
O PubliclyAccessible valor na configuração da RDS instância indica se a instância de banco de dados está acessível publicamente. Quando a instância de banco de dados é configurada comPubliclyAccessible, ela é uma instância voltada para a Internet com um DNS nome que pode ser resolvido publicamente, que é resolvido em um endereço IP público. Quando a instância de banco de dados não está acessível publicamente, ela é uma instância interna com um DNS nome que se resolve para um endereço IP privado.
A menos que você pretenda que sua RDS instância seja acessível ao público, RDS ela não deve ser configurada com PubliclyAccessible valor. Isso pode permitir tráfego desnecessário para sua instância de banco de dados.
Correção
Para remover o acesso público das instâncias de RDS banco de dados, consulte Modificar uma RDS instância de banco de dados da Amazon no Guia RDS do usuário da Amazon. Em Acesso público, escolha Não.
[RDS.3] As instâncias de RDS banco de dados devem ter a criptografia em repouso ativada
Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), .800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6) NIST.800-53.r5 SC-7 NIST
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::RDS::DBInstance
Regra do AWS Config : rds-storage-encrypted
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se a criptografia de armazenamento está habilitada para suas instâncias de RDS banco de dados da Amazon.
Esse controle é destinado a instâncias de RDS banco de dados. No entanto, ele também pode gerar descobertas para as instâncias de banco de dados do Aurora, as instâncias de banco de dados do Neptune e os clusters do Amazon DocumentDB. Se essas descobertas não forem úteis, você poderá suprimi-las.
Para uma camada adicional de segurança para seus dados confidenciais em instâncias de RDS banco de dados, você deve configurar suas instâncias de RDS banco de dados para serem criptografadas em repouso. Para criptografar suas instâncias de RDS banco de dados e snapshots em repouso, habilite a opção de criptografia para suas instâncias de RDS banco de dados. Os dados criptografados em repouso incluem o armazenamento subjacente para instâncias de banco de dados, seus backups automatizados, réplicas de leitura e snapshots.
RDSinstâncias de banco de dados criptografadas usam o algoritmo de criptografia de padrão aberto AES -256 para criptografar seus dados no servidor que hospeda suas instâncias de RDS banco de dados. Depois que seus dados são criptografados, a Amazon RDS gerencia a autenticação de acesso e a descriptografia de seus dados de forma transparente, com um impacto mínimo no desempenho. Você não precisa modificar seus aplicativos cliente de banco de dados para usar a criptografia.
Atualmente, a RDS criptografia da Amazon está disponível para todos os mecanismos de banco de dados e tipos de armazenamento. A RDS criptografia da Amazon está disponível para a maioria das classes de instâncias de banco de dados. Para saber mais sobre classes de instância de banco de dados que não oferecem suporte à RDS criptografia da Amazon, consulte Criptografar RDS recursos da Amazon no Guia RDS do usuário da Amazon.
Correção
Para obter informações sobre criptografia de instâncias de banco de dados na AmazonRDS, consulte Criptografar RDS recursos da Amazon no Guia RDSdo usuário da Amazon.
[RDS.4] os instantâneos RDS do cluster e os instantâneos do banco de dados devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
Regra do AWS Config : rds-snapshot-encrypted
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um RDS DB snapshot está criptografado. O controle falhará se um RDS DB snapshot não for criptografado.
Esse controle é destinado a instâncias de RDS banco de dados. No entanto, ele também pode gerar descobertas para os instantâneos de banco de dados do Aurora, as instâncias de banco de dados do Neptune e os clusters do Amazon DocumentDB. Se essas descobertas não forem úteis, você poderá suprimi-las.
Criptografar dados em repouso reduz o risco de um usuário não autenticado ter acesso aos dados armazenados em disco. Os dados em RDS instantâneos devem ser criptografados em repouso para uma camada adicional de segurança.
Correção
Para criptografar um RDS snapshot, consulte Criptografar recursos da RDS Amazon no Guia do usuário da RDSAmazon. Quando você criptografa uma RDS instância de banco de dados, os dados criptografados incluem o armazenamento subjacente da instância, seus backups automatizados, réplicas de leitura e instantâneos.
Você só pode criptografar uma RDS instância de banco de dados ao criá-la, não após a criação da instância de banco de dados. Entretanto, como é possível criptografar uma cópia de um snapshot não criptografado, é possível efetivamente adicionar criptografia a uma instância de banco de dados não criptografada. Ou seja, é possível criar um snapshot da sua instância de banco de dados e depois criar uma cópia criptografada desse snapshot. Em seguida, é possível restaurar uma instância de banco de dados a partir do snapshot criptografado, logo, você terá uma cópia criptografada da sua instância de banco de dados original.
[RDS.5] As instâncias de RDS banco de dados devem ser configuradas com várias zonas de disponibilidade
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoria: Recuperação > Resiliência > Alta disponibilidade
Severidade: média
Tipo de recurso: AWS::RDS::DBInstance
Regra do AWS Config : rds-multi-az-support
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se a alta disponibilidade está habilitada para suas instâncias de RDS banco de dados. O controle falhará se uma RDS instância de banco de dados não estiver configurada com várias zonas de disponibilidade (AZs).
A configuração de instâncias de RDS banco de dados da Amazon AZs ajuda a garantir a disponibilidade dos dados armazenados. As implantações Multi-AZ permitem o failover automático se houver um problema com a disponibilidade do AZ e durante a manutenção regular. RDS
Correção
Para implantar suas instâncias de banco de dados em váriasAZs, modifique uma instância de banco de dados para ser uma implantação de instância de banco de dados Multi-AZ no Amazon RDS User Guide.
[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de RDS banco de dados
Requisitos relacionados: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2
Categoria: Detectar > Serviços de detecção
Severidade: baixa
Tipo de recurso: AWS::RDS::DBInstance
Regra do AWS Config : rds-enhanced-monitoring-enabled
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Número de segundos entre os intervalos de coleta de métricas de monitoramento |
Enum |
|
Nenhum valor padrão |
Esse controle verifica se o monitoramento aprimorado está habilitado para uma instância de banco de dados Amazon Relational Database Service (RDSAmazon). O controle falhará se o monitoramento aprimorado não estiver habilitado para a instância. Se você fornecer um valor personalizado para o parâmetro monitoringInterval, o controle será aprovado somente se as métricas de monitoramento aprimorado forem coletadas para a instância no intervalo especificado.
Na AmazonRDS, o monitoramento aprimorado permite uma resposta mais rápida às mudanças de desempenho na infraestrutura subjacente. Essas mudanças no desempenho podem resultar na falta de disponibilidade dos dados. O monitoramento aprimorado fornece métricas em tempo real do sistema operacional em que sua RDS instância de banco de dados é executada. Um agente está instalado na instância. O agente pode obter métricas com mais precisão do que é possível na camada do hipervisor.
As métricas de monitoramento aprimorado são úteis quando você quer ver como diferentes processos ou threads em uma instância de banco de dados usam CPU o. Para obter mais informações, consulte Monitoramento aprimorado no Guia RDS do usuário da Amazon.
Correção
Para obter instruções detalhadas sobre como ativar o monitoramento aprimorado para sua instância de banco de dados, consulte Como configurar e ativar o monitoramento aprimorado no Guia RDS do usuário da Amazon.
[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada
Requisitos relacionados: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados
Severidade: baixa
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : rds-cluster-deletion-protection-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de RDS banco de dados tem a proteção contra exclusão ativada. O controle falhará se um cluster de RDS banco de dados não tiver a proteção de exclusão ativada.
Esse controle é destinado a instâncias de RDS banco de dados. No entanto, ele também pode gerar descobertas para as instâncias de banco de dados do Aurora, as instâncias de banco de dados do Neptune e os clusters do Amazon DocumentDB. Se essas descobertas não forem úteis, você poderá suprimi-las.
A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por uma entidade não autorizada.
Quando a proteção contra exclusão está ativada, um RDS cluster não pode ser excluído. Você deve desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida.
Correção
Para ativar a proteção contra exclusão de um cluster de RDS banco de dados, consulte Modificação do cluster de banco de dados usando o console e API no Guia RDS do usuário da Amazon. CLI Em Proteção contra exclusão, escolha Habilitar proteção contra exclusão.
[RDS.8] As instâncias de RDS banco de dados devem ter a proteção contra exclusão ativada
Requisitos relacionados: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados
Severidade: baixa
Tipo de recurso: AWS::RDS::DBInstance
Regra do AWS Config : rds-instance-deletion-protection-enabled
Tipo de programação: acionado por alterações
Parâmetros:
-
databaseEngines:mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(não personalizável)
Esse controle verifica se suas instâncias de RDS banco de dados que usam um dos mecanismos de banco de dados listados têm a proteção contra exclusão ativada. O controle falhará se uma RDS instância de banco de dados não tiver a proteção de exclusão ativada.
A ativação da proteção contra exclusão de instâncias oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por uma entidade não autorizada.
Embora a proteção contra exclusão esteja ativada, uma instância de RDS banco de dados não pode ser excluída. Você deve desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida.
Correção
Para ativar a proteção contra exclusão de uma RDS instância de banco de dados, consulte Modificar uma instância de banco de RDS dados da Amazon no Guia RDSdo usuário da Amazon. Em Proteção contra exclusão, escolha Habilitar proteção contra exclusão.
[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (10), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.2.1 NIST PCI DSS
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::RDS::DBInstance
Regra do AWS Config : rds-logging-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma RDS instância de banco de dados Amazon está configurada para publicar os seguintes registros no Amazon CloudWatch Logs. O controle falhará se a instância não estiver configurada para publicar os seguintes registros no CloudWatch Logs:
-
Oracle: (Alert, Audit, Trace, Listener)
-
PostgreSQL: (Postgresql, atualização)
-
MeuSQL: (Auditoria, Erro, Geral, SlowQuery)
-
MariaDB: (Auditoria, erro, geral) SlowQuery
-
SQLServidor: (Erro, agente)
-
Aurora: (Auditoria, erro, geral) SlowQuery
-
Aurora-MySQL: (Auditoria, erro, geral,) SlowQuery
-
Aurora-PostgreSQL: (Postgresql, atualização).
RDSos bancos de dados devem ter os registros relevantes habilitados. O registro do banco de dados fornece registros detalhados das solicitações feitas paraRDS. Os logs de bancos de dados podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
Correção
Para publicar registros do RDS banco de dados no CloudWatch Logs, consulte Especificação dos registros a serem publicados nos CloudWatch Logs no Guia do RDS usuário da Amazon.
[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS
Requisitos relacionados: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
Severidade: média
Tipo de recurso: AWS::RDS::DBInstance
Regra do AWS Config : rds-instance-iam-authentication-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma instância de RDS banco de dados tem a autenticação IAM de banco de dados ativada. O controle falhará se a IAM autenticação não estiver configurada para instâncias de RDS banco de dados. Esse controle avalia somente RDS instâncias com os seguintes tipos de mecanismo: mysqlpostgres,aurora,aurora-mysql,aurora-postgresql, e. mariadb Uma RDS instância também deve estar em um dos seguintes estados para que uma descoberta seja gerada:available,backing-up,storage-optimization, oustorage-full.
IAMa autenticação de banco de dados permite a autenticação em instâncias de banco de dados com um token de autenticação em vez de uma senha. O tráfego de rede de e para o banco de dados é criptografado usandoSSL. Para obter mais informações, consulte a autenticação do IAM banco de dados no Guia do usuário do Amazon Aurora.
Correção
Para ativar a autenticação do IAM banco de dados em uma RDS instância de banco de dados, consulte Como ativar e desativar a autenticação do IAM banco de dados no Guia RDS do usuário da Amazon.
[RDS.11] as RDS instâncias devem ter backups automáticos habilitados
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Categoria: Recuperação > Resiliência > Backups ativados
Severidade: média
Tipo de recurso: AWS::RDS::DBInstance
Regra do AWS Config : db-instance-backup-enabled
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Período mínimo de retenção de backups em dias |
Inteiro |
|
|
|
|
Verifica se as instâncias de RDS banco de dados têm backups habilitados para réplicas de leitura |
Booleano |
Não personalizável |
|
Esse controle verifica se uma instância do Amazon Relational Database Service têm backups automatizados habilitados e se o período de retenção de backups é maior ou igual ao período de tempo especificado. As réplicas de leitura são excluídas da avaliação. O controle falhará se os backups não estiverem habilitados para a instância, ou se o período de retenção for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do backup, o Security Hub usará um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. A Amazon RDS permite que você configure instantâneos diários do volume completo da instância. Para obter mais informações sobre os backups RDS automatizados da Amazon, consulte Como trabalhar com backups no Guia RDS do usuário da Amazon.
Correção
Para habilitar backups automatizados em uma RDS instância de banco de dados, consulte Habilitar backups automatizados no Guia RDS do usuário da Amazon.
[RDS.12] a IAM autenticação deve ser configurada para clusters RDS
Requisitos relacionados: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : rds-cluster-iam-authentication-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de RDS banco de dados da Amazon tem a autenticação IAM de banco de dados ativada.
IAMa autenticação do banco de dados permite a autenticação sem senha nas instâncias do banco de dados. A autenticação usa um token de autenticação. O tráfego de rede de e para o banco de dados é criptografado usandoSSL. Para obter mais informações, consulte a autenticação do IAM banco de dados no Guia do usuário do Amazon Aurora.
Correção
Para habilitar a IAM autenticação para um cluster de banco de dados, consulte Habilitar e desabilitar a autenticação IAM de banco de dados no Guia do usuário do Amazon Aurora.
[RDS.13] atualizações RDS automáticas de versões secundárias devem ser habilitadas
Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.3.2, NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5), v4.0.1/6.3.3 NIST NIST PCI DSS
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Severidade: alta
Tipo de recurso: AWS::RDS::DBInstance
Regra do AWS Config : rds-automatic-minor-version-upgrade-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as atualizações automáticas de versões secundárias estão habilitadas para a instância do RDS banco de dados.
A ativação de atualizações automáticas de versões secundárias garante que as últimas atualizações de versões secundárias do sistema de gerenciamento de banco de dados relacional (RDBMS) sejam instaladas. Essas atualizações podem incluir patches de segurança e correções de erros. Manter-se atualizado com a instalação do patch é uma etapa importante para proteger os sistemas.
Correção
Para habilitar atualizações automáticas de versões secundárias para uma instância de banco de dados existente, consulte Modificar uma instância de banco de RDS dados da Amazon no Guia RDSdo usuário da Amazon. Em Atualização automática da versão secundária, selecione Sim.
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
Requisitos relacionados: NIST .800-53.r5 CP-10, .800-53.r5 CP-6, .800-53.r5 CP-6 (1), NIST .800-53.r5 CP-6 (2), .800-53.r5 CP-9, NIST .800-53.r5 SI-13 (5) NIST NIST NIST
Categoria: Recuperação > Resiliência > Backups ativados
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : aurora-mysql-backtracking-enabled
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Número de horas para retroceder um cluster do Aurora My SQL |
Double |
|
Nenhum valor padrão |
Esse controle verifica se um cluster do Amazon Aurora têm o retrocesso habilitado. O controle falhará se o cluster não tiver o retrocesso habilitado. Se você fornecer um valor personalizado para o parâmetro BacktrackWindowInHours, o controle passará somente se o cluster for retrocedido pelo período de tempo especificado.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. O backtracking do Aurora reduz o tempo de recuperação de um banco de dados para um ponto no tempo. Não é necessária uma restauração do banco de dados para fazer isso.
Correção
Para habilitar o retrocesso do Aurora, consulte Configuração do retrocesso no Guia do usuário do Amazon Aurora.
Observe que você não pode ativar o backtracking em um cluster existente. Em vez disso, é possível criar um clone com o backtracking habilitado. Para obter mais informações sobre as limitações do backtracking do Aurora, consulte a lista de limitações em Visão geral do backtracking.
[RDS.15] Os clusters de RDS banco de dados devem ser configurados para várias zonas de disponibilidade
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoria: Recuperação > Resiliência > Alta disponibilidade
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : rds-cluster-multi-az-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se a alta disponibilidade está habilitada para seus clusters de RDS banco de dados. O controle falhará se um cluster de RDS banco de dados não for implantado em várias zonas de disponibilidade (AZs).
RDSOs clusters de banco de dados devem ser configurados AZs para vários para garantir a disponibilidade dos dados armazenados. A implantação em vários AZs permite o failover automatizado no caso de um problema de disponibilidade do AZ e durante eventos regulares RDS de manutenção.
Correção
Para implantar seus clusters de banco de dados em váriosAZs, modifique uma instância de banco de dados para ser uma implantação de instância de banco de dados Multi-AZ no Amazon RDS User Guide.
As etapas de correção são diferentes nos bancos de dados globais do Aurora. Para configurar várias zonas de disponibilidade para um banco de dados global do Aurora, selecione seu cluster de banco de dados. Em seguida, escolha Ações e Adicionar leitor e especifique váriasAZs. Para mais informações, consulte Adicionar réplicas do Aurora a um cluster de banco de dados no Guia do usuário do Amazon Aurora.
[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Categoria: Identificar > Inventário
Severidade: baixa
Tipo de recurso: AWS::RDS::DBCluster
Regra AWS Config : rds-cluster-copy-tags-to-snapshots-enabled (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os clusters de RDS banco de dados estão configurados para copiar todas as tags para instantâneos quando os instantâneos são criados.
A identificação e o inventário de seus ativos de TI é um aspecto essencial de governança e segurança. Você precisa ter visibilidade de todos os seus clusters de RDS banco de dados para poder avaliar sua postura de segurança e agir em possíveis áreas de fraqueza. Os instantâneos devem ser marcados da mesma forma que seus clusters de RDS banco de dados principais. A ativação dessa configuração garante que os instantâneos herdem as tags de seus clusters de banco de dados principais.
Correção
Para copiar automaticamente tags para snapshots de um cluster de RDS banco de dados, consulte Modificação do cluster de banco de dados usando o console e API no CLI Guia do usuário do Amazon Aurora. Selecione Copiar tags para instantâneos.
[RDS.17] As instâncias de RDS banco de dados devem ser configuradas para copiar tags para instantâneos
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Categoria: Identificar > Inventário
Severidade: baixa
Tipo de recurso: AWS::RDS::DBInstance
Regra AWS Config : rds-instance-copy-tags-to-snapshots-enabled (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as instâncias de RDS banco de dados estão configuradas para copiar todas as tags para instantâneos quando os instantâneos são criados.
A identificação e o inventário de seus ativos de TI é um aspecto essencial de governança e segurança. Você precisa ter visibilidade de todas as suas instâncias de RDS banco de dados para poder avaliar sua postura de segurança e agir em possíveis áreas de fraqueza. Os instantâneos devem ser marcados da mesma forma que as instâncias do RDS banco de dados principal. A ativação dessa configuração garante que os instantâneos herdem as tags de suas instâncias de banco de dados principais.
Correção
Para copiar automaticamente tags para snapshots de uma RDS instância de banco de dados, consulte Modificar uma instância de banco de RDS dados da Amazon no Guia RDSdo usuário da Amazon. Selecione Copiar tags para instantâneos.
[RDS.18] as RDS instâncias devem ser implantadas em um VPC
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoria: Proteger > Configuração de rede segura > Recursos dentro VPC
Severidade: alta
Tipo de recurso: AWS::RDS::DBInstance
Regra AWS Config : rds-deployed-in-vpc (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma RDS instância da Amazon está implantada em um EC2 -VPC.
VPCsforneça vários controles de rede para proteger o acesso aos RDS recursos. Esses controles incluem VPC endpointsACLs, rede e grupos de segurança. Para aproveitar esses controles, recomendamos que você crie suas RDS instâncias em um EC2 -VPC.
Correção
Para obter instruções sobre como mover RDS instâncias para umaVPC, consulte Atualizar a VPC para uma instância de banco de dados no Guia RDS do usuário da Amazon.
[RDS.19] As assinaturas existentes de notificação de RDS eventos devem ser configuradas para eventos críticos de cluster
Requisitos relacionados: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2
Categoria: Detectar > Serviços de detecção > Monitoramento de aplicativos
Severidade: baixa
Tipo de recurso: AWS::RDS::EventSubscription
Regra AWS Config : rds-cluster-event-notifications-configured (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma assinatura de RDS eventos existente da Amazon para clusters de banco de dados tem notificações habilitadas para os seguintes pares de valores-chave de tipo de fonte e categoria de eventos:
DBCluster: ["maintenance","failure"]
O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.
RDSas notificações de eventos usam SNS a Amazon para informá-lo sobre mudanças na disponibilidade ou na configuração de seus RDS recursos. Essas notificações permitem uma resposta rápida. Para obter informações adicionais sobre notificações de RDS eventos, consulte Usando a notificação de RDS eventos da Amazon no Guia RDS do usuário da Amazon.
Correção
Para assinar notificações de eventos de RDS cluster, consulte Inscrever-se na notificação de RDS eventos da Amazon no Guia do RDS usuário da Amazon. Use os seguintes valores:
| Campo | Valor |
|---|---|
|
Tipo de origem |
Clusters |
|
Clusters a serem incluídos |
Todos os clusters |
|
Categorias de eventos a serem incluídas |
Selecione categorias de eventos específicas ou Todas as categorias de eventos |
[RDS.20] As assinaturas existentes de notificação de RDS eventos devem ser configuradas para eventos críticos de instâncias de banco de dados
Requisitos relacionados: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2, v4.0.1/11.5.2 PCI DSS
Categoria: Detectar > Serviços de detecção > Monitoramento de aplicativos
Severidade: baixa
Tipo de recurso: AWS::RDS::EventSubscription
Regra AWS Config : rds-instance-event-notifications-configured (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma assinatura de RDS eventos existente da Amazon para instâncias de banco de dados tem notificações habilitadas para os seguintes pares de valores-chave de tipo de fonte e categoria de evento:
DBInstance: ["maintenance","configuration change","failure"]
O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.
RDSas notificações de eventos usam SNS a Amazon para informá-lo sobre mudanças na disponibilidade ou na configuração de seus RDS recursos. Essas notificações permitem uma resposta rápida. Para obter informações adicionais sobre notificações de RDS eventos, consulte Usando a notificação de RDS eventos da Amazon no Guia RDS do usuário da Amazon.
Correção
Para se inscrever para receber notificações de eventos de RDS instância, consulte Inscrever-se na notificação de RDS eventos da Amazon no Guia do RDS usuário da Amazon. Use os seguintes valores:
| Campo | Valor |
|---|---|
|
Tipo de origem |
Instâncias |
|
Instâncias a serem incluídas |
Todas as instâncias |
|
Categorias de eventos a serem incluídas |
Selecione categorias de eventos específicas ou Todas as categorias de eventos |
[RDS.21] Uma assinatura de notificações de RDS eventos deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados
Requisitos relacionados: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2, v4.0.1/11.5.2 PCI DSS
Categoria: Detectar > Serviços de detecção > Monitoramento de aplicativos
Severidade: baixa
Tipo de recurso: AWS::RDS::EventSubscription
Regra AWS Config : rds-pg-event-notifications-configured (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se existe uma assinatura de RDS eventos da Amazon com notificações habilitadas para os seguintes pares de valores-chave, tipo de fonte, categoria de evento. O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.
DBParameterGroup: ["configuration change"]
RDSas notificações de eventos usam SNS a Amazon para informá-lo sobre mudanças na disponibilidade ou na configuração de seus RDS recursos. Essas notificações permitem uma resposta rápida. Para obter informações adicionais sobre notificações de RDS eventos, consulte Usando a notificação de RDS eventos da Amazon no Guia RDS do usuário da Amazon.
Correção
Para assinar notificações de eventos de grupos RDS de parâmetros do banco de dados, consulte Assinatura da notificação de RDS eventos da Amazon no Guia do RDS usuário da Amazon. Use os seguintes valores:
| Campo | Valor |
|---|---|
|
Tipo de origem |
Grupos de parâmetros |
|
Grupos de parâmetros a serem incluídos |
Todos os grupos de parâmetros |
|
Categorias de eventos a serem incluídas |
Selecione categorias de eventos específicas ou Todas as categorias de eventos |
[RDS.22] Uma assinatura de notificações de RDS eventos deve ser configurada para eventos críticos do grupo de segurança do banco de dados
Requisitos relacionados: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2, v4.0.1/11.5.2 PCI DSS
Categoria: Detectar > Serviços de detecção > Monitoramento de aplicativos
Severidade: baixa
Tipo de recurso: AWS::RDS::EventSubscription
Regra AWS Config : rds-sg-event-notifications-configured (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se existe uma assinatura de RDS eventos da Amazon com notificações habilitadas para os seguintes pares de valores-chave, tipo de fonte, categoria de evento. O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.
DBSecurityGroup: ["configuration change","failure"]
RDSas notificações de eventos usam SNS a Amazon para informá-lo sobre mudanças na disponibilidade ou na configuração de seus RDS recursos. Essas notificações permitem uma resposta rápida. Para obter informações adicionais sobre notificações de RDS eventos, consulte Usando a notificação de RDS eventos da Amazon no Guia RDS do usuário da Amazon.
Correção
Para se inscrever para receber notificações de eventos de RDS instância, consulte Inscrever-se na notificação de RDS eventos da Amazon no Guia do RDS usuário da Amazon. Use os seguintes valores:
| Campo | Valor |
|---|---|
|
Tipo de origem |
Grupos de segurança |
|
Grupos de segurança a serem incluídos |
Todos os grupos de segurança |
|
Categorias de eventos a serem incluídas |
Selecione categorias de eventos específicas ou Todas as categorias de eventos |
[RDS.23] as RDS instâncias não devem usar uma porta padrão do mecanismo de banco de dados
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Categoria: Proteger > Configuração de rede segura
Severidade: baixa
Tipo de recurso: AWS::RDS::DBInstance
Regra AWS Config : rds-no-default-ports (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um RDS cluster ou instância usa uma porta diferente da porta padrão do mecanismo de banco de dados. O controle falhará se o RDS cluster ou a instância usar a porta padrão. Esse controle não se aplica às RDS instâncias que fazem parte de um cluster.
Se você usar uma porta conhecida para implantar um RDS cluster ou instância, um invasor poderá adivinhar informações sobre o cluster ou a instância. O invasor pode usar essas informações em conjunto com outras informações para se conectar a um RDS cluster ou instância ou obter informações adicionais sobre seu aplicativo.
Ao alterar a porta, você também deve atualizar as cadeias de conexão existentes que foram usadas para se conectar à porta antiga. Você também deve verificar o grupo de segurança da instância de banco de dados para garantir que ele inclua uma regra de entrada que permita conectividade na nova porta.
Correção
Para modificar a porta padrão de uma instância de banco de RDS dados existente, consulte Modificar uma instância de RDS banco de dados da Amazon no Guia do RDS usuário da Amazon. Para modificar a porta padrão de um cluster de RDS banco de dados existente, consulte Modificação do cluster de banco de dados usando o console e API no Guia do usuário do Amazon Aurora. CLI Em Porta do banco de dados, altere o valor da porta para um valor não padrão.
[RDS.24] Os clusters RDS de banco de dados devem usar um nome de usuário de administrador personalizado
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, v4.0.1/2.2.2 PCI DSS
Categoria: Identificar > Configuração de recursos
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : rds-cluster-default-admin-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster RDS de banco de dados da Amazon alterou o nome de usuário do administrador em relação ao valor padrão. O controle não se aplica a mecanismos do tipo neptune (Neptune DB) ou docdb (DocumentDB). Essa regra falhará se o nome de usuário do administrador estiver definido com o valor padrão.
Ao criar um RDS banco de dados da Amazon, você deve alterar o nome de usuário do administrador padrão para um valor exclusivo. Os nomes de usuário padrão são de conhecimento público e devem ser alterados durante a criação do RDS banco de dados. Alterar os nomes de usuário padrão reduz o risco de acesso não intencional.
Correção
Para alterar o nome de usuário do administrador associado ao cluster de RDS banco de dados da Amazon, crie um novo cluster RDS de banco de dados e altere o nome de usuário do administrador padrão ao criar o banco de dados.
[RDS.25] instâncias RDS de banco de dados devem usar um nome de usuário de administrador personalizado
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, v4.0.1/2.2.2 PCI DSS
Categoria: Identificar > Configuração de recursos
Severidade: média
Tipo de recurso: AWS::RDS::DBInstance
Regra do AWS Config : rds-instance-default-admin-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se você alterou o nome de usuário administrativo das instâncias de banco de dados do Amazon Relational Database Service (RDSAmazon) a partir do valor padrão. O controle não se aplica a mecanismos do tipo neptune (Neptune DB) ou docdb (DocumentDB). Esse controle falha se o nome de usuário do administrador estiver definido com o valor padrão.
Os nomes de usuário administrativos padrão nos RDS bancos de dados da Amazon são de conhecimento público. Ao criar um RDS banco de dados da Amazon, você deve alterar o nome de usuário administrativo padrão para um valor exclusivo para reduzir o risco de acesso não intencional.
Correção
Para alterar o nome de usuário administrativo associado a uma instância RDS de banco de dados, primeiro crie uma nova instância RDS de banco de dados. Altere o nome de usuário administrativo padrão ao criar o banco de dados.
[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup
Categoria: Recuperação > Resiliência > Backups ativados
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Severidade: média
Tipo de recurso: AWS::RDS::DBInstance
AWS Config regra: rds-resources-protected-by-backup-plan
Tipo de programação: Periódico
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
O controle produz uma |
Booleano |
|
Nenhum valor padrão |
Esse controle avalia se as instâncias de RDS banco de dados da Amazon estão cobertas por um plano de backup. Esse controle falhará se a RDS instância de banco de dados não estiver coberta por um plano de backup. Se você definir o backupVaultLockCheck parâmetro igual atrue, o controle passará somente se o backup da instância for feito em um cofre AWS Backup bloqueado.
AWS Backup é um serviço de backup totalmente gerenciado que centraliza e automatiza o backup de dados em todo lugar. Serviços da AWS Com AWS Backup, você pode criar políticas de backup chamadas planos de backup. É possível usar esses planos para definir seus requisitos de backup, como a frequência com a qual fazer o backup de seus dados e por quanto tempo manter esses backups. Incluir instâncias de RDS banco de dados em um plano de backup ajuda a proteger seus dados contra perda ou exclusão não intencional.
Correção
Para adicionar uma RDS instância de banco de dados a um plano de AWS Backup backup, consulte Atribuição de recursos a um plano de backup no Guia do AWS Backup desenvolvedor.
[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: rds-cluster-encrypted-at-rest
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de RDS banco de dados está criptografado em repouso. O controle falhará se um cluster de RDS banco de dados não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Criptografar seus clusters de RDS banco de dados protege seus dados e metadados contra acesso não autorizado. Ele também atende aos requisitos de conformidade para data-at-rest criptografia de sistemas de arquivos de produção.
Correção
Você pode ativar a criptografia em repouso ao criar um cluster de RDS banco de dados. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte Criptografar um cluster de banco de dados do Amazon Aurora no Guia do usuário do Amazon Aurora.
[RDS.28] Os clusters de RDS banco de dados devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: tagged-rds-dbcluster (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem aos requisitos da AWS | Nenhum valor padrão |
Esse controle verifica se um cluster de RDS banco de dados da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o cluster de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o cluster de banco de dados não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a um cluster de RDS banco de dados, consulte Como marcar RDS recursos da Amazon no Guia do RDS usuário da Amazon.
[RDS.29] Os instantâneos do RDS cluster de banco de dados devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::RDS::DBClusterSnapshot
AWS Config regra: tagged-rds-dbclustersnapshot (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem aos requisitos da AWS | Nenhum valor padrão |
Esse controle verifica se um snapshot de RDS cluster de banco de dados da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o snapshot de cluster de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o snapshot de cluster de banco de dados não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a um snapshot de RDS cluster de banco de dados, consulte Como marcar RDS recursos da Amazon no Guia RDS do usuário da Amazon.
[RDS.30] As instâncias de RDS banco de dados devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::RDS::DBInstance
AWS Config regra: tagged-rds-dbinstance (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem aos requisitos da AWS | Nenhum valor padrão |
Esse controle verifica se uma RDS instância de banco de dados da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a instância de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a instância de banco de dados não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a uma RDS instância de banco de dados, consulte Como marcar RDS recursos da Amazon no Guia do RDS usuário da Amazon.
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::RDS::DBSecurityGroup
AWS Config regra: tagged-rds-dbsecuritygroup (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem aos requisitos da AWS | Nenhum valor padrão |
Esse controle verifica se um grupo de segurança do Amazon RDS DB tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o grupo de segurança de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de segurança de banco de dados não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a um grupo de segurança de RDS banco de dados, consulte Como marcar RDS recursos da Amazon no Guia do RDS usuário da Amazon.
[RDS.32] Os instantâneos de RDS banco de dados devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::RDS::DBSnapshot
AWS Config regra: tagged-rds-dbsnapshot (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem aos requisitos da AWS | Nenhum valor padrão |
Esse controle verifica se um snapshot de RDS banco de dados da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o snapshot de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o snapshot de banco de dados não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a um RDS DB snapshot, consulte Como marcar RDS recursos da Amazon no Guia RDS do usuário da Amazon.
[RDS.33] Grupos de sub-redes de RDS banco de dados devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::RDS::DBSubnetGroup
AWS Config regra: tagged-rds-dbsubnetgroups (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem aos requisitos da AWS | Nenhum valor padrão |
Esse controle verifica se um grupo de sub-redes de RDS banco de dados da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o grupo de sub-redes de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de sub-redes de banco de dados não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a um grupo de sub-redes de RDS banco de dados, consulte Como marcar RDS recursos da Amazon no Guia RDS do usuário da Amazon.
[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.2.1 NIST PCI DSS
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: rds-aurora-mysql-audit-logging-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster Amazon Aurora My SQL DB está configurado para publicar logs de auditoria no Amazon CloudWatch Logs. O controle falhará se o cluster não estiver configurado para publicar registros de auditoria no CloudWatch Logs. O controle não gera descobertas para clusters de banco de dados do Aurora Serverless v1.
Os logs de auditoria capturam um registro da atividade do banco de dados, incluindo tentativas de login, modificações de dados, alterações de esquema e outros eventos que podem ser auditados para fins de segurança e conformidade. Ao configurar um cluster do Aurora My SQL DB para publicar registros de auditoria em um grupo de logs no Amazon CloudWatch Logs, você pode realizar análises em tempo real dos dados de log. CloudWatch O Logs retém os registros em um armazenamento altamente durável. Você também pode criar alarmes e visualizar métricas no CloudWatch.
nota
Uma forma alternativa de publicar registros de auditoria no Logs é habilitar a auditoria avançada e definir o parâmetro de banco de CloudWatch dados em nível de cluster como. server_audit_logs_upload 1 O padrão para server_audit_logs_upload parameter é 0. No entanto, recomendamos que você use as seguintes instruções de correção para passar esse controle.
Correção
Para publicar os registros de auditoria do cluster do Aurora My SQL DB no Logs, consulte Publicar CloudWatch os logs do Amazon Aurora My no Amazon SQL Logs no Guia do CloudWatch usuário do Amazon Aurora.
[RDS.35] Os clusters de RDS banco de dados devem ter a atualização automática de versões secundárias habilitada
Requisitos relacionados: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5), NIST v4.0.1/6.3.3 NIST PCI DSS
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
AWS Config regra: rds-cluster-auto-minor-version-upgrade-enable
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se a atualização automática de versões secundárias está habilitada para um cluster de banco de dados Amazon RDS Multi-AZ. O controle falhará se a atualização automática de versões secundárias não estiver habilitada para um cluster de bancos de dados Multi-AZ.
RDSfornece atualização automática de versões secundárias para que você possa manter seu cluster de banco de dados Multi-AZ atualizado. Versões secundárias podem introduzir novos atributos de software, correções de bugs, patches de segurança e melhorias de desempenho. Ao habilitar a atualização automática de versões secundárias em clusters de RDS banco de dados, o cluster, junto com as instâncias no cluster, receberá atualizações automáticas para a versão secundária quando novas versões estiverem disponíveis. As atualizações são aplicadas automaticamente durante o período de manutenção.
Correção
Para habilitar a atualização automática de versões secundárias em clusters de banco de dados Multi-AZ, consulte Modificação de um cluster de banco de dados Multi-AZ no Guia do usuário da Amazon RDS.
[RDS.36] RDS para instâncias de SQL banco de dados Postgre, deve publicar registros em Logs CloudWatch
Requisitos relacionados: PCI DSS v4.0.1/10.4.2
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::RDS::DBInstance
Regra do AWS Config : rds-postgresql-logs-to-cloudwatch
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Lista separada por vírgula dos tipos de registro a serem publicados no Logs CloudWatch |
StringList |
Não personalizável |
|
Esse controle verifica se uma SQL instância de banco de dados Amazon RDS for Postgre está configurada para publicar registros no Amazon CloudWatch Logs. O controle falhará se a SQL instância de banco de dados Postgre não estiver configurada para publicar os tipos de log mencionados no logTypes parâmetro em CloudWatch Logs.
O registro do banco de dados fornece registros detalhados das solicitações feitas a uma RDS instância. O Postgre SQL gera registros de eventos que contêm informações úteis para administradores. A publicação desses registros no CloudWatch Logs centraliza o gerenciamento de registros e ajuda você a realizar análises em tempo real dos dados de registro. CloudWatch O Logs retém os registros em um armazenamento altamente durável. Você também pode criar alarmes e visualizar métricas noCloudWatch.
Correção
Para publicar registros da SQL instância de banco de dados Postgre no CloudWatch Logs, consulte Publicação de SQL registros do Postgre no Amazon CloudWatch Logs no Guia RDSdo usuário da Amazon.
[RDS.37] Os clusters de banco de dados Aurora SQL Postgre devem publicar registros nos registros CloudWatch
Requisitos relacionados: PCI DSS v4.0.1/10.4.2
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::RDS::DBCluster
Regra do AWS Config : rds-aurora-postgresql-logs-to-cloudwatch
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster de SQL banco de dados Amazon Aurora Postgre está configurado para publicar logs no Amazon Logs. CloudWatch O controle falhará se o cluster de SQL banco de dados Aurora Postgre não estiver configurado para publicar registros do Postgre SQL no Logs. CloudWatch
O registro do banco de dados fornece registros detalhados das solicitações feitas a um RDS cluster. O Aurora Postgre SQL gera registros de eventos que contêm informações úteis para administradores. A publicação desses registros no CloudWatch Logs centraliza o gerenciamento de registros e ajuda você a realizar análises em tempo real dos dados de registro. CloudWatch O Logs retém os registros em um armazenamento altamente durável. Você também pode criar alarmes e visualizar métricas no CloudWatch.
Correção
Para publicar registros do cluster de SQL banco de dados Aurora Postgre no Logs, consulte Publicação de CloudWatch logs do Aurora Postgre no Amazon Logs CloudWatch no SQL Guia do usuário da Amazon. RDS
