本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon RDS 的 Security Hub 控制項
這些 AWS Security Hub 控制項會評估 Amazon Relational Database Service (Amazon RDS) 服務和資源。
這些控制項可能並非所有 都可用 AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性。
【RDS.1】 RDS 快照應為私有
相關要求:PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6NIST.800-53.r5 AC-45.r5NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
類別:保護 > 安全網路組態
嚴重性:嚴重
資源類型:AWS::RDS::DBClusterSnapshot、 AWS::RDS::DBSnapshot
AWS Config 規則:rds-snapshots-public-prohibited
排程類型:變更觸發
參數:無
此控制項會檢查 Amazon RDS 快照是否為公有。如果 RDS 快照為公有,則控制項會失敗。此控制項會評估 RDS 執行個體、Aurora 資料庫執行個體、Neptune 資料庫執行個體和 Amazon DocumentDB 叢集。
RDS 快照會用來備份特定時間點您 RDS 執行個體上的資料。快照可以用來還原 RDS 執行個體先前的狀態。
除非預期,否則 RDS 快照不應處於公有狀態。如果您將未加密的手動快照共用為公有,這會讓所有 都能使用快照 AWS 帳戶。這可能會導致意外公開您 RDS 執行個體的資料。
請注意,如果組態變更為允許公開存取,則 AWS Config 規則可能無法偵測變更長達 12 小時。在 AWS Config 規則偵測到變更之前,即使組態違反規則,檢查仍會通過。
若要進一步了解共用資料庫快照,請參閱《Amazon RDS 使用者指南》中的共用資料庫快照。
修補
若要從 RDS 快照移除公有存取權,請參閱《Amazon RDS 使用者指南》中的共用快照。對於資料庫快照可見性,我們選擇私有。
【RDS.2】 RDS 資料庫執行個體應禁止公開存取,如 PubliclyAccessible 組態所決定
相關要求:CIS AWS Foundations Benchmark v3.0.0/2.3.3、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)、PCI DSS v3.2.1/1.2.1、PCI v3/13.2.2
類別:保護 > 安全網路組態
嚴重性:嚴重
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-instance-public-access-check
排程類型:變更已觸發
參數:無
此控制項會透過評估執行個體組態項目中的 PubliclyAccessible 欄位,來檢查 Amazon RDS 執行個體是否可公開存取。
Neptune 資料庫執行個體和 Amazon DocumentDB 叢集沒有 PubliclyAccessible旗標,且無法評估。不過,此控制項仍然可以產生這些資源的調查結果。您可以隱藏這些調查結果。
RDS 執行個體組態中的 PubliclyAccessible 值會指出資料庫執行個體是否可以公開存取。將資料庫執行個體設為 PubliclyAccessible 時,其為具有可公開解析 DNS 名稱的面向網際網路執行個體,且此名稱可解析為公有 IP 地址。當無法公開存取資料庫執行個體時,其為具備解析為私有 IP 地址 DNS 名稱的內部執行個體。
除非您打算公開存取 RDS 執行個體,否則不應使用 PubliclyAccessible值設定 RDS 執行個體。這樣做可能會允許不必要的流量流向資料庫執行個體。
修補
若要從 RDS 資料庫執行個體移除公有存取權,請參閱《Amazon RDS 使用者指南》中的修改 Amazon RDS 資料庫執行個體。 針對公有存取,選擇否。
[RDS.3] RDS 資料庫執行個體應啟用靜態加密
相關要求:CIS AWS Foundations Benchmark v3.0.0/2.3.1、CIS AWS Foundations Benchmark v1.4.0/2.3.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
類別:保護 > 資料保護 > data-at-rest加密
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-storage-encrypted
排程類型:變更觸發
參數:無
此控制項會檢查您的 Amazon RDS 資料庫執行個體是否已啟用儲存加密。
此控制項適用於 RDS 資料庫執行個體。不過,它也可以產生 Aurora 資料庫執行個體、Neptune 資料庫執行個體和 Amazon DocumentDB 叢集的調查結果。如果這些問題清單沒有用,您可以加以隱藏。
如需為您在 RDS 資料庫執行個體中的敏感資料新增多一層安全,建議您設定 RDS 資料庫執行個體進行靜態加密。如要加密您的 RDS 資料庫執行個體和靜態快照,請為您的 RDS 資料庫執行個體啟用加密選項。靜態加密的資料包括資料庫執行個體的基礎儲存體、其自動化備份、僅供讀取複本,以及快照。
RDS 加密資料庫執行個體會使用開放標準 AES-256 加密演算法,來加密託管 RDS 資料庫執行個體伺服器上的資料。資料加密後,Amazon RDS 會以透明的方式處理資料存取和解密的身分驗證,且對效能的影響最小。您不需要修改資料庫用戶端應用程式即可使用加密。
Amazon RDS 加密目前適用於所有資料庫引擎和儲存類型。大多數資料庫執行個體類別可以使用 Amazon RDS 加密。若要了解不支援 Amazon RDS 加密的資料庫執行個體類別,請參閱《Amazon RDS 使用者指南》中的加密 Amazon RDS 資源。
修補
如需在 Amazon RDS 中加密資料庫執行個體的資訊,請參閱《Amazon RDS 使用者指南》中的加密 Amazon RDS 資源。
【RDS.4】 RDS 叢集快照和資料庫快照應靜態加密
相關要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
類別:保護 > 資料保護 > data-at-rest加密
嚴重性:中
資源類型:AWS::RDS::DBClusterSnapshot、 AWS::RDS::DBSnapshot
AWS Config 規則:rds-snapshot-encrypted
排程類型:變更觸發
參數:無
此控制項會檢查 RDS 資料庫快照是否已加密。如果 RDS 資料庫快照未加密,則控制項會失敗。
此控制項適用於 RDS 資料庫執行個體。不過,它也可以產生 Aurora 資料庫執行個體、Neptune 資料庫執行個體和 Amazon DocumentDB 叢集快照的調查結果。如果這些問題清單沒有用,您可以加以隱藏。
加密靜態資料可降低未經驗證的使用者存取磁碟上儲存之資料的風險。RDS 快照中的資料應靜態加密,以增加安全層。
修補
若要加密 RDS 快照,請參閱《Amazon RDS 使用者指南》中的加密 Amazon RDS 資源。 當您加密 RDS 資料庫執行個體時,加密的資料包含執行個體的基礎儲存體、其自動備份、僅供讀取複本和快照。
您只能在建立 RDS 資料庫執行個體時加密它,而不是在建立資料庫執行個體之後。不過,因為您可以加密未加密快照的副本,所以可以有效地將加密新增至未加密的資料庫執行個體。亦即,您可以建立資料庫執行個體的快照,然後建立該快照的加密副本。接著,從加密快照中還原資料庫執行個體,因此您有原始資料庫執行個體的加密副本。
【RDS.5】 RDS 資料庫執行個體應該設定多個可用區域
相關要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
類別:復原 > 彈性 > 高可用性
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-multi-az-support
排程類型:變更觸發
參數:無
此控制項會檢查您的 RDS 資料庫執行個體是否已啟用高可用性。如果 RDS 資料庫執行個體未設定多個可用區域 (AZs),則控制項會失敗。此控制項不適用於屬於多可用區域資料庫叢集部署的 RDS 資料庫執行個體。
使用 AZs 設定 Amazon RDS 資料庫執行個體有助於確保儲存資料的可用性。如果可用區域可用性和定期 RDS 維護期間發生問題,多可用區域部署允許自動容錯移轉。
修補
若要在多個 AZs 中部署資料庫執行個體,請在 Amazon RDS 使用者指南中將資料庫執行個體修改為多可用區域資料庫執行個體部署。
【RDS.6】 應為 RDS 資料庫執行個體設定增強型監控
相關要求:NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2
類別:偵測 > 偵測服務
嚴重性:低
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-enhanced-monitoring-enabled
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
監控指標收集間隔之間的秒數 |
列舉 |
|
無預設值 |
此控制項會檢查是否已為 Amazon Relational Database Service (Amazon RDS) 資料庫執行個體啟用增強型監控。如果未針對執行個體啟用增強型監控,則控制項會失敗。如果您為 monitoringInterval 參數提供自訂值,則只有在指定間隔為執行個體收集增強型監控指標時,控制項才會通過。
在 Amazon RDS 中,增強型監控可更快速回應基礎基礎設施的效能變更。這些效能變更可能會導致資料無法使用。增強型監控提供 RDS 資料庫執行個體執行所在的作業系統的即時指標。代理程式已安裝在執行個體上。代理程式可以比 Hypervisor layer 更準確地取得指標。
如果您想查看資料庫執行個體上不同的程序或執行緒如何使用 CPU,增強型監控指標可以派上用場。如需詳細資訊,請參閱 Amazon RDS User Guide (《Amazon RDS 使用者指南》) 中的 Enhanced Monitoring (增強型監控)。
修補
如需為資料庫執行個體啟用增強型監控的詳細說明,請參閱《Amazon RDS 使用者指南》中的設定和啟用增強型監控。
【RDS.7】 RDS 叢集應該啟用刪除保護
相關要求:NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)
類別:保護 > 資料保護 > 資料刪除保護
嚴重性:低
資源類型: AWS::RDS::DBCluster
AWS Config 規則:rds-cluster-deletion-protection-enabled
排程類型:變更觸發
參數:無
此控制項會檢查 RDS 資料庫叢集是否已啟用刪除保護。如果 RDS 資料庫叢集未啟用刪除保護,則控制項會失敗。
此控制項適用於 RDS 資料庫執行個體。不過,它也可以產生 Aurora 資料庫執行個體、Neptune 資料庫執行個體和 Amazon DocumentDB 叢集的調查結果。如果這些問題清單沒有用,您可以加以隱藏。
啟用叢集刪除保護是防止未經授權的實體意外刪除或刪除資料庫的額外保護層。
啟用刪除保護時,無法刪除 RDS 叢集。刪除請求成功之前,必須先停用刪除保護。
修補
若要啟用 RDS 資料庫叢集的刪除保護,請參閱《Amazon RDS 使用者指南》中的使用主控台、CLI 和 API 修改資料庫叢集。針對刪除保護,選擇啟用刪除保護。
【RDS.8】 RDS 資料庫執行個體應該啟用刪除保護
相關要求:NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
類別:保護 > 資料保護 > 資料刪除保護
嚴重性:低
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-instance-deletion-protection-enabled
排程類型:變更觸發
參數:
-
databaseEngines:mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(不可自訂)
此控制項會檢查使用其中一個所列資料庫引擎的 RDS 資料庫執行個體是否已啟用刪除保護。如果 RDS 資料庫執行個體未啟用刪除保護,則控制項會失敗。
啟用執行個體刪除保護是防止未經授權的實體意外刪除或刪除資料庫的額外保護層。
啟用刪除保護時,無法刪除 RDS 資料庫執行個體。刪除請求成功之前,必須先停用刪除保護。
修補
若要啟用 RDS 資料庫執行個體的刪除保護,請參閱《Amazon RDS 使用者指南》中的修改 Amazon RDS 資料庫執行個體。 針對刪除保護,選擇啟用刪除保護。
【RDS.9】 RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs
相關需求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.8000-5.CA-7NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.2.1
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-logging-enabled
排程類型:變更已觸發
參數:無
此控制項會檢查 Amazon RDS 資料庫執行個體是否已設定為將下列日誌發佈至 Amazon CloudWatch Logs。如果執行個體未設定為將下列日誌發佈至 CloudWatch Logs,則控制項會失敗:
-
Oracle:(警示、稽核、追蹤、接聽程式)
-
PostgreSQL:(Postgresql,升級)
-
MySQL:(稽核、錯誤、一般、SlowQuery)
-
MariaDB:(稽核、錯誤、一般、SlowQuery)
-
SQL Server:(錯誤、代理程式)
-
Aurora:(稽核、錯誤、一般、SlowQuery)
-
Aurora-MySQL:(稽核、錯誤、一般、SlowQuery)
-
Aurora-PostgreSQL:(Postgresql,升級)。
RDS 資料庫應該啟用相關日誌。資料庫記錄提供對 RDS 提出請求的詳細記錄。資料庫日誌可協助安全和存取稽核,並有助於診斷可用性問題。
修補
若要將 RDS 資料庫日誌發佈至 CloudWatch Logs,請參閱《Amazon RDS 使用者指南》中的指定要發佈至 CloudWatch Logs 的日誌。
【RDS.10】 應為 RDS 執行個體設定 IAM 身分驗證
相關需求:NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6
類別:保護 > 安全存取管理 > 無密碼身分驗證
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-instance-iam-authentication-enabled
排程類型:變更已觸發
參數:無
此控制項會檢查 RDS 資料庫執行個體是否已啟用 IAM 資料庫身分驗證。如果未針對 RDS 資料庫執行個體設定 IAM 身分驗證,則控制項會失敗。此控制項只會評估具有下列引擎類型的 RDS 執行個體:mysql、postgres、aurora、aurora-mysql、 aurora-postgresql和 mariadb。RDS 執行個體也必須處於下列其中一種狀態,才能產生問題清單:available、storage-optimization、 backing-up或 storage-full。
IAM 資料庫身分驗證允許使用身分驗證字符而非密碼對資料庫執行個體進行身分驗證。進出資料庫的網路流量會使用 SSL 加密。如需詳細資訊,請參閱《Amazon Aurora 使用者指南》中的 IAM 資料庫身分驗證。
修補
若要在 RDS 資料庫執行個體上啟用 IAM 資料庫身分驗證,請參閱《Amazon RDS 使用者指南》中的啟用和停用 IAM 資料庫身分驗證。
【RDS.11】 RDS 執行個體應該啟用自動備份
相關要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)
類別:復原 > 復原能力 > 備份已啟用
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:db-instance-backup-enabled
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
最短備份保留期間,以天為單位 |
Integer |
|
|
|
|
檢查 RDS 資料庫執行個體是否已啟用僅供讀取複本的備份 |
Boolean |
無法自訂 |
|
此控制項會檢查 Amazon Relational Database Service 執行個體是否已啟用自動備份,以及大於或等於指定時間範圍的備份保留期間。僅供讀取複本會從評估中排除。如果未為執行個體啟用備份,或保留期間少於指定的時間範圍,則控制項會失敗。除非您提供備份保留期間的自訂參數值,否則 Security Hub 會使用預設值 7 天。
備份可協助您更快地從安全事件中復原,並增強系統的彈性。Amazon RDS 可讓您設定每日完整執行個體磁碟區快照。如需 Amazon RDS 自動化備份的詳細資訊,請參閱《Amazon RDS 使用者指南》中的使用備份。
修補
若要在 RDS 資料庫執行個體上啟用自動備份,請參閱《Amazon RDS 使用者指南》中的啟用自動備份。
【RDS.12】 應為 RDS 叢集設定 IAM 身分驗證
相關需求:NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6
類別:保護 > 安全存取管理 > 無密碼身分驗證
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則:rds-cluster-iam-authentication-enabled
排程類型:變更已觸發
參數:無
此控制項會檢查 Amazon RDS 資料庫叢集是否已啟用 IAM 資料庫身分驗證。
IAM 資料庫身分驗證允許對資料庫執行個體進行無密碼身分驗證。身分驗證使用身分驗證字符。進出資料庫的網路流量會使用 SSL 加密。如需詳細資訊,請參閱《Amazon Aurora 使用者指南》中的 IAM 資料庫身分驗證。
修補
若要啟用資料庫叢集的 IAM 身分驗證,請參閱《Amazon Aurora 使用者指南》中的啟用和停用 IAM 資料庫身分驗證。
【RDS.13】 應啟用 RDS 自動次要版本升級
相關要求:CIS AWS Foundations Benchmark v3.0.0/2.3.2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3
類別:識別 > 漏洞、修補程式和版本管理
嚴重性:高
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-automatic-minor-version-upgrade-enabled
排程類型:變更觸發
參數:無
此控制項會檢查是否已為 RDS 資料庫執行個體啟用自動次要版本升級。
啟用自動次要版本升級可確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新。這些升級可能包括安全修補程式和錯誤修正。隨時掌握修補程式安裝的最新消息,是保護系統安全的重要步驟。
修補
若要啟用現有資料庫執行個體的自動次要版本升級,請參閱《Amazon RDS 使用者指南》中的修改 Amazon RDS 資料庫執行個體。 對於自動次要版本升級,選取是。
【RDS.14】 Amazon Aurora 叢集應該已啟用恢復
相關要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SI-13(5)
類別:復原 > 復原能力 > 備份已啟用
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則:aurora-mysql-backtracking-enabled
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
恢復 Aurora MySQL 叢集的時數 |
Double |
|
無預設值 |
此控制項會檢查 Amazon Aurora 叢集是否已啟用恢復。如果叢集未啟用恢復,則控制項會失敗。如果您為 BacktrackWindowInHours 參數提供自訂值,則只有在叢集在指定的時間內恢復時,控制項才會通過。
備份可協助您更快地從安全事件中復原。它們也會增強您系統的彈性。Aurora 回溯可將資料庫復原至某個時間點的時間縮短。它不需要資料庫還原即可執行此操作。
修補
若要啟用 Aurora 回溯,請參閱《Amazon Aurora 使用者指南》中的設定回溯。
請注意,您無法在現有叢集上啟用回溯。反之,您可以建立已啟用恢復的複製。如需 Aurora 回溯限制的詳細資訊,請參閱回溯概觀中的限制清單。
【RDS.15】 應為多個可用區域設定 RDS 資料庫叢集
相關要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
類別:復原 > 彈性 > 高可用性
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則:rds-cluster-multi-az-enabled
排程類型:變更觸發
參數:無
此控制項會檢查您的 RDS 資料庫叢集是否已啟用高可用性。如果 RDS 資料庫叢集未部署在多個可用區域 (AZs) 中,則控制項會失敗。
RDS 資料庫叢集應針對多個 AZs 設定,以確保儲存資料的可用性。部署到多個 AZs 可在發生 AZ 可用性問題時以及在一般 RDS 維護事件期間自動容錯移轉。
修補
若要在多個可用AZs部署資料庫叢集,請在 Amazon RDS 使用者指南中將資料庫執行個體修改為多可用區域資料庫執行個體部署。
Aurora 全域資料庫的修復步驟不同。若要設定 Aurora 全域資料庫的多個可用區域,請選取您的資料庫叢集。然後,選擇動作和新增讀取器,並指定多個 AZs。如需詳細資訊,請參閱《Amazon Aurora 使用者指南》中的將 Aurora 複本新增至資料庫叢集。
【RDS.16】 RDS 資料庫叢集應設定為將標籤複製到快照
相關要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
類別:識別 > 清查
嚴重性:低
資源類型: AWS::RDS::DBCluster
AWS Config rule:rds-cluster-copy-tags-to-snapshots-enabled(自訂 Security Hub 規則)
排程類型:變更觸發
參數:無
此控制項會檢查 RDS 資料庫叢集是否設定為在建立快照時將所有標籤複製到快照。
識別和清查您的 IT 資產是控管和安全性的重要層面。您需要了解所有 RDS 資料庫叢集,以便評估其安全性狀態,並對潛在弱點區域採取行動。快照的標記方式應該與其父 RDS 資料庫叢集相同。啟用此設定可確保快照繼承其父資料庫叢集的標籤。
修補
若要自動將標籤複製到 RDS 資料庫叢集的快照,請參閱《Amazon Aurora 使用者指南》中的使用主控台、CLI 和 API 修改資料庫叢集。選取將標籤複製到快照。
【RDS.17】 RDS 資料庫執行個體應設定為將標籤複製到快照
相關要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
類別:識別 > 清查
嚴重性:低
資源類型: AWS::RDS::DBInstance
AWS Config rule:rds-instance-copy-tags-to-snapshots-enabled(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:無
此控制項會檢查 RDS 資料庫執行個體是否設定為在建立快照時將所有標籤複製到快照。
識別和清查您的 IT 資產是控管和安全性的重要層面。您需要了解所有 RDS 資料庫執行個體,以便評估其安全性狀態,並對潛在弱點區域採取行動。快照的標記方式應該與其父 RDS 資料庫執行個體相同。啟用此設定可確保快照繼承其父資料庫執行個體的標籤。
修補
若要自動將標籤複製到 RDS 資料庫執行個體的快照,請參閱《Amazon RDS 使用者指南》中的修改 Amazon RDS 資料庫執行個體。 選取將標籤複製到快照。
【RDS.18】 RDS 執行個體應該部署在 VPC 中
類別:保護 > 安全網路組態 > VPC 內的資源
嚴重性:高
資源類型: AWS::RDS::DBInstance
AWS Config rule:rds-deployed-in-vpc(自訂 Security Hub 規則)
排程類型:變更觸發
參數:無
此控制項會檢查 Amazon RDS 執行個體是否部署在 EC2-VPC 上。
VPCs 提供多種網路控制,以安全存取 RDS 資源。這些控制項包括 VPC 端點、網路 ACLs 和安全群組。若要利用這些控制項,建議您在 EC2-VPC 上建立 RDS 執行個體。
修補
如需將 RDS 執行個體移至 VPC 的指示,請參閱《Amazon RDS 使用者指南》中的更新資料庫執行個體的 VPC。
【RDS.19】 應為關鍵叢集事件設定現有的 RDS 事件通知訂閱
相關要求:NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2
類別:偵測 > 偵測服務 > 應用程式監控
嚴重性:低
資源類型: AWS::RDS::EventSubscription
AWS Config rule:rds-cluster-event-notifications-configured(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:無
此控制項會檢查資料庫叢集的現有 Amazon RDS 事件訂閱是否針對下列來源類型和事件類別索引鍵/值對啟用通知:
DBCluster: ["maintenance","failure"]
如果您的帳戶中沒有現有的事件訂閱,則控制項會通過。
RDS 事件通知使用 Amazon SNS,讓您了解 RDS 資源可用性或組態的變更。這些通知允許快速回應。如需 RDS 事件通知的詳細資訊,請參閱《Amazon RDS 使用者指南》中的使用 Amazon RDS 事件通知。
修補
若要訂閱 RDS 叢集事件通知,請參閱《Amazon RDS 使用者指南》中的訂閱 Amazon RDS 事件通知。 使用下列的值:
| 欄位 | Value |
|---|---|
|
來源類型 |
叢集 |
|
要包含的叢集 |
所有叢集 |
|
要包含的事件類別 |
選取特定事件類別或所有事件類別 |
【RDS.20】 應為關鍵資料庫執行個體事件設定現有的 RDS 事件通知訂閱
相關要求:NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/11.5.2
類別:偵測 > 偵測服務 > 應用程式監控
嚴重性:低
資源類型: AWS::RDS::EventSubscription
AWS Config rule:rds-instance-event-notifications-configured(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:無
此控制項會檢查資料庫執行個體的現有 Amazon RDS 事件訂閱是否針對下列來源類型和事件類別索引鍵/值對啟用通知:
DBInstance: ["maintenance","configuration change","failure"]
如果您的帳戶中沒有現有的事件訂閱,則控制項會通過。
RDS 事件通知使用 Amazon SNS,讓您了解 RDS 資源可用性或組態的變更。這些通知允許快速回應。如需 RDS 事件通知的詳細資訊,請參閱《Amazon RDS 使用者指南》中的使用 Amazon RDS 事件通知。
修補
若要訂閱 RDS 執行個體事件通知,請參閱《Amazon RDS 使用者指南》中的訂閱 Amazon RDS 事件通知。 使用下列的值:
| 欄位 | Value |
|---|---|
|
來源類型 |
執行個體 |
|
要包含的執行個體 |
所有執行個體 |
|
要包含的事件類別 |
選取特定事件類別或所有事件類別 |
【RDS.21】 應為關鍵資料庫參數群組事件設定 RDS 事件通知訂閱
相關要求:NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/11.5.2
類別:偵測 > 偵測服務 > 應用程式監控
嚴重性:低
資源類型: AWS::RDS::EventSubscription
AWS Config rule:rds-pg-event-notifications-configured(自訂 Security Hub 規則)
排程類型:變更觸發
參數:無
此控制項會檢查 Amazon RDS 事件訂閱是否存在,並針對下列來源類型、事件類別索引鍵/值對啟用通知。如果您的帳戶中沒有現有的事件訂閱,則控制項會通過。
DBParameterGroup: ["configuration change"]
RDS 事件通知使用 Amazon SNS,讓您了解 RDS 資源可用性或組態的變更。這些通知允許快速回應。如需 RDS 事件通知的詳細資訊,請參閱《Amazon RDS 使用者指南》中的使用 Amazon RDS 事件通知。
修補
若要訂閱 RDS 資料庫參數群組事件通知,請參閱《Amazon RDS 使用者指南》中的訂閱 Amazon RDS 事件通知。 使用下列的值:
| 欄位 | Value |
|---|---|
|
來源類型 |
參數群組 |
|
要包含的參數群組 |
所有參數群組 |
|
要包含的事件類別 |
選取特定事件類別或所有事件類別 |
【RDS.22】 應為關鍵資料庫安全群組事件設定 RDS 事件通知訂閱
相關要求:NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/11.5.2
類別:偵測 > 偵測服務 > 應用程式監控
嚴重性:低
資源類型: AWS::RDS::EventSubscription
AWS Config rule: rds-sg-event-notifications-configured (自訂 Security Hub 規則)
排程類型:變更觸發
參數:無
此控制項會檢查 Amazon RDS 事件訂閱是否存在,並針對下列來源類型事件類別索引鍵/值對啟用通知。如果您的帳戶中沒有現有的事件訂閱,則控制項會通過。
DBSecurityGroup: ["configuration change","failure"]
RDS 事件通知使用 Amazon SNS,讓您了解 RDS 資源可用性或組態的變更。這些通知允許快速回應。如需 RDS 事件通知的詳細資訊,請參閱《Amazon RDS 使用者指南》中的使用 Amazon RDS 事件通知。
修補
若要訂閱 RDS 執行個體事件通知,請參閱《Amazon RDS 使用者指南》中的訂閱 Amazon RDS 事件通知。 使用下列的值:
| 欄位 | Value |
|---|---|
|
來源類型 |
安全群組 |
|
要包含的安全群組 |
所有安全群組 |
|
要包含的事件類別 |
選取特定事件類別或所有事件類別 |
【RDS.23】 RDS 執行個體不應使用資料庫引擎預設連接埠
相關要求:NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)
類別:保護 > 安全網路組態
嚴重性:低
資源類型: AWS::RDS::DBInstance
AWS Config rule:rds-no-default-ports(自訂 Security Hub 規則)
排程類型:變更觸發
參數:無
此控制項會檢查 RDS 叢集或執行個體是否使用資料庫引擎預設連接埠以外的連接埠。如果 RDS 叢集或執行個體使用預設連接埠,則控制項會失敗。此控制項不適用於屬於叢集的 RDS 執行個體。
如果您使用已知連接埠來部署 RDS 叢集或執行個體,攻擊者可以猜測叢集或執行個體的相關資訊。攻擊者可以將此資訊與其他資訊搭配使用,以連接至 RDS 叢集或執行個體,或取得應用程式的其他資訊。
當您變更連接埠時,還必須更新用來連線至舊連接埠的現有連線字串。您也應該檢查資料庫執行個體的安全群組,以確保它包含允許在新連接埠上連線的輸入規則。
修補
若要修改現有 RDS 資料庫執行個體的預設連接埠,請參閱《Amazon RDS 使用者指南》中的修改 Amazon RDS 資料庫執行個體。 若要修改現有 RDS 資料庫叢集的預設連接埠,請參閱《Amazon Aurora 使用者指南》中的使用主控台、CLI 和 API 修改資料庫叢集。對於資料庫連接埠,將連接埠值變更為非預設值。
【RDS.24】 RDS 資料庫叢集應使用自訂管理員使用者名稱
相關要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/2.2.2
類別:識別 > 資源組態
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則:rds-cluster-default-admin-check
排程類型:變更已觸發
參數:無
此控制項會檢查 Amazon RDS 資料庫叢集是否已從其預設值變更管理員使用者名稱。控制項不適用於 neptune (Neptune 資料庫) 或 docdb (DocumentDB) 類型的引擎。如果管理員使用者名稱設定為預設值,則此規則將會失敗。
建立 Amazon RDS 資料庫時,您應該將預設管理員使用者名稱變更為唯一值。預設使用者名稱是公有知識,應該在 RDS 資料庫建立期間變更。變更預設使用者名稱可降低意外存取的風險。
修補
若要變更與 Amazon RDS 資料庫叢集相關聯的管理員使用者名稱,請建立新的 RDS 資料庫叢集,並在建立資料庫時變更預設的管理員使用者名稱。
【RDS.25】 RDS 資料庫執行個體應使用自訂管理員使用者名稱
相關要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/2.2.2
類別:識別 > 資源組態
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-instance-default-admin-check
排程類型:變更觸發
參數:無
此控制項會檢查您是否已從預設值變更 Amazon Relational Database Service (Amazon RDS) 資料庫執行個體的管理使用者名稱。如果管理使用者名稱設定為預設值,則控制項會失敗。控制項不適用於 neptune (Neptune 資料庫) 或 docdb (DocumentDB) 類型的引擎,也不適用於屬於叢集的 RDS 執行個體。
Amazon RDS 資料庫上的預設管理使用者名稱為公有知識。建立 Amazon RDS 資料庫時,您應該將預設管理使用者名稱變更為唯一值,以減少意外存取的風險。
修補
若要變更與 RDS 資料庫執行個體相關聯的管理使用者名稱,請先建立新的 RDS 資料庫執行個體。建立資料庫時變更預設管理使用者名稱。
【RDS.26】 RDS 資料庫執行個體應受備份計劃保護
類別:復原 > 復原能力 > 備份已啟用
相關要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則: rds-resources-protected-by-backup-plan
排程類型:定期
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
如果 參數設為 true 且資源使用 AWS Backup 保存庫鎖定,則控制項會產生 |
Boolean |
|
無預設值 |
此控制項會評估備份計劃是否涵蓋 Amazon RDS 資料庫執行個體。如果備份計劃未涵蓋 RDS 資料庫執行個體,則此控制會失敗。如果您將 backupVaultLockCheck 參數設定為等於 true,則只有在執行個體備份在 AWS Backup 鎖定的保存庫中時,控制項才會通過。
AWS Backup 是一種全受管備份服務,可集中和自動化跨 的資料備份 AWS 服務。使用 AWS Backup,您可以建立稱為備份計劃的備份政策。您可以使用這些計劃來定義備份需求,例如備份資料的頻率,以及這些備份的保留時間。在備份計劃中包含 RDS 資料庫執行個體,可協助您保護資料免於意外遺失或刪除。
修補
若要將 RDS 資料庫執行個體新增至 AWS Backup 備份計劃,請參閱《 AWS Backup 開發人員指南》中的將資源指派給備份計劃。
【RDS.27】 RDS 資料庫叢集應靜態加密
相關要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
類別:保護 > 資料保護 > data-at-rest加密
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則: rds-cluster-encrypted-at-rest
排程類型:已觸發變更
參數:無
此控制項會檢查 RDS 資料庫叢集是否靜態加密。如果 RDS 資料庫叢集未靜態加密,則控制項會失敗。
靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的任何資料。加密可協助您保護此類資料的機密性,降低未經授權的使用者可存取資料的風險。加密 RDS 資料庫叢集可保護您的資料和中繼資料,避免未經授權的存取。它也滿足生產檔案系統data-at-rest加密的合規要求。
修補
您可以在建立 RDS 資料庫叢集時啟用靜態加密。您無法在建立叢集後變更加密設定。如需詳細資訊,請參閱《Amazon Aurora 使用者指南》中的加密 Amazon Aurora 資料庫叢集。
【RDS.28】 RDS 資料庫叢集應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::RDS::DBCluster
AWS Config rule:tagged-rds-dbcluster(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon RDS 資料庫叢集是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果資料庫叢集沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料庫叢集未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 RDS 資料庫叢集,請參閱《Amazon RDS 使用者指南》中的標記 Amazon RDS 資源。
【RDS.29】 RDS 資料庫叢集快照應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::RDS::DBClusterSnapshot
AWS Config rule:tagged-rds-dbclustersnapshot(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon RDS 資料庫叢集快照是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果資料庫叢集快照沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料庫叢集快照未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 RDS 資料庫叢集快照,請參閱《Amazon RDS 使用者指南》中的標記 Amazon RDS 資源。
【RDS.30】 RDS 資料庫執行個體應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::RDS::DBInstance
AWS Config rule:tagged-rds-dbinstance(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon RDS 資料庫執行個體是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果資料庫執行個體沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料庫執行個體未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 RDS 資料庫執行個體,請參閱《Amazon RDS 使用者指南》中的標記 Amazon RDS 資源。
【RDS.31】 RDS 資料庫安全群組應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::RDS::DBSecurityGroup
AWS Config rule:tagged-rds-dbsecuritygroup(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon RDS 資料庫安全群組是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果資料庫安全群組沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料庫安全群組未標記任何索引鍵,則 控制會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 RDS 資料庫安全群組,請參閱《Amazon RDS 使用者指南》中的標記 Amazon RDS 資源。
【RDS.32】 RDS 資料庫快照應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::RDS::DBSnapshot
AWS Config rule:tagged-rds-dbsnapshot(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon RDS 資料庫快照是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果資料庫快照沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料庫快照未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 RDS 資料庫快照,請參閱《Amazon RDS 使用者指南》中的標記 Amazon RDS 資源。
【RDS.33】 RDS 資料庫子網路群組應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::RDS::DBSubnetGroup
AWS Config rule:tagged-rds-dbsubnetgroups(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon RDS 資料庫子網路群組是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果資料庫子網路群組沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料庫子網路群組未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 RDS 資料庫子網路群組,請參閱《Amazon RDS 使用者指南》中的標記 Amazon RDS 資源。
【RDS.34】 Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs
相關要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-5.r5 AU-6(4)CA-7、NIST.8000-53.r5 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.2.1
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則: rds-aurora-mysql-audit-logging-enabled
排程類型:變更已觸發
參數:無
此控制項會檢查 Amazon Aurora MySQL 資料庫叢集是否已設定為將稽核日誌發佈至 Amazon CloudWatch Logs。如果叢集未設定為將稽核日誌發佈至 CloudWatch Logs,則控制項會失敗。控制項不會產生 Aurora Serverless v1 資料庫叢集的調查結果。
稽核日誌會擷取資料庫活動的記錄,包括登入嘗試、資料修改、結構描述變更,以及其他可基於安全和合規目的而稽核的事件。當您設定 Aurora MySQL 資料庫叢集將稽核日誌發佈至 Amazon CloudWatch Logs 中的日誌群組時,您可以執行日誌資料的即時分析。CloudWatch Logs 會將日誌保留在高度耐用的儲存體中。您也可以在 CloudWatch 中建立警示和檢視指標。
注意
將稽核日誌發佈至 CloudWatch Logs 的另一種方法是啟用進階稽核,並將叢集層級資料庫參數 server_audit_logs_upload 設為 1。的預設值server_audit_logs_upload parameter為 0。不過,我們建議您改用下列修補指示來傳遞此控制項。
修補
若要將 Aurora MySQL 資料庫叢集稽核日誌發佈至 CloudWatch Logs,請參閱《Amazon Aurora 使用者指南》中的將 Amazon Aurora MySQL 日誌發佈至 Amazon CloudWatch Logs。
【RDS.35】 RDS 資料庫叢集應該啟用自動次要版本升級
相關要求:NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3
類別:識別 > 漏洞、修補程式和版本管理
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則: rds-cluster-auto-minor-version-upgrade-enable
排程類型:變更觸發
參數:無
此控制項會檢查是否已啟用 Amazon RDS Multi-AZ 資料庫叢集的自動次要版本升級。如果未針對多可用區域資料庫叢集啟用自動次要版本升級,則控制項會失敗。
RDS 提供自動次要版本升級,讓您可以讓多可用區域資料庫叢集保持最新狀態。次要版本可以引進新的軟體功能、錯誤修正、安全性修補程式和效能改善。透過在 RDS 資料庫叢集上啟用自動次要版本升級,當有新版本可用時,叢集以及叢集中的執行個體都會收到次要版本的自動更新。更新會在維護時段期間自動套用。
修補
若要在多可用區域資料庫叢集上啟用自動次要版本升級,請參閱《Amazon RDS 使用者指南》中的修改多可用區域資料庫叢集。
【RDS.36】 RDS for PostgreSQL 資料庫執行個體應將日誌發佈至 CloudWatch Logs
相關要求:PCI DSS v4.0.1/10.4.2
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-postgresql-logs-to-cloudwatch
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
要發佈至 CloudWatch Logs 的日誌類型的逗號分隔清單 |
StringList |
無法自訂 |
|
此控制項會檢查 Amazon RDS for PostgreSQL 資料庫執行個體是否已設定為將日誌發佈至 Amazon CloudWatch Logs。如果 PostgreSQL 資料庫執行個體未設定為將 logTypes 參數中提到的日誌類型發佈至 CloudWatch Logs,則控制項會失敗。
資料庫記錄提供對 RDS 執行個體提出請求的詳細記錄。PostgreSQL 會產生事件日誌,其中包含管理員的有用資訊。將這些日誌發佈至 CloudWatch Logs 可集中管理日誌,並協助您執行日誌資料的即時分析。CloudWatch Logs 會將日誌保留在高度耐用的儲存體中。您也可以在 CloudWatch 中建立警示和檢視指標。
修補
若要將 PostgreSQL 資料庫執行個體日誌發佈至 CloudWatch Logs,請參閱《Amazon RDS 使用者指南》中的將 PostgreSQL 日誌發佈至 Amazon CloudWatch Logs Amazon CloudWatch。
【RDS.37】 Aurora PostgreSQL 資料庫叢集應將日誌發佈至 CloudWatch Logs
相關要求:PCI DSS v4.0.1/10.4.2
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則:rds-aurora-postgresql-logs-to-cloudwatch
排程類型:變更觸發
參數:無
此控制項會檢查 Amazon Aurora PostgreSQL 資料庫叢集是否設定為將日誌發佈至 Amazon CloudWatch Logs。如果未將 Aurora PostgreSQL 資料庫叢集設定為將 PostgreSQL 日誌發佈至 CloudWatch Logs,則控制項會失敗。
資料庫記錄提供對 RDS 叢集提出請求的詳細記錄。Aurora PostgreSQL 會產生事件日誌,其中包含管理員的有用資訊。將這些日誌發佈至 CloudWatch Logs 可集中管理日誌,並協助您執行日誌資料的即時分析。CloudWatch Logs 會將日誌保留在高度耐用的儲存體中。您也可以在 CloudWatch 中建立警示和檢視指標。
修補
若要將 Aurora PostgreSQL 資料庫叢集日誌發佈至 CloudWatch Logs,請參閱《Amazon RDS 使用者指南》中的將 Aurora PostgreSQL 日誌發佈至 Amazon CloudWatch Logs Amazon CloudWatch。
【RDS.38】 RDS for PostgreSQL 資料庫執行個體應在傳輸中加密
類別:保護 > 資料保護 > data-in-transit加密
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-postgres-instance-encrypted-in-transit
排程類型:定期
參數:無
此控制項會檢查與 Amazon RDS for PostgreSQL 資料庫 (DB) 執行個體的連線是否在傳輸中加密。如果與執行個體相關聯的參數群組rds.force_ssl參數設定為 0(關閉),則控制項會失敗。此控制項不會評估屬於資料庫叢集的 RDS 資料庫執行個體。
傳輸中的資料是指從一個位置移動到另一個位置的資料,例如叢集中的節點之間,或叢集與您的應用程式之間。資料可能會透過網際網路或在私有網路中移動。加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。
修補
若要要求 RDS for PostgreSQL 資料庫執行個體的所有連線使用 SSL,請參閱《Amazon RDS 使用者指南》中的搭配使用 SSL 與 PostgreSQL 資料庫執行個體。
【RDS.39】 RDS for MySQL 資料庫執行個體應在傳輸中加密
類別:保護 > 資料保護 > data-in-transit
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-mysql-instance-encrypted-in-transit
排程類型:定期
參數:無
此控制項會檢查與 Amazon RDS for MySQL 資料庫 (DB) 執行個體的連線是否在傳輸中加密。如果與執行個體相關聯的參數群組rds.require_secure_transport參數設定為 0(關閉),則控制項會失敗。此控制項不會評估屬於資料庫叢集的 RDS 資料庫執行個體。
傳輸中的資料是指從一個位置移動到另一個位置的資料,例如叢集中的節點之間,或叢集與您的應用程式之間。資料可能會透過網際網路或在私有網路中移動。加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。
修補
若要要求 RDS for MySQL 資料庫執行個體的所有連線使用 SSL,請參閱《Amazon RDS 使用者指南》中的 Amazon RDS 上的 MySQL 資料庫執行個體的 SSL/TLS 支援。
【RDS.40】 RDS for SQL Server 資料庫執行個體應將日誌發佈至 CloudWatch Logs
相關要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-5.r5 AU-6(4)CA-7、NIST.8000-53.r5 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-7
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-sql-server-logs-to-cloudwatch
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
應設定 RDS for SQL Server 資料庫執行個體發佈至 CloudWatch Logs 的日誌類型清單。如果資料庫執行個體未設定為發佈清單中指定的日誌類型,則此控制項會失敗。 |
EnumList (最多 2 個項目) |
|
|
此控制項會檢查 Amazon RDS for Microsoft SQL Server 資料庫執行個體是否設定為將日誌發佈至 Amazon CloudWatch Logs。如果 RDS for SQL Server 資料庫執行個體未設定為將日誌發佈至 CloudWatch Logs,則控制項會失敗。您可以選擇性地指定資料庫執行個體應設定為發佈的日誌類型。
資料庫記錄提供對 Amazon RDS 資料庫執行個體提出請求的詳細記錄。將日誌發佈至 CloudWatch Logs 會集中管理日誌,並協助您執行日誌資料的即時分析。CloudWatch Logs 會將日誌保留在高度耐用的儲存中。此外,您可以使用它來為可能發生的特定錯誤建立警示,例如在錯誤日誌中記錄的頻繁重新啟動。同樣地,您可以針對 SQL Server 代理程式任務相關日誌中記錄的錯誤或警告建立警示。
修補
如需將日誌發佈至 RDS for SQL Server 資料庫執行個體的 CloudWatch Logs 的詳細資訊,請參閱《Amazon Relational Database Service 使用者指南》中的 Amazon RDS for Microsoft SQL Server 資料庫日誌檔案。 Amazon Relational Database Service
