Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Behebung von Risiken für Amazon RDS-Funktionen
Anmerkung
Security Hub befindet sich in der Vorschauversion und kann sich ändern.
AWS Security Hub kann Risikopergebnisse für Amazon RDS-Funktionen generieren.
In der Security Hub Hub-Konsole sind die Amazon RDS-Funktion, die an einer Risikofeststellung beteiligt war, und ihre identifizierenden Informationen im Abschnitt Ressourcen der Ergebnisdetails aufgeführt. Programmgesteuert können Sie Ressourcendetails mithilfe der GetFindingsV2Security Hub Hub-API abrufen.
Nachdem Sie die Ressource identifiziert haben, die an einer Risikofeststellung beteiligt war, können Sie die Ressource löschen, falls Sie sie nicht benötigen. Durch das Löschen einer nicht benötigten Ressource können Sie Ihr Expositionsprofil und Ihre AWS Kosten reduzieren. Wenn es sich bei der Ressource um eine wichtige Ressource handelt, befolgen Sie diese empfohlenen Abhilfemaßnahmen, um das Risiko zu minimieren. Die Themen zur Problembehebung sind nach der Art des Merkmals unterteilt.
Ein einzelnes Problembehebungsergebnis umfasst Probleme, die in mehreren Problembehebungsthemen identifiziert wurden. Umgekehrt können Sie mit einem Problembehebungsproblem umgehen und dessen Schweregrad verringern, indem Sie sich mit nur einem Problembehebungsthema befassen. Ihr Ansatz zur Risikominderung hängt von den Anforderungen und der Arbeitsbelastung Ihres Unternehmens ab.
Anmerkung
Die in diesem Thema enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Informationen in anderen Ressourcen. AWS
Inhalt
Fehlkonfigurationsmerkmale für Amazon RDS-Funktionen
Die Amazon RDS-DB-Instance ist mit öffentlichem Zugriff konfiguriert
Der Amazon RDS-DB-Cluster hat einen Snapshot, der öffentlich geteilt wird
Die Amazon RDS-DB-Instance hat einen Snapshot, der im Ruhezustand nicht verschlüsselt ist
Der Amazon RDS-DB-Cluster hat einen Snapshot, der im Ruhezustand nicht verschlüsselt ist
Die Amazon RDS-DB-Instance hat eine offene Sicherheitsgruppe
Für die Amazon RDS-DB-Instance ist die IAM-Datenbankauthentifizierung deaktiviert
Die Amazon RDS-DB-Instance verwendet den Standard-Admin-Benutzernamen
Der Amazon RDS-DB-Cluster verwendet den Standard-Admin-Benutzernamen
Für die Amazon RDS-DB-Instance sind automatische Upgrades für kleinere Versionen deaktiviert
Für die Amazon RDS-DB-Instance sind automatische Backups deaktiviert
Für die Amazon RDS-DB-Instance ist der Löschschutz deaktiviert
Der Löschschutz für den Amazon RDS-DB-Cluster ist deaktiviert
Die Amazon RDS-DB-Instance verwendet den Standardport für die Datenbank-Engine
Die Amazon RDS-DB-Instance ist nicht durch einen Backup-Plan abgedeckt
Fehlkonfigurationsmerkmale für Amazon RDS-Funktionen
Im Folgenden werden die Merkmale der Fehlkonfiguration und die Schritte zur Behebung von Amazon RDS-Funktionen beschrieben.
Die Amazon RDS-DB-Instance ist mit öffentlichem Zugriff konfiguriert
Amazon RDS-Instances mit öffentlichem Zugriff sind potenziell über das Internet über ihre Endpunkte zugänglich. Während für die Instance-Funktionalität manchmal ein öffentlicher Zugriff erforderlich ist, kann diese Konfiguration als potenzieller Angriffsvektor für unbefugte Benutzer verwendet werden, die versuchen, auf Ihre Datenbank zuzugreifen. Öffentlich zugängliche Datenbanken können Port-Scans, Brute-Force-Angriffen und Ausnutzungsversuchen ausgesetzt sein. Gemäß den üblichen Sicherheitsprinzipien empfehlen wir Ihnen, die öffentliche Nutzung Ihrer Datenbankressourcen zu begrenzen.
-
Ändern Sie die Einstellungen für den öffentlichen Zugriff
Öffnen Sie in der Expositionsanalyse die Ressource mit dem Hyperlink. Dadurch wird die betroffene DB-Instance geöffnet. Prüfen Sie anhand Ihrer Anwendungsarchitektur, ob die DB-Instance öffentlich zugänglich sein muss. Weitere Informationen finden Sie unter Einrichtung eines öffentlichen oder privaten Zugriffs in Amazon RDS.
Der Amazon RDS-DB-Cluster hat einen Snapshot, der öffentlich geteilt wird
Auf öffentliche Snapshots kann jeder zugreifen AWS-Konto, wodurch sensible Daten möglicherweise unbefugten Benutzern zugänglich gemacht werden. Jeder AWS-Konto ist berechtigt, diese öffentlichen Snapshots zu kopieren und daraus DB-Instances zu erstellen, was zu Datenschutzverletzungen oder unberechtigtem Datenzugriff führen kann. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, den Zugriff auf Ihre Amazon RDS-Snapshots auf vertrauenswürdige Organisationen AWS-Konten und Organisationen zu beschränken.
1. Einen Amazon RDS-Snapshot für privaten Zugriff konfigurieren
Öffnen Sie in der Risikohinweise die Ressource über den Hyperlink. Informationen zum Ändern der Einstellungen für das Teilen von Snapshots finden Sie unter Teilen eines Snapshots im Amazon Aurora Aurora-Benutzerhandbuch. Informationen darüber, wie Sie das Teilen von Snapshots beenden können, finden Sie unter Stoppen der Snapshot-Freigabe im Amazon Aurora Aurora-Benutzerhandbuch. .
Die Amazon RDS-DB-Instance hat einen Snapshot, der im Ruhezustand nicht verschlüsselt ist
Unverschlüsselte Amazon RDS-DB-Instance-Snapshots können sensible Daten offenlegen, wenn unbefugter Zugriff auf die Speicherebene erfolgt. Ohne Verschlüsselung könnten Daten in Snapshots potenziell durch unbefugten Zugriff offengelegt werden. Dies birgt das Risiko von Datenverstößen und Compliance-Verstößen. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, alle Datenbankressourcen und ihre Backups zu verschlüsseln, um die Vertraulichkeit der Daten zu wahren.
Öffnen Sie in der Risikoprüfung die Ressource mit dem Hyperlink. Dadurch wird der betroffene Snapshot geöffnet. Sie können einen vorhandenen unverschlüsselten Snapshot nicht direkt verschlüsseln. Erstellen Sie stattdessen eine verschlüsselte Kopie des unverschlüsselten Snapshots. Ausführliche Anweisungen finden Sie unter Kopieren und Verschlüsseln von Amazon RDS-Ressourcen von DB-Cluster-Snapshots im Amazon Aurora Aurora-Benutzerhandbuch. ..
Der Amazon RDS-DB-Cluster hat einen Snapshot, der im Ruhezustand nicht verschlüsselt ist
Unverschlüsselte Amazon RDS-DB-Cluster-Snapshots können sensible Daten offenlegen, wenn unbefugter Zugriff auf die Speicherebene erfolgt. Ohne Verschlüsselung könnten Daten in Snapshots potenziell durch unbefugten Zugriff offengelegt werden. Dies birgt das Risiko von Datenverstößen und Compliance-Verstößen. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, alle Datenbankressourcen und ihre Backups zu verschlüsseln, um die Vertraulichkeit der Daten zu wahren.
1. Erstellen Sie eine verschlüsselte Kopie des Snapshots
Öffnen Sie in der Risikoprüfung die Ressource mit dem Hyperlink. Dadurch wird der betroffene Snapshot geöffnet. Sie können einen vorhandenen unverschlüsselten Snapshot nicht direkt verschlüsseln. Erstellen Sie stattdessen eine verschlüsselte Kopie des unverschlüsselten Snapshots. Ausführliche Anweisungen finden Sie unter Kopieren und Verschlüsseln von Amazon RDS-Ressourcen von DB-Cluster-Snapshots im Amazon Aurora Aurora-Benutzerhandbuch. ..
Die Amazon RDS-DB-Instance hat eine offene Sicherheitsgruppe
Sicherheitsgruppen dienen als virtuelle Firewalls für Ihre Amazon RDS-Instances, um den eingehenden und ausgehenden Datenverkehr zu kontrollieren. Offene Sicherheitsgruppen, die uneingeschränkten Zugriff von jeder IP-Adresse aus ermöglichen, können Ihre Datenbank-Instances unbefugtem Zugriff und potenziellen Angriffen aussetzen. Gemäß den Standardsicherheitsprinzipien empfehlen wir, den Zugriff von Sicherheitsgruppen auf bestimmte IP-Adressen und Ports zu beschränken, um das Prinzip der geringsten Rechte aufrechtzuerhalten.
Überprüfen Sie die Sicherheitsgruppenregeln und bewerten Sie die aktuelle Konfiguration
Öffnen Sie in der Sicherheitsanalyse die Ressource für die DB-Instance-Sicherheitsgruppe. Prüfen Sie, welche Ports offen und von weiten IP-Bereichen aus zugänglich sind, z. (0.0.0.0/0 or ::/0) B. Informationen zum Anzeigen von Sicherheitsgruppendetails finden Sie DescribeSecurityGroupsin der Amazon Elastic Compute Cloud API-Referenz.
Ändern Sie die Regeln für Sicherheitsgruppen
Ändern Sie Ihre Sicherheitsgruppenregeln, um den Zugriff auf bestimmte vertrauenswürdige IP-Adressen oder Bereiche einzuschränken. Denken Sie bei der Aktualisierung Ihrer Sicherheitsgruppenregeln darüber nach, die Zugriffsanforderungen für verschiedene Netzwerksegmente zu trennen, indem Sie Regeln für jeden erforderlichen Quell-IP-Bereich erstellen oder den Zugriff auf bestimmte Ports einschränken. Informationen zum Ändern von Sicherheitsgruppenregeln finden Sie unter Sicherheitsgruppenregeln konfigurieren im EC2 Amazon-Benutzerhandbuch. Informationen zum Ändern des Standardports einer vorhandenen Amazon RDS-Datenbank-Instance finden Sie unter Ändern des DB-Clusters mithilfe der Konsole, der CLI und der API im Amazon Aurora Aurora-Benutzerhandbuch.
Für die Amazon RDS-DB-Instance ist die IAM-Datenbankauthentifizierung deaktiviert
Mit der IAM-Datenbankauthentifizierung können Sie sich mit IAM-Anmeldeinformationen anstelle von Datenbankkennwörtern bei Ihrer Amazon RDS-Datenbank authentifizieren. Dies bietet mehrere Sicherheitsvorteile, wie z. B. eine zentrale Zugriffsverwaltung, temporäre Anmeldeinformationen und den Wegfall der Speicherung von Datenbankkennwörtern im Anwendungscode. Die IAM-Datenbankauthentifizierung ermöglicht die Authentifizierung von Datenbankinstanzen mit einem Authentifizierungstoken anstelle eines Kennworts. Daher wird der Netzwerkverkehr zur und von der Datenbankinstanz mit SSL verschlüsselt. Ohne IAM-Authentifizierung verlassen sich Datenbanken in der Regel auf kennwortbasierte Authentifizierung, was zur Wiederverwendung von Passwörtern und zu schwachen Passwörtern führen kann. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, die IAM-Datenbankauthentifizierung zu aktivieren.
Aktivieren Sie die IAM-Datenbankauthentifizierung
Öffnen Sie in der Risikoprüfung die Ressource mit dem Hyperlink. Dadurch wird die betroffene DB-Instance geöffnet. Sie können die IAM-Datenbankauthentifizierung in den Datenbankoptionen aktivieren. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren der IAM-Datenbankauthentifizierung im Amazon RDS-Benutzerhandbuch. Nachdem Sie die IAM-Authentifizierung aktiviert haben, aktualisieren Sie Ihre DB-Instances so, dass sie die IAM-Authentifizierung anstelle der kennwortbasierten Authentifizierung verwenden.
Die Amazon RDS-DB-Instance verwendet den Standard-Admin-Benutzernamen
Die Verwendung von Standardbenutzernamen (z. B. „admin“, „root“) für DB-Instances erhöht das Sicherheitsrisiko, da diese allgemein bekannt sind und häufig Ziel von Brute-Force-Angriffen sind. Standardbenutzernamen sind vorhersehbar und erleichtern es unbefugten Benutzern, sich Zugriff auf Ihre Datenbank zu verschaffen. Mit Standardbenutzernamen müssen sich Angreifer nur Passwörter beschaffen und benötigen nicht beide, um Zugriff auf Ihre Datenbank zu erhalten. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, eindeutige Administrator-Benutzernamen für Ihre Datenbank-Instance zu verwenden, um die Sicherheit durch Verschleierung zu erhöhen und das Risiko unberechtigter Zugriffsversuche zu verringern.
Konfigurieren Sie einen eindeutigen Administratorbenutzernamen
Öffnen Sie in der Risikoanalyse die Ressource mit dem Hyperlink. Dadurch wird die betroffene DB-Instance geöffnet. Überlegen Sie, welche Backup-Frequenz, Aufbewahrungsdauer und Lebenszyklusregeln für Ihre Anwendungen am besten geeignet sind.
Der Amazon RDS-DB-Cluster verwendet den Standard-Admin-Benutzernamen
Die Verwendung von Standardbenutzernamen (z. B. „admin“, „root“) für DB-Instances erhöht das Sicherheitsrisiko, da diese allgemein bekannt sind und häufig Ziel von Brute-Force-Angriffen sind. Standardbenutzernamen sind vorhersehbar und erleichtern es unbefugten Benutzern, sich Zugriff auf Ihre Datenbank zu verschaffen. Mit Standardbenutzernamen müssen sich Angreifer nur Passwörter beschaffen und benötigen nicht beide, um Zugriff auf Ihre Datenbank zu erhalten. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, eindeutige Administrator-Benutzernamen für Ihre Datenbank-Instance zu verwenden, um die Sicherheit durch Verschleierung zu erhöhen und das Risiko unberechtigter Zugriffsversuche zu verringern.
Konfigurieren Sie einen eindeutigen Administratorbenutzernamen
Öffnen Sie in der Risikoanalyse die Ressource mit dem Hyperlink. Dadurch wird die betroffene DB-Instance geöffnet. Sie können den Administrator-Benutzernamen einer vorhandenen Amazon RDS-DB-Instance nicht ändern. Um einen eindeutigen Administratornamen zu erstellen, müssen Sie eine neue DB-Instance mit einem benutzerdefinierten Benutzernamen erstellen und Ihre Daten migrieren.
Für die Amazon RDS-DB-Instance sind automatische Upgrades für kleinere Versionen deaktiviert
Automatische Upgrades für Nebenversionen stellen sicher, dass Ihre Amazon RDS-Instances automatisch Upgrades für kleinere Engine-Versionen erhalten, sobald sie verfügbar sind. Diese Upgrades beinhalten häufig wichtige Sicherheitspatches und Bugfixes, die zur Aufrechterhaltung der Sicherheit und Stabilität Ihrer Datenbank beitragen. Es besteht das Risiko, dass Ihre Datenbank mit bekannten Sicherheitslücken läuft, die in neueren Nebenversionen behoben wurden. Ohne automatische Updates können sich bei Datenbankinstanzen Sicherheitslücken anhäufen, wenn neue entdeckt CVEs werden. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, automatische Upgrades für kleinere Versionen für alle Amazon RDS-Instances zu aktivieren.
Aktivieren Sie automatische Upgrades für Nebenversionen
Öffnen Sie in der Risikoprüfung die Ressource mit dem Hyperlink. Dadurch wird die betroffene DB-Instance geöffnet. Sie können die Einstellungen für automatische kleinere Upgrades auf der Registerkarte Wartung und Backups einsehen. Weitere Informationen finden Sie unter Automatische Upgrades kleinerer Versionen für Amazon RDS for MySQL. Sie können Ihr Wartungsfenster auch so konfigurieren, dass es in Zeiten geringer Datenbankaktivität stattfindet.
Für die Amazon RDS-DB-Instance sind automatische Backups deaktiviert
Automatisierte Backups ermöglichen die point-in-time Wiederherstellung Ihrer Amazon RDS-Instances, sodass Sie Ihre Datenbank an einem beliebigen Punkt innerhalb Ihrer Aufbewahrungsfrist wiederherstellen können. Wenn automatische Backups deaktiviert sind, riskieren Sie den Verlust von Daten im Falle eines böswilligen Löschens, einer Datenbeschädigung oder anderer Datenverlustszenarien. Bei böswilligen Aktivitäten wie Ransomware-Angriffen, dem Löschen oder der Beschädigung von Datenbanktabellen reduziert die Möglichkeit, die Wiederherstellung zu einem Zeitpunkt vor dem Vorfall durchzuführen, die Zeit, die für die Wiederherstellung nach einem Vorfall erforderlich ist. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, automatische Backups mit einer angemessenen Aufbewahrungsfrist für alle Produktionsdatenbanken zu aktivieren.
Für die Amazon RDS-DB-Instance ist der Löschschutz deaktiviert
Der Schutz vor dem Löschen von Datenbanken ist eine Funktion, die das Löschen Ihrer Datenbank-Instances verhindert. Wenn der Löschschutz deaktiviert ist, kann Ihre Datenbank von jedem Benutzer mit ausreichenden Berechtigungen gelöscht werden, was möglicherweise zu Datenverlust oder Anwendungsausfällen führen kann. Angreifer können Ihre Datenbank löschen, was zu Betriebsunterbrechungen, Datenverlust und verlängerter Wiederherstellungszeit führen kann. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, den Löschschutz für Ihre RDS-DB-Instances zu aktivieren, um böswilliges Löschen zu verhindern.
Aktivieren Sie den Löschschutz für Ihren Amazon RDS-DB-Cluster
Öffnen Sie in der Risikoprüfung die Ressource mit dem Hyperlink. Dadurch wird der betroffene DB-Cluster geöffnet.
Der Löschschutz für den Amazon RDS-DB-Cluster ist deaktiviert
Der Schutz vor dem Löschen von Datenbanken ist eine Funktion, die das Löschen Ihrer Datenbank-Instances verhindert. Wenn der Löschschutz deaktiviert ist, kann Ihre Datenbank von jedem Benutzer mit ausreichenden Berechtigungen gelöscht werden, was möglicherweise zu Datenverlust oder Anwendungsausfällen führen kann. Angreifer können Ihre Datenbank löschen, was zu Betriebsunterbrechungen, Datenverlust und verlängerter Wiederherstellungszeit führen kann. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, den Löschschutz für Ihre RDS-DB-Cluster zu aktivieren, um böswilliges Löschen zu verhindern.
Aktivieren Sie den Löschschutz für Ihren Amazon RDS-DB-Cluster
Öffnen Sie in der Risikoprüfung die Ressource mit dem Hyperlink. Dadurch wird der betroffene DB-Cluster geöffnet.
Die Amazon RDS-DB-Instance verwendet den Standardport für die Datenbank-Engine
Amazon RDS-Instances, die Standardports für Datenbank-Engines verwenden, können erhöhten Sicherheitsrisiken ausgesetzt sein, da diese Standardports allgemein bekannt sind und häufig von automatisierten Scan-Tools angegriffen werden. Wenn Sie Ihre DB-Instance so ändern, dass sie nicht standardmäßige Ports verwendet, wird durch Unklarheit eine zusätzliche Sicherheitsebene geschaffen, wodurch es für unbefugte Benutzer schwieriger wird, automatisierte oder gezielte Angriffe auf Ihre Datenbank durchzuführen. Standardports werden häufig von Unbefugten gesucht und können dazu führen, dass Ihre DB-Instance ins Visier genommen wird. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, den Standardport durch einen benutzerdefinierten Port zu ersetzen, um das Risiko automatisierter oder gezielter Angriffe zu verringern.
Öffnen Sie in der Risikoanalyse die Ressource mit dem Hyperlink. Dadurch wird die betroffene DB-Instance geöffnet.
Aktualisieren Sie die Verbindungszeichenfolgen für die Anwendung
Nachdem Sie den Port geändert haben, aktualisieren Sie alle Anwendungen und Dienste, die eine Verbindung zu Ihrer Amazon RDS-Instance herstellen, sodass sie die neue Portnummer verwenden.
Die Amazon RDS-DB-Instance ist nicht durch einen Backup-Plan abgedeckt
AWS Backup ist ein vollständig verwalteter Backup-Service, der die Sicherung von Daten auf allen Ebenen zentralisiert und automatisiert. AWS-Services Wenn Ihre DB-Instance nicht durch einen Backup-Plan abgedeckt ist, riskieren Sie den Verlust von Daten im Falle eines böswilligen Löschens, einer Datenbeschädigung oder anderer Datenverlustszenarien. Bei böswilligen Aktivitäten wie Ransomware-Angriffen, dem Löschen oder der Beschädigung von Datenbanktabellen reduziert die Möglichkeit, die Wiederherstellung zu einem Zeitpunkt vor dem Vorfall durchzuführen, den Zeitaufwand für die Wiederherstellung nach einem Vorfall. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, Ihre Amazon RDS-Instances in einen Backup-Plan aufzunehmen, um den Datenschutz zu gewährleisten.
Erstellen Sie einen Backup-Plan für Ihre DB-Instance und weisen Sie ihn zu
Öffnen Sie in der Risikoprüfung die Ressource mit dem Hyperlink. Dadurch wird die betroffene DB-Instance geöffnet. Überlegen Sie, welche Backup-Frequenz, Aufbewahrungsdauer und Lebenszyklusregeln für Ihre Anwendungen am besten geeignet sind.
