Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuerelemente von Amazon Relational Database Service
Diese Kontrollen beziehen sich auf RDS Amazon-Ressourcen.
Diese Steuerungen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[RDS.1] Der RDS Snapshot sollte privat sein
Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, .800-53.r5 AC-21, .800-53.r5 AC-3, .800-53.r5 AC-3 (7), .800-53.r5 AC-4, .800-53.r5 AC-4 (21), NIST .800-53.r5 AC-6, .800-53.r5 SC-7, NIST .800-53.r5 SC-7 (11), NIST .800-53.r5 SC-7 (16), .800-53.r5 SC-7 (20), NIST .800-53.r5 SC-7 (21) NIST NIST NIST NIST NIST NIST NIST , NIST .800-53.r5 SC-7 (3), NIST .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-7 (9)
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Kritisch
AWS::RDS::DBClusterSnapshotRessourcentyp:, AWS::RDS::DBSnapshot
AWS Config -Regel: rds-snapshots-public-prohibited
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob RDS Amazon-Snapshots öffentlich sind. Die Kontrolle schlägt fehl, wenn RDS Snapshots öffentlich sind. Dieses Steuerelement bewertet RDS Instances, Aurora-DB-Instances, Neptune-DB-Instances und Amazon DocumentDB-Cluster.
RDSSnapshots werden verwendet, um die Daten auf Ihren RDS Instances zu einem bestimmten Zeitpunkt zu sichern. Sie können verwendet werden, um frühere Zustände von RDS Instanzen wiederherzustellen.
Ein RDS Snapshot darf nicht öffentlich sein, es sei denn, dies ist beabsichtigt. Wenn Sie einen unverschlüsselten manuellen Snapshot als öffentlich freigeben, wird der Snapshot dadurch für alle AWS-Konten verfügbar. Dies kann zu einer unbeabsichtigten Offenlegung der Daten Ihrer RDS Instance führen.
Beachten Sie, dass die AWS Config Regel die Änderung möglicherweise bis zu 12 Stunden lang nicht erkennen kann, wenn die Konfiguration so geändert wird, dass sie öffentlich zugänglich ist. Bis die AWS Config Regel die Änderung erkennt, ist die Prüfung erfolgreich, obwohl die Konfiguration gegen die Regel verstößt.
Weitere Informationen zum Teilen eines DB-Snapshots finden Sie unter Freigeben eines DB-Snapshots im RDSAmazon-Benutzerhandbuch.
Abhilfe
Informationen zum Entfernen des öffentlichen Zugriffs auf RDS Snapshots finden Sie unter Einen Snapshot teilen im RDSAmazon-Benutzerhandbuch. Für die Sichtbarkeit von DB-Snapshots wählen wir Privat.
[RDS1.2] RDS DB-Instances sollten den öffentlichen Zugriff entsprechend der PubliclyAccessible AWS Config Dauer verbieten
Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/2.3.3, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, .800-53.r5 AC-4, NIST .800-53.r5 AC-4 (21), .800-53.r5 SC-7 (11), .800-53.r5 SC-7 (16), .800-53.r5 SC-7 (21), NIST .800-53.r5 SC-7 (4), .800-53 NIST NIST NIST NIST NIST NIST .r5 SC-75 (5)
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Kritisch
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-instance-public-access-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob RDS Amazon-Instances öffentlich zugänglich sind, indem es das PubliclyAccessible Feld im Instance-Konfigurationselement auswertet.
Neptune-DB-Instances und Amazon DocumentDB-Cluster haben das PubliclyAccessible Flag nicht und können nicht ausgewertet werden. Diese Kontrolle kann jedoch immer noch Ergebnisse für diese Ressourcen generieren. Sie können diese Ergebnisse unterdrücken.
Der PubliclyAccessible Wert in der RDS Instance-Konfiguration gibt an, ob die DB-Instance öffentlich zugänglich ist. Wenn die DB-Instance mit konfiguriert istPubliclyAccessible, handelt es sich um eine mit dem Internet verbundene Instance mit einem öffentlich auflösbaren DNS Namen, der in eine öffentliche IP-Adresse aufgelöst wird. Wenn die DB-Instance nicht öffentlich zugänglich ist, handelt es sich um eine interne Instance mit einem DNS Namen, der in eine private IP-Adresse aufgelöst wird.
Sofern Sie nicht beabsichtigen, dass Ihre RDS Instance öffentlich zugänglich ist, sollte die RDS Instance nicht mit PubliclyAccessible Value konfiguriert werden. Dadurch könnte unnötiger Datenverkehr zu Ihrer Datenbank-Instance entstehen.
Abhilfe
Informationen zum Entfernen des öffentlichen Zugriffs auf RDS DB-Instances finden Sie unter Ändern einer RDS Amazon-DB-Instance im RDSAmazon-Benutzerhandbuch. Wählen Sie für öffentlichen Zugriff die Option Nein.
[RDS.3] Für RDS DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein
Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-3 (6), .800-53.r5 SC-13, NIST .800-53.r5 SC-28, .800-53.r5 SC-28 (1), NIST .800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6) NIST NIST NIST
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-storage-encrypted
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob die Speicherverschlüsselung für Ihre Amazon RDS DB-Instances aktiviert ist.
Diese Steuerung ist für RDS DB-Instances vorgesehen. Es kann jedoch auch Ergebnisse für Aurora-DB-Instances, Neptune-DB-Instances und Amazon DocumentDB-Cluster generieren. Wenn diese Ergebnisse nicht nützlich sind, können Sie sie unterdrücken.
Für eine zusätzliche Sicherheitsebene für Ihre sensiblen Daten in RDS DB-Instances sollten Sie Ihre RDS DB-Instances so konfigurieren, dass sie im Ruhezustand verschlüsselt werden. Um Ihre RDS DB-Instances und Snapshots im Ruhezustand zu verschlüsseln, aktivieren Sie die Verschlüsselungsoption für Ihre RDS DB-Instances. Daten, die im Ruhezustand verschlüsselt werden, umfassen den zugehörigen Speicherplatz für DB-Instances, deren automatisierte Backups, Read Replicas und Snapshots.
RDSverschlüsselte DB-Instances verwenden den offenen Standard-Verschlüsselungsalgorithmus AES -256, um Ihre Daten auf dem Server zu verschlüsseln, der Ihre DB-Instances hostet. RDS Nachdem Ihre Daten verschlüsselt wurden, führt Amazon die RDS Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent mit minimalen Auswirkungen auf die Leistung durch. Sie müssen Ihre Datenbank-Client-Anwendungen nicht ändern, um die Verschlüsselung anzuwenden.
Die RDS Amazon-Verschlüsselung ist derzeit für alle Datenbank-Engines und Speichertypen verfügbar. Die RDS Amazon-Verschlüsselung ist für die meisten DB-Instance-Klassen verfügbar. Informationen zu DB-Instance-Klassen, die keine RDS Amazon-Verschlüsselung unterstützen, finden Sie unter RDSAmazon-Ressourcen verschlüsseln im RDSAmazon-Benutzerhandbuch.
Abhilfe
Informationen zur Verschlüsselung von DB-Instances in Amazon RDS finden Sie unter Verschlüsselung von RDS Amazon-Ressourcen im RDSAmazon-Benutzerhandbuch.
[RDS.4] RDS Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden
Verwandte Anforderungen: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-3 (6), NIST .800-53.r5 SC-13, .800-53.r5 SC-28, NIST .800-53.r5 SC-28 (1), NIST .800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6) NIST NIST
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Ressourcentyp:AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
AWS Config -Regel: rds-snapshot-encrypted
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein RDS DB-Snapshot verschlüsselt ist. Die Steuerung schlägt fehl, wenn ein RDS DB-Snapshot nicht verschlüsselt ist.
Dieses Steuerelement ist für RDS DB-Instances vorgesehen. Es kann jedoch auch Ergebnisse für Snapshots von Aurora-DB-Instances, Neptune-DB-Instances und Amazon DocumentDB-Clustern generieren. Wenn diese Ergebnisse nicht nützlich sind, können Sie sie unterdrücken.
Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass ein nicht authentifizierter Benutzer Zugriff auf Daten erhält, die auf der Festplatte gespeichert sind. Daten in RDS Snapshots sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten.
Abhilfe
Informationen zum Verschlüsseln eines RDS Snapshots finden Sie unter Verschlüsseln von RDS Amazon-Ressourcen im RDSAmazon-Benutzerhandbuch. Wenn Sie eine RDS DB-Instance verschlüsseln, umfassen die verschlüsselten Daten den der Instance zugrunde liegenden Speicher, ihre automatisierten Backups, Read Replicas und Snapshots.
Sie können eine RDS DB-Instance nur verschlüsseln, wenn Sie sie erstellen, nicht nachdem die DB-Instance erstellt wurde. Da es jedoch möglich ist, die Kopie eines unverschlüsselten Snapshots zu verschlüsseln, können Sie quasi eine Verschlüsselung zu einer unverschlüsselten DB-Instance hinzufügen. Dies lässt sich durchführen, indem Sie einen Snapshot von Ihrer DB-Instance erstellen und dann eine verschlüsselte Kopie dieses Snapshots erstellen. Anschließend können Sie Ihre DB-Instance aus dem verschlüsselten Snapshot wiederherstellen und verfügen so über eine verschlüsselte Kopie Ihrer ursprünglichen DB-Instance.
[RDS.5] RDS DB-Instances sollten mit mehreren Availability Zones konfiguriert werden
Verwandte Anforderungen: NIST .800-53.r5 CP-10, .800-53.r5 CP-6 (2), .800-53.r5 SC-36, NIST .800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST NIST NIST
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-multi-az-support
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob Hochverfügbarkeit für Ihre RDS DB-Instances aktiviert ist.
RDSDB-Instances sollten für mehrere Availability Zones (AZs) konfiguriert werden. Dadurch wird die Verfügbarkeit der gespeicherten Daten gewährleistet. Multi-AZ-Bereitstellungen ermöglichen einen automatisierten Failover bei Problemen mit der AZ-Verfügbarkeit und bei regelmäßigen Wartungsarbeiten. RDS
Abhilfe
Um Ihre DB-Instances in mehreren bereitzustellenAZs, ändern Sie eine DB-Instance zu einer Multi-AZ-DB-Instance-Bereitstellung im RDSAmazon-Benutzerhandbuch.
[RDS.6] Die erweiterte Überwachung sollte für RDS DB-Instances konfiguriert werden
Verwandte Anforderungen: NIST .800-53.r5 CA-7, .800-53.r5 SI-2 NIST
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-enhanced-monitoring-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Anzahl der Sekunden zwischen den Intervallen zur Erfassung von Überwachungsmetriken |
Enum |
|
Kein Standardwert |
Dieses Steuerelement prüft, ob die erweiterte Überwachung für eine Amazon Relational Database Service (AmazonRDS) -DB-Instance aktiviert ist. Die Steuerung schlägt fehl, wenn die erweiterte Überwachung für die Instance nicht aktiviert ist. Wenn Sie einen benutzerdefinierten Wert für den monitoringInterval Parameter angeben, ist die Steuerung nur erfolgreich, wenn die Metriken zur erweiterten Überwachung für die Instance im angegebenen Intervall erfasst werden.
Bei Amazon RDS ermöglicht Enhanced Monitoring eine schnellere Reaktion auf Leistungsänderungen in der zugrunde liegenden Infrastruktur. Diese Leistungsänderungen können zu einer mangelnden Verfügbarkeit der Daten führen. Enhanced Monitoring bietet Echtzeit-Metriken des Betriebssystems, auf dem Ihre RDS DB-Instance läuft. Auf der Instance ist ein Agent installiert. Der Agent kann Metriken genauer abrufen, als dies auf der Hypervisor-Ebene möglich ist.
Verbesserte Monitoring-Metriken sind nützlich, wenn Sie sehen möchten, wie verschiedene Prozesse oder Threads auf einer DB-Instance den CPU verwenden. Weitere Informationen finden Sie unter Enhanced Monitoring im RDSAmazon-Benutzerhandbuch.
Abhilfe
Detaillierte Anweisungen zur Aktivierung von Enhanced Monitoring für Ihre DB-Instance finden Sie unter Enhanced Monitoring einrichten und aktivieren im RDSAmazon-Benutzerhandbuch.
[RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein
Verwandte Anforderungen: NIST .800-53.r5 CM-3, .800-53.r5 SC-5 (2) NIST
Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: rds-cluster-deletion-protection-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob für einen RDS DB-Cluster der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn für einen RDS DB-Cluster kein Löschschutz aktiviert ist.
Dieses Steuerelement ist für RDS DB-Instances vorgesehen. Es kann jedoch auch Ergebnisse für Aurora-DB-Instances, Neptune-DB-Instances und Amazon DocumentDB-Cluster generieren. Wenn diese Ergebnisse nicht nützlich sind, können Sie sie unterdrücken.
Die Aktivierung des Cluster-Löschschutzes bietet zusätzlichen Schutz vor versehentlichem Löschen von Datenbanken oder vor dem Löschen durch eine nicht autorisierte Entität.
Wenn der Löschschutz aktiviert ist, kann ein RDS Cluster nicht gelöscht werden. Bevor eine Löschanfrage erfolgreich sein kann, muss der Löschschutz deaktiviert werden.
Abhilfe
Informationen zum Aktivieren des Löschschutzes für einen RDS DB-Cluster finden Sie unter Ändern des DB-Clusters mithilfe der Konsole und API im RDSAmazon-Benutzerhandbuch. CLI Wählen Sie für den Löschschutz die Option Löschschutz aktivieren.
[RDS.8] Für RDS DB-Instances sollte der Löschschutz aktiviert sein
Verwandte Anforderungen: NIST .800-53.r5 CM-3, .800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5) NIST
Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-instance-deletion-protection-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
-
databaseEngines:mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(nicht anpassbar)
Dieses Steuerelement prüft, ob für Ihre RDS DB-Instances, die eine der aufgelisteten Datenbank-Engines verwenden, der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn für eine RDS DB-Instance kein Löschschutz aktiviert ist.
Die Aktivierung des Schutzes vor dem Löschen von Instances ist eine zusätzliche Schutzebene gegen das versehentliche Löschen von Datenbanken oder das Löschen durch eine nicht autorisierte Entität.
Solange der Löschschutz aktiviert ist, kann eine RDS DB-Instance nicht gelöscht werden. Bevor eine Löschanfrage erfolgreich sein kann, muss der Löschschutz deaktiviert werden.
Abhilfe
Informationen zum Aktivieren des Löschschutzes für eine RDS DB-Instance finden Sie unter Ändern einer RDS Amazon-DB-Instance im RDSAmazon-Benutzerhandbuch. Wählen Sie für den Löschschutz die Option Löschschutz aktivieren.
[RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
Verwandte Anforderungen: NIST .800-53.r5 AC-2 (4), .800-53.r5 AC-4 (26), NIST .800-53.r5 AC-6 (9), NIST .800-53.r5 AU-10, .800-53.r5 AU-12, .800-53.r5 AU-2, NIST .800-53.r5 AU-3, .800-53.r5 AU-3. (4), NIST .800-53.r5 CA-7, NIST .800-53.r5 SC-7 (10), .800-53.r5 SC-7 (9), NIST .800-53.r5 SI-3 (8), NIST .800-53,r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST NIST NIST NIST NIST NIST
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-logging-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine RDS Amazon-DB-Instance so konfiguriert ist, dass sie die folgenden Protokolle in Amazon CloudWatch Logs veröffentlicht. Die Kontrolle schlägt fehl, wenn die Instance nicht so konfiguriert ist, dass sie die folgenden CloudWatch Protokolle in Logs veröffentlicht:
-
Oracle: (Alert, Audit, Trace, Listener)
-
PostgreSQL: (Postgresql, Upgrade)
-
MeinSQL: (Audit, Fehler, Allgemein,) SlowQuery
-
MariaDB: (Prüfung, Fehler, Allgemein,) SlowQuery
-
SQLServer: (Fehler, Agent)
-
Aurora: (Prüfung, Fehler, Allgemein, SlowQuery)
-
Aurora-MySQL: (Prüfung, Fehler, Allgemein,) SlowQuery
-
Aurora-PostgreSQL: (Postgresql, Aktualisierung).
RDSIn Datenbanken sollten die entsprechenden Protokolle aktiviert sein. Die Datenbankprotokollierung bietet detaillierte Aufzeichnungen der Anfragen anRDS. Datenbankprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
Abhilfe
Informationen zum Veröffentlichen von RDS CloudWatch Datenbankprotokollen in Logs finden Sie unter Angeben der in CloudWatch Logs zu veröffentlichenden Logs im RDSAmazon-Benutzerhandbuch.
[RDS.10] Die IAM Authentifizierung sollte für RDS Instances konfiguriert werden
Verwandte Anforderungen: NIST .800-53.r5 AC-2 (1), .800-53.r5 AC-3, .800-53.r5 AC-3 (15), NIST .800-53.r5 AC-3 (7), NIST .800-53.r5 AC-6 NIST NIST
Kategorie: Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-instance-iam-authentication-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob für eine RDS DB-Instance die IAM Datenbankauthentifizierung aktiviert ist. Die Steuerung schlägt fehl, wenn die IAM Authentifizierung für RDS DB-Instances nicht konfiguriert ist. Dieses Steuerelement bewertet nur RDS Instances mit den folgenden Engine-Typen:mysql,postgres,aurora, aurora-mysqlaurora-postgresql, undmariadb. Eine RDS Instanz muss sich außerdem in einem der folgenden Zustände befinden, damit ein Ergebnis generiert werden kann:available, backing-upstorage-optimization, oderstorage-full.
IAMDie Datenbankauthentifizierung ermöglicht die Authentifizierung bei Datenbankinstanzen mit einem Authentifizierungstoken anstelle eines Kennworts. Der Netzwerkverkehr zur und von der Datenbank wird verschlüsselt mitSSL. Weitere Informationen finden Sie unter IAMDatenbankauthentifizierung im Amazon Aurora Aurora-Benutzerhandbuch.
Abhilfe
Informationen zur Aktivierung der IAM Datenbankauthentifizierung auf einer RDS DB-Instance finden Sie unter Aktivieren und Deaktivieren der IAM Datenbankauthentifizierung im RDSAmazon-Benutzerhandbuch.
[RDS.11] Für RDS Instances sollten automatische Backups aktiviert sein
Verwandte Anforderungen: NIST .800-53.r5 CP-10, .800-53.r5 CP-6, NIST .800-53.r5 CP-6 (1), .800-53.r5 CP-6 (2), NIST .800-53.r5 CP-9, .800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST NIST NIST NIST
Kategorie: Wiederherstellen > Resilienz > Backups aktiviert
Schweregrad: Mittel
Ressourcentyp: AWS::RDS::DBInstance
AWS Config -Regel: db-instance-backup-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Minimale Aufbewahrungsdauer für Backups in Tagen |
Ganzzahl |
|
|
|
|
Prüft, ob für RDS DB-Instances Backups für Read Replicas aktiviert sind |
Boolesch |
Nicht anpassbar |
|
Diese Kontrolle prüft, ob für eine Amazon Relational Database Service Service-Instance automatische Backups aktiviert sind und ob eine Aufbewahrungsfrist für Backups größer oder gleich dem angegebenen Zeitraum ist. Read Replicas sind von der Evaluierung ausgeschlossen. Die Kontrolle schlägt fehl, wenn Backups für die Instanz nicht aktiviert sind oder wenn die Aufbewahrungsdauer unter dem angegebenen Zeitraum liegt. Sofern Sie keinen benutzerdefinierten Parameterwert für die Aufbewahrungsdauer von Backups angeben, verwendet Security Hub einen Standardwert von 7 Tagen.
Backups helfen Ihnen, sich schneller nach einem Sicherheitsvorfall zu erholen, und stärken die Widerstandsfähigkeit Ihrer Systeme. RDSMit Amazon können Sie tägliche Volume Snapshots für ganze Instanzen konfigurieren. Weitere Informationen zu RDS automatisierten Amazon-Backups finden Sie unter Arbeiten mit Backups im RDSAmazon-Benutzerhandbuch.
Abhilfe
Informationen zum Aktivieren automatisierter Backups auf einer RDS DB-Instance finden Sie unter Automatisierte Backups aktivieren im RDSAmazon-Benutzerhandbuch.
[RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden
Verwandte Anforderungen: NIST .800-53.r5 AC-2 (1), .800-53.r5 AC-3, .800-53.r5 AC-3 (15), NIST .800-53.r5 AC-3 (7), NIST .800-53.r5 AC-6 NIST NIST
Kategorie: Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: rds-cluster-iam-authentication-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob in einem RDS Amazon-DB-Cluster die IAM Datenbankauthentifizierung aktiviert ist.
IAMDie Datenbankauthentifizierung ermöglicht eine passwortlose Authentifizierung bei Datenbank-Instances. Die Authentifizierung verwendet ein Authentifizierungstoken. Der Netzwerkverkehr zur und von der Datenbank wird verschlüsselt mitSSL. Weitere Informationen finden Sie unter IAMDatenbankauthentifizierung im Amazon Aurora Aurora-Benutzerhandbuch.
Abhilfe
Informationen zum Aktivieren der IAM Authentifizierung für einen DB-Cluster finden Sie unter Aktivieren und Deaktivieren der IAM Datenbankauthentifizierung im Amazon Aurora Aurora-Benutzerhandbuch.
[RDS.13] RDS Automatische Upgrades für kleinere Versionen sollten aktiviert sein
Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/2.3.2, NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST NIST
Kategorie: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung
Schweregrad: Hoch
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-automatic-minor-version-upgrade-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob automatische Upgrades von Nebenversionen für die RDS Datenbank-Instance aktiviert sind.
Durch die Aktivierung automatischer Nebenversions-Upgrades wird sichergestellt, dass die neuesten Updates für die Nebenversion des relationalen Datenbankmanagementsystems (RDBMS) installiert werden. Diese Upgrades können Sicherheitspatches und Bugfixes beinhalten. Es ist ein wichtiger Schritt zur Sicherung von Systemen, über die Installation von Patches auf dem Laufenden zu bleiben.
Abhilfe
Informationen zum Aktivieren automatischer Upgrades kleinerer Versionen für eine bestehende DB-Instance finden Sie unter Ändern einer RDS Amazon-DB-Instance im RDSAmazon-Benutzerhandbuch. Wählen Sie für das automatische Upgrade der Nebenversion Ja aus.
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
Verwandte Anforderungen: NIST .800-53.r5 CP-10, .800-53.r5 CP-6, .800-53.r5 CP-6 (1), NIST .800-53.r5 CP-6 (2), .800-53.r5 CP-9, NIST .800-53.r5 SI-13 (5) NIST NIST NIST
Kategorie: Wiederherstellung > Ausfallsicherheit > Backups aktiviert
Schweregrad: Mittel
Ressourcentyp: AWS::RDS::DBCluster
AWS Config -Regel: aurora-mysql-backtracking-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Anzahl der Stunden für die Rückverfolgung eines Aurora My-Clusters SQL |
Double |
|
Kein Standardwert |
Dieses Steuerelement prüft, ob für einen Amazon Aurora Aurora-Cluster Backtracking aktiviert ist. Die Steuerung schlägt fehl, wenn für den Cluster kein Backtracking aktiviert ist. Wenn Sie einen benutzerdefinierten Wert für den BacktrackWindowInHours Parameter angeben, ist die Steuerung nur erfolgreich, wenn der Cluster für den angegebenen Zeitraum zurückverfolgt wird.
Mithilfe von Backups können Sie sich nach einem Sicherheitsvorfall schneller erholen. Sie stärken auch die Widerstandsfähigkeit Ihrer Systeme. Aurora-Backtracking reduziert die Zeit für die Wiederherstellung einer Datenbank auf einen bestimmten Zeitpunkt. Dazu ist keine Datenbankwiederherstellung erforderlich.
Abhilfe
Informationen zur Aktivierung von Aurora-Backtracking finden Sie unter Backtracking konfigurieren im Amazon Aurora Aurora-Benutzerhandbuch.
Beachten Sie, dass Sie Backtracking nicht auf einem vorhandenen Cluster aktivieren können. Stattdessen können Sie einen Clone erstellen, für den Backtracking aktiviert ist. Weitere Informationen zu den Einschränkungen von Aurora-Backtracking finden Sie in der Liste der Einschränkungen unter Backtracking im Überblick.
[RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
Verwandte Anforderungen: NIST .800-53.r5 CP-10, .800-53.r5 CP-6 (2), .800-53.r5 SC-36, NIST .800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST NIST NIST
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: rds-cluster-multi-az-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob Hochverfügbarkeit für Ihre RDS DB-Cluster aktiviert ist. Die Steuerung schlägt fehl, wenn ein RDS DB-Cluster nicht in mehreren Availability Zones (AZs) bereitgestellt wird.
RDSDB-Cluster sollten für mehrere konfiguriert werdenAZs, um die Verfügbarkeit der gespeicherten Daten sicherzustellen. Die Bereitstellung auf mehreren AZs Geräten ermöglicht einen automatisierten Failover im Falle eines AZ-Verfügbarkeitsproblems und bei regelmäßigen RDS Wartungsereignissen.
Abhilfe
Um Ihre DB-Cluster in mehreren bereitzustellenAZs, ändern Sie eine DB-Instance zu einer Multi-AZ-DB-Instance-Bereitstellung im RDSAmazon-Benutzerhandbuch.
Die Schritte zur Behebung sind für globale Aurora-Datenbanken unterschiedlich. Um mehrere Availability Zones für eine globale Aurora-Datenbank zu konfigurieren, wählen Sie Ihren DB-Cluster aus. Wählen Sie dann Aktionen und Leser hinzufügen und geben Sie mehrere anAZs. Weitere Informationen finden Sie unter Hinzufügen von Aurora Replicas zu einem DB-Cluster im Amazon Aurora Aurora-Benutzerhandbuch.
[RDS.16] RDS DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren
Verwandte Anforderungen: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-2, NIST .800-53.r5 CM-2 (2) NIST
Kategorie: Identifizieren > Bestand
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBCluster
AWS Config Regel: rds-cluster-copy-tags-to-snapshots-enabled (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob RDS DB-Cluster so konfiguriert sind, dass bei der Erstellung der Snapshots alle Tags in Snapshots kopiert werden.
Die Identifizierung und Inventarisierung Ihrer IT-Ressourcen ist ein entscheidender Aspekt der Unternehmensführung und Sicherheit. Sie benötigen einen Überblick über all Ihre RDS DB-Cluster, damit Sie deren Sicherheitslage beurteilen und Maßnahmen gegen potenzielle Schwachstellen ergreifen können. Snapshots sollten auf die gleiche Weise gekennzeichnet werden wie ihre übergeordneten RDS Datenbankcluster. Durch die Aktivierung dieser Einstellung wird sichergestellt, dass Snapshots die Tags ihrer übergeordneten Datenbankcluster erben.
Abhilfe
Informationen zum automatischen Kopieren von Tags in Snapshots für einen RDS DB-Cluster finden Sie unter Ändern des DB-Clusters mithilfe der Konsole und API im Amazon Aurora Aurora-Benutzerhandbuch. CLI Wählen Sie Tags in Snapshots kopieren aus.
[RDS.17] RDS DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
Verwandte Anforderungen: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-2, NIST .800-53.r5 CM-2 (2) NIST
Kategorie: Identifizieren > Bestand
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBInstance
AWS Config Regel: rds-instance-copy-tags-to-snapshots-enabled (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob RDS DB-Instances so konfiguriert sind, dass sie bei der Erstellung der Snapshots alle Tags in Snapshots kopieren.
Die Identifizierung und Inventarisierung Ihrer IT-Ressourcen ist ein entscheidender Aspekt der Unternehmensführung und Sicherheit. Sie benötigen einen Überblick über all Ihre RDS DB-Instances, damit Sie deren Sicherheitslage beurteilen und Maßnahmen gegen potenzielle Schwachstellen ergreifen können. Snapshots sollten auf die gleiche Weise gekennzeichnet werden wie ihre übergeordneten RDS Datenbank-Instances. Durch die Aktivierung dieser Einstellung wird sichergestellt, dass Snapshots die Tags ihrer übergeordneten Datenbankinstanzen erben.
Abhilfe
Informationen zum automatischen Kopieren von Tags in Snapshots für eine RDS DB-Instance finden Sie unter Ändern einer RDS Amazon-DB-Instance im RDSAmazon-Benutzerhandbuch. Wählen Sie Tags in Snapshots kopieren aus.
[RDS.18] RDS Instanzen sollten in einem bereitgestellt werden VPC
Verwandte Anforderungen: NIST .800-53.r5 AC-21, .800-53.r5 AC-3, NIST .800-53.r5 AC-3 (7), .800-53.r5 AC-4, NIST .800-53.r5 AC-4 (21), NIST .800-53.r5 AC-6, .800-53.r5 SC-7, NIST .800-53.r5 SC-7 (16), .800-53.r5 SC-7 (20), NIST .800-53.r5 SC-7 (21), NIST .800-53.r5 SC-7 (3), .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-7 (9) NIST NIST NIST NIST NIST NIST
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen innerhalb VPC
Schweregrad: Hoch
Art der Ressource: AWS::RDS::DBInstance
AWS Config Regel: rds-deployed-in-vpc (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine RDS Amazon-Instance auf einem EC2 - bereitgestellt istVPC.
VPCsbietet eine Reihe von Netzwerkkontrollen, um den Zugriff auf RDS Ressourcen zu sichern. Zu diesen Kontrollen gehören VPC EndpunkteACLs, Netzwerk- und Sicherheitsgruppen. Um diese Kontrollen nutzen zu können, empfehlen wir Ihnen, Ihre RDS Instances auf einem EC2 - VPC zu erstellen.
Abhilfe
Anweisungen zum Verschieben von RDS Instances auf eine VPC finden Sie unter Aktualisieren der VPC für eine DB-Instance im RDSAmazon-Benutzerhandbuch.
[RDS.19] Bestehende Abonnements für RDS Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden
Verwandte Anforderungen: NIST .800-53.r5 CA-7, .800-53.r5 SI-2 NIST
Kategorie: Erkennen > Erkennungsdienste > Anwendungsüberwachung
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::EventSubscription
AWS Config Regel: rds-cluster-event-notifications-configured (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob in einem bestehenden RDS Amazon-Event-Abonnement für Datenbankcluster Benachrichtigungen für die folgenden Schlüssel-Wert-Paare aus Quelltyp und Ereigniskategorie aktiviert sind:
DBCluster: ["maintenance","failure"]
Die Kontrolle ist erfolgreich, wenn in Ihrem Konto keine Event-Abonnements vorhanden sind.
RDSevent notifications verwendet AmazonSNS, um Sie über Änderungen in der Verfügbarkeit oder Konfiguration Ihrer RDS Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen eine schnelle Reaktion. Weitere Informationen zu RDS Ereignisbenachrichtigungen finden Sie unter Verwenden der RDS Amazon-Ereignisbenachrichtigung im RDSAmazon-Benutzerhandbuch.
Abhilfe
Informationen zum Abonnieren von RDS Cluster-Ereignisbenachrichtigungen finden Sie unter Abonnieren von RDS Amazon-Ereignisbenachrichtigungen im RDSAmazon-Benutzerhandbuch. Verwenden Sie die folgenden Werte:
| Feld | Value (Wert) |
|---|---|
|
Source type (Quellentyp) |
Cluster |
|
Zu berücksichtigende Cluster |
Alle Cluster |
|
Zu berücksichtigende Veranstaltungskategorien |
Wählen Sie bestimmte Veranstaltungskategorien oder Alle Veranstaltungskategorien |
[RDS.20] Bestehende Abonnements für RDS Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden
Verwandte Anforderungen: NIST .800-53.r5 CA-7, .800-53.r5 SI-2 NIST
Kategorie: Erkennen > Erkennungsdienste > Anwendungsüberwachung
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::EventSubscription
AWS Config Regel: rds-instance-event-notifications-configured (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob in einem bestehenden RDS Amazon-Event-Abonnement für Datenbank-Instances Benachrichtigungen für die folgenden Schlüssel-Wert-Paare aus Quelltyp und Ereigniskategorie aktiviert sind:
DBInstance: ["maintenance","configuration change","failure"]
Die Kontrolle ist erfolgreich, wenn in Ihrem Konto keine Event-Abonnements vorhanden sind.
RDSEvent-Benachrichtigungen nutzen AmazonSNS, um Sie über Änderungen in der Verfügbarkeit oder Konfiguration Ihrer RDS Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen eine schnelle Reaktion. Weitere Informationen zu RDS Ereignisbenachrichtigungen finden Sie unter Verwenden der RDS Amazon-Ereignisbenachrichtigung im RDSAmazon-Benutzerhandbuch.
Abhilfe
Informationen zum Abonnieren von RDS Instance-Ereignisbenachrichtigungen finden Sie unter Abonnieren von RDS Amazon-Ereignisbenachrichtigungen im RDSAmazon-Benutzerhandbuch. Verwenden Sie die folgenden Werte:
| Feld | Value (Wert) |
|---|---|
|
Source type (Quellentyp) |
Instances |
|
Instances, die eingeschlossen werden sollen |
Alle Instanzen |
|
Zu berücksichtigende Event-Kategorien |
Wählen Sie bestimmte Veranstaltungskategorien oder Alle Veranstaltungskategorien |
[RDS.21] Für kritische Ereignisse in Datenbankparametergruppen sollte ein Abonnement für RDS Ereignisbenachrichtigungen konfiguriert werden
Verwandte Anforderungen: NIST .800-53.r5 CA-7, .800-53.r5 SI-2 NIST
Kategorie: Erkennen > Erkennungsdienste > Anwendungsüberwachung
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::EventSubscription
AWS Config Regel: rds-pg-event-notifications-configured (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein RDS Amazon-Event-Abonnement mit aktivierten Benachrichtigungen für die folgenden Schlüssel-Wert-Paare aus Quelltyp, Ereigniskategorie, aktiviert ist. Die Kontrolle ist erfolgreich, wenn in Ihrem Konto keine Event-Abonnements vorhanden sind.
DBParameterGroup: ["configuration change"]
RDSEvent-Benachrichtigungen nutzen AmazonSNS, um Sie über Änderungen in der Verfügbarkeit oder Konfiguration Ihrer RDS Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen eine schnelle Reaktion. Weitere Informationen zu RDS Ereignisbenachrichtigungen finden Sie unter Verwenden der RDS Amazon-Ereignisbenachrichtigung im RDSAmazon-Benutzerhandbuch.
Abhilfe
Informationen zum Abonnieren von Ereignisbenachrichtigungen für RDS Datenbankparametergruppen finden Sie unter Abonnieren von RDS Amazon-Ereignisbenachrichtigungen im RDSAmazon-Benutzerhandbuch. Verwenden Sie die folgenden Werte:
| Feld | Value (Wert) |
|---|---|
|
Source type (Quellentyp) |
Parametergruppen |
|
Zu berücksichtigende Parametergruppen |
Alle Parametergruppen |
|
Zu berücksichtigende Event-Kategorien |
Wählen Sie bestimmte Veranstaltungskategorien oder Alle Veranstaltungskategorien |
[RDS.22] Für kritische Ereignisse in Datenbanksicherheitsgruppen sollte ein Abonnement für RDS Ereignisbenachrichtigungen konfiguriert werden
Verwandte Anforderungen: NIST .800-53.r5 CA-7, .800-53.r5 SI-2 NIST
Kategorie: Erkennen > Erkennungsdienste > Anwendungsüberwachung
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::EventSubscription
AWS Config Regel: rds-sg-event-notifications-configured (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein RDS Amazon-Event-Abonnement mit aktivierten Benachrichtigungen für die folgenden Schlüssel-Wert-Paare aus Quelltyp, Ereigniskategorie, aktiviert ist. Die Kontrolle ist erfolgreich, wenn in Ihrem Konto keine Event-Abonnements vorhanden sind.
DBSecurityGroup: ["configuration change","failure"]
RDSEvent-Benachrichtigungen nutzen AmazonSNS, um Sie über Änderungen in der Verfügbarkeit oder Konfiguration Ihrer RDS Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen eine schnelle Reaktion. Weitere Informationen zu RDS Ereignisbenachrichtigungen finden Sie unter Verwenden der RDS Amazon-Ereignisbenachrichtigung im RDSAmazon-Benutzerhandbuch.
Abhilfe
Informationen zum Abonnieren von RDS Instance-Ereignisbenachrichtigungen finden Sie unter Abonnieren von RDS Amazon-Ereignisbenachrichtigungen im RDSAmazon-Benutzerhandbuch. Verwenden Sie die folgenden Werte:
| Feld | Value (Wert) |
|---|---|
|
Source type (Quellentyp) |
Sicherheitsgruppen |
|
Zu berücksichtigende Sicherheitsgruppen |
Alle Sicherheitsgruppen |
|
Zu berücksichtigende Event-Kategorien |
Wählen Sie bestimmte Veranstaltungskategorien oder Alle Veranstaltungskategorien |
[RDS.23] RDS Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden
Verwandte Anforderungen: NIST .800-53.r5 AC-4, .800-53.r5 AC-4 (21), NIST .800-53.r5 SC-7, .800-53.r5 SC-7 (11), NIST .800-53.r5 SC-7 (16), NIST .800-53.r5 SC-7 (21), NIST .800-53.r5 SC-7 (4), .800-53.r5 SC-7 (5) NIST NIST NIST
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBInstance
AWS Config Regel: rds-no-default-ports (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein RDS Cluster oder eine Instanz einen anderen Port als den Standardport der Datenbank-Engine verwendet. Die Steuerung schlägt fehl, wenn der RDS Cluster oder die Instance den Standardport verwendet.
Wenn Sie einen bekannten Port für die Bereitstellung eines RDS Clusters oder einer Instance verwenden, kann ein Angreifer Informationen über den Cluster oder die Instance erraten. Der Angreifer kann diese Informationen in Verbindung mit anderen Informationen verwenden, um eine Verbindung zu einem RDS Cluster oder einer Instance herzustellen oder zusätzliche Informationen über Ihre Anwendung zu erhalten.
Wenn Sie den Port ändern, müssen Sie auch die vorhandenen Verbindungszeichenfolgen aktualisieren, die für die Verbindung mit dem alten Port verwendet wurden. Sie sollten auch die Sicherheitsgruppe der DB-Instance überprüfen, um sicherzustellen, dass sie eine Eingangsregel enthält, die Konnektivität auf dem neuen Port ermöglicht.
Abhilfe
Informationen zum Ändern des Standardports einer vorhandenen RDS DB-Instance finden Sie unter Ändern einer RDS Amazon-DB-Instance im RDSAmazon-Benutzerhandbuch. Informationen zum Ändern des Standardports eines vorhandenen RDS DB-Clusters finden Sie unter Ändern des DB-Clusters mithilfe der Konsole und API im Amazon Aurora Aurora-Benutzerhandbuch. CLI Ändern Sie für den Datenbankport den Port-Wert auf einen Wert, der nicht dem Standard entspricht.
[RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
Verwandte Anforderungen: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST
Kategorie: Identifizieren > Ressourcenkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: rds-cluster-default-admin-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein RDS Amazon-Datenbank-Cluster den Admin-Benutzernamen gegenüber seinem Standardwert geändert hat. Die Steuerung gilt nicht für Engines des Typs Neptune (Neptune DB) oder docdb (DocumentDB). Diese Regel schlägt fehl, wenn der Admin-Benutzername auf den Standardwert gesetzt ist.
Wenn Sie eine RDS Amazon-Datenbank erstellen, sollten Sie den Standard-Admin-Benutzernamen auf einen eindeutigen Wert ändern. Standardbenutzernamen sind allgemein bekannt und sollten bei der Erstellung der RDS Datenbank geändert werden. Durch das Ändern der Standardbenutzernamen wird das Risiko eines unbeabsichtigten Zugriffs verringert.
Abhilfe
Um den Admin-Benutzernamen zu ändern, der mit dem RDS Amazon-Datenbank-Cluster verknüpft ist, erstellen Sie einen neuen RDS Datenbank-Cluster und ändern Sie den Standard-Admin-Benutzernamen beim Erstellen der Datenbank.
[RDS.25] RDS Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden
Verwandte Anforderungen: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST
Kategorie: Identifizieren > Ressourcenkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-instance-default-admin-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob Sie den Administrator-Benutzernamen für Amazon Relational Database Service (AmazonRDS) -Datenbank-Instances gegenüber dem Standardwert geändert haben. Die Steuerung gilt nicht für Engines des Typs Neptune (Neptune DB) oder docdb (DocumentDB). Die Steuerung schlägt fehl, wenn der Administrator-Benutzername auf den Standardwert gesetzt ist.
Standardmäßige Administratorbenutzernamen in RDS Amazon-Datenbanken sind allgemein bekannt. Wenn Sie eine RDS Amazon-Datenbank erstellen, sollten Sie den standardmäßigen Administratorbenutzernamen in einen eindeutigen Wert ändern, um das Risiko eines unbeabsichtigten Zugriffs zu verringern.
Abhilfe
Um den mit einer RDS Datenbank-Instance verknüpften Administrator-Benutzernamen zu ändern, erstellen Sie zunächst eine neue RDS Datenbank-Instance. Ändern Sie den standardmäßigen Administratorbenutzernamen beim Erstellen der Datenbank.
[RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden
Kategorie: Wiederherstellen > Ausfallsicherheit > Backups aktiviert
Verwandte Anforderungen: NIST .800-53.r5 CP-10, .800-53.r5 CP-6, NIST .800-53.r5 CP-6 (1), .800-53.r5 CP-6 (2), NIST .800-53.r5 CP-9, .800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST NIST NIST NIST
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config Regel: rds-resources-protected-by-backup-plan
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Das Steuerelement gibt einen |
Boolesch |
|
Kein Standardwert |
Diese Kontrolle bewertet, ob RDS Amazon-DB-Instances durch einen Backup-Plan abgedeckt sind. Diese Kontrolle schlägt fehl, wenn die RDS DB-Instance nicht durch einen Backup-Plan abgedeckt ist. Wenn Sie den backupVaultLockCheck Parameter auf gleich setzentrue, ist die Kontrolle nur erfolgreich, wenn die Instance in einem AWS Backup gesperrten Tresor gesichert ist.
AWS Backup ist ein vollständig verwalteter Backup-Service, der die gesamte Datensicherung zentralisiert und automatisiert. AWS -Services Mit können Sie Backup-Richtlinien erstellen AWS Backup, die als Backup-Pläne bezeichnet werden. Mit diesen Plänen können Sie Ihre Sicherungsanforderungen definieren, z. B. wie häufig Ihre Daten gesichert werden sollen und wie lange diese Sicherungen aufbewahrt werden sollen. Durch die Aufnahme von RDS DB-Instances in einen Backup-Plan können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschung schützen.
Abhilfe
Informationen zum Hinzufügen einer RDS DB-Instance zu einem AWS Backup Backup-Plan finden Sie unter Zuweisen von Ressourcen zu einem Backup-Plan im AWS Backup Entwicklerhandbuch.
[RDS.27] RDS DB-Cluster sollten im Ruhezustand verschlüsselt werden
Verwandte Anforderungen: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-3 (6), NIST .800-53.r5 SC-13, .800-53.r5 SC-28, .800-53.r5 SC-28 (1), NIST .800-53.r5 SC-7 (10), .800-53.r5 SI-7 (6) NIST NIST NIST NIST
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config Regel: rds-cluster-encrypted-at-rest
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein RDS DB-Cluster im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn ein RDS DB-Cluster im Ruhezustand nicht verschlüsselt ist.
Daten im Ruhezustand beziehen sich auf alle Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch Verschlüsselung können Sie die Vertraulichkeit solcher Daten schützen und so das Risiko verringern, dass ein unberechtigter Benutzer darauf zugreifen kann. Die Verschlüsselung Ihrer RDS DB-Cluster schützt Ihre Daten und Metadaten vor unbefugtem Zugriff. Es erfüllt auch die Compliance-Anforderungen für die data-at-rest Verschlüsselung von Produktionsdateisystemen.
Abhilfe
Sie können die Verschlüsselung im Ruhezustand aktivieren, wenn Sie einen RDS DB-Cluster erstellen. Sie können die Verschlüsselungseinstellungen nach dem Erstellen eines Clusters nicht ändern. Weitere Informationen finden Sie unter Verschlüsseln eines Amazon Aurora Aurora-DB-Clusters im Amazon Aurora Aurora-Benutzerhandbuch.
[RDS.28] RDS DB-Cluster sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBCluster
AWS Config Regel: tagged-rds-dbcluster (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein RDS Amazon-DB-Cluster Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn der DB-Cluster keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der DB-Cluster mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem RDS DB-Cluster finden Sie unter Tagging RDS Amazon-Ressourcen im RDSAmazon-Benutzerhandbuch.
[RDS.29] RDS DB-Cluster-Snapshots sollten mit Tags versehen werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBClusterSnapshot
AWS Config Regel: tagged-rds-dbclustersnapshot (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein RDS Amazon-DB-Cluster-Snapshot Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn der DB-Cluster-Snapshot keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der DB-Cluster-Snapshot mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem RDS DB-Cluster-Snapshot finden Sie unter Tagging RDS Amazon-Ressourcen im RDSAmazon-Benutzerhandbuch.
[RDS.30] RDS DB-Instances sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBInstance
AWS Config Regel: tagged-rds-dbinstance (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine RDS Amazon-DB-Instance Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn die DB-Instance keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die DB-Instance mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer RDS DB-Instance finden Sie unter Tagging RDS Amazon-Ressourcen im RDSAmazon-Benutzerhandbuch.
[RDS.31] RDS DB-Sicherheitsgruppen sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBSecurityGroup
AWS Config Regel: tagged-rds-dbsecuritygroup (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine Amazon RDS DB-Sicherheitsgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn die DB-Sicherheitsgruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die DB-Sicherheitsgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer RDS DB-Sicherheitsgruppe finden Sie unter Tagging RDS Amazon-Ressourcen im RDSAmazon-Benutzerhandbuch.
[RDS.32] RDS DB-Snapshots sollten mit Tags versehen werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBSnapshot
AWS Config Regel: tagged-rds-dbsnapshot (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein RDS Amazon-DB-Snapshot Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn der DB-Snapshot keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der DB-Snapshot mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem RDS DB-Snapshot finden Sie unter Tagging RDS Amazon-Ressourcen im RDSAmazon-Benutzerhandbuch.
[RDS.33] RDS DB-Subnetzgruppen sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBSubnetGroup
AWS Config Regel: tagged-rds-dbsubnetgroups (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine Amazon RDS DB-Subnetzgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter requiredTagKeys definiert sind. Die Kontrolle schlägt fehl, wenn die DB-Subnetzgruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat. requiredTagKeys Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die DB-Subnetzgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS -Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer RDS DB-Subnetzgruppe finden Sie unter Tagging RDS Amazon-Ressourcen im RDSAmazon-Benutzerhandbuch.
[RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
Verwandte Anforderungen: NIST .800-53.r5 AC-2 (4), .800-53.r5 AC-4 (26), NIST .800-53.r5 AC-6 (9), NIST .800-53.r5 AU-10, .800-53.r5 AU-12, .800-53.r5 AU-2, NIST .800-53.r5 AU-3, NIST .800-53.r5 AU-3. (4), .800-53.r5 CA-7, NIST .800-53,r5 SC-7 (9), NIST .800-53.r5 SI-3 (8), NIST .800-53,r5 SI-4 (20), .800-53,r5 SI-7 (8) NIST NIST NIST NIST NIST NIST
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config Regel: rds-aurora-mysql-audit-logging-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Steuerung prüft, ob ein Amazon Aurora My SQL DB-Cluster so konfiguriert ist, dass er Audit-Logs in Amazon CloudWatch Logs veröffentlicht. Die Kontrolle schlägt fehl, wenn der Cluster nicht für die Veröffentlichung von Audit-Logs in Logs konfiguriert ist. CloudWatch Das Steuerelement generiert keine Ergebnisse für Aurora Serverless v1-DB-Cluster.
In Audit-Protokollen werden Datenbankaktivitäten aufgezeichnet, einschließlich Anmeldeversuchen, Datenänderungen, Schemaänderungen und anderen Ereignissen, die aus Sicherheits- und Compliance-Gründen geprüft werden können. Wenn Sie einen Aurora My SQL DB-Cluster so konfigurieren, dass er Audit-Logs in einer Protokollgruppe in Amazon CloudWatch Logs veröffentlicht, können Sie eine Echtzeitanalyse der Protokolldaten durchführen. CloudWatch Logs speichert Protokolle in einem äußerst langlebigen Speicher. Sie können auch Alarme erstellen und Messwerte in anzeigen CloudWatch.
Anmerkung
Eine alternative Möglichkeit, Audit-Logs in Logs zu CloudWatch veröffentlichen, besteht darin, die erweiterte Überwachung zu aktivieren und den DB-Parameter server_audit_logs_upload auf Clusterebene auf zu setzen. 1 Die Standardeinstellung für istserver_audit_logs_upload parameter. 0 Wir empfehlen jedoch, stattdessen die folgenden Anweisungen zur Problembehebung zu verwenden, um diese Kontrolle zu bestehen.
Abhilfe
Informationen zum Veröffentlichen von Aurora My SQL CloudWatch DB-Cluster-Prüfprotokollen in Logs finden Sie unter Veröffentlichen von Amazon Aurora My SQL CloudWatch Logs in Amazon Logs im Amazon Aurora Aurora-Benutzerhandbuch.
[RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein
Verwandte Anforderungen: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST
Kategorie: Identifizieren > Schwachstellen-, Patch- und Versionsverwaltung
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config Regel: rds-cluster-auto-minor-version-upgrade-enable
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob das automatische Upgrade einer Nebenversion für einen Amazon RDS Multi-AZ-DB-Cluster aktiviert ist. Die Steuerung schlägt fehl, wenn das automatische Upgrade der Nebenversion für den Multi-AZ-DB-Cluster nicht aktiviert ist.
RDSbietet ein automatisches Upgrade der Nebenversion, sodass Sie Ihren Multi-AZ-DB-Cluster auf dem neuesten Stand halten können. Nebenversionen können neue Softwarefunktionen, Bugfixes, Sicherheitspatches und Leistungsverbesserungen einführen. Durch die Aktivierung des automatischen Upgrades für Nebenversionen auf RDS Datenbankclustern erhält der Cluster zusammen mit den Instances im Cluster automatische Updates für die Nebenversion, sobald neue Versionen verfügbar sind. Die Updates werden während des Wartungsfensters automatisch installiert.
Abhilfe
Informationen zur Aktivierung des automatischen Upgrades auf Multi-AZ-DB-Clustern finden Sie unter Ändern eines Multi-AZ-DB-Clusters im RDSAmazon-Benutzerhandbuch.
