Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für Amazon RDS
Diese AWS Security Hub Kontrollen bewerten den Service und die Ressourcen des Amazon Relational Database Service (Amazon RDS).
Diese Kontrollen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[RDS.1] Der RDS-Snapshot sollte privat sein
Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7),, (21),, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, (3) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Kritisch
Ressourcentyp:AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
AWS Config -Regel: rds-snapshots-public-prohibited
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob Amazon RDS-Snapshots öffentlich sind. Die Steuerung schlägt fehl, wenn RDS-Snapshots öffentlich sind. Dieses Steuerelement bewertet RDS-Instances, Aurora-DB-Instances, Neptune-DB-Instances und Amazon DocumentDB-Cluster.
RDS-Snapshots werden verwendet, um die Daten auf Ihren RDS-Instances zu einem bestimmten Zeitpunkt zu sichern. Sie können verwendet werden, um frühere Zustände von RDS-Instances wiederherzustellen.
Ein RDS-Snapshot darf nur öffentlich sein, wenn dies beabsichtigt ist. Wenn Sie einen unverschlüsselten manuellen Snapshot als öffentlich freigeben, wird der Snapshot dadurch für alle verfügbar. AWS-Konten Dies kann zu einer unbeabsichtigten Offenlegung von Daten Ihrer RDS-Instance führen.
Beachten Sie, dass die AWS Config Regel die Änderung möglicherweise bis zu 12 Stunden lang nicht erkennen kann, wenn die Konfiguration so geändert wird, dass sie öffentlich zugänglich ist. Bis die AWS Config Regel die Änderung erkennt, ist die Prüfung erfolgreich, obwohl die Konfiguration gegen die Regel verstößt.
Weitere Informationen zum Teilen eines DB-Snapshots finden Sie unter Freigeben eines DB-Snapshots im Amazon RDS-Benutzerhandbuch.
Abhilfe
Informationen zum Entfernen des öffentlichen Zugriffs auf RDS-Snapshots finden Sie unter Einen Snapshot teilen im Amazon RDS-Benutzerhandbuch. Für die Sichtbarkeit von DB-Snapshots wählen wir Privat.
[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible
Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/2.3.3,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6 1/7.2.1, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Kritisch
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-instance-public-access-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob Amazon RDS-Instances öffentlich zugänglich sind, indem es das PubliclyAccessible Feld im Instance-Konfigurationselement auswertet.
Neptune-DB-Instances und Amazon DocumentDB-Cluster haben das PubliclyAccessible Flag nicht und können nicht ausgewertet werden. Diese Kontrolle kann jedoch immer noch Ergebnisse für diese Ressourcen generieren. Sie können diese Ergebnisse unterdrücken.
Der PubliclyAccessible-Wert in der RDS-Instance-Konfiguration gibt an, ob die DB-Instance öffentlich zugänglich ist. Wenn die DB-Instance mit PubliclyAccessible konfiguriert ist, handelt es sich um eine mit dem Internet verbundene Instance mit einem öffentlich auflösbaren DNS-Namen, der in eine öffentliche IP-Adresse aufgelöst wird. Wenn die DB-Instance nicht öffentlich zugänglich ist, handelt es sich um eine interne Instance mit einem DNS-Namen, der in eine private IP-Adresse aufgelöst wird.
Sofern Sie nicht beabsichtigen, dass Ihre RDS-Instance öffentlich zugänglich ist, sollte die RDS-Instance nicht mit PubliclyAccessible Value konfiguriert werden. Dadurch könnte unnötiger Datenverkehr zu Ihrer Datenbank-Instance entstehen.
Abhilfe
Informationen zum Entfernen des öffentlichen Zugriffs auf RDS-DB-Instances finden Sie unter Ändern einer Amazon RDS-DB-Instance im Amazon RDS-Benutzerhandbuch. Wählen Sie für öffentlichen Zugriff Nein.
[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.
Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6) NIST.800-53.r5 SC-7
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-storage-encrypted
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob die Speicherverschlüsselung für Ihre Amazon RDS-DB-Instances aktiviert ist.
Diese Steuerung ist für RDS-DB-Instances vorgesehen. Es kann jedoch auch Ergebnisse für Aurora-DB-Instances, Neptune-DB-Instances und Amazon DocumentDB-Cluster generieren. Wenn diese Ergebnisse nicht nützlich sind, können Sie sie unterdrücken.
Um eine zusätzliche Sicherheitsebene für Ihre sensiblen Daten in RDS-DB-Instances zu erhalten, sollten Sie Ihre RDS-DB-Instances so konfigurieren, dass sie im Ruhezustand verschlüsselt werden. Um Ihre RDS-DB-Instances und Snapshots im Ruhezustand zu verschlüsseln, aktivieren Sie die Verschlüsselungsoption für Ihre RDS-DB-Instances. Daten, die im Ruhezustand verschlüsselt werden, umfassen den zugehörigen Speicherplatz für DB-Instances, deren automatisierte Backups, Read Replicas und Snapshots.
RDS-verschlüsselte DB-Instances verwenden den offenen Standard AES-256-Verschlüsselungsalgorithmus, um Ihre Daten auf dem Server zu verschlüsseln, der Ihre RDS-DB-Instance hostet. Nachdem Ihre Daten verschlüsselt wurden, verarbeitet Amazon RDS die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent und mit minimalen Auswirkungen auf die Leistung. Sie müssen Ihre Datenbank-Client-Anwendungen nicht ändern, um die Verschlüsselung anzuwenden.
Die Amazon RDS-Verschlüsselung ist derzeit für alle Datenbank-Engines und Speichertypen verfügbar. Amazon RDS-Verschlüsselung ist für die meisten DB-Instance-Klassen verfügbar. Informationen zu DB-Instance-Klassen, die die Amazon RDS-Verschlüsselung nicht unterstützen, finden Sie unter Verschlüsseln von Amazon RDS-Ressourcen im Amazon RDS-Benutzerhandbuch.
Abhilfe
Informationen zur Verschlüsselung von DB-Instances in Amazon RDS finden Sie unter Verschlüsseln von Amazon RDS-Ressourcen im Amazon RDS-Benutzerhandbuch.
[RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Ressourcentyp:AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
AWS Config -Regel: rds-snapshot-encrypted
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein RDS-DB-Snapshot verschlüsselt ist. Die Steuerung schlägt fehl, wenn ein RDS-DB-Snapshot nicht verschlüsselt ist.
Dieses Steuerelement ist für RDS-DB-Instances vorgesehen. Es kann jedoch auch Ergebnisse für Snapshots von Aurora-DB-Instances, Neptune-DB-Instances und Amazon DocumentDB-Clustern generieren. Wenn diese Ergebnisse nicht nützlich sind, können Sie sie unterdrücken.
Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass ein nicht authentifizierter Benutzer Zugriff auf Daten erhält, die auf der Festplatte gespeichert sind. Daten in RDS-Snapshots sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten.
Abhilfe
Informationen zum Verschlüsseln eines RDS-Snapshots finden Sie unter Verschlüsseln von Amazon RDS-Ressourcen im Amazon RDS-Benutzerhandbuch. Wenn Sie eine RDS-DB-Instance verschlüsseln, umfassen die verschlüsselten Daten den der Instance zugrunde liegenden Speicher, ihre automatisierten Backups, Read Replicas und Snapshots.
Sie können eine RDS-DB-Instance nur verschlüsseln, wenn Sie sie erstellen, nicht nachdem die DB-Instance erstellt wurde. Da es jedoch möglich ist, die Kopie eines unverschlüsselten Snapshots zu verschlüsseln, können Sie quasi eine Verschlüsselung zu einer unverschlüsselten DB-Instance hinzufügen. Dies lässt sich durchführen, indem Sie einen Snapshot von Ihrer DB-Instance erstellen und dann eine verschlüsselte Kopie dieses Snapshots erstellen. Anschließend können Sie Ihre DB-Instance aus dem verschlüsselten Snapshot wiederherstellen und verfügen so über eine verschlüsselte Kopie Ihrer ursprünglichen DB-Instance.
[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-multi-az-support
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob Hochverfügbarkeit für Ihre RDS-DB-Instances aktiviert ist. Die Steuerung schlägt fehl, wenn eine RDS-DB-Instance nicht mit mehreren Availability Zones (AZs) konfiguriert ist. Diese Steuerung gilt nicht für RDS-DB-Instances, die Teil einer Multi-AZ-DB-Cluster-Bereitstellung sind.
Die Konfiguration von Amazon RDS-DB-Instances mit AZs trägt dazu bei, die Verfügbarkeit der gespeicherten Daten sicherzustellen. Multi-AZ-Bereitstellungen ermöglichen einen automatisierten Failover bei Problemen mit der AZ-Verfügbarkeit und während der regulären RDS-Wartung.
Abhilfe
Um Ihre DB-Instances in mehreren bereitzustellen AZs, ändern Sie eine DB-Instance zu einer Multi-AZ-DB-Instance-Bereitstellung im Amazon RDS-Benutzerhandbuch.
[RDS.6] Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden
Verwandte Anforderungen:, NIST.800-53.R5 NIST.800-53.r5 CA-7 SI-2
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-enhanced-monitoring-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Anzahl der Sekunden zwischen den Intervallen zur Erfassung von Überwachungsmetriken |
Enum |
|
Kein Standardwert |
Dieses Steuerelement prüft, ob die erweiterte Überwachung für eine Amazon Relational Database Service (Amazon RDS) -DB-Instance aktiviert ist. Die Steuerung schlägt fehl, wenn die erweiterte Überwachung für die Instance nicht aktiviert ist. Wenn Sie einen benutzerdefinierten Wert für den monitoringInterval Parameter angeben, ist die Steuerung nur erfolgreich, wenn die Metriken zur erweiterten Überwachung für die Instance im angegebenen Intervall erfasst werden.
In Amazon RDS ermöglicht Enhanced Monitoring eine schnellere Reaktion auf Leistungsänderungen in der zugrunde liegenden Infrastruktur. Diese Leistungsänderungen können zu einer mangelnden Verfügbarkeit der Daten führen. Enhanced Monitoring bietet Echtzeit-Metriken des Betriebssystems, auf dem Ihre RDS-DB-Instance läuft. Auf der Instance ist ein Agent installiert. Der Agent kann Metriken genauer abrufen, als dies auf der Hypervisor-Ebene möglich ist.
Metriken von Enhanced Monitoring sind nützlich, um zu sehen, wie unterschiedliche Prozesse oder Threads auf einer DB-Instance die CPU nutzen. Weitere Informationen finden Sie unter Enhanced Monitoring (Erweiterte Überwachung) im Amazon-RDS-Benutzerhandbuch.
Abhilfe
Detaillierte Anweisungen zur Aktivierung von Enhanced Monitoring für Ihre DB-Instance finden Sie unter Enhanced Monitoring einrichten und aktivieren im Amazon RDS-Benutzerhandbuch.
[RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: rds-cluster-deletion-protection-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob für einen RDS-DB-Cluster der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn für einen RDS-DB-Cluster kein Löschschutz aktiviert ist.
Dieses Steuerelement ist für RDS-DB-Instances vorgesehen. Es kann jedoch auch Ergebnisse für Aurora-DB-Instances, Neptune-DB-Instances und Amazon DocumentDB-Cluster generieren. Wenn diese Ergebnisse nicht nützlich sind, können Sie sie unterdrücken.
Die Aktivierung des Cluster-Löschschutzes bietet zusätzlichen Schutz vor versehentlichem Löschen von Datenbanken oder vor dem Löschen durch eine nicht autorisierte Entität.
Wenn der Löschschutz aktiviert ist, kann ein RDS-Cluster nicht gelöscht werden. Bevor eine Löschanfrage erfolgreich sein kann, muss der Löschschutz deaktiviert werden.
Abhilfe
Informationen zum Aktivieren des Löschschutzes für einen RDS-DB-Cluster finden Sie unter Ändern des DB-Clusters mithilfe der Konsole, der CLI und der API im Amazon RDS-Benutzerhandbuch. Wählen Sie für den Löschschutz die Option Löschschutz aktivieren.
[RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-instance-deletion-protection-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
-
databaseEngines:mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(nicht anpassbar)
Dieses Steuerelement prüft, ob für Ihre RDS-DB-Instances, die eine der aufgelisteten Datenbank-Engines verwenden, der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn für eine RDS-DB-Instance kein Löschschutz aktiviert ist.
Die Aktivierung des Schutzes vor dem Löschen von Instances ist eine zusätzliche Schutzebene gegen das versehentliche Löschen von Datenbanken oder das Löschen durch eine nicht autorisierte Entität.
Solange der Löschschutz aktiviert ist, kann eine RDS-DB-Instance nicht gelöscht werden. Bevor eine Löschanfrage erfolgreich sein kann, muss der Löschschutz deaktiviert werden.
Abhilfe
Informationen zum Aktivieren des Löschschutzes für eine RDS-DB-Instance finden Sie unter Ändern einer Amazon RDS-DB-Instance im Amazon RDS-Benutzerhandbuch. Wählen Sie für Löschschutz die Option Löschschutz aktivieren.
[RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Ressourcentyp: AWS::RDS::DBInstance
AWS Config -Regel: rds-logging-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine Amazon RDS-DB-Instance so konfiguriert ist, dass sie die folgenden Protokolle in Amazon CloudWatch Logs veröffentlicht. Die Kontrolle schlägt fehl, wenn die Instance nicht so konfiguriert ist, dass sie die folgenden CloudWatch Protokolle in Logs veröffentlicht:
-
Oracle: (Alert, Audit, Trace, Listener)
-
PostgreSQL: (Postgresql, Aktualisierung)
-
MySQL: (Prüfung, Fehler, Allgemein, SlowQuery)
-
MariaDB: (Prüfung, Fehler, Allgemein,) SlowQuery
-
SQL Server: (Fehler, Agent)
-
Aurora: (Prüfung, Fehler, Allgemein, SlowQuery)
-
Aurora-MySQL: (Prüfung, Fehler, Allgemein,) SlowQuery
-
Aurora-PostgreSQL: (Postgresql, Aktualisierung).
Für RDS-Datenbanken sollten die entsprechenden Protokolle aktiviert sein. Die Datenbankprotokollierung bietet detaillierte Aufzeichnungen der an RDS gestellten Anfragen. Datenbankprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
Abhilfe
Informationen zum Veröffentlichen von CloudWatch RDS-Datenbankprotokollen in Logs finden Sie unter Angeben der in CloudWatch Logs zu veröffentlichenden Logs im Amazon RDS-Benutzerhandbuch.
[RDS.10] Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
Kategorie: Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-instance-iam-authentication-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob für eine RDS-DB-Instance die IAM-Datenbankauthentifizierung aktiviert ist. Die Steuerung schlägt fehl, wenn die IAM-Authentifizierung nicht für RDS-DB-Instances konfiguriert ist. Diese Steuerung bewertet nur RDS-Instances mit den folgenden Engine-Typen:mysql,postgres,, aurora aurora-mysqlaurora-postgresql, und. mariadb Eine RDS-Instanz muss sich außerdem in einem der folgenden Zustände befinden, damit ein Ergebnis generiert werden kann:available, backing-upstorage-optimization, oderstorage-full.
Die IAM-Datenbankauthentifizierung ermöglicht die Authentifizierung von Datenbank-Instances mit einem Authentifizierungstoken anstelle eines Kennworts. Der Netzwerkverkehr zur und von der Datenbank wird mit SSL verschlüsselt. Weitere Informationen finden Sie unter IAM-Datenbank-Authentifizierung im Amazon Aurora-Benutzerhandbuch.
Abhilfe
Informationen zur Aktivierung der IAM-Datenbankauthentifizierung auf einer RDS-DB-Instance finden Sie unter Aktivieren und Deaktivieren der IAM-Datenbankauthentifizierung im Amazon RDS-Benutzerhandbuch.
[RDS.11] Bei RDS-Instances sollten automatische Backups aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Backups aktiviert
Schweregrad: Mittel
Ressourcentyp: AWS::RDS::DBInstance
AWS Config -Regel: db-instance-backup-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Minimale Aufbewahrungsdauer für Backups in Tagen |
Ganzzahl |
|
|
|
|
Überprüft, ob für RDS-DB-Instances Backups für Read Replicas aktiviert sind |
Boolesch |
Nicht anpassbar |
|
Diese Kontrolle prüft, ob für eine Amazon Relational Database Service Service-Instance automatische Backups aktiviert sind und ob eine Aufbewahrungsfrist für Backups größer oder gleich dem angegebenen Zeitraum ist. Read Replicas sind von der Evaluierung ausgeschlossen. Die Kontrolle schlägt fehl, wenn Backups für die Instanz nicht aktiviert sind oder wenn die Aufbewahrungsdauer unter dem angegebenen Zeitraum liegt. Sofern Sie keinen benutzerdefinierten Parameterwert für die Aufbewahrungsdauer von Backups angeben, verwendet Security Hub einen Standardwert von 7 Tagen.
Backups helfen Ihnen, sich schneller nach einem Sicherheitsvorfall zu erholen, und stärken die Widerstandsfähigkeit Ihrer Systeme. Mit Amazon RDS können Sie tägliche Snapshots des gesamten Instance-Volumes konfigurieren. Weitere Informationen zu automatisierten Amazon RDS-Backups finden Sie unter Arbeiten mit Backups im Amazon RDS-Benutzerhandbuch.
Abhilfe
Informationen zum Aktivieren automatisierter Backups auf einer RDS-DB-Instance finden Sie unter Automatisierte Backups aktivieren im Amazon RDS-Benutzerhandbuch.
[RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
Kategorie: Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: rds-cluster-iam-authentication-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob in einem Amazon RDS-DB-Cluster die IAM-Datenbankauthentifizierung aktiviert ist.
Die IAM-Datenbankauthentifizierung ermöglicht eine passwortlose Authentifizierung bei Datenbank-Instances. Die Authentifizierung verwendet ein Authentifizierungstoken. Der Netzwerkverkehr zur und von der Datenbank wird mit SSL verschlüsselt. Weitere Informationen finden Sie unter IAM-Datenbank-Authentifizierung im Amazon Aurora-Benutzerhandbuch.
Abhilfe
Informationen zur Aktivierung der IAM-Authentifizierung für einen DB-Cluster finden Sie unter Aktivieren und Deaktivieren der IAM-Datenbankauthentifizierung im Amazon Aurora Aurora-Benutzerhandbuch.
[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein
Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/2.3.2, NIst.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIst.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
Kategorie: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung
Schweregrad: Hoch
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-automatic-minor-version-upgrade-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob automatische Upgrades für kleinere Versionen für die RDS-Datenbank-Instance aktiviert sind.
Durch die Aktivierung automatischer Nebenversions-Upgrades wird sichergestellt, dass die neuesten Updates für die Nebenversionen des relationalen Datenbankmanagementsystems (RDBMS) installiert werden. Diese Upgrades können Sicherheitspatches und Bugfixes beinhalten. Es ist ein wichtiger Schritt zur Sicherung von Systemen, über die Installation von Patches auf dem Laufenden zu bleiben.
Abhilfe
Informationen zur Aktivierung automatischer Unterversions-Upgrades für eine bestehende DB-Instance finden Sie unter Ändern einer Amazon RDS-DB-Instance im Amazon RDS-Benutzerhandbuch. Wählen Sie für das automatische Upgrade der Nebenversion Ja aus.
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
Verwandte Anforderungen: NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Backups aktiviert
Schweregrad: Mittel
Ressourcentyp: AWS::RDS::DBCluster
AWS Config -Regel: aurora-mysql-backtracking-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Anzahl der Stunden, um einen Aurora MySQL-Cluster zurückzuverfolgen |
Double |
|
Kein Standardwert |
Dieses Steuerelement prüft, ob für einen Amazon Aurora Aurora-Cluster Backtracking aktiviert ist. Die Steuerung schlägt fehl, wenn für den Cluster kein Backtracking aktiviert ist. Wenn Sie einen benutzerdefinierten Wert für den BacktrackWindowInHours Parameter angeben, ist die Steuerung nur erfolgreich, wenn der Cluster für den angegebenen Zeitraum zurückverfolgt wird.
Mithilfe von Backups können Sie sich nach einem Sicherheitsvorfall schneller erholen. Sie stärken auch die Widerstandsfähigkeit Ihrer Systeme. Aurora-Backtracking reduziert die Zeit für die Wiederherstellung einer Datenbank auf einen bestimmten Zeitpunkt. Dazu ist keine Datenbankwiederherstellung erforderlich.
Abhilfe
Informationen zur Aktivierung von Aurora-Backtracking finden Sie unter Backtracking konfigurieren im Amazon Aurora Aurora-Benutzerhandbuch.
Beachten Sie, dass Sie Backtracking nicht auf einem vorhandenen Cluster aktivieren können. Stattdessen können Sie einen Clone erstellen, für den Backtracking aktiviert ist. Weitere Informationen zu den Einschränkungen von Aurora-Backtracking finden Sie in der Liste der Einschränkungen unter Backtracking im Überblick.
[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: rds-cluster-multi-az-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob Hochverfügbarkeit für Ihre RDS-DB-Cluster aktiviert ist. Die Steuerung schlägt fehl, wenn ein RDS-DB-Cluster nicht in mehreren Availability Zones (AZs) bereitgestellt wird.
RDS-DB-Cluster sollten für mehrere konfiguriert werden AZs , um die Verfügbarkeit der gespeicherten Daten sicherzustellen. Die Bereitstellung auf mehreren AZs Geräten ermöglicht einen automatisierten Failover im Falle eines AZ-Verfügbarkeitsproblems und während regelmäßiger RDS-Wartungsereignisse.
Abhilfe
Um Ihre DB-Cluster in mehreren bereitzustellen AZs, ändern Sie eine DB-Instance zu einer Multi-AZ-DB-Instance-Bereitstellung im Amazon RDS-Benutzerhandbuch.
Die Schritte zur Behebung sind für globale Aurora-Datenbanken unterschiedlich. Um mehrere Availability Zones für eine globale Aurora-Datenbank zu konfigurieren, wählen Sie Ihren DB-Cluster aus. Wählen Sie dann Aktionen und Leser hinzufügen und geben Sie mehrere an AZs. Weitere Informationen finden Sie unter Hinzufügen von Aurora Replicas zu einem DB-Cluster im Amazon Aurora Aurora-Benutzerhandbuch.
[RDS.16] RDS-DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
Kategorie: Identifizieren > Bestand
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBCluster
AWS Config Regel: rds-cluster-copy-tags-to-snapshots-enabled (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob RDS-DB-Cluster so konfiguriert sind, dass bei der Erstellung der Snapshots alle Tags in Snapshots kopiert werden.
Die Identifizierung und Inventarisierung Ihrer IT-Ressourcen ist ein entscheidender Aspekt der Unternehmensführung und Sicherheit. Sie benötigen einen Überblick über all Ihre RDS-DB-Cluster, damit Sie deren Sicherheitslage beurteilen und Maßnahmen gegen potenzielle Schwachstellen ergreifen können. Snapshots sollten auf die gleiche Weise gekennzeichnet werden wie ihre übergeordneten RDS-Datenbankcluster. Durch die Aktivierung dieser Einstellung wird sichergestellt, dass Snapshots die Tags ihrer übergeordneten Datenbankcluster erben.
Abhilfe
Informationen zum automatischen Kopieren von Tags in Snapshots für einen RDS-DB-Cluster finden Sie unter Ändern des DB-Clusters mithilfe der Konsole, der CLI und der API im Amazon Aurora Aurora-Benutzerhandbuch. Wählen Sie Tags in Snapshots kopieren aus.
[RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
Kategorie: Identifizieren > Bestand
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBInstance
AWS Config Regel: rds-instance-copy-tags-to-snapshots-enabled (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob RDS-DB-Instances so konfiguriert sind, dass sie bei der Erstellung der Snapshots alle Tags in Snapshots kopieren.
Die Identifizierung und Inventarisierung Ihrer IT-Ressourcen ist ein entscheidender Aspekt der Unternehmensführung und Sicherheit. Sie benötigen einen Überblick über all Ihre RDS-DB-Instances, damit Sie deren Sicherheitslage beurteilen und Maßnahmen gegen potenzielle Schwachstellen ergreifen können. Snapshots sollten auf die gleiche Weise gekennzeichnet werden wie ihre übergeordneten RDS-Datenbank-Instances. Durch die Aktivierung dieser Einstellung wird sichergestellt, dass Snapshots die Tags ihrer übergeordneten Datenbank-Instances erben.
Abhilfe
Informationen zum automatischen Kopieren von Tags in Snapshots für eine RDS-DB-Instance finden Sie unter Ändern einer Amazon RDS-DB-Instance im Amazon RDS-Benutzerhandbuch. Wählen Sie Tags in Snapshots kopieren aus.
[RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen in VPC
Schweregrad: Hoch
Art der Ressource: AWS::RDS::DBInstance
AWS Config Regel: rds-deployed-in-vpc (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine Amazon RDS-Instance auf einer EC2 VPC bereitgestellt ist.
VPCs bietet eine Reihe von Netzwerksteuerungen, um den Zugriff auf RDS-Ressourcen zu sichern. Zu diesen Kontrollen gehören VPC-Endpunkte ACLs, Netzwerk- und Sicherheitsgruppen. Um diese Steuerelemente nutzen zu können, empfehlen wir Ihnen, Ihre RDS-Instances auf einer EC2 VPC zu erstellen.
Abhilfe
Anweisungen zum Verschieben von RDS-Instances in eine VPC finden Sie unter Aktualisieren der VPC für eine DB-Instance im Amazon RDS-Benutzerhandbuch.
[RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden
Verwandte Anforderungen:, NIST.800-53.R5 NIST.800-53.r5 CA-7 SI-2
Kategorie: Erkennen > Erkennungsdienste > Anwendungsüberwachung
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::EventSubscription
AWS Config Regel: rds-cluster-event-notifications-configured (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob in einem bestehenden Amazon RDS-Ereignisabonnement für Datenbankcluster Benachrichtigungen für die folgenden Schlüssel-Wert-Paare aus Quelle und Ereigniskategorie aktiviert sind:
DBCluster: ["maintenance","failure"]
Die Kontrolle ist erfolgreich, wenn in Ihrem Konto keine Event-Abonnements vorhanden sind.
RDS-Ereignisbenachrichtigungen verwendet Amazon SNS, um Sie über Änderungen in der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen eine schnelle Reaktion. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter Verwenden von Amazon RDS-Ereignisbenachrichtigungen im Amazon RDS-Benutzerhandbuch.
Abhilfe
Informationen zum Abonnieren von RDS-Cluster-Ereignisbenachrichtigungen finden Sie unter Amazon RDS-Ereignisbenachrichtigungen abonnieren im Amazon RDS-Benutzerhandbuch. Verwenden Sie die folgenden Werte:
| Feld | Value (Wert) |
|---|---|
|
Source type (Quellentyp) |
Cluster |
|
Zu berücksichtigende Cluster |
Alle Cluster |
|
Zu berücksichtigende Veranstaltungskategorien |
Wählen Sie bestimmte Veranstaltungskategorien oder Alle Veranstaltungskategorien aus |
[RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden
Verwandte Anforderungen: NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2
Kategorie: Erkennen > Erkennungsdienste > Anwendungsüberwachung
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::EventSubscription
AWS Config Regel: rds-instance-event-notifications-configured (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob in einem bestehenden Amazon RDS-Ereignisabonnement für Datenbank-Instances Benachrichtigungen für die folgenden Schlüssel-Wert-Paare aus Quelltyp und Ereigniskategorie aktiviert sind:
DBInstance: ["maintenance","configuration change","failure"]
Die Kontrolle ist erfolgreich, wenn in Ihrem Konto keine Event-Abonnements vorhanden sind.
RDS-Ereignisbenachrichtigungen verwenden Amazon SNS, um Sie über Änderungen in der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen eine schnelle Reaktion. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter Verwenden von Amazon RDS-Ereignisbenachrichtigungen im Amazon RDS-Benutzerhandbuch.
Abhilfe
Informationen zum Abonnieren von RDS-Instance-Ereignisbenachrichtigungen finden Sie unter Amazon RDS-Ereignisbenachrichtigungen abonnieren im Amazon RDS-Benutzerhandbuch. Verwenden Sie die folgenden Werte:
| Feld | Value (Wert) |
|---|---|
|
Source type (Quellentyp) |
Instances |
|
Instances, die aufgenommen werden sollen |
Alle Instanzen |
|
Zu berücksichtigende Event-Kategorien |
Wählen Sie bestimmte Veranstaltungskategorien oder Alle Veranstaltungskategorien aus |
[RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden
Verwandte Anforderungen: NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2
Kategorie: Erkennen > Erkennungsdienste > Anwendungsüberwachung
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::EventSubscription
AWS Config Regel: rds-pg-event-notifications-configured (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein Amazon RDS-Ereignisabonnement mit aktivierten Benachrichtigungen für die folgenden Schlüsselwertpaare aus Quelltyp, Ereigniskategorie, aktiviert ist. Die Kontrolle ist erfolgreich, wenn in Ihrem Konto keine Event-Abonnements vorhanden sind.
DBParameterGroup: ["configuration change"]
RDS-Ereignisbenachrichtigungen verwenden Amazon SNS, um Sie über Änderungen in der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen eine schnelle Reaktion. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter Verwenden von Amazon RDS-Ereignisbenachrichtigungen im Amazon RDS-Benutzerhandbuch.
Abhilfe
Informationen zum Abonnieren von Ereignisbenachrichtigungen für RDS-Datenbankparametergruppen finden Sie unter Amazon RDS-Ereignisbenachrichtigungen abonnieren im Amazon RDS-Benutzerhandbuch. Verwenden Sie die folgenden Werte:
| Feld | Value (Wert) |
|---|---|
|
Source type (Quellentyp) |
Parametergruppen |
|
Zu berücksichtigende Parametergruppen |
Alle Parametergruppen |
|
Zu berücksichtigende Event-Kategorien |
Wählen Sie bestimmte Veranstaltungskategorien oder Alle Veranstaltungskategorien aus |
[RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden
Verwandte Anforderungen: NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2
Kategorie: Erkennen > Erkennungsdienste > Anwendungsüberwachung
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::EventSubscription
AWS Config Regel: rds-sg-event-notifications-configured (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein Amazon RDS-Ereignisabonnement mit aktivierten Benachrichtigungen für die folgenden Schlüsselwertpaare aus Quelltyp, Ereigniskategorie, aktiviert ist. Die Kontrolle ist erfolgreich, wenn in Ihrem Konto keine Event-Abonnements vorhanden sind.
DBSecurityGroup: ["configuration change","failure"]
RDS-Ereignisbenachrichtigungen verwenden Amazon SNS, um Sie über Änderungen in der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen eine schnelle Reaktion. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter Verwenden von Amazon RDS-Ereignisbenachrichtigungen im Amazon RDS-Benutzerhandbuch.
Abhilfe
Informationen zum Abonnieren von RDS-Instance-Ereignisbenachrichtigungen finden Sie unter Amazon RDS-Ereignisbenachrichtigungen abonnieren im Amazon RDS-Benutzerhandbuch. Verwenden Sie die folgenden Werte:
| Feld | Value (Wert) |
|---|---|
|
Source type (Quellentyp) |
Sicherheitsgruppen |
|
Zu berücksichtigende Sicherheitsgruppen |
Alle Sicherheitsgruppen |
|
Zu berücksichtigende Event-Kategorien |
Wählen Sie bestimmte Veranstaltungskategorien oder Alle Veranstaltungskategorien aus |
[RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden
Verwandte Anforderungen: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBInstance
AWS Config Regel: rds-no-default-ports (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein RDS-Cluster oder eine RDS-Instanz einen anderen Port als den Standardport der Datenbank-Engine verwendet. Die Steuerung schlägt fehl, wenn der RDS-Cluster oder die RDS-Instanz den Standardport verwendet. Diese Steuerung gilt nicht für RDS-Instances, die Teil eines Clusters sind.
Wenn Sie einen bekannten Port verwenden, um einen RDS-Cluster oder eine RDS-Instanz bereitzustellen, kann ein Angreifer Informationen über den Cluster oder die Instanz erraten. Der Angreifer kann diese Informationen in Verbindung mit anderen Informationen verwenden, um eine Verbindung zu einem RDS-Cluster oder einer RDS-Instance herzustellen oder zusätzliche Informationen über Ihre Anwendung zu erhalten.
Wenn Sie den Port ändern, müssen Sie auch die vorhandenen Verbindungszeichenfolgen aktualisieren, die für die Verbindung mit dem alten Port verwendet wurden. Sie sollten auch die Sicherheitsgruppe der DB-Instance überprüfen, um sicherzustellen, dass sie eine Eingangsregel enthält, die Konnektivität auf dem neuen Port ermöglicht.
Abhilfe
Informationen zum Ändern des Standardports einer vorhandenen RDS-DB-Instance finden Sie unter Ändern einer Amazon RDS-DB-Instance im Amazon RDS-Benutzerhandbuch. Informationen zum Ändern des Standardports eines vorhandenen RDS-DB-Clusters finden Sie unter Ändern des DB-Clusters mithilfe der Konsole, der CLI und der API im Amazon Aurora Aurora-Benutzerhandbuch. Ändern Sie für den Datenbankport den Portwert auf einen Wert, der nicht dem Standard entspricht.
[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2
Kategorie: Identifizieren > Ressourcenkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: rds-cluster-default-admin-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein Amazon RDS-Datenbank-Cluster den Standardwert des Admin-Benutzernamens geändert hat. Die Steuerung gilt nicht für Engines des Typs Neptune (Neptune DB) oder docdb (DocumentDB). Diese Regel schlägt fehl, wenn der Admin-Benutzername auf den Standardwert gesetzt ist.
Wenn Sie eine Amazon RDS-Datenbank erstellen, sollten Sie den standardmäßigen Administratorbenutzernamen in einen eindeutigen Wert ändern. Standardbenutzernamen sind allgemein bekannt und sollten bei der Erstellung der RDS-Datenbank geändert werden. Durch das Ändern der Standardbenutzernamen wird das Risiko eines unbeabsichtigten Zugriffs verringert.
Abhilfe
Um den Admin-Benutzernamen zu ändern, der mit dem Amazon RDS-Datenbank-Cluster verknüpft ist, erstellen Sie einen neuen RDS-Datenbank-Cluster und ändern Sie den Standard-Admin-Benutzernamen beim Erstellen der Datenbank.
[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2
Kategorie: Identifizieren > Ressourcenkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-instance-default-admin-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob Sie den Administrator-Benutzernamen für Amazon Relational Database Service (Amazon RDS) -Datenbank-Instances gegenüber dem Standardwert geändert haben. Die Steuerung schlägt fehl, wenn der Administrator-Benutzername auf den Standardwert gesetzt ist. Die Steuerung gilt nicht für Engines des Typs Neptune (Neptune DB) oder docdb (DocumentDB) und für RDS-Instances, die Teil eines Clusters sind.
Standardmäßige Administratorbenutzernamen in Amazon RDS-Datenbanken sind allgemein bekannt. Wenn Sie eine Amazon RDS-Datenbank erstellen, sollten Sie den standardmäßigen Administratorbenutzernamen in einen eindeutigen Wert ändern, um das Risiko eines unbeabsichtigten Zugriffs zu verringern.
Abhilfe
Um den mit einer RDS-Datenbank-Instance verknüpften Administrator-Benutzernamen zu ändern, erstellen Sie zunächst eine neue RDS-Datenbank-Instance. Ändern Sie den standardmäßigen Administratorbenutzernamen beim Erstellen der Datenbank.
[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden
Kategorie: Wiederherstellung > Ausfallsicherheit > Backups aktiviert
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config Regel: rds-resources-protected-by-backup-plan
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Das Steuerelement gibt einen |
Boolesch |
|
Kein Standardwert |
Diese Kontrolle bewertet, ob Amazon RDS-DB-Instances durch einen Backup-Plan abgedeckt sind. Diese Kontrolle schlägt fehl, wenn die RDS-DB-Instance nicht durch einen Backup-Plan abgedeckt ist. Wenn Sie den backupVaultLockCheck Parameter auf gleich setzentrue, wird die Kontrolle nur erfolgreich ausgeführt, wenn die Instance in einem AWS Backup gesperrten Tresor gesichert ist.
AWS Backup ist ein vollständig verwalteter Backup-Service, der die gesamte Datensicherung zentralisiert und automatisiert. AWS-Services Mit können Sie Backup-Richtlinien erstellen AWS Backup, die als Backup-Pläne bezeichnet werden. Mit diesen Plänen können Sie Ihre Sicherungsanforderungen definieren, z. B. wie häufig Ihre Daten gesichert werden sollen und wie lange diese Sicherungen aufbewahrt werden sollen. Durch die Aufnahme von RDS-DB-Instances in einen Backup-Plan können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschung schützen.
Abhilfe
Informationen zum Hinzufügen einer RDS-DB-Instance zu einem AWS Backup Backup-Plan finden Sie unter Zuweisen von Ressourcen zu einem Backup-Plan im AWS Backup Entwicklerhandbuch.
[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config Regel: rds-cluster-encrypted-at-rest
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein RDS-DB-Cluster im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn ein RDS-DB-Cluster im Ruhezustand nicht verschlüsselt ist.
Daten im Ruhezustand beziehen sich auf alle Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch Verschlüsselung können Sie die Vertraulichkeit solcher Daten schützen und so das Risiko verringern, dass ein unberechtigter Benutzer darauf zugreifen kann. Die Verschlüsselung Ihrer RDS-DB-Cluster schützt Ihre Daten und Metadaten vor unbefugtem Zugriff. Es erfüllt auch die Compliance-Anforderungen für die data-at-rest Verschlüsselung von Produktionsdateisystemen.
Abhilfe
Sie können die Verschlüsselung im Ruhezustand aktivieren, wenn Sie einen RDS-DB-Cluster erstellen. Sie können die Verschlüsselungseinstellungen nach dem Erstellen eines Clusters nicht ändern. Weitere Informationen finden Sie unter Verschlüsseln eines Amazon Aurora Aurora-DB-Clusters im Amazon Aurora Aurora-Benutzerhandbuch.
[RDS.28] RDS-DB-Cluster sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBCluster
AWS Config Regel: tagged-rds-dbcluster (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein Amazon RDS-DB-Cluster Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn der DB-Cluster keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der DB-Cluster mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem RDS-DB-Cluster finden Sie unter Tagging Amazon RDS-Ressourcen im Amazon RDS-Benutzerhandbuch.
[RDS.29] RDS-DB-Cluster-Snapshots sollten mit Tags versehen werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBClusterSnapshot
AWS Config Regel: tagged-rds-dbclustersnapshot (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein Amazon RDS-DB-Cluster-Snapshot Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn der DB-Cluster-Snapshot keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der DB-Cluster-Snapshot mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem RDS-DB-Cluster-Snapshot finden Sie unter Tagging Amazon RDS-Ressourcen im Amazon RDS-Benutzerhandbuch.
[RDS.30] RDS-DB-Instances sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBInstance
AWS Config Regel: tagged-rds-dbinstance (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine Amazon RDS-DB-Instance Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn die DB-Instance keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die DB-Instance mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer RDS-DB-Instance finden Sie unter Tagging Amazon RDS-Ressourcen im Amazon RDS-Benutzerhandbuch.
[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBSecurityGroup
AWS Config Regel: tagged-rds-dbsecuritygroup (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine Amazon RDS-DB-Sicherheitsgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn die DB-Sicherheitsgruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die DB-Sicherheitsgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer RDS-DB-Sicherheitsgruppe finden Sie unter Tagging Amazon RDS-Ressourcen im Amazon RDS-Benutzerhandbuch.
[RDS.32] RDS-DB-Snapshots sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBSnapshot
AWS Config Regel: tagged-rds-dbsnapshot (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein Amazon RDS-DB-Snapshot Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn der DB-Snapshot keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der DB-Snapshot mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem RDS-DB-Snapshot finden Sie unter Tagging Amazon RDS-Ressourcen im Amazon RDS-Benutzerhandbuch.
[RDS.33] RDS-DB-Subnetzgruppen sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::RDS::DBSubnetGroup
AWS Config Regel: tagged-rds-dbsubnetgroups (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine Amazon RDS-DB-Subnetzgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter requiredTagKeys definiert sind. Die Steuerung schlägt fehl, wenn die DB-Subnetzgruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat. requiredTagKeys Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die DB-Subnetzgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer RDS-DB-Subnetzgruppe finden Sie unter Tagging Amazon RDS-Ressourcen im Amazon RDS-Benutzerhandbuch.
[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Ressourcentyp: AWS::RDS::DBCluster
AWS Config Regel: rds-aurora-mysql-audit-logging-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Steuerung prüft, ob ein Amazon Aurora MySQL-DB-Cluster so konfiguriert ist, dass er Audit-Logs in Amazon CloudWatch Logs veröffentlicht. Die Steuerung schlägt fehl, wenn der Cluster nicht für die Veröffentlichung von Audit-Logs in Logs konfiguriert ist. CloudWatch Das Steuerelement generiert keine Ergebnisse für Aurora Serverless v1-DB-Cluster.
In Audit-Logs werden Datenbankaktivitäten aufgezeichnet, darunter Anmeldeversuche, Datenänderungen, Schemaänderungen und andere Ereignisse, die aus Sicherheits- und Compliance-Gründen geprüft werden können. Wenn Sie einen Aurora MySQL-DB-Cluster so konfigurieren, dass er Audit-Logs in einer Protokollgruppe in Amazon CloudWatch Logs veröffentlicht, können Sie eine Echtzeitanalyse der Protokolldaten durchführen. CloudWatch Logs speichert Protokolle in einem äußerst langlebigen Speicher. Sie können auch Alarme erstellen und Messwerte in anzeigen CloudWatch.
Anmerkung
Eine alternative Möglichkeit, Audit-Logs in Logs zu CloudWatch veröffentlichen, besteht darin, die erweiterte Überwachung zu aktivieren und den DB-Parameter server_audit_logs_upload auf Clusterebene auf zu setzen. 1 Die Standardeinstellung für istserver_audit_logs_upload parameter. 0 Wir empfehlen jedoch, stattdessen die folgenden Anweisungen zur Problembehebung zu verwenden, um diese Kontrolle zu bestehen.
Abhilfe
Informationen zum Veröffentlichen von Aurora CloudWatch MySQL-DB-Cluster-Prüfprotokollen in Logs finden Sie unter Veröffentlichen von Amazon Aurora CloudWatch Aurora-MySQL-Protokollen in Amazon Logs im Amazon Aurora Aurora-Benutzerhandbuch.
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein
Verwandte Anforderungen: NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
Kategorie: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config Regel: rds-cluster-auto-minor-version-upgrade-enable
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Steuerung prüft, ob das automatische Upgrade einer Nebenversion für einen Amazon RDS Multi-AZ-DB-Cluster aktiviert ist. Die Steuerung schlägt fehl, wenn das automatische Upgrade der Nebenversion für den Multi-AZ-DB-Cluster nicht aktiviert ist.
RDS bietet ein automatisches Upgrade der Nebenversion, sodass Sie Ihren Multi-AZ-DB-Cluster auf dem neuesten Stand halten können. Nebenversionen können neue Softwarefunktionen, Bugfixes, Sicherheitspatches und Leistungsverbesserungen einführen. Durch die Aktivierung des automatischen Upgrades für Nebenversionen auf RDS-Datenbankclustern erhält der Cluster zusammen mit den Instances im Cluster automatische Updates für die Nebenversion, sobald neue Versionen verfügbar sind. Die Updates werden während des Wartungsfensters automatisch angewendet.
Abhilfe
Informationen zur Aktivierung des automatischen Upgrades auf Multi-AZ-DB-Clustern finden Sie unter Ändern eines Multi-AZ-DB-Clusters im Amazon RDS-Benutzerhandbuch.
[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
Verwandte Anforderungen: PCI DSS v4.0.1/10.4.2
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-postgresql-logs-to-cloudwatch
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Durch Kommas getrennte Liste der Protokolltypen, die in Logs veröffentlicht werden sollen CloudWatch |
StringList |
Nicht anpassbar |
|
Dieses Steuerelement prüft, ob eine Amazon RDS for PostgreSQL PostgreSQL-DB-Instance für die Veröffentlichung von Protokollen in Amazon CloudWatch Logs konfiguriert ist. Die Steuerung schlägt fehl, wenn die PostgreSQL-DB-Instance nicht so konfiguriert ist, dass sie die im logTypes Parameter genannten Protokolltypen in Logs veröffentlicht. CloudWatch
Die Datenbankprotokollierung liefert detaillierte Aufzeichnungen von Anfragen, die an eine RDS-Instance gestellt wurden. PostgreSQL generiert Ereignisprotokolle, die nützliche Informationen für Administratoren enthalten. Durch die Veröffentlichung dieser CloudWatch Protokolle in Logs wird die Protokollverwaltung zentralisiert und Sie können die Protokolldaten in Echtzeit analysieren. CloudWatch Logs speichert die Protokolle in einem äußerst langlebigen Speicher. Sie können auch Alarme erstellen und Messwerte in anzeigenCloudWatch.
Abhilfe
Informationen zum Veröffentlichen von CloudWatch PostgreSQL-DB-Instance-Protokollen in Logs finden Sie unter PostgreSQL-Protokolle in Amazon CloudWatch Logs veröffentlichen im Amazon RDS-Benutzerhandbuch.
[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
Verwandte Anforderungen: PCI DSS v4.0.1/10.4.2
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBCluster
AWS Config -Regel: rds-aurora-postgresql-logs-to-cloudwatch
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein Amazon Aurora PostgreSQL-DB-Cluster für die Veröffentlichung von Protokollen in Amazon CloudWatch Logs konfiguriert ist. Die Steuerung schlägt fehl, wenn der Aurora PostgreSQL-DB-Cluster nicht für die Veröffentlichung von PostgreSQL-Protokollen in Logs konfiguriert ist. CloudWatch
Die Datenbankprotokollierung bietet detaillierte Aufzeichnungen von Anfragen, die an einen RDS-Cluster gestellt wurden. Aurora PostgreSQL generiert Ereignisprotokolle, die nützliche Informationen für Administratoren enthalten. Durch die Veröffentlichung dieser CloudWatch Protokolle in Logs wird die Protokollverwaltung zentralisiert und Sie können die Protokolldaten in Echtzeit analysieren. CloudWatch Logs speichert die Protokolle in einem äußerst langlebigen Speicher. Sie können auch Alarme erstellen und Messwerte in anzeigen CloudWatch.
Abhilfe
Informationen zum Veröffentlichen von Aurora CloudWatch PostgreSQL-DB-Cluster-Protokollen in Logs finden Sie unter Veröffentlichen von Aurora PostgreSQL-Protokollen in Amazon CloudWatch Logs im Amazon RDS-Benutzerhandbuch.
[RDS.38] RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-postgres-instance-encrypted-in-transit
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob eine Verbindung zu einer Amazon RDS for PostgreSQL Datenbank-Instance (DB) während der Übertragung verschlüsselt ist. Die Steuerung schlägt fehl, wenn der rds.force_ssl Parameter für die der Instance zugeordnete Parametergruppe auf 0 (aus) gesetzt ist. Dieses Steuerelement bewertet keine RDS-DB-Instances, die Teil eines DB-Clusters sind.
Daten während der Übertragung beziehen sich auf Daten, die von einem Standort an einen anderen übertragen werden, z. B. zwischen Knoten in Ihrem Cluster oder zwischen Ihrem Cluster und Ihrer Anwendung. Daten können über das Internet oder innerhalb eines privaten Netzwerks übertragen werden. Durch die Verschlüsselung von Daten während der Übertragung wird das Risiko verringert, dass ein nicht autorisierter Benutzer den Netzwerkverkehr abhören kann.
Abhilfe
Informationen dazu, dass alle Verbindungen zu Ihrer RDS for PostgreSQL-DB-Instance SSL verwenden müssen, finden Sie unter Verwenden von SSL mit einer PostgreSQL-DB-Instance im Amazon RDS-Benutzerhandbuch.
[RDS.39] RDS für MySQL-DB-Instances sollten bei der Übertragung verschlüsselt werden
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-mysql-instance-encrypted-in-transit
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob eine Verbindung zu einer Amazon RDS for MySQL Datenbank-Instance (DB) während der Übertragung verschlüsselt ist. Die Steuerung schlägt fehl, wenn der rds.require_secure_transport Parameter für die der Instance zugeordnete Parametergruppe auf 0 (aus) gesetzt ist. Dieses Steuerelement bewertet keine RDS-DB-Instances, die Teil eines DB-Clusters sind.
Daten während der Übertragung beziehen sich auf Daten, die von einem Standort an einen anderen übertragen werden, z. B. zwischen Knoten in Ihrem Cluster oder zwischen Ihrem Cluster und Ihrer Anwendung. Daten können über das Internet oder innerhalb eines privaten Netzwerks übertragen werden. Durch die Verschlüsselung von Daten während der Übertragung wird das Risiko verringert, dass ein nicht autorisierter Benutzer den Netzwerkverkehr abhören kann.
Abhilfe
Informationen dazu, dass alle Verbindungen zu Ihrer RDS for MySQL-DB-Instance SSL verwenden müssen, finden Sie unter SSL/TLS-Unterstützung für MySQL-DB-Instances auf Amazon RDS im Amazon RDS-Benutzerhandbuch.
[RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::RDS::DBInstance
AWS Config -Regel: rds-sql-server-logs-to-cloudwatch
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Eine Liste der Protokolltypen, für deren Veröffentlichung eine RDS for SQL Server-DB-Instance in CloudWatch Logs konfiguriert werden sollte. Diese Steuerung schlägt fehl, wenn eine DB-Instance nicht für die Veröffentlichung eines in der Liste angegebenen Protokolltyps konfiguriert ist. |
EnumList (maximal 2 Elemente) |
|
|
Dieses Steuerelement prüft, ob eine Amazon RDS for Microsoft SQL Server-DB-Instance für die Veröffentlichung von Protokollen in Amazon CloudWatch Logs konfiguriert ist. Die Steuerung schlägt fehl, wenn die RDS for SQL Server-DB-Instance nicht für die Veröffentlichung von Protokollen in CloudWatch Logs konfiguriert ist. Sie können optional die Protokolltypen angeben, für deren Veröffentlichung eine DB-Instance konfiguriert werden soll.
Die Datenbankprotokollierung bietet detaillierte Aufzeichnungen von Anfragen, die an eine Amazon RDS-DB-Instance gestellt wurden. Durch die Veröffentlichung von CloudWatch Protokollen in Logs wird die Protokollverwaltung zentralisiert und Sie können Protokolldaten in Echtzeit analysieren. CloudWatch Logs speichert Protokolle in einem äußerst langlebigen Speicher. Darüber hinaus können Sie damit Alarme für bestimmte Fehler erstellen, die auftreten können, z. B. bei häufigen Neustarts, die in einem Fehlerprotokoll aufgezeichnet werden. Ebenso können Sie Alarme für Fehler oder Warnungen erstellen, die in SQL Server-Agent-Protokollen aufgezeichnet werden, die sich auf SQL-Agent-Jobs beziehen.
Abhilfe
Informationen zum Veröffentlichen von Protokollen in CloudWatch Logs für eine RDS for SQL Server-DB-Instance finden Sie in den Datenbankprotokolldateien von Amazon RDS for Microsoft SQL Server im Amazon Relational Database Service User Guide.
