Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Corregir las exposiciones de las funciones de Amazon RDS
nota
Security Hub se encuentra en versión preliminar y está sujeto a cambios.
AWS Security Hub puede generar resultados de exposición para las funciones de Amazon RDS.
En la consola de Security Hub, la función de Amazon RDS implicada en la detección de una exposición y su información de identificación aparecen en la sección Recursos de los detalles de la búsqueda. De forma programática, puede recuperar los detalles de los recursos con el GetFindingsV2funcionamiento de la API Security Hub.
Tras identificar el recurso implicado en la detección de una exposición, puede eliminarlo si no lo necesita. Eliminar un recurso no esencial puede reducir su perfil de exposición y sus AWS costes. Si el recurso es esencial, siga estos pasos de remediación recomendados para ayudar a mitigar el riesgo. Los temas de remediación se dividen según el tipo de característica.
Un único hallazgo de exposición contiene los problemas identificados en varios temas de remediación. Por el contrario, puede abordar un hallazgo de exposición y reducir su nivel de gravedad abordando solo un tema de remediación. Su enfoque de la remediación de riesgos depende de los requisitos y las cargas de trabajo de su organización.
nota
La guía de remediación que se proporciona en este tema puede requerir consultas adicionales en otros recursos. AWS
Contenido
Características de mala configuración de las funciones de Amazon RDS
La instancia de base de datos de Amazon RDS está configurada con acceso público
El clúster de base de datos de Amazon RDS tiene una instantánea que se comparte públicamente
La instancia de base de datos de Amazon RDS tiene una instantánea que no está cifrada en reposo
El clúster de base de datos de Amazon RDS tiene una instantánea que no está cifrada en reposo
La instancia de base de datos de Amazon RDS tiene un grupo de seguridad abierto
La instancia de base de datos de Amazon RDS usa el nombre de usuario de administrador predeterminado
El clúster de base de datos de Amazon RDS usa el nombre de usuario de administrador predeterminado
La instancia de base de datos de Amazon RDS tiene deshabilitadas las copias de seguridad automáticas
La instancia de base de datos de Amazon RDS tiene deshabilitada la protección contra la eliminación
El clúster de base de datos de Amazon RDS tiene deshabilitada la protección contra la eliminación
La instancia de base de datos de Amazon RDS no está cubierta por un plan de respaldo
Características de mala configuración de las funciones de Amazon RDS
A continuación, se describen los errores de configuración y los pasos para subsanarlos de las funciones de Amazon RDS.
La instancia de base de datos de Amazon RDS está configurada con acceso público
Es posible que se pueda acceder a las instancias de Amazon RDS con acceso público a través de Internet a través de sus puntos de enlace. Si bien el acceso público a veces es necesario, por ejemplo, para funcionar, esta configuración se puede utilizar como un posible vector de ataque para que usuarios no autorizados intenten acceder a su base de datos. Las bases de datos de acceso público pueden estar expuestas al escaneo de puertos, a ataques de fuerza bruta y a intentos de explotación. Siguiendo los principios de seguridad estándar, le recomendamos que limite la exposición pública de los recursos de su base de datos.
-
Modifique la configuración de acceso público
En la búsqueda de exposición, abra el recurso con el hipervínculo. Esto abrirá la instancia de base de datos afectada. Evalúe si la instancia de base de datos requiere accesibilidad pública en función de la arquitectura de su aplicación. Para obtener más información, consulte Configurar el acceso público o privado en Amazon RDS.
El clúster de base de datos de Amazon RDS tiene una instantánea que se comparte públicamente
Cualquier persona puede acceder a las instantáneas públicas Cuenta de AWS, lo que podría exponer datos confidenciales a usuarios no autorizados. Cualquiera Cuenta de AWS tiene permiso para copiar estas instantáneas públicas y crear instancias de base de datos a partir de ellas, lo que podría provocar filtraciones de datos o un acceso no autorizado a los datos. Siguiendo las prácticas recomendadas de seguridad, le recomendamos que restrinja el acceso a sus instantáneas de Amazon RDS únicamente a organizaciones Cuentas de AWS y organizaciones de confianza.
1. Configurar una instantánea de Amazon RDS para acceso privado
En la búsqueda de exposición, abra el recurso a través del hipervínculo. Para obtener información sobre cómo modificar la configuración de uso compartido de instantáneas, consulte Compartir una instantánea en la Guía del usuario de Amazon Aurora. Para obtener información sobre cómo dejar de compartir instantáneas, consulte Cómo dejar de compartir instantáneas en la Guía del usuario de Amazon Aurora. .
La instancia de base de datos de Amazon RDS tiene una instantánea que no está cifrada en reposo
Las instantáneas de instancias de base de datos Amazon RDS sin cifrar pueden exponer datos confidenciales si se obtiene un acceso no autorizado a la capa de almacenamiento. Sin el cifrado, los datos de las instantáneas podrían quedar expuestos a causa de un acceso no autorizado. Esto crea un riesgo de filtraciones de datos e infracciones de conformidad. Siguiendo las mejores prácticas de seguridad, recomendamos cifrar todos los recursos de la base de datos y sus copias de seguridad para mantener la confidencialidad de los datos.
En la búsqueda de exposición, abra el recurso con el hipervínculo. Esto abrirá la instantánea afectada. No puede cifrar directamente una instantánea no cifrada existente. En su lugar, cree una copia cifrada de la instantánea no cifrada. Para obtener instrucciones detalladas, consulte Copia y cifrado de instantáneas de clústeres de bases de datos de recursos de Amazon RDS en la Guía del usuario de Amazon Aurora. ..
El clúster de base de datos de Amazon RDS tiene una instantánea que no está cifrada en reposo
Las instantáneas del clúster de base de datos de Amazon RDS sin cifrar pueden exponer datos confidenciales si se obtiene un acceso no autorizado a la capa de almacenamiento. Sin el cifrado, los datos de las instantáneas podrían quedar expuestos a causa de un acceso no autorizado. Esto crea un riesgo de filtraciones de datos e infracciones de conformidad. Siguiendo las mejores prácticas de seguridad, recomendamos cifrar todos los recursos de la base de datos y sus copias de seguridad para mantener la confidencialidad de los datos.
1. Cree una copia cifrada de la instantánea
En la búsqueda de exposición, abra el recurso con el hipervínculo. Esto abrirá la instantánea afectada. No puede cifrar directamente una instantánea no cifrada existente. En su lugar, cree una copia cifrada de la instantánea no cifrada. Para obtener instrucciones detalladas, consulte Copia y cifrado de instantáneas de clústeres de bases de datos de recursos de Amazon RDS en la Guía del usuario de Amazon Aurora. ..
La instancia de base de datos de Amazon RDS tiene un grupo de seguridad abierto
Los grupos de seguridad actúan como firewalls virtuales para sus instancias de Amazon RDS a fin de controlar el tráfico entrante y saliente. Los grupos de seguridad abiertos, que permiten el acceso sin restricciones desde cualquier dirección IP, pueden exponer las instancias de su base de datos a accesos no autorizados y a posibles ataques. Siguiendo los principios de seguridad estándar, recomendamos restringir el acceso de los grupos de seguridad a direcciones IP y puertos específicos para mantener el principio de privilegios mínimos.
Revise las reglas de los grupos de seguridad y evalúe la configuración actual
En la búsqueda de exposición, abra el recurso del grupo de seguridad de la instancia de base de datos. Evalúe qué puertos están abiertos y accesibles desde amplios rangos de IP, por ejemplo(0.0.0.0/0 or ::/0). Para obtener información sobre cómo ver los detalles de los grupos de seguridad, consulte DescribeSecurityGroupsla referencia de la API de Amazon Elastic Compute Cloud.
Modifique las reglas de los grupos de seguridad
Modifique las reglas del grupo de seguridad para restringir el acceso a rangos o direcciones IP de confianza específicos. Al actualizar las reglas del grupo de seguridad, considere separar los requisitos de acceso para los distintos segmentos de la red creando reglas para cada rango de IP de origen requerido o restringiendo el acceso a puertos específicos. Para modificar las reglas de los grupos de seguridad, consulte Configurar las reglas de los grupos de seguridad en la Guía del EC2 usuario de Amazon. Para modificar el puerto predeterminado de una instancia de base de datos de Amazon RDS existente, consulte Modificación del clúster de base de datos mediante la consola, la CLI y la API en la Guía del usuario de Amazon Aurora.
La instancia de base de datos de Amazon RDS tiene deshabilitada la autenticación de base de datos de IAM
La autenticación de bases de datos de IAM le permite autenticarse en su base de datos de Amazon RDS con credenciales de IAM en lugar de contraseñas de bases de datos. Esto proporciona varios beneficios de seguridad, como la administración centralizada del acceso, las credenciales temporales y la eliminación del almacenamiento de las contraseñas de las bases de datos en el código de la aplicación. La autenticación de bases de datos de IAM permite autenticar las instancias de bases de datos con un token de autenticación en lugar de una contraseña. Como resultado, el tráfico de red que entra y sale de la instancia de base de datos se cifra mediante SSL. Sin la autenticación de IAM, las bases de datos suelen depender de la autenticación basada en contraseñas, lo que puede provocar la reutilización de las contraseñas y las contraseñas no seguras. Siguiendo las prácticas recomendadas de seguridad, recomendamos habilitar la autenticación de bases de datos de IAM.
Habilite la autenticación de bases de datos de IAM
En la búsqueda de exposición, abra el recurso con el hipervínculo. Esto abrirá la instancia de base de datos afectada. Puede habilitar la autenticación de la base de datos de IAM en las opciones de base de datos. Para obtener más información, consulte Habilitar y deshabilitar la autenticación de bases de datos de IAM en la Guía del usuario de Amazon RDS. Tras habilitar la autenticación de IAM, actualice las instancias de base de datos para que utilicen la autenticación de IAM en lugar de la autenticación basada en contraseñas.
La instancia de base de datos de Amazon RDS usa el nombre de usuario de administrador predeterminado
El uso de nombres de usuario predeterminados (p. ej., «admin» o «root») para las instancias de base de datos aumenta el riesgo de seguridad, ya que son ampliamente conocidos y suelen ser objeto de ataques de fuerza bruta. Los nombres de usuario predeterminados son predecibles y facilitan que los usuarios no autorizados intenten acceder a su base de datos. Con los nombres de usuario predeterminados, los atacantes solo necesitan obtener las contraseñas, en lugar de necesitar ambas para acceder a la base de datos. Siguiendo las prácticas recomendadas de seguridad, recomendamos utilizar nombres de usuario de administrador exclusivos para la instancia de base de datos a fin de mejorar la seguridad mediante la ocultación y reducir el riesgo de intentos de acceso no autorizados.
Configure un nombre de usuario de administrador único
En la búsqueda de exposición, abra el recurso con el hipervínculo. Esto abrirá la instancia de base de datos afectada. Considere qué reglas de frecuencia de respaldo, período de retención y ciclo de vida son las mejores para sus aplicaciones.
El clúster de base de datos de Amazon RDS usa el nombre de usuario de administrador predeterminado
El uso de nombres de usuario predeterminados (p. ej., «admin» o «root») para las instancias de base de datos aumenta el riesgo de seguridad, ya que son ampliamente conocidos y suelen ser objeto de ataques de fuerza bruta. Los nombres de usuario predeterminados son predecibles y facilitan que los usuarios no autorizados intenten acceder a su base de datos. Con los nombres de usuario predeterminados, los atacantes solo necesitan obtener las contraseñas, en lugar de necesitar ambas para acceder a la base de datos. Siguiendo las prácticas recomendadas de seguridad, recomendamos utilizar nombres de usuario de administrador exclusivos para la instancia de base de datos a fin de mejorar la seguridad mediante la ocultación y reducir el riesgo de intentos de acceso no autorizados.
Configure un nombre de usuario de administrador único
En la búsqueda de exposición, abra el recurso con el hipervínculo. Esto abrirá la instancia de base de datos afectada. No puede cambiar el nombre de usuario de administrador de una instancia de base de datos de Amazon RDS existente. Para crear un nombre de administrador único, debe crear una nueva instancia de base de datos con un nombre de usuario personalizado y migrar los datos.
La instancia de base de datos de Amazon RDS tiene inhabilitadas las actualizaciones automáticas de las versiones secundarias
Las actualizaciones automáticas de las versiones secundarias garantizan que sus instancias de Amazon RDS reciban automáticamente las actualizaciones de las versiones secundarias del motor cuando estén disponibles. Estas actualizaciones suelen incluir importantes parches de seguridad y correcciones de errores que ayudan a mantener la seguridad y la estabilidad de la base de datos. Su base de datos corre el riesgo de funcionar con vulnerabilidades de seguridad conocidas que se han corregido en las versiones secundarias más recientes. Sin actualizaciones automáticas, las instancias de bases de datos pueden acumular vulnerabilidades de seguridad a medida CVEs que se descubren nuevas. Siguiendo las prácticas recomendadas de seguridad, recomendamos habilitar las actualizaciones automáticas de las versiones secundarias para todas las instancias de Amazon RDS.
Habilite las actualizaciones automáticas de las versiones secundarias
En la búsqueda de exposición, abra el recurso con el hipervínculo. Esto abrirá la instancia de base de datos afectada. Puede ver la configuración automática de las actualizaciones menores en la pestaña Mantenimiento y copias de seguridad. Para obtener más información, consulte Actualizaciones automáticas de versiones secundarias de Amazon RDS for MySQL. También puede configurar el período de mantenimiento para que se produzca durante los períodos de baja actividad de la base de datos.
La instancia de base de datos de Amazon RDS tiene deshabilitadas las copias de seguridad automáticas
Las copias de seguridad automatizadas proporcionan la point-in-time recuperación de sus instancias de Amazon RDS, lo que le permite restaurar la base de datos en cualquier punto del período de retención. Cuando las copias de seguridad automatizadas están deshabilitadas, corre el riesgo de perder datos en caso de eliminarlos de forma malintencionada, dañarlos u otros escenarios de pérdida de datos. En el caso de que se produzcan actividades malintencionadas, como los ataques de ransomware, la eliminación de tablas de bases de datos o la corrupción, la posibilidad de restaurarlas a un punto en el tiempo anterior al incidente reduce el tiempo necesario para recuperarse de un incidente. Siguiendo las mejores prácticas de seguridad, recomendamos habilitar las copias de seguridad automatizadas con un período de retención adecuado para todas las bases de datos de producción.
La instancia de base de datos de Amazon RDS tiene deshabilitada la protección contra la eliminación
La protección contra la eliminación de bases de datos es una función que ayuda a evitar la eliminación de las instancias de la base de datos. Cuando la protección contra la eliminación está deshabilitada, cualquier usuario con permisos suficientes puede eliminar la base de datos, lo que podría provocar la pérdida de datos o el tiempo de inactividad de la aplicación. Los atacantes pueden eliminar su base de datos, lo que provoca la interrupción del servicio, la pérdida de datos y un aumento del tiempo de recuperación. Siguiendo las prácticas recomendadas de seguridad, le recomendamos que habilite la protección contra la eliminación de sus instancias de base de datos de RDS para evitar que se eliminen de forma malintencionada.
Habilite la protección de eliminación para su clúster de base de datos de Amazon RDS
En la búsqueda de exposición, abra el recurso con el hipervínculo. Esto abrirá el clúster de base de datos afectado.
El clúster de base de datos de Amazon RDS tiene deshabilitada la protección contra la eliminación
La protección contra la eliminación de bases de datos es una función que ayuda a evitar la eliminación de las instancias de la base de datos. Cuando la protección contra la eliminación está deshabilitada, cualquier usuario con permisos suficientes puede eliminar la base de datos, lo que podría provocar la pérdida de datos o el tiempo de inactividad de la aplicación. Los atacantes pueden eliminar su base de datos, lo que provoca la interrupción del servicio, la pérdida de datos y un aumento del tiempo de recuperación. Siguiendo las prácticas recomendadas de seguridad, le recomendamos que habilite la protección contra la eliminación de sus clústeres de bases de datos de RDS para evitar que se eliminen de forma malintencionada.
Habilite la protección de eliminación para su clúster de base de datos de Amazon RDS
En la búsqueda de exposición, abra el recurso con el hipervínculo. Esto abrirá el clúster de base de datos afectado.
La instancia de base de datos Amazon RDS usa el puerto predeterminado para el motor de base de datos.
Las instancias de Amazon RDS que utilizan puertos predeterminados para los motores de bases de datos pueden enfrentarse a mayores riesgos de seguridad, ya que estos puertos predeterminados son ampliamente conocidos y suelen ser el objetivo de las herramientas de análisis automatizadas. La modificación de la instancia de base de datos para que utilice puertos no predeterminados añade una capa adicional de seguridad a través de la oscuridad, lo que dificulta que los usuarios no autorizados realicen ataques automatizados o selectivos a su base de datos. Los puertos predeterminados suelen ser escaneados por personas no autorizadas y pueden provocar que su instancia de base de datos sea atacada. Siguiendo las prácticas recomendadas de seguridad, recomendamos cambiar el puerto predeterminado por un puerto personalizado para reducir el riesgo de ataques automatizados o dirigidos.
En la búsqueda de exposición, abra el recurso con el hipervínculo. Esto abrirá la instancia de base de datos afectada.
Actualice las cadenas de conexión de la aplicación
Tras cambiar el puerto, actualiza todas las aplicaciones y servicios que se conectan a tu instancia de Amazon RDS para que usen el nuevo número de puerto.
La instancia de base de datos de Amazon RDS no está cubierta por un plan de respaldo
AWS Backup es un servicio de respaldo totalmente gestionado que centraliza y automatiza el respaldo de todos los datos. Servicios de AWS Si su instancia de base de datos no está cubierta por un plan de respaldo, corre el riesgo de perder datos en caso de eliminarlos de forma malintencionada, dañarlos u otros escenarios de pérdida de datos. En caso de que se produzcan actividades malintencionadas, como ataques de ransomware, eliminación de tablas de bases de datos o corrupción, la posibilidad de restaurarlas a un punto en el tiempo anterior al incidente reduce el tiempo necesario para recuperarse de un incidente. Siguiendo las prácticas recomendadas de seguridad, recomendamos incluir las instancias de Amazon RDS en un plan de respaldo para garantizar la protección de los datos.
Cree y asigne un plan de respaldo para su instancia de base de datos
En la búsqueda de exposición, abra el recurso con el hipervínculo. Esto abrirá la instancia de base de datos afectada. Considere qué reglas de frecuencia de respaldo, período de retención y ciclo de vida son las mejores para sus aplicaciones.
