Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Corriger les risques liés aux fonctions Amazon RDS
Note
Security Hub est en version préliminaire et peut faire l'objet de modifications.
AWS Security Hub peut générer des résultats d'exposition pour les fonctions Amazon RDS.
Sur la console Security Hub, la fonction Amazon RDS impliquée dans la détection d'une exposition et ses informations d'identification sont répertoriées dans la section Ressources des détails de la recherche. Par programmation, vous pouvez récupérer les détails des ressources grâce au GetFindingsV2fonctionnement de l'API Security Hub.
Après avoir identifié la ressource impliquée dans un constat d'exposition, vous pouvez supprimer la ressource si vous n'en avez pas besoin. La suppression d'une ressource non essentielle peut réduire votre profil d'exposition et vos AWS coûts. Si la ressource est essentielle, suivez ces étapes de correction recommandées pour atténuer le risque. Les sujets de remédiation sont divisés en fonction du type de trait.
Un seul résultat d'exposition contient des problèmes identifiés dans plusieurs rubriques de remédiation. À l'inverse, vous pouvez corriger une constatation d'exposition et en réduire le niveau de gravité en abordant un seul sujet de remédiation. Votre approche en matière de remédiation des risques dépend des exigences et des charges de travail de votre organisation.
Note
Les conseils de remédiation fournis dans cette rubrique peuvent nécessiter des consultations supplémentaires dans d'autres AWS ressources.
Table des matières
Caractéristiques de mauvaise configuration des fonctions Amazon RDS
L'instance de base de données Amazon RDS est configurée avec un accès public
Le cluster de base de données Amazon RDS possède un instantané partagé publiquement
L'instance de base de données Amazon RDS possède un instantané qui n'est pas chiffré au repos
Le cluster de base de données Amazon RDS possède un instantané qui n'est pas chiffré au repos
L'instance de base de données Amazon RDS possède un groupe de sécurité ouvert
L'instance de base de données Amazon RDS utilise le nom d'utilisateur d'administrateur par défaut
Le cluster de base de données Amazon RDS utilise le nom d'utilisateur d'administrateur par défaut
Les sauvegardes automatiques de l'instance de base de données Amazon RDS sont désactivées
La protection contre la suppression de l'instance de base de données Amazon RDS est désactivée
La protection contre la suppression du cluster de base de données Amazon RDS est désactivée
L'instance de base de données Amazon RDS n'est pas couverte par un plan de sauvegarde
Caractéristiques de mauvaise configuration des fonctions Amazon RDS
Ce qui suit décrit les caractéristiques de mauvaise configuration et les étapes de correction des fonctions Amazon RDS.
L'instance de base de données Amazon RDS est configurée avec un accès public
Les instances Amazon RDS avec accès public sont potentiellement accessibles via Internet via leurs points de terminaison. Bien qu'un accès public soit parfois nécessaire pour les fonctionnalités, cette configuration peut être utilisée comme vecteur d'attaque potentiel pour que des utilisateurs non autorisés tentent d'accéder à votre base de données. Les bases de données accessibles au public peuvent être exposées à l'analyse des ports, à des attaques par force brute et à des tentatives d'exploitation. Conformément aux principes de sécurité standard, nous vous recommandons de limiter l'exposition publique des ressources de votre base de données.
-
Modifier les paramètres d'accès public
Dans le résultat d'exposition, ouvrez la ressource contenant le lien hypertexte. Cela ouvrira l'instance de base de données affectée. Évaluez si l'instance de base de données nécessite une accessibilité publique en fonction de l'architecture de votre application. Pour plus d'informations, consultez Configuration de l'accès public ou privé dans Amazon RDS.
Le cluster de base de données Amazon RDS possède un instantané partagé publiquement
Les instantanés publics sont accessibles à tous Compte AWS, ce qui peut exposer des données sensibles à des utilisateurs non autorisés. Tout le Compte AWS monde est autorisé à copier ces instantanés publics et à créer des instances de base de données à partir de ceux-ci, ce qui pourrait entraîner des violations de données ou un accès non autorisé aux données. Conformément aux meilleures pratiques en matière de sécurité, nous vous recommandons de restreindre l'accès à vos instantanés Amazon RDS aux seules organisations fiables Comptes AWS .
1. Configuration d'un instantané Amazon RDS pour un accès privé
Dans le résultat de l'exposition, ouvrez la ressource via le lien hypertexte. Pour savoir comment modifier les paramètres de partage d'instantanés, consultez la section Partage d'un instantané dans le guide de l'utilisateur Amazon Aurora. Pour plus d'informations sur la façon d'arrêter de partager des instantanés, consultez la section Arrêter le partage d'instantanés dans le guide de l'utilisateur Amazon Aurora. .
L'instance de base de données Amazon RDS possède un instantané qui n'est pas chiffré au repos
Les instantanés d'instance de base de données Amazon RDS non chiffrés peuvent exposer des données sensibles en cas d'accès non autorisé à la couche de stockage. Sans chiffrement, les données contenues dans les instantanés pourraient être exposées par un accès non autorisé. Cela crée un risque de violations de données et de violations de conformité. Conformément aux meilleures pratiques de sécurité, nous recommandons de chiffrer toutes les ressources de base de données et leurs sauvegardes afin de préserver la confidentialité des données.
Dans le résultat d'exposition, ouvrez la ressource contenant le lien hypertexte. Cela ouvrira l'instantané concerné. Vous ne pouvez pas chiffrer directement un instantané non chiffré existant. Créez plutôt une copie cryptée de l'instantané non chiffré. Pour obtenir des instructions détaillées, consultez la section Copie d'instantanés de clusters de bases de données et chiffrement des ressources Amazon RDS dans le guide de l'utilisateur Amazon Aurora. ..
Le cluster de base de données Amazon RDS possède un instantané qui n'est pas chiffré au repos
Les instantanés de cluster de base de données Amazon RDS non chiffrés peuvent exposer des données sensibles en cas d'accès non autorisé à la couche de stockage. Sans chiffrement, les données contenues dans les instantanés pourraient être exposées par un accès non autorisé. Cela crée un risque de violations de données et de violations de conformité. Conformément aux meilleures pratiques de sécurité, nous recommandons de chiffrer toutes les ressources de base de données et leurs sauvegardes afin de préserver la confidentialité des données.
1. Création d'une copie cryptée de l'instantané
Dans le résultat d'exposition, ouvrez la ressource contenant le lien hypertexte. Cela ouvrira l'instantané concerné. Vous ne pouvez pas chiffrer directement un instantané non chiffré existant. Créez plutôt une copie cryptée de l'instantané non chiffré. Pour obtenir des instructions détaillées, consultez la section Copie d'instantanés de clusters de bases de données et chiffrement des ressources Amazon RDS dans le guide de l'utilisateur Amazon Aurora. ..
L'instance de base de données Amazon RDS possède un groupe de sécurité ouvert
Les groupes de sécurité agissent comme des pare-feux virtuels pour vos instances Amazon RDS afin de contrôler le trafic entrant et sortant. Les groupes de sécurité ouverts, qui autorisent un accès illimité depuis n'importe quelle adresse IP, peuvent exposer vos instances de base de données à des accès non autorisés et à des attaques potentielles. Conformément aux principes de sécurité standard, nous recommandons de restreindre l'accès des groupes de sécurité à des adresses IP et à des ports spécifiques afin de respecter le principe du moindre privilège.
Passez en revue les règles du groupe de sécurité et évaluez la configuration actuelle
Dans le résultat d'exposition, ouvrez la ressource pour le groupe de sécurité de l'instance de base de données. Évaluez quels ports sont ouverts et accessibles à partir de larges plages d'adresses IP, par exemple(0.0.0.0/0 or ::/0). Pour plus d'informations sur l'affichage des détails des groupes de sécurité, consultez DescribeSecurityGroupsle manuel Amazon Elastic Compute Cloud API Reference.
Modifier les règles du groupe de sécurité
Modifiez les règles de votre groupe de sécurité pour restreindre l'accès à des adresses ou plages d'adresses IP fiables spécifiques. Lorsque vous mettez à jour les règles de votre groupe de sécurité, pensez à séparer les exigences d'accès pour les différents segments du réseau en créant des règles pour chaque plage d'adresses IP source requise ou en limitant l'accès à des ports spécifiques. Pour modifier les règles des groupes de sécurité, consultez la section Configurer les règles des groupes de sécurité dans le guide de EC2 l'utilisateur Amazon. Pour modifier le port par défaut d'une instance de base de données Amazon RDS existante, consultez la section Modification du cluster de base de données à l'aide de la console, de la CLI et de l'API dans le guide de l'utilisateur Amazon Aurora.
L'authentification de base de données IAM est désactivée sur l'instance de base de données Amazon RDS
L'authentification de base de données IAM vous permet de vous authentifier auprès de votre base de données Amazon RDS à l'aide d'informations d'identification IAM plutôt que de mots de passe de base de données. Cela offre plusieurs avantages en matière de sécurité, tels que la gestion centralisée des accès, les informations d'identification temporaires et l'élimination du stockage des mots de passe de base de données dans le code de l'application. L'authentification de base de données IAM permet d'authentifier les instances de base de données à l'aide d'un jeton d'authentification au lieu d'un mot de passe. Par conséquent, le trafic réseau à destination et en provenance de l'instance de base de données est chiffré à l'aide du protocole SSL. Sans authentification IAM, les bases de données s'appuient généralement sur l'authentification par mot de passe, ce qui peut entraîner une réutilisation des mots de passe et des mots de passe faibles. Conformément aux meilleures pratiques de sécurité, nous recommandons d'activer l'authentification de base de données IAM.
Activer l'authentification de base de données IAM
Dans le résultat d'exposition, ouvrez la ressource contenant le lien hypertexte. Cela ouvrira l'instance de base de données affectée. Vous pouvez activer l'authentification de base de données IAM dans les options de base de données. Pour plus d'informations, consultez la section Activation et désactivation de l'authentification de base de données IAM dans le guide de l'utilisateur Amazon RDS. Après avoir activé l'authentification IAM, mettez à jour vos instances de base de données pour utiliser l'authentification IAM au lieu de l'authentification par mot de passe.
L'instance de base de données Amazon RDS utilise le nom d'utilisateur d'administrateur par défaut
L'utilisation de noms d'utilisateur par défaut (par exemple, « admin », « root ») pour les instances de base de données augmente les risques de sécurité, car ils sont largement connus et sont souvent la cible d'attaques par force brute. Les noms d'utilisateur par défaut sont prévisibles et permettent aux utilisateurs non autorisés d'accéder plus facilement à votre base de données. Avec les noms d'utilisateur par défaut, les attaquants n'ont qu'à obtenir les mots de passe au lieu d'avoir besoin des deux pour accéder à votre base de données. Conformément aux meilleures pratiques en matière de sécurité, nous vous recommandons d'utiliser des noms d'utilisateur d'administrateur uniques pour votre instance de base de données afin de renforcer la sécurité et de réduire le risque de tentatives d'accès non autorisées.
Configuration d'un nom d'utilisateur administrateur unique
Dans le résultat d'exposition, ouvrez la ressource contenant le lien hypertexte. Cela ouvrira l'instance de base de données affectée. Déterminez la fréquence de sauvegarde, la période de rétention et les règles de cycle de vie les mieux adaptées à vos applications.
Le cluster de base de données Amazon RDS utilise le nom d'utilisateur d'administrateur par défaut
L'utilisation de noms d'utilisateur par défaut (par exemple, « admin », « root ») pour les instances de base de données augmente les risques de sécurité, car ils sont largement connus et sont souvent la cible d'attaques par force brute. Les noms d'utilisateur par défaut sont prévisibles et permettent aux utilisateurs non autorisés d'accéder plus facilement à votre base de données. Avec les noms d'utilisateur par défaut, les attaquants n'ont qu'à obtenir les mots de passe au lieu d'avoir besoin des deux pour accéder à votre base de données. Conformément aux meilleures pratiques en matière de sécurité, nous vous recommandons d'utiliser des noms d'utilisateur d'administrateur uniques pour votre instance de base de données afin de renforcer la sécurité et de réduire le risque de tentatives d'accès non autorisées.
Configuration d'un nom d'utilisateur administrateur unique
Dans le résultat d'exposition, ouvrez la ressource contenant le lien hypertexte. Cela ouvrira l'instance de base de données affectée. Vous ne pouvez pas modifier le nom d'utilisateur d'administrateur d'une instance de base de données Amazon RDS existante. Pour créer un nom d'administrateur unique, vous devez créer une nouvelle instance de base de données avec un nom d'utilisateur personnalisé et migrer vos données.
Les mises à niveau automatiques des versions mineures de l'instance de base de données Amazon RDS sont désactivées
Les mises à niveau automatiques des versions mineures garantissent que vos instances Amazon RDS reçoivent automatiquement les mises à niveau des versions mineures du moteur lorsqu'elles sont disponibles. Ces mises à niveau incluent souvent des correctifs de sécurité et des corrections de bogues importants qui aident à maintenir la sécurité et la stabilité de votre base de données. Votre base de données risque de présenter des failles de sécurité connues qui ont été corrigées dans les nouvelles versions mineures. Sans mises à jour automatiques, les instances de base de données peuvent accumuler des failles de sécurité à mesure que de nouvelles vulnérabilités CVEs sont découvertes. Conformément aux meilleures pratiques de sécurité, nous recommandons d'activer les mises à niveau automatiques des versions mineures pour toutes les instances Amazon RDS.
Activer les mises à niveau automatiques des versions mineures
Dans le résultat d'exposition, ouvrez la ressource contenant le lien hypertexte. Cela ouvrira l'instance de base de données affectée. Vous pouvez consulter les paramètres de mise à niveau mineure automatique dans l'onglet Maintenance et sauvegardes. Pour plus d'informations, consultez la section Mises à niveau automatiques des versions mineures d'Amazon RDS for MySQL. Vous pouvez également configurer votre fenêtre de maintenance pour qu'elle se produise pendant les périodes de faible activité de la base de données.
Les sauvegardes automatiques de l'instance de base de données Amazon RDS sont désactivées
Les sauvegardes automatisées assurent la point-in-time restauration de vos instances Amazon RDS, ce qui vous permet de restaurer votre base de données à tout moment pendant votre période de rétention. Lorsque les sauvegardes automatisées sont désactivées, vous risquez de perdre des données en cas de suppression malveillante, de corruption des données ou d'autres scénarios de perte de données. En cas d'activité malveillante, telle qu'une attaque par rançongiciel, la suppression de tables de base de données ou une corruption, la possibilité de restaurer la base de données à un point antérieur à l'incident réduit le temps nécessaire à la reprise après un incident. Conformément aux meilleures pratiques de sécurité, nous recommandons d'activer les sauvegardes automatisées avec une période de conservation appropriée pour toutes les bases de données de production.
La protection contre la suppression de l'instance de base de données Amazon RDS est désactivée
La protection contre la suppression de base de données est une fonctionnalité qui permet d'empêcher la suppression de vos instances de base de données. Lorsque la protection contre la suppression est désactivée, votre base de données peut être supprimée par n'importe quel utilisateur disposant d'autorisations suffisantes, ce qui peut entraîner une perte de données ou une interruption de l'application. Les attaquants peuvent supprimer votre base de données, ce qui peut entraîner des interruptions de service, des pertes de données et une augmentation du temps de restauration. Conformément aux meilleures pratiques de sécurité, nous vous recommandons d'activer la protection contre la suppression pour vos instances de base de données RDS afin d'empêcher toute suppression malveillante.
Activez la protection contre la suppression pour votre cluster de base de données Amazon RDS
Dans le résultat d'exposition, ouvrez la ressource contenant le lien hypertexte. Cela ouvrira le cluster de base de données concerné.
La protection contre la suppression du cluster de base de données Amazon RDS est désactivée
La protection contre la suppression de base de données est une fonctionnalité qui permet d'empêcher la suppression de vos instances de base de données. Lorsque la protection contre la suppression est désactivée, votre base de données peut être supprimée par n'importe quel utilisateur disposant d'autorisations suffisantes, ce qui peut entraîner une perte de données ou une interruption de l'application. Les attaquants peuvent supprimer votre base de données, ce qui peut entraîner des interruptions de service, des pertes de données et une augmentation du temps de restauration. Conformément aux meilleures pratiques de sécurité, nous vous recommandons d'activer la protection contre la suppression pour vos clusters de base de données RDS afin d'empêcher les suppressions malveillantes.
Activez la protection contre la suppression pour votre cluster de base de données Amazon RDS
Dans le résultat d'exposition, ouvrez la ressource contenant le lien hypertexte. Cela ouvrira le cluster de base de données concerné.
L'instance de base de données Amazon RDS utilise le port par défaut pour le moteur de base de données
Les instances Amazon RDS qui utilisent des ports par défaut pour les moteurs de base de données peuvent être confrontées à des risques de sécurité accrus, car ces ports par défaut sont largement connus et sont souvent ciblés par des outils d'analyse automatisés. La modification de votre instance de base de données pour utiliser des ports autres que ceux par défaut ajoute une couche de sécurité supplémentaire grâce à l'obscurité, ce qui rend plus difficile pour les utilisateurs non autorisés d'effectuer des attaques automatisées ou ciblées sur votre base de données. Les ports par défaut sont généralement analysés par des personnes non autorisées, ce qui peut entraîner le ciblage de votre instance de base de données. Conformément aux meilleures pratiques de sécurité, nous vous recommandons de remplacer le port par défaut par un port personnalisé afin de réduire le risque d'attaques automatisées ou ciblées.
Dans le résultat d'exposition, ouvrez la ressource contenant le lien hypertexte. Cela ouvrira l'instance de base de données affectée.
Mettre à jour les chaînes de connexion des applications
Après avoir modifié le port, mettez à jour toutes les applications et tous les services qui se connectent à votre instance Amazon RDS pour utiliser le nouveau numéro de port.
L'instance de base de données Amazon RDS n'est pas couverte par un plan de sauvegarde
AWS Backup est un service de sauvegarde entièrement géré qui centralise et automatise la sauvegarde des données d'un bout à l'autre. Services AWS Si votre instance de base de données n'est pas couverte par un plan de sauvegarde, vous risquez de perdre des données en cas de suppression malveillante, de corruption des données ou d'autres scénarios de perte de données. En cas d'activité malveillante, telle qu'une attaque par rançongiciel, la suppression de tables de base de données ou une corruption, la possibilité de restaurer la base de données à un point antérieur à l'incident réduit le temps nécessaire à la reprise après un incident. Conformément aux meilleures pratiques de sécurité, nous vous recommandons d'inclure vos instances Amazon RDS dans un plan de sauvegarde afin de garantir la protection des données.
Créez et attribuez un plan de sauvegarde pour votre instance de base de données
Dans le résultat d'exposition, ouvrez la ressource contenant le lien hypertexte. Cela ouvrira l'instance de base de données affectée. Déterminez la fréquence de sauvegarde, la période de rétention et les règles de cycle de vie les mieux adaptées à vos applications.
