Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Amazon RDS
Ces AWS Security Hub les contrôles évaluent le service et les ressources Amazon Relational Database Service (RDSAmazon).
Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.
[RDS.1] L'RDSinstantané doit être privé
Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),,,, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Critique
Type de ressource :AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
AWS Config règle : rds-snapshots-public-prohibited
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les RDS instantanés Amazon sont publics. Le contrôle échoue si les RDS instantanés sont publics. Ce contrôle évalue les RDS instances, les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB.
RDSles instantanés sont utilisés pour sauvegarder les données de vos RDS instances à un moment précis. Ils peuvent être utilisés pour restaurer les états antérieurs des RDS instances.
Un RDS instantané ne doit pas être public à moins que cela ne soit intentionnel. Si vous partagez un instantané manuel non chiffré en tant que public, cela le rend accessible à tous Comptes AWS. Cela peut entraîner une exposition involontaire des données de votre RDS instance.
Notez que si la configuration est modifiée pour autoriser l'accès public, AWS Config la règle peut ne pas être en mesure de détecter le changement pendant 12 heures au maximum. Jusqu'au AWS Config la règle détecte le changement, le contrôle est réussi même si la configuration enfreint la règle.
Pour en savoir plus sur le partage d'un instantané de base de données, consultez la section Partage d'un instantané de base de données dans le guide de RDS l'utilisateur Amazon.
Correction
Pour supprimer l'accès public aux RDS instantanés, consultez la section Partage d'un instantané dans le guide de l'RDSutilisateur Amazon. Pour la visibilité des instantanés de base de données, nous choisissons Private.
[RDS.2] Les RDS instances de base de données doivent interdire l'accès public, comme déterminé par le PubliclyAccessible AWS Config durée
Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/2.3.3, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, v3.2.1/1.3.6, v3.2.1/7.2.1, (21), (11), (16), (21), PCI DSS (4), (5) PCI DSS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Critique
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-instance-public-access-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les RDS instances Amazon sont accessibles au public en évaluant le PubliclyAccessible champ dans l'élément de configuration de l'instance.
Les instances de base de données Neptune et les clusters Amazon DocumentDB n'ont pas cet indicateur et ne PubliclyAccessible peuvent pas être évalués. Cependant, ce contrôle peut toujours générer des résultats pour ces ressources. Vous pouvez supprimer ces résultats.
La PubliclyAccessible valeur de la configuration de l'RDSinstance indique si l'instance de base de données est accessible au public. Lorsque l'instance de base de données est configurée avecPubliclyAccessible, il s'agit d'une instance connectée à Internet avec un DNS nom pouvant être résolu publiquement, qui se résout en une adresse IP publique. Lorsque l'instance de base de données n'est pas accessible au public, il s'agit d'une instance interne dont le DNS nom correspond à une adresse IP privée.
À moins que vous n'ayez l'intention de rendre votre RDS instance accessible au public, RDS elle ne doit pas être configurée avec une PubliclyAccessible valeur. Cela risque d'entraîner un trafic inutile vers votre instance de base de données.
Correction
Pour supprimer l'accès public aux RDS instances de base de données, consultez la section Modification d'une RDS instance de base de données Amazon dans le guide de RDS l'utilisateur Amazon. Pour l'accès public, choisissez Non.
[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données
Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-storage-encrypted
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si le chiffrement du stockage est activé pour vos RDS instances de base de données Amazon.
Ce contrôle est destiné aux RDS instances de base de données. Cependant, il peut également générer des résultats pour les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.
Pour renforcer la sécurité de vos données sensibles dans les instances de RDS base de données, vous devez configurer vos RDS instances de base de données pour qu'elles soient chiffrées au repos. Pour chiffrer vos RDS instances de base de données et vos instantanés au repos, activez l'option de chiffrement pour vos RDS instances de base de données. Les données qui sont chiffrées au repos incluent le stockage sous-jacent pour des instance DB, les sauvegardes automatisées, les réplicas en lecture et les instantanés.
RDSles instances de base de données chiffrées utilisent l'algorithme de chiffrement standard ouvert AES -256 pour chiffrer vos données sur le serveur qui héberge vos RDS instances de base de données. Une fois vos données chiffrées, Amazon RDS gère l'authentification de l'accès et le déchiffrement de vos données de manière transparente avec un impact minimal sur les performances. Vous n'avez pas besoin de modifier vos applications clientes de base de données pour utiliser le chiffrement.
RDSLe chiffrement Amazon est actuellement disponible pour tous les moteurs de base de données et types de stockage. RDSLe chiffrement Amazon est disponible pour la plupart des classes d'instances de base de données. Pour en savoir plus sur les classes d'instances de base de données qui ne prennent pas en charge RDS le chiffrement Amazon, consultez la section Chiffrement RDS des ressources Amazon dans le guide de RDS l'utilisateur Amazon.
Correction
Pour plus d'informations sur le chiffrement des instances de base de données dans AmazonRDS, consultez la section Chiffrer les RDS ressources Amazon dans le guide de RDSl'utilisateur Amazon.
[RDS.4] les instantanés RDS du cluster et les instantanés de base de données doivent être chiffrés au repos
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource :AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
AWS Config règle : rds-snapshot-encrypted
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un RDS instantané de base de données est chiffré. Le contrôle échoue si un RDS instantané de base de données n'est pas chiffré.
Ce contrôle est destiné aux RDS instances de base de données. Toutefois, il peut également générer des résultats pour les instantanés des instances de base de données Aurora, des instances de base de données Neptune et des clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. Les données des RDS instantanés doivent être chiffrées au repos pour renforcer la sécurité.
Correction
Pour chiffrer un RDS instantané, consultez la section Chiffrer les RDS ressources Amazon dans le guide de RDSl'utilisateur Amazon. Lorsque vous chiffrez une RDS instance de base de données, les données chiffrées incluent le stockage sous-jacent de l'instance, ses sauvegardes automatisées, ses répliques de lecture et ses instantanés.
Vous ne pouvez chiffrer une RDS instance de base de données que lorsque vous la créez, et non une fois l'instance de base de données créée. Cependant, parce que vous pouvez chiffrer une copie d'un instantané non chiffré, vous pouvez ajouter le chiffrement efficacement à une instance de base de données non chiffrée. Autrement dit, vous pouvez créer un instantané de votre instance de base de données et ensuite créer une copie chiffrée de l'instantané. Vous pouvez ensuite restaurer une instance de base de données à partir de l'instantané chiffré et vous aurez une copie chiffrée de votre instance de base de données d'origine.
[RDS.5] Les RDS instances de base de données doivent être configurées avec plusieurs zones de disponibilité
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-multi-az-support
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la haute disponibilité est activée pour vos RDS instances de base de données.
RDSLes instances de base de données doivent être configurées pour plusieurs zones de disponibilité (AZs). Cela garantit la disponibilité des données stockées. Les déploiements multi-AZ permettent un basculement automatique en cas de problème de disponibilité de l'AZ et lors de la maintenance régulière. RDS
Correction
Pour déployer vos instances de base de données en plusieursAZs, modifiez une instance de base de données pour en faire un déploiement d'instance de base de données multi-AZ dans le guide de RDS l'utilisateur Amazon.
[RDS.6] Une surveillance améliorée doit être configurée pour les RDS instances de base de données
Exigences connexes : NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-2
Catégorie : Détecter - Services de détection
Gravité : Faible
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-enhanced-monitoring-enabled
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Nombre de secondes entre les intervalles de collecte des métriques de surveillance |
Enum |
|
Aucune valeur par défaut |
Ce contrôle vérifie si la surveillance améliorée est activée pour une instance de base de données Amazon Relational Database Service (RDSAmazon). Le contrôle échoue si la surveillance améliorée n'est pas activée pour l'instance. Si vous fournissez une valeur personnalisée pour le monitoringInterval paramètre, le contrôle est effectué uniquement si des mesures de surveillance améliorées sont collectées pour l'instance à l'intervalle spécifié.
Dans AmazonRDS, la surveillance améliorée permet de réagir plus rapidement aux changements de performances de l'infrastructure sous-jacente. Ces modifications des performances peuvent entraîner un manque de disponibilité des données. La surveillance améliorée fournit des mesures en temps réel du système d'exploitation sur lequel s'exécute votre RDS instance de base de données. Un agent est installé sur l'instance. L'agent peut obtenir des métriques avec plus de précision que ce n'est possible à partir de la couche hyperviseur.
Les métriques de surveillance améliorées sont utiles lorsque vous souhaitez voir comment les différents processus ou threads d'une instance de base de données utilisent leCPU. Pour plus d'informations, consultez la section Surveillance améliorée dans le guide de RDS l'utilisateur Amazon.
Correction
Pour obtenir des instructions détaillées sur l'activation de la surveillance améliorée pour votre instance de base de données, consultez la section Configuration et activation de la surveillance améliorée dans le guide de RDS l'utilisateur Amazon.
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
Exigences connexes : NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Catégorie : Protéger > Protection des données > Protection contre la suppression des données
Gravité : Faible
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : rds-cluster-deletion-protection-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée sur un RDS cluster de bases de données. Le contrôle échoue si la protection contre la suppression n'est pas activée sur un RDS cluster de bases de données.
Ce contrôle est destiné aux RDS instances de base de données. Cependant, il peut également générer des résultats pour les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.
L'activation de la protection contre la suppression de clusters constitue un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par une entité non autorisée.
Lorsque la protection contre la suppression est activée, un RDS cluster ne peut pas être supprimé. Pour qu'une demande de suppression puisse aboutir, la protection contre la suppression doit être désactivée.
Correction
Pour activer la protection contre la suppression pour un RDS cluster de base de données, consultez Modifier le cluster de base de données à l'aide de la console et API dans le guide de RDS l'utilisateur Amazon. CLI Pour la protection contre la suppression, choisissez Activer la protection contre la suppression.
[RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée
Exigences connexes : NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Catégorie : Protéger > Protection des données > Protection contre la suppression des données
Gravité : Faible
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-instance-deletion-protection-enabled
Type de calendrier : changement déclenché
Paramètres :
-
databaseEngines:mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(non personnalisable)
Ce contrôle vérifie si la protection contre les suppressions est activée sur vos RDS instances de base de données qui utilisent l'un des moteurs de base de données répertoriés. Le contrôle échoue si la protection contre la suppression n'est pas activée sur une RDS instance de base de données.
L'activation de la protection contre la suppression d'instance constitue un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par une entité non autorisée.
Lorsque la protection contre la suppression est activée, une RDS instance de base de données ne peut pas être supprimée. Pour qu'une demande de suppression puisse aboutir, la protection contre la suppression doit être désactivée.
Correction
Pour activer la protection contre la suppression pour une RDS instance de base de données, consultez la section Modification d'une RDS instance de base de données Amazon dans le guide de RDS l'utilisateur Amazon. Pour la protection contre la suppression, choisissez Activer la protection contre la suppression.
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-logging-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une RDS instance de base de données Amazon est configurée pour publier les journaux suivants sur Amazon CloudWatch Logs. Le contrôle échoue si l'instance n'est pas configurée pour publier les journaux suivants dans CloudWatch Logs :
-
Oracle : (alerte, audit, suivi, écouteur)
-
PostgreSQL SQL : (Postgresql, mise à niveau)
-
Mon SQL : (Audit, Erreur, Général, SlowQuery)
-
MariaDB : (Audit, erreur, général,) SlowQuery
-
SQLServeur : (Erreur, agent)
-
Aurora : (Audit, erreur, général, SlowQuery)
-
Aurora-My SQL : (Audit, Erreur, Généralités,) SlowQuery
-
SQLAurora-Postgre:( Postgresql, mise à niveau).
RDSles journaux pertinents doivent être activés dans les bases de données. La journalisation de la base de données fournit des enregistrements détaillés des demandes adressées àRDS. Les journaux de base de données peuvent faciliter les audits de sécurité et d'accès et peuvent aider à diagnostiquer les problèmes de disponibilité.
Correction
Pour publier les journaux RDS de base de données dans CloudWatch Logs, consultez la section Spécification des CloudWatch journaux à publier dans Logs dans le guide de RDS l'utilisateur Amazon.
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
Exigences connexes : NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
Gravité : Moyenne
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-instance-iam-authentication-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si l'authentification de base de données est activée sur une RDS instance IAM de base de données. Le contrôle échoue si l'IAMauthentification n'est pas configurée pour les RDS instances de base de données. Ce contrôle évalue uniquement les RDS instances dotées des types de moteurs suivants :mysql,postgres,aurora, aurora-mysqlaurora-postgresql, etmariadb. Une RDS instance doit également se trouver dans l'un des états suivants pour qu'une recherche soit générée : availablebacking-up,storage-optimization, oustorage-full.
IAMl'authentification de base de données permet d'authentifier les instances de base de données à l'aide d'un jeton d'authentification au lieu d'un mot de passe. Le trafic réseau à destination et en provenance de la base de données est crypté à l'aide deSSL. Pour plus d'informations, consultez la section Authentification IAM de base de données dans le guide de l'utilisateur Amazon Aurora.
Correction
Pour activer l'authentification IAM de base de données sur une RDS instance de base de données, consultez la section Activation et désactivation de l'authentification IAM de base de données dans le guide de RDS l'utilisateur Amazon.
[RDS.11] les sauvegardes automatiques doivent être activées sur les RDS instances
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : db-instance-backup-enabled
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Durée minimale de conservation des sauvegardes en jours |
Entier |
|
|
|
|
Vérifie si les sauvegardes sont activées pour les RDS instances de base de données pour les répliques en lecture |
Booléen |
Non personnalisable |
|
Ce contrôle vérifie si les sauvegardes automatisées sont activées sur une instance Amazon Relational Database Service et si la période de conservation des sauvegardes est supérieure ou égale à la période spécifiée. Les répliques de lecture sont exclues de l'évaluation. Le contrôle échoue si les sauvegardes ne sont pas activées pour l'instance ou si la période de rétention est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des sauvegardes, Security Hub utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité et renforcent la résilience de vos systèmes. Amazon vous RDS permet de configurer des instantanés quotidiens du volume complet de l'instance. Pour plus d'informations sur les sauvegardes RDS automatisées Amazon, consultez Working with Backups dans le guide de RDS l'utilisateur Amazon.
Correction
Pour activer les sauvegardes automatisées sur une RDS instance de base de données, consultez la section Activation des sauvegardes automatisées dans le guide de RDS l'utilisateur Amazon.
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
Exigences connexes : NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : rds-cluster-iam-authentication-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si l'authentification de base de IAM données est activée sur un cluster Amazon RDS DB.
IAMl'authentification de base de données permet une authentification sans mot de passe pour les instances de base de données. L'authentification utilise un jeton d'authentification. Le trafic réseau à destination et en provenance de la base de données est crypté à l'aide deSSL. Pour plus d'informations, consultez la section Authentification IAM de base de données dans le guide de l'utilisateur Amazon Aurora.
Correction
Pour activer IAM l'authentification pour un cluster de base de données, consultez la section Activation et désactivation de l'authentification IAM de base de données dans le guide de l'utilisateur Amazon Aurora.
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/2.3.2, NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST NIST
Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions
Gravité : Élevée
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-automatic-minor-version-upgrade-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les mises à niveau automatiques des versions mineures sont activées pour l'instance RDS de base de données.
L'activation des mises à niveau automatiques des versions mineures garantit que les dernières mises à jour des versions mineures du système de gestion de base de données relationnelle (RDBMS) sont installées. Ces mises à niveau peuvent inclure des correctifs de sécurité et des corrections de bogues. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes.
Correction
Pour activer les mises à niveau automatiques de versions mineures pour une instance de base de données existante, consultez la section Modification d'une RDS instance de base de données Amazon dans le guide de RDS l'utilisateur Amazon. Pour la mise à niveau automatique de la version mineure, sélectionnez Oui.
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
Exigences connexes : NIST .800-53.r5 CP-10, .800-53.r5 CP-6, NIST .800-53.r5 CP-6 (1), .800-53.r5 CP-6 (2), NIST .800-53.r5 CP-9, .800-53.r5 SI-13 (5) NIST NIST NIST
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : aurora-mysql-backtracking-enabled
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Nombre d'heures nécessaires pour revenir en arrière sur un cluster Aurora My SQL |
Double |
|
Aucune valeur par défaut |
Ce contrôle vérifie si le retour en arrière est activé sur un cluster Amazon Aurora. Le contrôle échoue si le retour en arrière n'est pas activé sur le cluster. Si vous fournissez une valeur personnalisée pour le BacktrackWindowInHours paramètre, le contrôle est transféré uniquement si le cluster fait l'objet d'un retour en arrière pendant la durée spécifiée.
Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent également la résilience de vos systèmes. Le retour en arrière d'Aurora réduit le délai de restauration d'une base de données à un point précis dans le temps. Pour ce faire, il n'est pas nécessaire de restaurer la base de données.
Correction
Pour activer le retour en arrière sur Aurora, consultez la section Configuration du retour arrière dans le guide de l'utilisateur Amazon Aurora.
Notez que vous ne pouvez pas activer le retour en arrière sur un cluster existant. Vous pouvez plutôt créer un clone sur lequel le retour en arrière est activé. Pour plus d'informations sur les limites du retour en arrière d'Aurora, consultez la liste des limitations dans Vue d'ensemble du retour en arrière.
[RDS.15] Les clusters de RDS base de données doivent être configurés pour plusieurs zones de disponibilité
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : rds-cluster-multi-az-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la haute disponibilité est activée pour vos clusters de RDS base de données. Le contrôle échoue si un RDS cluster de base de données n'est pas déployé dans plusieurs zones de disponibilité (AZs).
RDSLes clusters de bases de données doivent être configurés pour plusieurs AZs afin de garantir la disponibilité des données stockées. Le déploiement sur plusieurs AZs sites permet un basculement automatique en cas de problème de disponibilité de l'AZ et lors RDS d'événements de maintenance réguliers.
Correction
Pour déployer vos clusters de base de données en plusieursAZs, modifiez une instance de base de données pour en faire un déploiement d'instance de base de données multi-AZ dans le guide de RDS l'utilisateur Amazon.
Les étapes de correction diffèrent pour les bases de données globales Aurora. Pour configurer plusieurs zones de disponibilité pour une base de données globale Aurora, sélectionnez votre cluster de base de données. Choisissez ensuite Actions et Ajouter un lecteur, puis spécifiez plusieursAZs. Pour plus d'informations, consultez la section Ajouter des répliques Aurora à un cluster de bases de données dans le guide de l'utilisateur Amazon Aurora.
[RDS.16] Les clusters de RDS base de données doivent être configurés pour copier des balises dans des instantanés
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Catégorie : Identifier - Inventaire
Gravité : Faible
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : rds-cluster-copy-tags-to-snapshots-enabled (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les RDS clusters de base de données sont configurés pour copier toutes les balises dans les instantanés lors de leur création.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité sur tous vos clusters de RDS base de données afin de pouvoir évaluer leur niveau de sécurité et prendre des mesures pour remédier aux points faibles potentiels. Les instantanés doivent être balisés de la même manière que leurs clusters de RDS base de données parents. L'activation de ce paramètre garantit que les instantanés héritent des balises de leurs clusters de base de données parents.
Correction
Pour copier automatiquement les balises dans les instantanés d'un RDS cluster de bases de données, consultez la section Modification du cluster de base de données à l'aide de la console et API dans le guide de l'utilisateur Amazon Aurora. CLI Sélectionnez Copier les balises dans les instantanés.
[RDS.17] Les RDS instances de base de données doivent être configurées pour copier des balises dans des instantanés
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Catégorie : Identifier - Inventaire
Gravité : Faible
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-instance-copy-tags-to-snapshots-enabled (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les RDS instances de base de données sont configurées pour copier toutes les balises dans les instantanés lors de leur création.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité sur toutes vos RDS instances de base de données afin de pouvoir évaluer leur niveau de sécurité et prendre des mesures pour remédier aux points faibles potentiels. Les instantanés doivent être balisés de la même manière que leurs instances de RDS base de données parentes. L'activation de ce paramètre garantit que les instantanés héritent des balises de leurs instances de base de données parentes.
Correction
Pour copier automatiquement les balises dans les instantanés d'une RDS instance de base de données, consultez la section Modification d'une RDS instance de base de données Amazon dans le guide de RDS l'utilisateur Amazon. Sélectionnez Copier les balises dans les instantanés.
[RDS.18] RDS les instances doivent être déployées dans un VPC
Exigences connexes : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Catégorie : Protection > Configuration réseau sécurisée > Ressources contenues dans VPC
Gravité : Élevée
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-deployed-in-vpc (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une RDS instance Amazon est déployée sur un EC2 -VPC.
VPCsfournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux RDS ressources. Ces contrôles incluent les VPC points de terminaison, le réseau ACLs et les groupes de sécurité. Pour tirer parti de ces contrôles, nous vous recommandons de créer vos RDS instances sur un EC2 -VPC.
Correction
Pour obtenir des instructions sur le déplacement d'RDSinstances vers uneVPC, consultez la section Mettre à jour le VPC pour une instance de base de données dans le guide de RDS l'utilisateur Amazon.
[RDS.19] Les abonnements existants aux notifications d'RDSévénements doivent être configurés pour les événements critiques du cluster
Exigences connexes : NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-2
Catégorie : Détecter > Services de détection > Surveillance des applications
Gravité : Faible
Type de ressource : AWS::RDS::EventSubscription
AWS Config règle : rds-cluster-event-notifications-configured (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un abonnement Amazon RDS existant pour les clusters de base de données comporte des notifications activées pour les paires clé-valeur du type de source et de la catégorie d'événement suivantes :
DBCluster: ["maintenance","failure"]
Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.
RDSles notifications d'événements utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos RDS ressources. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications RDS d'événements, consultez la section Utilisation des notifications RDS d'événements Amazon dans le guide de RDS l'utilisateur Amazon.
Correction
Pour vous abonner aux notifications d'événements de RDS cluster, consultez la section S'abonner aux notifications d'RDSévénements Amazon dans le guide de l'RDSutilisateur Amazon. Utilisez les valeurs suivantes :
| Champ | Valeur |
|---|---|
|
Source type (Type de source) |
Clusters |
|
Clusters à inclure |
Tous les clusters |
|
Catégories d'événements à inclure |
Sélectionnez des catégories d'événements spécifiques ou toutes les catégories d'événements |
[RDS.20] Les abonnements existants aux notifications RDS d'événements doivent être configurés pour les événements critiques liés aux instances de base de données
Exigences connexes : NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-2
Catégorie : Détecter > Services de détection > Surveillance des applications
Gravité : Faible
Type de ressource : AWS::RDS::EventSubscription
AWS Config règle : rds-instance-event-notifications-configured (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un abonnement Amazon RDS existant pour les instances de base de données comporte des notifications activées pour les paires clé-valeur du type de source et de la catégorie d'événement suivantes :
DBInstance: ["maintenance","configuration change","failure"]
Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.
RDSles notifications d'événements utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos RDS ressources. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications RDS d'événements, consultez la section Utilisation des notifications RDS d'événements Amazon dans le guide de RDS l'utilisateur Amazon.
Correction
Pour vous abonner aux notifications d'événements d'RDSinstance, consultez la section S'abonner aux notifications d'RDSévénements Amazon dans le guide de l'RDSutilisateur Amazon. Utilisez les valeurs suivantes :
| Champ | Valeur |
|---|---|
|
Source type (Type de source) |
instances |
|
Instances à inclure |
Toutes les instances |
|
Catégories d'événements à inclure |
Sélectionnez des catégories d'événements spécifiques ou toutes les catégories d'événements |
[RDS.21] Un abonnement aux notifications d'RDSévénements doit être configuré pour les événements critiques liés aux groupes de paramètres de base de données
Exigences connexes : NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-2
Catégorie : Détecter > Services de détection > Surveillance des applications
Gravité : Faible
Type de ressource : AWS::RDS::EventSubscription
AWS Config règle : rds-pg-event-notifications-configured (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie s'il existe un abonnement aux RDS événements Amazon avec les notifications activées pour les paires clé-valeur suivantes : type de source, catégorie d'événement. Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.
DBParameterGroup: ["configuration change"]
RDSles notifications d'événements utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos RDS ressources. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications RDS d'événements, consultez la section Utilisation des notifications RDS d'événements Amazon dans le guide de RDS l'utilisateur Amazon.
Correction
Pour vous abonner aux notifications d'événements liés aux groupes de paramètres de RDS base de données, consultez la section S'abonner aux notifications RDS d'événements Amazon dans le guide de RDS l'utilisateur Amazon. Utilisez les valeurs suivantes :
| Champ | Valeur |
|---|---|
|
Source type (Type de source) |
Groupes de paramètres |
|
Groupes de paramètres à inclure |
Tous les groupes de paramètres |
|
Catégories d'événements à inclure |
Sélectionnez des catégories d'événements spécifiques ou toutes les catégories d'événements |
[RDS.22] Un abonnement aux notifications d'RDSévénements doit être configuré pour les événements critiques des groupes de sécurité de base de données
Exigences connexes : NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-2
Catégorie : Détecter > Services de détection > Surveillance des applications
Gravité : Faible
Type de ressource : AWS::RDS::EventSubscription
AWS Config règle : rds-sg-event-notifications-configured (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie s'il existe un abonnement aux RDS événements Amazon avec les notifications activées pour les paires clé-valeur suivantes : type de source, catégorie d'événement. Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.
DBSecurityGroup: ["configuration change","failure"]
RDSles notifications d'événements utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos RDS ressources. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications RDS d'événements, consultez la section Utilisation des notifications RDS d'événements Amazon dans le guide de RDS l'utilisateur Amazon.
Correction
Pour vous abonner aux notifications d'événements d'RDSinstance, consultez la section S'abonner aux notifications d'RDSévénements Amazon dans le guide de l'RDSutilisateur Amazon. Utilisez les valeurs suivantes :
| Champ | Valeur |
|---|---|
|
Source type (Type de source) |
Groupes de sécurité |
|
Groupes de sécurité à inclure |
Tous les groupes de sécurité |
|
Catégories d'événements à inclure |
Sélectionnez des catégories d'événements spécifiques ou toutes les catégories d'événements |
[RDS.23] les RDS instances ne doivent pas utiliser le port par défaut du moteur de base de données
Exigences connexes : NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Faible
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-no-default-ports (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un RDS cluster ou une instance utilise un port autre que le port par défaut du moteur de base de données. Le contrôle échoue si le RDS cluster ou l'instance utilise le port par défaut.
Si vous utilisez un port connu pour déployer un RDS cluster ou une instance, un attaquant peut deviner des informations sur le cluster ou l'instance. L'attaquant peut utiliser ces informations conjointement avec d'autres informations pour se connecter à un RDS cluster ou à une instance ou obtenir des informations supplémentaires sur votre application.
Lorsque vous modifiez le port, vous devez également mettre à jour les chaînes de connexion existantes qui ont été utilisées pour vous connecter à l'ancien port. Vous devez également vérifier le groupe de sécurité de l'instance de base de données pour vous assurer qu'il inclut une règle d'entrée qui autorise la connectivité sur le nouveau port.
Correction
Pour modifier le port par défaut d'une RDS instance de base de données existante, consultez la section Modification d'une RDS instance de base de données Amazon dans le guide de RDS l'utilisateur Amazon. Pour modifier le port par défaut d'un RDS cluster de base de données existant, consultez la section Modification du cluster de base de données à l'aide de la console et API dans le guide de l'utilisateur Amazon Aurora. CLI Pour le port de base de données, remplacez la valeur du port par une valeur autre que celle par défaut.
[RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Catégorie : Identifier > Configuration des ressources
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : rds-cluster-default-admin-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster de RDS bases de données Amazon a modifié le nom d'utilisateur de l'administrateur par rapport à sa valeur par défaut. Le contrôle ne s'applique pas aux moteurs du type neptune (Neptune DB) ou docdb (DocumentDB). Cette règle échouera si le nom d'utilisateur de l'administrateur est défini sur la valeur par défaut.
Lorsque vous créez une RDS base de données Amazon, vous devez remplacer le nom d'utilisateur administrateur par défaut par une valeur unique. Les noms d'utilisateur par défaut sont de notoriété publique et doivent être modifiés lors de la création de la RDS base de données. La modification des noms d'utilisateur par défaut réduit le risque d'accès involontaire.
Correction
Pour modifier le nom d'utilisateur administrateur associé au cluster de RDS base de données Amazon, créez un nouveau cluster de RDS base de données et modifiez le nom d'utilisateur administrateur par défaut lors de la création de la base de données.
[RDS.25] les instances RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Catégorie : Identifier > Configuration des ressources
Gravité : Moyenne
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-instance-default-admin-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si vous avez modifié le nom d'utilisateur administratif des instances de base de données Amazon Relational Database Service (RDSAmazon) par rapport à la valeur par défaut. Le contrôle ne s'applique pas aux moteurs du type neptune (Neptune DB) ou docdb (DocumentDB). Le contrôle échoue si le nom d'utilisateur administratif est défini sur la valeur par défaut.
Les noms d'utilisateur administratifs par défaut sur les RDS bases de données Amazon sont de notoriété publique. Lorsque vous créez une RDS base de données Amazon, vous devez remplacer le nom d'utilisateur administratif par défaut par une valeur unique afin de réduire le risque d'accès involontaire.
Correction
Pour modifier le nom d'utilisateur administratif associé à une instance RDS de base de données, créez d'abord une nouvelle instance RDS de base de données. Modifiez le nom d'utilisateur administratif par défaut lors de la création de la base de données.
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
Catégorie : Restauration > Résilience > Sauvegardes activées
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Gravité : Moyenne
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-resources-protected-by-backup-plan
Type de calendrier : Périodique
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Le contrôle produit un |
Booléen |
|
Aucune valeur par défaut |
Ce contrôle évalue si les instances Amazon RDS DB sont couvertes par un plan de sauvegarde. Ce contrôle échoue si l'RDSinstance de base de données n'est pas couverte par un plan de sauvegarde. Si vous définissez le backupVaultLockCheck paramètre égal àtrue, le contrôle est transmis uniquement si l'instance est sauvegardée dans un AWS Backup coffre verrouillé.
AWS Backup est un service de sauvegarde entièrement géré qui centralise et automatise la sauvegarde des données sur Services AWS. Avec AWS Backup, vous pouvez créer des politiques de sauvegarde appelées plans de sauvegarde. Vous pouvez utiliser ces plans pour définir vos besoins en matière de sauvegarde, notamment la fréquence de sauvegarde de vos données et la durée de conservation de ces sauvegardes. L'inclusion d'RDSinstances de base de données dans un plan de sauvegarde vous permet de protéger vos données contre toute perte ou suppression involontaire.
Correction
Pour ajouter une RDS instance de base de données à un AWS Backup plan de sauvegarde, voir Affectation de ressources à un plan de sauvegarde dans le AWS Backup Guide du développeur.
[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : rds-cluster-encrypted-at-rest
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un RDS cluster de base de données est chiffré au repos. Le contrôle échoue si un RDS cluster de base de données n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé puisse y accéder. Le chiffrement de vos clusters RDS de base de données protège vos données et métadonnées contre tout accès non autorisé. Il répond également aux exigences de conformité relatives au data-at-rest chiffrement des systèmes de fichiers de production.
Correction
Vous pouvez activer le chiffrement au repos lorsque vous créez un RDS cluster de bases de données. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un cluster. Pour plus d'informations, consultez la section Chiffrement d'un cluster de base de données Amazon Aurora dans le guide de l'utilisateur Amazon Aurora.
[RDS.28] Les clusters de RDS base de données doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : tagged-rds-dbcluster (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un cluster Amazon RDS DB possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le cluster de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à un RDS cluster de bases de données, consultez la section Marquage RDS des ressources Amazon dans le guide de RDS l'utilisateur Amazon.
[RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::RDS::DBClusterSnapshot
AWS Config règle : tagged-rds-dbclustersnapshot (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un instantané de cluster Amazon RDS DB possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le snapshot du cluster de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le snapshot du cluster de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à un instantané de RDS cluster de base de données, consultez la section Marquage RDS des ressources Amazon dans le guide de RDS l'utilisateur Amazon.
[RDS.30] Les RDS instances de base de données doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : tagged-rds-dbinstance (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une RDS instance de base de données Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si l'instance de base de données ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'instance de base de données n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à une RDS instance de base de données, consultez la section Marquage RDS des ressources Amazon dans le guide de RDS l'utilisateur Amazon.
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::RDS::DBSecurityGroup
AWS Config règle : tagged-rds-dbsecuritygroup (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de sécurité Amazon RDS DB possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le groupe de sécurité de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sécurité de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à un groupe de RDS sécurité de base de données, consultez la section Marquage RDS des ressources Amazon dans le guide de RDS l'utilisateur Amazon.
[RDS.32] Les instantanés de RDS base de données doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::RDS::DBSnapshot
AWS Config règle : tagged-rds-dbsnapshot (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un instantané Amazon RDS DB possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le snapshot de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le snapshot de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à un RDS instantané de base de données, consultez la section Marquage RDS des ressources Amazon dans le guide de RDS l'utilisateur Amazon.
[RDS.33] Les groupes de RDS sous-réseaux de base de données doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::RDS::DBSubnetGroup
AWS Config règle : tagged-rds-dbsubnetgroups (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de sous-réseaux Amazon RDS DB possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le groupe de sous-réseaux de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sous-réseaux de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à un groupe de RDS sous-réseaux de base de données, consultez la section Marquage RDS des ressources Amazon dans le guide de RDSl'utilisateur Amazon.
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : rds-aurora-mysql-audit-logging-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon Aurora My SQL DB est configuré pour publier des journaux d'audit sur Amazon CloudWatch Logs. Le contrôle échoue si le cluster n'est pas configuré pour publier les journaux d'audit dans CloudWatch Logs. Le contrôle ne génère pas de résultats pour les clusters de base de données Aurora Serverless v1.
Les journaux d'audit enregistrent l'activité de la base de données, y compris les tentatives de connexion, les modifications de données, les modifications de schéma et d'autres événements pouvant être audités à des fins de sécurité et de conformité. Lorsque vous configurez un cluster Aurora My SQL DB pour publier des journaux d'audit dans un groupe de CloudWatch journaux dans Amazon Logs, vous pouvez effectuer une analyse en temps réel des données des journaux. CloudWatch Logs conserve les journaux dans un espace de stockage très durable. Vous pouvez également créer des alarmes et consulter les métriques dans CloudWatch.
Note
Une autre méthode pour publier les journaux d'audit dans Logs consiste à CloudWatch activer l'audit avancé et à définir le paramètre de base de données au niveau du cluster sur. server_audit_logs_upload 1 La valeur par défaut server_audit_logs_upload parameter est0. Toutefois, nous vous recommandons d'utiliser plutôt les instructions de correction suivantes pour passer ce contrôle.
Correction
Pour publier les journaux d'audit du cluster Aurora My SQL DB dans CloudWatch Logs, consultez la section Publication d'Amazon Aurora My SQL CloudWatch logs sur Amazon Logs dans le guide de l'utilisateur Amazon Aurora.
[RDS.35] La mise à niveau automatique des versions mineures des clusters de RDS base de données doit être activée
Exigences connexes : NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST
Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : rds-cluster-auto-minor-version-upgrade-enable
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la mise à niveau automatique des versions mineures est activée pour un cluster de base de données Amazon RDS Multi-AZ. Le contrôle échoue si la mise à niveau automatique des versions mineures n'est pas activée pour le cluster de base de données multi-AZ.
RDSfournit une mise à niveau automatique des versions mineures afin que vous puissiez maintenir votre cluster de base de données multi-AZ à jour. Les versions mineures peuvent introduire de nouvelles fonctionnalités logicielles, des corrections de bogues, des correctifs de sécurité et des améliorations de performances. En activant la mise à niveau automatique des versions mineures sur les clusters de RDS bases de données, le cluster, ainsi que les instances du cluster, recevront des mises à jour automatiques de la version mineure lorsque de nouvelles versions seront disponibles. Les mises à jour sont appliquées automatiquement pendant la fenêtre de maintenance.
Correction
Pour activer la mise à niveau automatique des versions mineures sur les clusters de base de données multi-AZ, consultez la section Modification d'un cluster de base de données multi-AZ dans le guide de RDSl'utilisateur Amazon.
