Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Amazon Relational Database Service
Ces contrôles sont liés aux ressources Amazon RDS.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.
[RDS.1] L'instantané RDS doit être privé
Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21) 53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Critique
Type de ressource :AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
Règle AWS Config : rds-snapshots-public-prohibited
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les instantanés Amazon RDS sont publics. Le contrôle échoue si les instantanés RDS sont publics. Ce contrôle évalue les instances RDS, les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB.
Les instantanés RDS sont utilisés pour sauvegarder les données sur vos instances RDS à un moment donné. Ils peuvent être utilisés pour restaurer les états précédents des instances RDS.
Un instantané RDS ne doit pas être public si ce n’est pas prévu. Si vous partagez un instantané manuel non chiffré en tant que public, cela le rend accessible à tous Comptes AWS. Cela peut entraîner une exposition involontaire des données de votre instance RDS.
Notez que si la configuration est modifiée pour autoriser l'accès public, la AWS Config règle risque de ne pas être en mesure de détecter le changement avant 12 heures. Tant que la AWS Config règle ne détecte pas le changement, le contrôle est réussi même si la configuration enfreint la règle.
Pour en savoir plus sur le partage d'un instantané de base de données, consultez la section Partage d'un instantané de base de données dans le guide de l'utilisateur Amazon RDS.
Correction
Pour supprimer l'accès public aux instantanés RDS, consultez la section Partage d'un instantané dans le guide de l'utilisateur Amazon RDS. Pour la visibilité des instantanés de base de données, nous choisissons Private.
[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la durée PubliclyAccessible AWS Config
Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (5)
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Critique
Type de ressource : AWS::RDS::DBInstance
Règle AWS Config : rds-instance-public-access-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les instances Amazon RDS sont accessibles au public en évaluant le PubliclyAccessible champ dans l'élément de configuration de l'instance.
Les instances de base de données Neptune et les clusters Amazon DocumentDB n'ont pas cet indicateur et ne PubliclyAccessible peuvent pas être évalués. Cependant, ce contrôle peut toujours générer des résultats pour ces ressources. Vous pouvez supprimer ces résultats.
La valeur PubliclyAccessible de la configuration de l'instance RDS indique si l'instance DB est publiquement accessible. Lorsque l'instance de base de données est configuré avec la valeur PubliclyAccessible, il s'agit d'une instance connectée à Internet avec un nom DNS qui peut être publiquement résolu, qui correspond à une adresse IP publique. Lorsque l'instance de base de données n'est pas accessible publiquement, il s'agit d'une instance interne avec un nom DNS qui correspond à une adresse IP privée.
À moins que vous ne souhaitiez que votre instance RDS soit accessible au public, l'instance RDS ne doit pas être configurée avec une PubliclyAccessible valeur. Cela risque d'entraîner un trafic inutile vers votre instance de base de données.
Correction
Pour supprimer l'accès public aux instances de base de données RDS, consultez la section Modification d'une instance de base de données Amazon RDS dans le guide de l'utilisateur Amazon RDS. Pour l'accès public, choisissez Non.
[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS
Exigences connexes : CIS AWS Foundations Benchmark v1.4.0/2.3.1, Nist.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 76 (6)
Catégorie : Protéger - Protection des données - Chiffrement des données au repos
Gravité : Moyenne
Type de ressource : AWS::RDS::DBInstance
Règle AWS Config : rds-storage-encrypted
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si le chiffrement du stockage est activé pour vos instances de base de données Amazon RDS.
Ce contrôle est destiné aux instances de base de données RDS. Cependant, il peut également générer des résultats pour les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.
Pour une couche de sécurité supplémentaire pour vos données sensibles dans les instances DB RDS, vous devez configurer ces dernières pour qu'elles soient chiffrées au repos. Pour chiffrer vos instances et vos instantanés de base de données RDS au repos, activez l'option de chiffrement pour vos instances de base de données RDS. Les données qui sont chiffrées au repos incluent le stockage sous-jacent pour des instance DB, les sauvegardes automatisées, les réplicas en lecture et les instantanés.
Les instances de base de données RDS chiffrées utilisent l'algorithme de chiffrement AES-256 standard pour chiffrer vos données sur le serveur qui héberge vos instances de base de données RDS. Une fois vos données chiffrées, Amazon RDS gère l'authentification de l'accès et le déchiffrement de vos données de manière transparente avec un impact minimal sur les performances. Vous n'avez pas besoin de modifier vos applications clientes de base de données pour utiliser le chiffrement.
Le chiffrement Amazon RDS est actuellement disponible pour tous les moteurs de base de données et types de stockage. Le chiffrement Amazon RDS est disponible pour la plupart des classes d'instance de base de données. Pour en savoir plus sur les classes d'instances de base de données qui ne prennent pas en charge le chiffrement Amazon RDS, consultez la section Chiffrement des ressources Amazon RDS dans le guide de l'utilisateur Amazon RDS.
Correction
Pour plus d'informations sur le chiffrement des instances de base de données dans Amazon RDS, consultez la section Chiffrement des ressources Amazon RDS dans le guide de l'utilisateur Amazon RDS.
[RDS.4] Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger - Protection des données - Chiffrement des données au repos
Gravité : Moyenne
Type de ressource :AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
Règle AWS Config : rds-snapshot-encrypted
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un instantané de base de données RDS est chiffré. Le contrôle échoue si un instantané de base de données RDS n'est pas chiffré.
Ce contrôle est destiné aux instances de base de données RDS. Toutefois, il peut également générer des résultats pour les instantanés des instances de base de données Aurora, des instances de base de données Neptune et des clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. Les données des instantanés RDS doivent être chiffrées au repos pour renforcer la sécurité.
Correction
Pour chiffrer un instantané RDS, consultez la section Chiffrer les ressources Amazon RDS dans le guide de l'utilisateur Amazon RDS. Lorsque vous chiffrez une instance de base de données RDS, les données chiffrées incluent le stockage sous-jacent de l'instance, ses sauvegardes automatisées, ses répliques de lecture et ses instantanés.
Vous ne pouvez chiffrer une instance de base de données RDS que lorsque vous la créez, et non une fois l'instance de base de données créée. Cependant, parce que vous pouvez chiffrer une copie d'un instantané non chiffré, vous pouvez ajouter le chiffrement efficacement à une instance de base de données non chiffrée. Autrement dit, vous pouvez créer un instantané de votre instance de base de données et ensuite créer une copie chiffrée de l'instantané. Vous pouvez ensuite restaurer une instance de base de données à partir de l'instantané chiffré et vous aurez une copie chiffrée de votre instance de base de données d'origine.
[RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité
Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::RDS::DBInstance
Règle AWS Config : rds-multi-az-support
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la haute disponibilité est activée pour vos instances de base de données RDS.
Les instances de base de données RDS doivent être configurées pour plusieurs zones de disponibilité (AZ). Cela garantit la disponibilité des données stockées. Les déploiements multi-AZ permettent un basculement automatique en cas de problème de disponibilité de l'AZ et lors de la maintenance régulière du RDS.
Correction
Pour déployer vos instances de base de données dans plusieurs zones de disponibilité, consultez le guide de l'utilisateur Amazon RDS pour modifier une instance de base de données pour en faire un déploiement d'instance de base de données multi-AZ.
[RDS.6] Une surveillance améliorée doit être configurée pour les instances de base de données RDS
Exigences connexes : NIST.800-53.R5 CA-7, NIST.800-53.R5 SI-2
Catégorie : Détecter - Services de détection
Gravité : Faible
Type de ressource : AWS::RDS::DBInstance
Règle AWS Config : rds-enhanced-monitoring-enabled
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Nombre de secondes entre les intervalles de collecte des métriques de surveillance |
Enum |
|
Aucune valeur par défaut |
Ce contrôle vérifie si la surveillance améliorée est activée pour une instance de base de données Amazon Relational Database Service (Amazon RDS). Le contrôle échoue si la surveillance améliorée n'est pas activée pour l'instance. Si vous fournissez une valeur personnalisée pour le monitoringInterval paramètre, le contrôle est effectué uniquement si des mesures de surveillance améliorées sont collectées pour l'instance à l'intervalle spécifié.
Dans Amazon RDS, la surveillance améliorée permet de réagir plus rapidement aux changements de performances de l'infrastructure sous-jacente. Ces modifications des performances peuvent entraîner un manque de disponibilité des données. La surveillance améliorée fournit des mesures en temps réel du système d'exploitation sur lequel s'exécute votre instance de base de données RDS. Un agent est installé sur l'instance. L'agent peut obtenir des métriques avec plus de précision que ce n'est possible à partir de la couche hyperviseur.
Les métriques de la surveillance améliorée sont utiles pour évaluer l'utilisation de l'UC par différents processus ou threads sur une instance de base de données. Pour de plus amples informations sur la surveillance améliorée, veuillez consulter la rubrique Enhanced Monitoring (Surveillance améliorée) dans le Guide de l'utilisateur Amazon RDS.
Correction
Pour obtenir des instructions détaillées sur l'activation de la surveillance améliorée pour votre instance de base de données, consultez la section Configuration et activation de la surveillance améliorée dans le guide de l'utilisateur Amazon RDS.
[RDS.7] La protection contre la suppression des clusters RDS doit être activée
Exigences connexes : NIST.800-53.R5 CM-3, NIST.800-53.R5 SC-5 (2)
Catégorie : Protéger > Protection des données > Protection contre la suppression des données
Gravité : Faible
Type de ressource : AWS::RDS::DBCluster
Règle AWS Config : rds-cluster-deletion-protection-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée sur un cluster de base de données RDS. Le contrôle échoue si la protection contre la suppression n'est pas activée sur un cluster de base de données RDS.
Ce contrôle est destiné aux instances de base de données RDS. Cependant, il peut également générer des résultats pour les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.
L'activation de la protection contre la suppression de clusters constitue un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par une entité non autorisée.
Lorsque la protection contre la suppression est activée, un cluster RDS ne peut pas être supprimé. Pour qu'une demande de suppression puisse aboutir, la protection contre la suppression doit être désactivée.
Correction
Pour activer la protection contre la suppression pour un cluster de base de données RDS, consultez la section Modification du cluster de base de données à l'aide de la console, de la CLI et de l'API dans le guide de l'utilisateur Amazon RDS. Pour la protection contre la suppression, choisissez Activer la protection contre la suppression.
[RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée
Exigences connexes : NIST.800-53.R5 CM-3, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Catégorie : Protéger > Protection des données > Protection contre la suppression des données
Gravité : Faible
Type de ressource : AWS::RDS::DBInstance
Règle AWS Config : rds-instance-deletion-protection-enabled
Type de calendrier : changement déclenché
Paramètres :
-
databaseEngines:mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(non personnalisable)
Ce contrôle vérifie si la protection contre les suppressions est activée sur vos instances de base de données RDS qui utilisent l'un des moteurs de base de données répertoriés. Le contrôle échoue si la protection contre la suppression n'est pas activée sur une instance de base de données RDS.
L'activation de la protection contre la suppression d'instance constitue un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par une entité non autorisée.
Lorsque la protection contre la suppression est activée, une instance de base de données RDS ne peut pas être supprimée. Pour qu'une demande de suppression puisse aboutir, la protection contre la suppression doit être désactivée.
Correction
Pour activer la protection contre la suppression pour une instance de base de données RDS, consultez la section Modification d'une instance de base de données Amazon RDS dans le guide de l'utilisateur Amazon RDS. Pour la protection contre la suppression, choisissez Activer la protection contre la suppression.
[RDS.9] Les instances de base de données RDS doivent publier des journaux dans Logs CloudWatch
Exigences connexes : NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-7 (8)
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::RDS::DBInstance
Règle AWS Config : rds-logging-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une instance de base de données Amazon RDS est configurée pour publier les journaux suivants sur Amazon CloudWatch Logs. Le contrôle échoue si l'instance n'est pas configurée pour publier les journaux suivants dans CloudWatch Logs :
-
Oracle : (alerte, audit, suivi, écouteur)
-
PostgreSQL : (PostgreSQL, mise à niveau)
-
MySQL : (Audit, Erreur, Général, SlowQuery)
-
MariaDB : (Audit, erreur, général,) SlowQuery
-
SQL Server : (Erreur, agent)
-
Aurora : (Audit, erreur, général, SlowQuery)
-
Aurora-MySQL : (Audit, Erreur, Général,) SlowQuery
-
Aurora-PostgreSQL : (Postgresql, mise à niveau).
Les journaux pertinents doivent être activés dans les bases de données RDS. La journalisation de la base de données fournit des enregistrements détaillés des demandes adressées à RDS. Les journaux de base de données peuvent faciliter les audits de sécurité et d'accès et peuvent aider à diagnostiquer les problèmes de disponibilité.
Correction
Pour publier les journaux de base de données RDS dans CloudWatch Logs, consultez la section Spécification des CloudWatch journaux à publier dans Logs dans le guide de l'utilisateur Amazon RDS.
[RDS.10] L'authentification IAM doit être configurée pour les instances RDS
Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-6
Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
Gravité : Moyenne
Type de ressource : AWS::RDS::DBInstance
Règle AWS Config : rds-instance-iam-authentication-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si l'authentification de base de données IAM est activée sur une instance de base de données RDS. Le contrôle échoue si l'authentification IAM n'est pas configurée pour les instances de base de données RDS. Ce contrôle évalue uniquement les instances RDS dotées des types de moteurs suivants :mysql,,postgres, aurora aurora-mysqlaurora-postgresql, et. mariadb Une instance RDS doit également être dans l'un des états suivants pour qu'une recherche soit générée :available, backing-upstorage-optimization, oustorage-full.
L'authentification de base de données IAM permet d'authentifier les instances de base de données à l'aide d'un jeton d'authentification au lieu d'un mot de passe. Le trafic réseau à destination et en provenance de la base de données est crypté à l'aide du protocole SSL. Pour de plus amples informations, veuillez consulter Authentification de base de données IAM dans le Guide de l'utilisateur Amazon Aurora.
Correction
Pour activer l'authentification de base de données IAM sur une instance de base de données RDS, consultez la section Activation et désactivation de l'authentification de base de données IAM dans le guide de l'utilisateur Amazon RDS.
[RDS.11] Les sauvegardes automatiques doivent être activées sur les instances RDS
Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::RDS::DBInstance
Règle AWS Config : db-instance-backup-enabled
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Durée minimale de conservation des sauvegardes en jours |
Entier |
|
|
|
|
Vérifie si les sauvegardes des instances de base de données RDS sont activées pour les répliques en lecture |
Booléen |
Non personnalisable |
|
Ce contrôle vérifie si les sauvegardes automatisées sont activées sur une instance Amazon Relational Database Service et si la période de conservation des sauvegardes est supérieure ou égale à la période spécifiée. Les répliques de lecture sont exclues de l'évaluation. Le contrôle échoue si les sauvegardes ne sont pas activées pour l'instance ou si la période de rétention est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des sauvegardes, Security Hub utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité et renforcent la résilience de vos systèmes. Amazon RDS vous permet de configurer des instantanés quotidiens du volume complet de l'instance. Pour plus d'informations sur les sauvegardes automatisées Amazon RDS, consultez Working with Backups dans le guide de l'utilisateur Amazon RDS.
Correction
Pour activer les sauvegardes automatisées sur une instance de base de données RDS, consultez la section Activation des sauvegardes automatisées dans le guide de l'utilisateur Amazon RDS.
[RDS.12] L'authentification IAM doit être configurée pour les clusters RDS
Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-6
Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
Règle AWS Config : rds-cluster-iam-authentication-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si l'authentification de base de données IAM est activée sur un cluster de base de données Amazon RDS.
L'authentification de base de données IAM permet une authentification sans mot de passe pour les instances de base de données. L'authentification utilise un jeton d'authentification. Le trafic réseau à destination et en provenance de la base de données est crypté à l'aide du protocole SSL. Pour de plus amples informations, veuillez consulter Authentification de base de données IAM dans le Guide de l'utilisateur Amazon Aurora.
Correction
Pour activer l'authentification IAM pour un cluster de base de données, consultez la section Activation et désactivation de l'authentification de base de données IAM dans le guide de l'utilisateur Amazon Aurora.
[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées
Exigences connexes : NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)
Catégorie : Détecter > Gestion des vulnérabilités et des correctifs
Gravité : Élevée
Type de ressource : AWS::RDS::DBInstance
Règle AWS Config : rds-automatic-minor-version-upgrade-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les mises à niveau automatiques des versions mineures sont activées pour l'instance de base de données RDS.
L'activation des mises à niveau automatiques des versions mineures garantit que les dernières mises à jour des versions mineures du système de gestion de base de données relationnelle (RDBMS) sont installées. Ces mises à niveau peuvent inclure des correctifs de sécurité et des corrections de bogues. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes.
Correction
Pour activer les mises à niveau automatiques de versions mineures pour une instance de base de données existante, consultez la section Modification d'une instance de base de données Amazon RDS dans le guide de l'utilisateur Amazon RDS. Pour la mise à niveau automatique de la version mineure, sélectionnez Oui.
[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora
Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SI-13 (5)
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
Règle AWS Config : aurora-mysql-backtracking-enabled
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Nombre d'heures nécessaires pour effectuer le suivi d'un cluster Aurora MySQL |
Double |
|
Aucune valeur par défaut |
Ce contrôle vérifie si le retour en arrière est activé sur un cluster Amazon Aurora. Le contrôle échoue si le retour en arrière n'est pas activé sur le cluster. Si vous fournissez une valeur personnalisée pour le BacktrackWindowInHours paramètre, le contrôle est transféré uniquement si le cluster fait l'objet d'un retour en arrière pendant la durée spécifiée.
Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent également la résilience de vos systèmes. Le retour en arrière d'Aurora réduit le délai de restauration d'une base de données à un point précis dans le temps. Pour ce faire, il n'est pas nécessaire de restaurer la base de données.
Correction
Pour activer le retour en arrière sur Aurora, consultez la section Configuration du retour arrière dans le guide de l'utilisateur Amazon Aurora.
Notez que vous ne pouvez pas activer le retour en arrière sur un cluster existant. Vous pouvez plutôt créer un clone sur lequel le retour en arrière est activé. Pour plus d'informations sur les limites du retour en arrière d'Aurora, consultez la liste des limitations dans Vue d'ensemble du retour en arrière.
[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité
Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
Règle AWS Config : rds-cluster-multi-az-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la haute disponibilité est activée pour vos clusters de base de données RDS. Le contrôle échoue si un cluster de base de données RDS n'est pas déployé dans plusieurs zones de disponibilité (AZ).
Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité afin de garantir la disponibilité des données stockées. Le déploiement sur plusieurs AZ permet un basculement automatique en cas de problème de disponibilité de l'AZ et lors d'événements de maintenance RDS réguliers.
Correction
Pour déployer vos clusters de base de données dans plusieurs zones de disponibilité, consultez le guide de l'utilisateur Amazon RDS pour modifier une instance de base de données pour en faire un déploiement d'instance de base de données multi-AZ.
Les étapes de correction diffèrent pour les bases de données globales Aurora. Pour configurer plusieurs zones de disponibilité pour une base de données globale Aurora, sélectionnez votre cluster de base de données. Choisissez ensuite Actions et Ajouter un lecteur, puis spécifiez plusieurs AZ. Pour plus d'informations, consultez la section Ajouter des répliques Aurora à un cluster de bases de données dans le guide de l'utilisateur Amazon Aurora.
[RDS.16] Les clusters de base de données RDS doivent être configurés pour copier des balises dans des instantanés
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
Catégorie : Identifier - Inventaire
Gravité : Faible
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : rds-cluster-copy-tags-to-snapshots-enabled (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les clusters de base de données RDS sont configurés pour copier toutes les balises dans les instantanés lors de leur création.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité sur tous vos clusters de base de données RDS afin de pouvoir évaluer leur niveau de sécurité et prendre des mesures sur les points faibles potentiels. Les instantanés doivent être balisés de la même manière que leurs clusters de base de données RDS parents. L'activation de ce paramètre garantit que les instantanés héritent des balises de leurs clusters de base de données parents.
Correction
Pour copier automatiquement les balises dans les instantanés d'un cluster de base de données RDS, consultez la section Modification du cluster de base de données à l'aide de la console, de la CLI et de l'API dans le guide de l'utilisateur Amazon Aurora. Sélectionnez Copier les balises dans les instantanés.
[RDS.17] Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
Catégorie : Identifier - Inventaire
Gravité : Faible
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-instance-copy-tags-to-snapshots-enabled (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les instances de base de données RDS sont configurées pour copier toutes les balises dans les instantanés lors de leur création.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité sur toutes vos instances de base de données RDS afin de pouvoir évaluer leur niveau de sécurité et prendre des mesures sur les points faibles potentiels. Les instantanés doivent être balisés de la même manière que leurs instances de base de données RDS parentes. L'activation de ce paramètre garantit que les instantanés héritent des balises de leurs instances de base de données parentes.
Correction
Pour copier automatiquement les balises dans les instantanés d'une instance de base de données RDS, consultez la section Modification d'une instance de base de données Amazon RDS dans le guide de l'utilisateur Amazon RDS. Sélectionnez Copier les balises dans les instantanés.
[RDS.18] Les instances RDS doivent être déployées dans un VPC
Exigences connexes : NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Catégorie : Protection > Configuration réseau sécurisée > Ressources au sein du VPC
Gravité : Élevée
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-deployed-in-vpc (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une instance Amazon RDS est déployée sur un EC2-VPC.
Les VPC fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux ressources RDS. Ces contrôles incluent les points de terminaison VPC, les ACL réseau et les groupes de sécurité. Pour tirer parti de ces contrôles, nous vous recommandons de créer vos instances RDS sur un EC2-VPC.
Correction
Pour obtenir des instructions sur le déplacement d'instances RDS vers un VPC, consultez la section Mise à jour du VPC pour une instance de base de données dans le guide de l'utilisateur Amazon RDS.
[RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster
Exigences connexes : NIST.800-53.R5 CA-7, NIST.800-53.R5 SI-2
Catégorie : Détecter > Services de détection > Surveillance des applications
Gravité : Faible
Type de ressource : AWS::RDS::EventSubscription
AWS Config règle : rds-cluster-event-notifications-configured (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un abonnement aux événements Amazon RDS existant pour les clusters de base de données comporte des notifications activées pour les paires clé-valeur du type de source et de la catégorie d'événement suivantes :
DBCluster: ["maintenance","failure"]
Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.
Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section Utilisation des notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS.
Correction
Pour vous abonner aux notifications d'événements du cluster RDS, consultez la section S'abonner aux notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS. Utilisez les valeurs suivantes :
| Champ | Valeur |
|---|---|
|
Source type (Type de source) |
Clusters |
|
Clusters à inclure |
Tous les clusters |
|
Catégories d'événements à inclure |
Sélectionnez des catégories d'événements spécifiques ou Toutes les catégories d'événements |
[RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données
Exigences connexes : NIST.800-53.R5 CA-7, NIST.800-53.R5 SI-2
Catégorie : Détecter > Services de détection > Surveillance des applications
Gravité : Faible
Type de ressource : AWS::RDS::EventSubscription
AWS Config règle : rds-instance-event-notifications-configured (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un abonnement aux événements Amazon RDS existant pour les instances de base de données comporte des notifications activées pour les paires clé-valeur du type de source et de la catégorie d'événement suivantes :
DBInstance: ["maintenance","configuration change","failure"]
Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.
Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section Utilisation des notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS.
Correction
Pour vous abonner aux notifications d'événements d'instance RDS, consultez la section S'abonner aux notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS. Utilisez les valeurs suivantes :
| Champ | Valeur |
|---|---|
|
Source type (Type de source) |
instances |
|
Instances à inclure |
Toutes les instances |
|
Catégories d'événements à inclure |
Sélectionnez des catégories d'événements spécifiques ou Toutes les catégories d'événements |
[RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques de groupes de paramètres de base de données
Exigences connexes : NIST.800-53.R5 CA-7, NIST.800-53.R5 SI-2
Catégorie : Détecter > Services de détection > Surveillance des applications
Gravité : Faible
Type de ressource : AWS::RDS::EventSubscription
AWS Config règle : rds-pg-event-notifications-configured (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie s'il existe un abonnement aux événements Amazon RDS avec les notifications activées pour les paires clé-valeur suivantes : type de source, catégorie d'événement.
DBParameterGroup: ["configuration change"]
Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section Utilisation des notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS.
Correction
Pour vous abonner aux notifications d'événements de groupes de paramètres de base de données RDS, consultez la section Abonnement aux notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS. Utilisez les valeurs suivantes :
| Champ | Valeur |
|---|---|
|
Source type (Type de source) |
Groupes de paramètres |
|
Groupes de paramètres à inclure |
Tous les groupes de paramètres |
|
Catégories d'événements à inclure |
Sélectionnez des catégories d'événements spécifiques ou Toutes les catégories d'événements |
[RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données
Exigences connexes : NIST.800-53.R5 CA-7, NIST.800-53.R5 SI-2
Catégorie : Détecter > Services de détection > Surveillance des applications
Gravité : Faible
Type de ressource : AWS::RDS::EventSubscription
AWS Config règle : rds-sg-event-notifications-configured (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie s'il existe un abonnement aux événements Amazon RDS avec les notifications activées pour les paires clé-valeur suivantes : type de source, catégorie d'événement.
DBSecurityGroup: ["configuration change","failure"]
Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section Utilisation des notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS.
Correction
Pour vous abonner aux notifications d'événements d'instance RDS, consultez la section S'abonner aux notifications d'événements Amazon RDS dans le guide de l'utilisateur Amazon RDS. Utilisez les valeurs suivantes :
| Champ | Valeur |
|---|---|
|
Source type (Type de source) |
Groupes de sécurité |
|
Groupes de sécurité à inclure |
Tous les groupes de sécurité |
|
Catégories d'événements à inclure |
Sélectionnez des catégories d'événements spécifiques ou Toutes les catégories d'événements |
[RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données
Exigences connexes : NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (5)
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Faible
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-no-default-ports (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster ou une instance RDS utilise un port autre que le port par défaut du moteur de base de données. Le contrôle échoue si le cluster ou l'instance RDS utilise le port par défaut.
Si vous utilisez un port connu pour déployer un cluster ou une instance RDS, un attaquant peut deviner des informations sur le cluster ou l'instance. L'attaquant peut utiliser ces informations conjointement avec d'autres informations pour se connecter à un cluster ou à une instance RDS ou obtenir des informations supplémentaires sur votre application.
Lorsque vous modifiez le port, vous devez également mettre à jour les chaînes de connexion existantes qui ont été utilisées pour vous connecter à l'ancien port. Vous devez également vérifier le groupe de sécurité de l'instance de base de données pour vous assurer qu'il inclut une règle d'entrée qui autorise la connectivité sur le nouveau port.
Correction
Pour modifier le port par défaut d'une instance de base de données RDS existante, consultez la section Modification d'une instance de base de données Amazon RDS dans le guide de l'utilisateur Amazon RDS. Pour modifier le port par défaut d'un cluster de base de données RDS existant, consultez la section Modification du cluster de base de données à l'aide de la console, de la CLI et de l'API dans le guide de l'utilisateur Amazon Aurora. Pour le port de base de données, remplacez la valeur du port par une valeur autre que celle par défaut.
[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2
Catégorie : Identifier > Configuration des ressources
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
Règle AWS Config : rds-cluster-default-admin-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster de bases de données Amazon RDS a modifié le nom d'utilisateur de l'administrateur par rapport à sa valeur par défaut. Le contrôle ne s'applique pas aux moteurs du type neptune (Neptune DB) ou docdb (DocumentDB). Cette règle échouera si le nom d'utilisateur de l'administrateur est défini sur la valeur par défaut.
Lorsque vous créez une base de données Amazon RDS, vous devez remplacer le nom d'utilisateur administrateur par défaut par une valeur unique. Les noms d'utilisateur par défaut sont de notoriété publique et doivent être modifiés lors de la création de la base de données RDS. La modification des noms d'utilisateur par défaut réduit le risque d'accès involontaire.
Correction
Pour modifier le nom d'utilisateur d'administrateur associé au cluster de bases de données Amazon RDS, créez un nouveau cluster de base de données RDS et modifiez le nom d'utilisateur d'administrateur par défaut lors de la création de la base de données.
[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2
Catégorie : Identifier > Configuration des ressources
Gravité : Moyenne
Type de ressource : AWS::RDS::DBInstance
Règle AWS Config : rds-instance-default-admin-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si vous avez modifié le nom d'utilisateur administratif des instances de base de données Amazon Relational Database Service (Amazon RDS) par rapport à la valeur par défaut. Le contrôle ne s'applique pas aux moteurs du type neptune (Neptune DB) ou docdb (DocumentDB). Le contrôle échoue si le nom d'utilisateur administratif est défini sur la valeur par défaut.
Les noms d'utilisateur administratifs par défaut sur les bases de données Amazon RDS sont de notoriété publique. Lorsque vous créez une base de données Amazon RDS, vous devez remplacer le nom d'utilisateur administratif par défaut par une valeur unique afin de réduire le risque d'accès involontaire.
Correction
Pour modifier le nom d'utilisateur administratif associé à une instance de base de données RDS, créez d'abord une nouvelle instance de base de données RDS. Modifiez le nom d'utilisateur administratif par défaut lors de la création de la base de données.
[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde
Catégorie : Restauration > Résilience > Sauvegardes activées
Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Gravité : Moyenne
Type de ressource : AWS::RDS::DBInstance
AWS Config règle : rds-resources-protected-by-backup-plan
Type de calendrier : Périodique
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Le contrôle produit un |
Booléen |
|
Aucune valeur par défaut |
Ce contrôle évalue si les instances de base de données Amazon RDS sont couvertes par un plan de sauvegarde. Ce contrôle échoue si l'instance de base de données RDS n'est pas couverte par un plan de sauvegarde. Si vous définissez le backupVaultLockCheck paramètre égal àtrue, le contrôle est transféré uniquement si l'instance est sauvegardée dans un coffre-fort AWS Backup verrouillé.
AWS Backup est un service de sauvegarde entièrement géré qui centralise et automatise la sauvegarde des données d'un bout à l'autre. Services AWS Avec AWS Backup, vous pouvez créer des politiques de sauvegarde appelées plans de sauvegarde. Vous pouvez utiliser ces plans pour définir vos besoins en matière de sauvegarde, notamment la fréquence de sauvegarde de vos données et la durée de conservation de ces sauvegardes. L'inclusion d'instances de base de données RDS dans un plan de sauvegarde vous permet de protéger vos données contre toute perte ou suppression involontaire.
Correction
Pour ajouter une instance de base de données RDS à un plan de AWS Backup sauvegarde, consultez la section Affectation de ressources à un plan de sauvegarde dans le Guide du AWS Backup développeur.
[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger - Protection des données - Chiffrement des données au repos
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : rds-cluster-encrypted-at-rest
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster de base de données RDS est chiffré au repos. Le contrôle échoue si un cluster de base de données RDS n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé puisse y accéder. Le chiffrement de vos clusters de base de données RDS protège vos données et métadonnées contre tout accès non autorisé. Il répond également aux exigences de conformité relatives au data-at-rest chiffrement des systèmes de fichiers de production.
Correction
Vous pouvez activer le chiffrement au repos lorsque vous créez un cluster de base de données RDS. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un cluster. Pour plus d'informations, consultez la section Chiffrement d'un cluster de base de données Amazon Aurora dans le guide de l'utilisateur Amazon Aurora.
[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch
Exigences connexes : NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : rds-aurora-mysql-audit-logging-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster de base de données Amazon Aurora MySQL est configuré pour publier des journaux d'audit sur Amazon CloudWatch Logs. Le contrôle échoue si le cluster n'est pas configuré pour publier les journaux d'audit dans CloudWatch Logs.
Les journaux d'audit enregistrent l'activité de la base de données, y compris les tentatives de connexion, les modifications de données, les modifications de schéma et d'autres événements pouvant être audités à des fins de sécurité et de conformité. Lorsque vous configurez un cluster de base de données Aurora MySQL pour publier des journaux d'audit dans un groupe de CloudWatch journaux dans Amazon Logs, vous pouvez effectuer une analyse en temps réel des données des journaux. CloudWatch Logs conserve les journaux dans un espace de stockage très durable. Vous pouvez également créer des alarmes et consulter les métriques dans CloudWatch.
Note
Une autre méthode pour publier les journaux d'audit dans Logs consiste à CloudWatch activer l'audit avancé et à définir le paramètre de base de données au niveau du cluster sur. server_audit_logs_upload 1 La valeur par défaut server_audit_logs_upload parameter est0. Toutefois, nous vous recommandons d'utiliser plutôt les instructions de correction suivantes pour passer ce contrôle.
Correction
Pour publier les journaux d'audit du cluster de bases de données Aurora MySQL dans CloudWatch Logs, consultez la section Publication des journaux Amazon Aurora MySQL sur Amazon CloudWatch Logs dans le guide de l'utilisateur Amazon Aurora.
[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée
Exigences connexes : NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)
Catégorie : Détecter > Gestion des vulnérabilités, des correctifs et des versions
Gravité : Moyenne
Type de ressource : AWS::RDS::DBCluster
AWS Config règle : rds-cluster-auto-minor-version-upgrade-enable
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la mise à niveau automatique des versions mineures est activée pour un cluster de base de données Amazon RDS Multi-AZ. Le contrôle échoue si la mise à niveau automatique des versions mineures n'est pas activée pour le cluster de base de données multi-AZ.
RDS fournit une mise à niveau automatique des versions mineures afin que vous puissiez maintenir votre cluster de base de données RDS à jour. Les versions mineures peuvent introduire de nouvelles fonctionnalités logicielles, des corrections de bogues, des correctifs de sécurité et des améliorations de performances. En activant la mise à niveau automatique des versions mineures sur les clusters de bases de données RDS, le cluster, ainsi que les instances du cluster, recevront des mises à jour automatiques de la version mineure lorsque de nouvelles versions seront disponibles. Les mises à jour sont appliquées automatiquement pendant la fenêtre de maintenance.
Correction
Pour activer la mise à niveau automatique des versions mineures sur les clusters de base de données multi-AZ, consultez la section Modification d'un cluster de base de données multi-AZ dans le guide de l'utilisateur Amazon RDS.
