Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memperbaiki eksposur untuk fungsi Amazon RDS
catatan
Security Hub dalam rilis pratinjau dan dapat berubah sewaktu-waktu.
AWS Security Hub dapat menghasilkan temuan eksposur untuk fungsi Amazon RDS.
Di konsol Security Hub, fungsi Amazon RDS yang terlibat dalam temuan eksposur dan informasi pengenalannya tercantum di bagian Sumber Daya pada detail temuan. Secara terprogram, Anda dapat mengambil detail sumber daya dengan GetFindingsV2pengoperasian Security Hub API.
Setelah mengidentifikasi sumber daya yang terlibat dalam temuan eksposur, Anda dapat menghapus sumber daya jika Anda tidak membutuhkannya. Menghapus sumber daya yang tidak penting dapat mengurangi profil dan AWS biaya eksposur Anda. Jika sumber daya sangat penting, ikuti langkah-langkah remediasi yang direkomendasikan ini untuk membantu mengurangi risiko. Topik remediasi dibagi berdasarkan jenis sifatnya.
Temuan eksposur tunggal berisi masalah yang diidentifikasi dalam beberapa topik remediasi. Sebaliknya, Anda dapat mengatasi temuan eksposur dan menurunkan tingkat keparahannya dengan hanya membahas satu topik remediasi. Pendekatan Anda terhadap remediasi risiko tergantung pada kebutuhan organisasi dan beban kerja Anda.
catatan
Panduan remediasi yang diberikan dalam topik ini mungkin memerlukan konsultasi tambahan dalam AWS sumber daya lain.
Daftar Isi
Ciri salah konfigurasi untuk fungsi Amazon RDS
Cluster Amazon RDS DB memiliki snapshot yang dibagikan secara publik
Instans Amazon RDS DB memiliki snapshot yang tidak dienkripsi saat istirahat
Cluster Amazon RDS DB memiliki snapshot yang tidak dienkripsi saat istirahat
Instans Amazon RDS DB memiliki otentikasi database IAM dinonaktifkan
Instans Amazon RDS DB menggunakan nama pengguna admin default
Cluster Amazon RDS DB menggunakan nama pengguna admin default
Instans Amazon RDS DB memiliki peningkatan versi minor otomatis dinonaktifkan
Instans Amazon RDS DB memiliki cadangan otomatis dinonaktifkan
Instans Amazon RDS DB memiliki perlindungan penghapusan dinonaktifkan
Cluster Amazon RDS DB memiliki perlindungan penghapusan dinonaktifkan
Instans Amazon RDS DB menggunakan port default untuk mesin database
Ciri salah konfigurasi untuk fungsi Amazon RDS
Berikut ini menjelaskan sifat kesalahan konfigurasi dan langkah-langkah remediasi untuk fungsi Amazon RDS.
Instans Amazon RDS DB dikonfigurasi dengan akses publik
Instans Amazon RDS dengan akses publik berpotensi dapat diakses melalui internet melalui titik akhir mereka. Meskipun akses publik terkadang diperlukan untuk fungsionalitas misalnya, konfigurasi ini dapat digunakan sebagai vektor serangan potensial bagi pengguna yang tidak sah untuk mencoba mengakses database Anda. Database yang dapat diakses publik dapat terkena pemindaian port, serangan brute force, dan upaya eksploitasi. Mengikuti prinsip keamanan standar, kami menyarankan Anda membatasi eksposur publik sumber daya database Anda.
-
Ubah pengaturan akses publik
Dalam temuan eksposur, buka sumber daya dengan hyperlink. Ini akan membuka instans DB yang terpengaruh. Evaluasi apakah instans DB memerlukan aksesibilitas publik berdasarkan arsitektur aplikasi Anda. Untuk informasi selengkapnya, lihat Menyiapkan akses publik atau pribadi di Amazon RDS.
Cluster Amazon RDS DB memiliki snapshot yang dibagikan secara publik
Snapshot publik dapat diakses oleh siapa pun Akun AWS, yang berpotensi mengekspos data sensitif kepada pengguna yang tidak sah. Setiap Akun AWS memiliki izin untuk menyalin snapshot publik ini dan membuat instance DB darinya, yang dapat menyebabkan pelanggaran data atau akses data yang tidak sah. Mengikuti praktik terbaik keamanan, kami sarankan untuk membatasi akses ke snapshot Amazon RDS Anda hanya untuk tepercaya Akun AWS dan organisasi.
1. Konfigurasikan snapshot Amazon RDS untuk akses pribadi
Dalam temuan eksposur, buka sumber daya melalui hyperlink. Untuk selengkapnya tentang cara mengubah setelan berbagi snapshot, lihat Berbagi snapshot di Panduan Pengguna Amazon Aurora. Untuk informasi tentang cara berhenti berbagi snapshot, lihat Menghentikan berbagi snapshot di Panduan Pengguna Amazon Aurora. .
Instans Amazon RDS DB memiliki snapshot yang tidak dienkripsi saat istirahat
Snapshot instans Amazon RDS DB yang tidak terenkripsi dapat mengekspos data sensitif jika akses tidak sah ke lapisan penyimpanan diperoleh. Tanpa enkripsi, data dalam snapshot berpotensi diekspos melalui akses yang tidak sah. Ini menciptakan risiko pelanggaran data dan pelanggaran kepatuhan. Mengikuti praktik terbaik keamanan, kami sarankan untuk mengenkripsi semua sumber daya database dan cadangannya untuk menjaga kerahasiaan data.
Dalam temuan eksposur, buka sumber daya dengan hyperlink. Ini akan membuka snapshot yang terpengaruh. Anda tidak dapat langsung mengenkripsi snapshot tidak terenkripsi yang ada. Sebagai gantinya, buat salinan terenkripsi dari snapshot yang tidak terenkripsi. Untuk petunjuk mendetail, lihat penyalinan snapshot cluster DB dan Mengenkripsi sumber daya Amazon RDS di Panduan Pengguna Amazon Aurora. ..
Cluster Amazon RDS DB memiliki snapshot yang tidak dienkripsi saat istirahat
Snapshot kluster Amazon RDS DB yang tidak terenkripsi dapat mengekspos data sensitif jika akses tidak sah ke lapisan penyimpanan diperoleh. Tanpa enkripsi, data dalam snapshot berpotensi diekspos melalui akses yang tidak sah. Ini menciptakan risiko pelanggaran data dan pelanggaran kepatuhan. Mengikuti praktik terbaik keamanan, kami sarankan untuk mengenkripsi semua sumber daya database dan cadangannya untuk menjaga kerahasiaan data.
1. Buat salinan snapshot terenkripsi
Dalam temuan eksposur, buka sumber daya dengan hyperlink. Ini akan membuka snapshot yang terpengaruh. Anda tidak dapat langsung mengenkripsi snapshot tidak terenkripsi yang ada. Sebagai gantinya, buat salinan terenkripsi dari snapshot yang tidak terenkripsi. Untuk petunjuk mendetail, lihat penyalinan snapshot cluster DB dan Mengenkripsi sumber daya Amazon RDS di Panduan Pengguna Amazon Aurora. ..
Instans Amazon RDS DB memiliki grup keamanan terbuka
Grup keamanan bertindak sebagai firewall virtual untuk instans Amazon RDS Anda untuk mengontrol lalu lintas masuk dan keluar. Grup keamanan terbuka, yang memungkinkan akses tidak terbatas dari alamat IP apa pun, dapat mengekspos instance database Anda ke akses tidak sah dan potensi serangan. Mengikuti prinsip keamanan standar, kami merekomendasikan untuk membatasi akses grup keamanan ke alamat IP dan port tertentu untuk mempertahankan prinsip hak istimewa yang paling rendah.
Tinjau aturan grup keamanan dan nilai konfigurasi saat ini
Dalam temuan eksposur, buka sumber daya untuk Grup Keamanan instans DB. Evaluasi port mana yang terbuka dan dapat diakses dari rentang IP yang luas, seperti(0.0.0.0/0 or ::/0). Untuk informasi tentang melihat detail grup keamanan, lihat DescribeSecurityGroupsdi Referensi Amazon Elastic Compute Cloud API.
Ubah aturan grup keamanan
Ubah aturan grup keamanan Anda untuk membatasi akses ke alamat atau rentang IP tepercaya tertentu. Saat memperbarui aturan grup keamanan Anda, pertimbangkan untuk memisahkan persyaratan akses untuk segmen jaringan yang berbeda dengan membuat aturan untuk setiap rentang IP sumber yang diperlukan atau membatasi akses ke port tertentu. Untuk mengubah aturan grup keamanan, lihat Mengonfigurasi aturan grup keamanan di Panduan EC2 Pengguna Amazon. Untuk mengubah port default instans database Amazon RDS yang ada, lihat Memodifikasi cluster DB menggunakan konsol, CLI, dan API di Panduan Pengguna Amazon Aurora.
Instans Amazon RDS DB memiliki otentikasi database IAM dinonaktifkan
Autentikasi basis data IAM memungkinkan Anda untuk mengautentikasi ke database Amazon RDS Anda menggunakan kredensi IAM alih-alih kata sandi basis data. Ini memberikan beberapa manfaat keamanan, seperti manajemen akses terpusat, kredensi sementara, dan penghapusan penyimpanan kata sandi database dalam kode aplikasi. Autentikasi basis data IAM memungkinkan otentikasi ke instance database dengan token otentikasi, bukan kata sandi. Akibatnya, lalu lintas jaringan ke dan dari instance database dienkripsi menggunakan SSL. Tanpa autentikasi IAM, database biasanya mengandalkan otentikasi berbasis kata sandi, yang dapat menyebabkan penggunaan kembali kata sandi dan kata sandi yang lemah. Mengikuti praktik terbaik keamanan, kami sarankan untuk mengaktifkan otentikasi database IAM.
Aktifkan autentikasi basis data IAM
Dalam temuan eksposur, buka sumber daya dengan hyperlink. Ini akan membuka instans DB yang terpengaruh. Anda dapat mengaktifkan otentikasi database IAM dalam opsi Database. Untuk informasi selengkapnya, lihat Mengaktifkan dan menonaktifkan autentikasi database IAM di Panduan Pengguna Amazon RDS. Setelah mengaktifkan otentikasi IAM, perbarui instans DB Anda untuk menggunakan otentikasi IAM alih-alih otentikasi berbasis kata sandi.
Instans Amazon RDS DB menggunakan nama pengguna admin default
Menggunakan nama pengguna default (misalnya, “admin”, “root”) untuk instans DB meningkatkan risiko keamanan karena ini dikenal luas dan umumnya ditargetkan dalam serangan brute force. Nama pengguna default dapat diprediksi dan memudahkan pengguna yang tidak sah untuk mencoba mendapatkan akses ke database Anda. Dengan nama pengguna default, penyerang hanya perlu mendapatkan kata sandi daripada membutuhkan keduanya untuk mendapatkan akses ke database Anda. Mengikuti praktik terbaik keamanan, sebaiknya gunakan nama pengguna administrator unik untuk instans database Anda untuk meningkatkan keamanan melalui ketidakjelasan dan mengurangi risiko upaya akses yang tidak sah.
Konfigurasikan nama pengguna administrator yang unik
Dalam temuan eksposur, buka sumber daya dengan hyperlink. Ini akan membuka instans DB yang terpengaruh. Pertimbangkan frekuensi cadangan, periode retensi, dan aturan siklus hidup yang terbaik untuk aplikasi Anda.
Cluster Amazon RDS DB menggunakan nama pengguna admin default
Menggunakan nama pengguna default (misalnya, “admin”, “root”) untuk instans DB meningkatkan risiko keamanan karena ini dikenal luas dan umumnya ditargetkan dalam serangan brute force. Nama pengguna default dapat diprediksi dan memudahkan pengguna yang tidak sah untuk mencoba mendapatkan akses ke database Anda. Dengan nama pengguna default, penyerang hanya perlu mendapatkan kata sandi daripada membutuhkan keduanya untuk mendapatkan akses ke database Anda. Mengikuti praktik terbaik keamanan, sebaiknya gunakan nama pengguna administrator unik untuk instans database Anda untuk meningkatkan keamanan melalui ketidakjelasan dan mengurangi risiko upaya akses yang tidak sah.
Konfigurasikan nama pengguna administrator yang unik
Dalam temuan eksposur, buka sumber daya dengan hyperlink. Ini akan membuka instans DB yang terpengaruh. Anda tidak dapat mengubah nama pengguna administrator instans Amazon RDS DB yang ada. Untuk membuat nama administrator yang unik, Anda perlu membuat instans DB baru dengan nama pengguna khusus dan memigrasikan data Anda.
Instans Amazon RDS DB memiliki peningkatan versi minor otomatis dinonaktifkan
Upgrade versi minor otomatis memastikan bahwa instans Amazon RDS Anda secara otomatis menerima upgrade versi mesin minor saat tersedia. Upgrade ini sering kali mencakup patch keamanan penting dan perbaikan bug yang membantu menjaga keamanan dan stabilitas database Anda. Database Anda berisiko berjalan dengan kerentanan keamanan yang diketahui yang telah diperbaiki dalam versi minor yang lebih baru. Tanpa pembaruan otomatis, instance database dapat mengakumulasi kerentanan keamanan saat baru CVEs ditemukan. Mengikuti praktik terbaik keamanan, sebaiknya aktifkan pemutakhiran versi minor otomatis untuk semua instans Amazon RDS.
Aktifkan upgrade versi minor otomatis
Dalam temuan eksposur, buka sumber daya dengan hyperlink. Ini akan membuka instans DB yang terpengaruh. Anda dapat melihat pengaturan pemutakhiran kecil otomatis di tab Pemeliharaan & pencadangan. Untuk informasi selengkapnya, lihat Upgrade versi minor otomatis untuk Amazon RDS for MySQL Anda juga dapat mengonfigurasi jendela pemeliharaan agar terjadi selama periode aktivitas database rendah.
Instans Amazon RDS DB memiliki cadangan otomatis dinonaktifkan
Pencadangan otomatis menyediakan point-in-time pemulihan untuk instans Amazon RDS Anda, memungkinkan Anda memulihkan database ke titik mana pun dalam periode retensi Anda. Saat pencadangan otomatis dinonaktifkan, Anda berisiko kehilangan data jika terjadi penghapusan berbahaya, korupsi data, atau skenario kehilangan data lainnya. Jika terjadi aktivitas berbahaya seperti serangan ransomware, penghapusan tabel database, atau korupsi, kemampuan untuk mengembalikan ke titik waktu sebelum insiden mengurangi waktu yang diperlukan untuk pulih dari suatu insiden. Mengikuti praktik terbaik keamanan, kami merekomendasikan untuk mengaktifkan pencadangan otomatis dengan periode retensi yang sesuai untuk semua basis data produksi.
Instans Amazon RDS DB memiliki perlindungan penghapusan dinonaktifkan
Perlindungan penghapusan database adalah fitur yang membantu mencegah penghapusan instance database Anda. Ketika perlindungan penghapusan dinonaktifkan, database Anda dapat dihapus oleh setiap pengguna dengan izin yang cukup, berpotensi mengakibatkan kehilangan data atau downtime aplikasi. Penyerang dapat menghapus database Anda, yang menyebabkan gangguan layanan, kehilangan data, dan peningkatan waktu pemulihan. Mengikuti praktik terbaik keamanan, sebaiknya aktifkan perlindungan penghapusan untuk instans RDS DB Anda untuk mencegah penghapusan berbahaya.
Aktifkan perlindungan hapus untuk cluster Amazon RDS DB Anda
Dalam temuan eksposur, buka sumber daya dengan hyperlink. Ini akan membuka cluster DB yang terpengaruh.
Cluster Amazon RDS DB memiliki perlindungan penghapusan dinonaktifkan
Perlindungan penghapusan database adalah fitur yang membantu mencegah penghapusan instance database Anda. Ketika perlindungan penghapusan dinonaktifkan, database Anda dapat dihapus oleh setiap pengguna dengan izin yang cukup, berpotensi mengakibatkan kehilangan data atau downtime aplikasi. Penyerang dapat menghapus database Anda, yang menyebabkan gangguan layanan, kehilangan data, dan peningkatan waktu pemulihan. Mengikuti praktik terbaik keamanan, sebaiknya aktifkan perlindungan penghapusan untuk klaster RDS DB Anda untuk mencegah penghapusan berbahaya.
Aktifkan perlindungan hapus untuk cluster Amazon RDS DB Anda
Dalam temuan eksposur, buka sumber daya dengan hyperlink. Ini akan membuka cluster DB yang terpengaruh.
Instans Amazon RDS DB menggunakan port default untuk mesin database
Instans Amazon RDS yang menggunakan port default untuk mesin database mungkin menghadapi peningkatan risiko keamanan, karena port default ini dikenal luas dan sering ditargetkan oleh alat pemindaian otomatis. Memodifikasi instans DB Anda untuk menggunakan port non-default menambahkan lapisan keamanan tambahan melalui ketidakjelasan, sehingga lebih sulit bagi pengguna yang tidak sah untuk melakukan serangan otomatis atau ditargetkan pada database Anda. Port default biasanya dipindai oleh orang yang tidak berwenang, dan dapat menyebabkan instans DB Anda ditargetkan. Mengikuti praktik terbaik keamanan, kami sarankan untuk mengubah port default ke port khusus untuk mengurangi risiko serangan otomatis atau tertarget.
Dalam temuan eksposur, buka sumber daya dengan hyperlink. Ini akan membuka instans DB yang terpengaruh.
Perbarui string koneksi aplikasi
Setelah mengubah port, perbarui semua aplikasi dan layanan yang terhubung ke instans Amazon RDS Anda untuk menggunakan nomor port baru.
Instans Amazon RDS DB tidak tercakup oleh paket cadangan
AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya yang memusatkan dan mengotomatiskan pencadangan data di seluruh. Layanan AWS Jika instans DB Anda tidak tercakup oleh rencana cadangan, Anda berisiko kehilangan data jika terjadi penghapusan berbahaya, korupsi data, atau skenario kehilangan data lainnya. Jika terjadi aktivitas berbahaya seperti serangan ransomware, penghapusan tabel database, atau korupsi, kemampuan untuk mengembalikan ke titik waktu sebelum insiden mengurangi waktu yang diperlukan untuk pulih dari suatu insiden. Mengikuti praktik terbaik keamanan, sebaiknya sertakan instans Amazon RDS Anda dalam paket cadangan untuk memastikan perlindungan data.
Buat dan tetapkan rencana cadangan untuk instans DB Anda
Dalam temuan eksposur, buka sumber daya dengan hyperlink. Ini akan membuka instans DB yang terpengaruh. Pertimbangkan frekuensi cadangan, periode retensi, dan aturan siklus hidup yang terbaik untuk aplikasi Anda.
