Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Correzione delle esposizioni per le funzioni di Amazon RDS
Nota
Security Hub è in versione di anteprima ed è soggetto a modifiche.
AWS Security Hub può generare risultati sull'esposizione per le funzioni di Amazon RDS.
Sulla console Security Hub, la funzione Amazon RDS coinvolta in un rilevamento dell'esposizione e le relative informazioni identificative sono elencate nella sezione Risorse dei dettagli del risultato. A livello di codice, puoi recuperare i dettagli delle risorse con il GetFindingsV2funzionamento dell'API Security Hub.
Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.
Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.
Nota
Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS
Indice
Caratteristiche di configurazione errate per le funzioni di Amazon RDS
L'istanza database Amazon RDS è configurata con accesso pubblico
Il cluster Amazon RDS DB dispone di uno snapshot condiviso pubblicamente
L'istanza DB di Amazon RDS ha uno snapshot non crittografato a riposo
Il cluster Amazon RDS DB dispone di uno snapshot non crittografato a riposo.
L'istanza database di Amazon RDS ha un gruppo di sicurezza aperto
L'istanza database Amazon RDS ha l'autenticazione del database IAM disabilitata.
L'istanza database Amazon RDS utilizza il nome utente amministratore predefinito.
Il cluster Amazon RDS DB utilizza il nome utente amministratore predefinito
L'istanza DB di Amazon RDS ha gli aggiornamenti automatici delle versioni secondarie disattivati
L'istanza DB di Amazon RDS ha i backup automatici disabilitati
L'istanza DB di Amazon RDS ha la protezione da eliminazione disattivata
La protezione da eliminazione del cluster Amazon RDS DB è disattivata
L'istanza database Amazon RDS utilizza la porta predefinita per il motore di database.
L'istanza database Amazon RDS non è coperta da un piano di backup
Caratteristiche di configurazione errate per le funzioni di Amazon RDS
Di seguito vengono descritte le caratteristiche di configurazione errata e le fasi di correzione per le funzioni di Amazon RDS.
L'istanza database Amazon RDS è configurata con accesso pubblico
Le istanze Amazon RDS con accesso pubblico sono potenzialmente accessibili su Internet tramite i relativi endpoint. Sebbene a volte sia necessario l'accesso pubblico, ad esempio per alcune funzionalità, questa configurazione può essere utilizzata come potenziale vettore di attacco per consentire agli utenti non autorizzati di tentare di accedere al database. I database accessibili al pubblico possono essere esposti alla scansione delle porte, agli attacchi di forza bruta e ai tentativi di sfruttamento. Seguendo i principi di sicurezza standard, si consiglia di limitare l'esposizione pubblica delle risorse del database.
-
Modifica le impostazioni di accesso pubblico
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istanza DB interessata. Valuta se l'istanza DB richiede l'accessibilità pubblica in base all'architettura dell'applicazione. Per ulteriori informazioni, consulta Configurazione dell'accesso pubblico o privato in Amazon RDS.
Il cluster Amazon RDS DB dispone di uno snapshot condiviso pubblicamente
Le istantanee pubbliche sono accessibili da chiunque Account AWS, esponendo potenzialmente dati sensibili a utenti non autorizzati. Qualsiasi utente Account AWS è autorizzato a copiare queste istantanee pubbliche e creare istanze DB a partire da esse, il che potrebbe portare a violazioni dei dati o accessi non autorizzati ai dati. Seguendo le best practice di sicurezza, consigliamo di limitare l'accesso agli snapshot di Amazon RDS solo a organizzazioni affidabili Account AWS .
1. Configurazione di uno snapshot Amazon RDS per l'accesso privato
Nel rilevamento dell'esposizione, apri la risorsa tramite il collegamento ipertestuale. Per informazioni su come modificare le impostazioni di condivisione degli snapshot, consulta Sharing a snapshot nella Amazon Aurora User Guide. Per informazioni su come interrompere la condivisione degli snapshot, consulta Stopping snapshot sharing nella Amazon Aurora User Guide. .
L'istanza DB di Amazon RDS ha uno snapshot non crittografato a riposo
Gli snapshot delle istanze DB di Amazon RDS non crittografati possono esporre dati sensibili se si ottiene un accesso non autorizzato al livello di storage. Senza crittografia, i dati contenuti nelle istantanee potrebbero essere esposti attraverso accessi non autorizzati. Ciò comporta il rischio di violazioni dei dati e della conformità. Seguendo le migliori pratiche di sicurezza, consigliamo di crittografare tutte le risorse del database e i relativi backup per mantenere la riservatezza dei dati.
Nella ricerca sull'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istantanea interessata. Non è possibile crittografare direttamente un'istantanea non crittografata esistente. Create invece una copia crittografata dell'istantanea non crittografata. Per istruzioni dettagliate, consulta la sezione Copia e crittografia delle risorse Amazon RDS del cluster DB nella Guida per l'utente di Amazon Aurora. ..
Il cluster Amazon RDS DB dispone di uno snapshot non crittografato a riposo.
Gli snapshot del cluster Amazon RDS DB non crittografati possono esporre dati sensibili se si ottiene un accesso non autorizzato al livello di storage. Senza crittografia, i dati contenuti nelle istantanee potrebbero essere esposti attraverso accessi non autorizzati. Ciò comporta il rischio di violazioni dei dati e della conformità. Seguendo le migliori pratiche di sicurezza, consigliamo di crittografare tutte le risorse del database e i relativi backup per mantenere la riservatezza dei dati.
1. Crea una copia crittografata dell'istantanea
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istantanea interessata. Non è possibile crittografare direttamente un'istantanea non crittografata esistente. Create invece una copia crittografata dell'istantanea non crittografata. Per istruzioni dettagliate, consulta la sezione Copia e crittografia delle risorse Amazon RDS del cluster DB nella Guida per l'utente di Amazon Aurora. ..
L'istanza database di Amazon RDS ha un gruppo di sicurezza aperto
I gruppi di sicurezza fungono da firewall virtuali per le istanze Amazon RDS per controllare il traffico in entrata e in uscita. I gruppi di sicurezza aperti, che consentono l'accesso illimitato da qualsiasi indirizzo IP, possono esporre le istanze del database ad accessi non autorizzati e a potenziali attacchi. Seguendo i principi di sicurezza standard, consigliamo di limitare l'accesso dei gruppi di sicurezza a indirizzi IP e porte specifici per mantenere il principio del privilegio minimo.
Rivedi le regole del gruppo di sicurezza e valuta la configurazione corrente
Nel rilevamento dell'esposizione, apri la risorsa per il gruppo di sicurezza dell'istanza DB. Valuta quali porte sono aperte e accessibili da ampi intervalli IP, ad esempio(0.0.0.0/0 or ::/0). Per informazioni sulla visualizzazione dei dettagli dei gruppi di sicurezza, DescribeSecurityGroupsconsulta Amazon Elastic Compute Cloud API Reference.
Modifica le regole dei gruppi di sicurezza
Modifica le regole del gruppo di sicurezza per limitare l'accesso a intervalli o indirizzi IP affidabili specifici. Quando aggiorni le regole del gruppo di sicurezza, prendi in considerazione la possibilità di separare i requisiti di accesso per i diversi segmenti di rete creando regole per ogni intervallo IP di origine richiesto o limitando l'accesso a porte specifiche. Per modificare le regole dei gruppi di sicurezza, consulta Configura le regole dei gruppi di sicurezza nella Amazon EC2 User Guide. Per modificare la porta predefinita di un'istanza di database Amazon RDS esistente, consulta Modificare il cluster DB utilizzando la console, la CLI e l'API nella Guida per l'utente di Amazon Aurora.
L'istanza database Amazon RDS ha l'autenticazione del database IAM disabilitata.
L'autenticazione del database IAM consente di autenticarsi nel database Amazon RDS utilizzando credenziali IAM anziché password del database. Ciò offre diversi vantaggi in termini di sicurezza, come la gestione centralizzata degli accessi, le credenziali temporanee e l'eliminazione della memorizzazione delle password del database nel codice dell'applicazione. L'autenticazione del database IAM consente l'autenticazione alle istanze del database con un token di autenticazione anziché una password. Di conseguenza, il traffico di rete da e verso l'istanza del database viene crittografato tramite SSL. Senza l'autenticazione IAM, i database in genere si basano sull'autenticazione basata su password, che può portare al riutilizzo delle password e a password deboli. Seguendo le best practice di sicurezza, consigliamo di abilitare l'autenticazione del database IAM.
Abilita l'autenticazione del database IAM
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istanza DB interessata. È possibile abilitare l'autenticazione del database IAM nelle opzioni del database. Per ulteriori informazioni, consulta Abilitazione e disabilitazione dell'autenticazione del database IAM nella Amazon RDS User Guide. Dopo aver abilitato l'autenticazione IAM, aggiorna le istanze DB per utilizzare l'autenticazione IAM anziché l'autenticazione basata su password.
L'istanza database Amazon RDS utilizza il nome utente amministratore predefinito.
L'utilizzo di nomi utente predefiniti (ad esempio «admin», «root») per le istanze DB aumenta il rischio per la sicurezza, poiché questi sono ampiamente noti e comunemente presi di mira negli attacchi di forza bruta. I nomi utente predefiniti sono prevedibili e facilitano il tentativo di accesso al database da parte di utenti non autorizzati. Con i nomi utente predefiniti, gli aggressori devono solo ottenere le password anziché averle entrambe per accedere al database. Seguendo le migliori pratiche di sicurezza, consigliamo di utilizzare nomi utente amministrativi univoci per l'istanza di database per migliorare la sicurezza attraverso l'oscurità e ridurre il rischio di tentativi di accesso non autorizzati.
Configura un nome utente amministratore univoco
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istanza DB interessata. Considerate quali sono la frequenza di backup, il periodo di conservazione e le regole del ciclo di vita migliori per le vostre applicazioni.
Il cluster Amazon RDS DB utilizza il nome utente amministratore predefinito
L'utilizzo di nomi utente predefiniti (ad esempio «admin», «root») per le istanze DB aumenta il rischio per la sicurezza, poiché questi sono ampiamente noti e comunemente presi di mira negli attacchi di forza bruta. I nomi utente predefiniti sono prevedibili e facilitano il tentativo di accesso al database da parte di utenti non autorizzati. Con i nomi utente predefiniti, gli aggressori devono solo ottenere le password anziché averle entrambe per accedere al database. Seguendo le migliori pratiche di sicurezza, consigliamo di utilizzare nomi utente amministrativi univoci per l'istanza di database per migliorare la sicurezza attraverso l'oscurità e ridurre il rischio di tentativi di accesso non autorizzati.
Configura un nome utente amministratore univoco
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istanza DB interessata. Non è possibile modificare il nome utente dell'amministratore di un'istanza database Amazon RDS esistente. Per creare un nome di amministratore univoco, devi creare una nuova istanza DB con un nome utente personalizzato e migrare i dati.
L'istanza DB di Amazon RDS ha gli aggiornamenti automatici delle versioni secondarie disattivati
Gli upgrade automatici delle versioni secondarie assicurano che le istanze Amazon RDS ricevano automaticamente gli aggiornamenti delle versioni secondarie del motore non appena diventano disponibili. Questi aggiornamenti spesso includono importanti patch di sicurezza e correzioni di bug che aiutano a mantenere la sicurezza e la stabilità del database. Il database rischia di presentare vulnerabilità di sicurezza note che sono state corrette nelle versioni minori più recenti. Senza aggiornamenti automatici, le istanze del database possono accumulare vulnerabilità di sicurezza man mano che ne vengono scoperte di nuove. CVEs Seguendo le best practice di sicurezza, consigliamo di abilitare gli upgrade automatici delle versioni secondarie per tutte le istanze Amazon RDS.
Abilita gli aggiornamenti automatici delle versioni secondarie
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istanza DB interessata. È possibile visualizzare le impostazioni automatiche degli aggiornamenti secondari nella scheda Manutenzione e backup. Per ulteriori informazioni, consulta Upgrade automatici delle versioni secondarie per Amazon RDS for MySQL. Puoi anche configurare la finestra di manutenzione in modo che avvenga durante i periodi di scarsa attività del database.
L'istanza DB di Amazon RDS ha i backup automatici disabilitati
I backup automatici forniscono il point-in-time ripristino delle istanze Amazon RDS, consentendoti di ripristinare il database in qualsiasi momento durante il periodo di conservazione. Quando i backup automatici sono disabilitati, si rischia di perdere i dati in caso di cancellazione intenzionale, danneggiamento dei dati o altri scenari di perdita di dati. In caso di attività dannose come attacchi ransomware, cancellazione di tabelle di database o danneggiamento, la possibilità di ripristinare un punto temporale precedente all'incidente riduce il tempo necessario per il ripristino da un incidente. Seguendo le best practice di sicurezza, consigliamo di abilitare backup automatici con un periodo di conservazione appropriato per tutti i database di produzione.
L'istanza DB di Amazon RDS ha la protezione da eliminazione disattivata
La protezione dall'eliminazione del database è una funzionalità che aiuta a prevenire l'eliminazione delle istanze del database. Quando la protezione dall'eliminazione è disattivata, il database può essere eliminato da qualsiasi utente con autorizzazioni sufficienti, con possibili perdite di dati o tempi di inattività delle applicazioni. Gli aggressori possono eliminare il database, con conseguenti interruzioni del servizio, perdita di dati e tempi di ripristino prolungati. Seguendo le best practice di sicurezza, consigliamo di abilitare la protezione da eliminazione per le istanze DB RDS per prevenire eliminazioni dannose.
Abilita la protezione da eliminazione per il tuo cluster Amazon RDS DB
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà il cluster DB interessato.
La protezione da eliminazione del cluster Amazon RDS DB è disattivata
La protezione dall'eliminazione del database è una funzionalità che aiuta a prevenire l'eliminazione delle istanze del database. Quando la protezione dall'eliminazione è disattivata, il database può essere eliminato da qualsiasi utente con autorizzazioni sufficienti, con possibili perdite di dati o tempi di inattività delle applicazioni. Gli aggressori possono eliminare il database, con conseguenti interruzioni del servizio, perdita di dati e tempi di ripristino prolungati. Seguendo le best practice di sicurezza, consigliamo di abilitare la protezione da eliminazione per i cluster RDS DB per prevenire eliminazioni dannose.
Abilita la protezione da eliminazione per il tuo cluster Amazon RDS DB
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà il cluster DB interessato.
L'istanza database Amazon RDS utilizza la porta predefinita per il motore di database.
Le istanze Amazon RDS che utilizzano porte predefinite per i motori di database possono essere esposte a maggiori rischi per la sicurezza, poiché queste porte predefinite sono ampiamente conosciute e spesso vengono prese di mira da strumenti di scansione automatizzati. La modifica dell'istanza DB per utilizzare porte non predefinite aggiunge un ulteriore livello di sicurezza grazie all'oscurità, rendendo più difficile per gli utenti non autorizzati eseguire attacchi automatici o mirati al database. Le porte predefinite vengono in genere analizzate da persone non autorizzate e possono causare il bersaglio dell'istanza DB. Seguendo le migliori pratiche di sicurezza, consigliamo di modificare la porta predefinita con una porta personalizzata per ridurre il rischio di attacchi automatici o mirati.
Nella ricerca sull'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istanza DB interessata.
Aggiorna le stringhe di connessione dell'applicazione
Dopo aver modificato la porta, aggiorna tutte le applicazioni e i servizi che si connettono alla tua istanza Amazon RDS per utilizzare il nuovo numero di porta.
L'istanza database Amazon RDS non è coperta da un piano di backup
AWS Backup è un servizio di backup completamente gestito che centralizza e automatizza il backup dei dati in tutto il mondo. Servizi AWS Se l'istanza DB non è coperta da un piano di backup, si rischia di perdere i dati in caso di eliminazione intenzionale, danneggiamento dei dati o altri scenari di perdita dei dati. In caso di attività dannose come attacchi ransomware, cancellazione di tabelle di database o danneggiamento, la possibilità di ripristinare un punto temporale precedente all'incidente riduce il tempo necessario per riprendersi da un incidente. Seguendo le best practice di sicurezza, consigliamo di includere le istanze Amazon RDS in un piano di backup per garantire la protezione dei dati.
Crea e assegna un piano di backup per la tua istanza DB
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istanza DB interessata. Considerate quali sono la frequenza di backup, il periodo di conservazione e le regole del ciclo di vita migliori per le vostre applicazioni.
