기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Relational Database Service 제어
이러한 제어는 Amazon RDS 리소스와 관련이 있습니다.
이러한 컨트롤을 모두 AWS 리전사용할 수 있는 것은 아닙니다. 자세한 정보는 리전별 제어 기능 사용 가능 여부을 참조하세요.
[RDS.1] RDS 스냅샷은 비공개여야 합니다.
관련 요구 사항: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
범주: 보호 > 보안 네트워크 구성
심각도: 심각
리소스 유형: AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
AWS Config 규칙: rds-snapshots-public-prohibited
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 Amazon RDS 스냅샷이 퍼블릭인지 여부를 확인합니다. RDS 스냅샷이 퍼블릭인 경우 제어가 실패합니다. 이 제어는 RDS 인스턴스, Aurora DB 인스턴스, Neptune DB 인스턴스 및 Amazon DocumentDB 클러스터를 평가합니다.
RDS 스냅샷은 특정 시점에 RDS 인스턴스의 데이터를 백업하는 데 사용됩니다. RDS 인스턴스의 이전 상태를 복원하는 데 사용할 수 있습니다.
RDS 스냅샷은 의도하지 않은 경우 공개 상태가 아니여야 합니다. 암호화되지 않은 수동 스냅샷을 공개로 공유하면 모든 AWS 계정에서 해당 스냅샷을 사용할 수 있습니다. 이로 인해 의도하지 않은 RDS 인스턴스 데이터가 노출될 수 있습니다.
공용 액세스를 허용하도록 구성을 변경한 경우 AWS Config 규칙이 최대 12시간 동안 변경 사항을 감지하지 못할 수 있습니다. AWS Config 규칙이 변경을 감지할 때까지는 구성이 규칙을 위반하더라도 확인이 통과됩니다.
DB 스냅샷 공유에 대한 자세한 내용은 Amazon RDS 사용 설명서의 DB 스냅샷 공유를 참조하십시오.
이제 Security Hub가 와 통합되었습니다
RDS 스냅샷에서 퍼블릭 액세스를 제거하려면 Amazon RDS 사용 설명서의 스냅샷 공유를 참조하십시오. DB 스냅샷 가시성에서 비공개를 선택합니다.
[RDS.2] RDS DB 인스턴스는 기간에 따라 퍼블릭 액세스를 금지해야 합니다. PubliclyAccessible AWS Config
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v3.0.0/2.3.3, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (4), NIST.800-ST.800-53.r5 SC-7 (5)
범주: 보호 > 보안 네트워크 구성
심각도: 심각
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: rds-instance-public-access-check
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 인스턴스 구성 항목의 PubliclyAccessible 필드를 평가하여 Amazon RDS 인스턴스에 퍼블릭 액세스가 가능한지 여부를 확인합니다.
Neptune DB 인스턴스와 Amazon DocumentDB 클러스터에는 PubliclyAccessible 플래그가 없으므로 평가할 수 없습니다. 그러나 이 제어는 여전히 이러한 리소스에 대한 조사 결과를 생성할 수 있습니다. 이러한 조사 결과를 숨길 수 있습니다.
RDS 인스턴스 구성의 PubliclyAccessible 값은 DB 인스턴스에 퍼블릭 액세스가 가능한지 여부를 나타냅니다. DB 인스턴스가 PubliclyAccessible로 구성된 경우, 퍼블릭 IP 주소로 확인되는 공개적으로 확인 가능한 DNS 이름을 가진 인터넷 경계 인스턴스입니다. DB 인스턴스에 퍼블릭 액세스가 불가한 경우 프라이빗 IP 주소로 확인되는 DNS 이름을 가진 내부 인스턴스인 것입니다.
RDS 인스턴스를 공개적으로 액세스할 수 있도록 의도하지 않는 한 RDS 인스턴스를 PubliclyAccessible 값으로 구성하면 안 됩니다. 이렇게 하면 데이터베이스 인스턴스에 불필요한 트래픽이 발생할 수 있습니다.
이제 Security Hub가 와 통합되었습니다
RDS DB 인스턴스에서 퍼블릭 액세스를 제거하려면 Amazon RDS 사용 설명서의 Amazon RDS DB 인스턴스 수정을 참조하십시오. 퍼블릭 액세스에서 아니오를 선택합니다.
[RDS.3] RDS DB 인스턴스에는 저장 데이터 암호화가 활성화되어 있어야 합니다.
관련 요구 사항: CIS AWS 재단 벤치마크 v3.0.0/2.3.1, CIS AWS 재단 벤치마크 v1.4.0/2.3.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3 (6), NIST.800-53.r5 SC-28, NIST.800-53.R5 SC-28 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6) SC-13
범주: 보호 > 데이터 보호 > 암호화 data-at-rest
심각도: 중간
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: rds-storage-encrypted
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 Amazon RDS DB 인스턴스에 스토리지 암호화가 활성화되어 있는지 확인합니다.
이 제어는 RDS DB 인스턴스용입니다. 하지만 Aurora DB 인스턴스, Neptune DB 인스턴스 및 Amazon DocumentDB 클러스터에 대한 조사 결과를 생성할 수도 있습니다. 이러한 조사 결과가 유용하지 않으면 숨길 수 있습니다.
RDS DB 인스턴스의 중요 데이터에 대한 보안을 강화하려면 RDS DB 인스턴스가 유휴 상태에서 암호화되도록 구성해야 합니다. 유휴 시 RDS DB 인스턴스 및 스냅샷을 암호화하려면 RDS DB 인스턴스에 대해 암호화 옵션을 활성화합니다. 유휴 시 암호화된 데이터에는 DB 인스턴스에 대한 기본 스토리지, 자동 백업, 읽기 전용 복제본 및 스냅샷이 포함됩니다.
RDS 암호화된 DB 인스턴스는 RDS DB 인스턴스를 호스팅하는 서버의 데이터를 개방형 표준 AES-256 암호화 알고리즘을 사용하여 암호화합니다. 데이터가 암호화되면 Amazon RDS는 성능에 최소한의 영향을 미치면서 투명하게 데이터 액세스 인증 및 암호 해독을 처리합니다. 암호화를 사용하도록 데이터베이스 클라이언트 애플리케이션을 수정하지 않아도 됩니다.
Amazon RDS 암호화는 현재 모든 데이터베이스 엔진과 스토리지 유형에 사용할 수 있습니다. Amazon RDS 암호화는 대부분의 DB 인스턴스 클래스에서 사용 가능합니다. Amazon RDS 암호화를 지원하지 않는 DB 인스턴스 클래스에 대해 알아보려면 Amazon RDS 사용 설명서의 Amazon RDS 리소스 암호화를 참조하십시오.
이제 Security Hub가 와 통합되었습니다
Amazon RDS의 DB 인스턴스 암호화에 대한 자세한 내용은 Amazon RDS 사용 설명서의 Amazon RDS 리소스 암호화를 참조하십시오.
[RDS.4] RDS 클러스터 스냅샷과 데이터베이스 스냅샷은 저장 시 암호화되어야 합니다.
관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
범주: 보호 > 데이터 보호 > 암호화 data-at-rest
심각도: 중간
리소스 유형: AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
AWS Config 규칙: rds-snapshot-encrypted
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 RDS DB 스냅샷의 암호화 여부를 확인합니다. RDS DB 스냅샷이 암호화되지 않으면 제어가 실패합니다.
이 제어는 RDS DB 인스턴스용입니다. 하지만 Aurora DB 인스턴스, Neptune DB 인스턴스 및 Amazon DocumentDB 클러스터의 스냅샷에 대한 조사 결과를 생성할 수도 있습니다. 이러한 조사 결과가 유용하지 않으면 숨길 수 있습니다.
데이터를 저장 시 암호화하면 인증되지 않은 사용자가 디스크에 저장된 데이터에 액세스할 위험이 줄어듭니다. RDS 스냅샷의 데이터는 추가 보안 계층을 위해 저장 시 암호화되어야 합니다.
이제 Security Hub가 와 통합되었습니다
RDS 스냅샷을 암호화하려면 Amazon RDS 사용 설명서의 Amazon RDS 리소스 암호화를 참조하십시오. RDS DB 인스턴스를 암호화하면 암호화된 데이터에는 인스턴스의 기본 스토리지, 자동 백업, 읽기 전용 복제본 및 스냅샷이 포함됩니다.
RDS DB 인스턴스를 생성할 때만 암호화할 수 있으며, DB 인스턴스가 생성된 후에는 암호화할 수 없습니다. 다만 암호화되지 않은 스냅샷의 사본을 암호화할 수 있기 때문에 암호화되지 않은 DB 인스턴스에 실질적으로 암호화를 추가할 수 있습니다. 즉, DB 인스턴스의 스냅샷을 만든 다음 해당 스냅샷의 암호화된 사본을 만들 수 있습니다. 그런 다음 암호화된 스냅샷에서 DB 인스턴스를 복구할 수 있고, 원본 DB 인스턴스의 암호화된 사본이 생깁니다.
[RDS.5] RDS DB 인스턴스는 여러 가용 영역으로 구성해야 합니다.
관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
범주: 복구 > 복원력 > 고가용성
심각도: 중간
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: rds-multi-az-support
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 RDS DB 인스턴스에 대해 고가용성이 활성화되었는지 여부를 확인합니다.
RDS DB 인스턴스는 여러 가용 영역(AZ)에 대해 구성되어야 합니다. 이렇게 하면 저장된 데이터의 가용성이 보장됩니다. 다중 AZ 배포를 사용하면 AZ 가용성에 문제가 있거나 정기적인 RDS 유지 관리 중에 문제가 있는 경우 자동 장애 조치가 가능합니다.
이제 Security Hub가 와 통합되었습니다
다중 AZ에 DB 인스턴스를 배포하려면 Amazon RDS 사용 설명서의 DB 인스턴스를 다중 AZ DB 인스턴스 배포로 수정을 참조하십시오.
[RDS.6] RDS DB 인스턴스에 대한 Enhanced Monitoring을 구성해야 합니다.
관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: rds-enhanced-monitoring-enabled
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 유형 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
|
|
모니터링 지표 수집 간격(초) |
Enum |
|
기본값 없음 |
이 제어는 Amazon Relational Database Service(RDS) DB 인스턴스에 확장 모니터링이 활성화되었는지 확인합니다. 인스턴스에 대해 향상된 모니터링이 활성화되지 않은 경우 제어가 실패합니다. monitoringInterval 파라미터에 사용자 지정 값을 제공하는 경우, 인스턴스에 대해 지정된 간격으로 향상된 모니터링 지표가 수집되는 경우에만 제어가 통과합니다.
Amazon RDS에서는 Enhanced Monitoring을 통해 기본 인프라의 성능 변화에 더욱 신속하게 대응할 수 있습니다. 이러한 성능 변화로 인해 데이터 가용성이 부족해질 수 있습니다. Enhanced Monitoring은 RDS DB 인스턴스가 실행되는 운영 체제에 대한 실시간 지표를 제공합니다. 에이전트가 인스턴스에 설치되어 있습니다. 에이전트는 하이퍼바이저 계층에서 가능한 것보다 더 정확하게 지표를 얻을 수 있습니다.
Enhanced Monitoring 지표는 DB 인스턴스의 다양한 프로세스나 스레드가 CPU를 어떻게 사용하는지 확인하려는 경우에 유용합니다. 자세한 내용을 알아보려면 Amazon RDS 사용 설명서의 Enhanced Monitoring을 참조하십시오.
이제 Security Hub가 와 통합되었습니다
DB 인스턴스의 Enhanced Monitoring을 활성화하는 방법에 대한 자세한 지침은 Amazon RDS 사용 설명서의 Enhanced Monitoring 설정 및 활성화를 참조하세요.
[RDS.7] RDS 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
관련 요구 사항: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)
범주: 보호 > 데이터 보호 > 데이터 삭제 보호
심각도: 낮음
리소스 유형: AWS::RDS::DBCluster
AWS Config 규칙: rds-cluster-deletion-protection-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 RDS DB 클러스터에 삭제 보호가 활성화되어 있는지 확인합니다. RDS DB 클러스터에 삭제 방지 기능이 활성화되지 않은 경우 제어가 실패합니다.
이 제어는 RDS DB 인스턴스용입니다. 하지만 Aurora DB 인스턴스, Neptune DB 인스턴스 및 Amazon DocumentDB 클러스터에 대한 조사 결과를 생성할 수도 있습니다. 이러한 조사 결과가 유용하지 않으면 숨길 수 있습니다.
클러스터 삭제 보호를 활성화하면 우발적인 데이터베이스 삭제 또는 승인되지 않은 개체에 의한 삭제에 대한 추가 보호 계층이 제공됩니다.
삭제 방지 기능이 활성화되면 RDS 클러스터가 삭제될 수 없습니다. 삭제 요청이 성공하려면 먼저 삭제 보호를 비활성화해야 합니다.
이제 Security Hub가 와 통합되었습니다
RDS DB 클러스터에 대한 삭제 보호를 활성화하려면 Amazon RDS 사용 설명서의 콘솔, CLI 및 API를 사용하여 DB 클러스터 수정을 참조하십시오. 삭제 방지에서 삭제 방지 활성화를 선택합니다.
[RDS.8] RDS DB 인스턴스에는 삭제 방지 기능이 활성화되어 있어야 합니다.
관련 요구 사항: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
범주: 보호 > 데이터 보호 > 데이터 삭제 보호
심각도: 낮음
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: rds-instance-deletion-protection-enabled
스케줄 유형: 변경이 트리거됨
파라미터:
-
databaseEngines:mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(사용자 지정할 수 없음)
이 제어는 나열된 데이터베이스 엔진 중 하나를 사용하는 RDS DB 인스턴스에 삭제 보호가 활성화되어 있는지 확인합니다. RDS DB 인스턴스에 삭제 방지 기능이 활성화되지 않은 경우 제어가 실패합니다.
인스턴스 삭제 보호를 활성화하면 우발적인 데이터베이스 삭제 또는 승인되지 않은 개체에 의한 삭제에 대한 추가 보호 계층이 제공됩니다.
삭제 보호가 활성화되어 있는 동안에는 RDS DB 인스턴스를 삭제할 수 없습니다. 삭제 요청이 성공하려면 먼저 삭제 보호를 비활성화해야 합니다.
이제 Security Hub가 와 통합되었습니다
RDS DB 인스턴스에 대한 삭제 보호를 활성화하려면 Amazon RDS 사용 설명서의 Amazon RDS DB 인스턴스 수정을 참조하십시오. 삭제 방지에서 삭제 방지 활성화를 선택합니다.
[RDS.9] RDS DB 인스턴스는 로그를 로그에 게시해야 합니다. CloudWatch
관련 요구 사항: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)
범주: 식별 > 로깅
심각도: 중간
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: rds-logging-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 Amazon RDS DB 인스턴스가 Amazon CloudWatch Logs에 다음 로그를 게시하도록 구성되어 있는지 여부를 확인합니다. 인스턴스가 다음 로그를 Logs에 게시하도록 구성되지 않은 경우 제어가 실패합니다 CloudWatch .
-
Oracle: (Alert, Audit, Trace, Listener)
-
PostgreSQL: (Postgresql, Upgrade)
-
MySQL: (감사, 오류, 일반,) SlowQuery
-
MariaDB: (감사, 오류, 일반,) SlowQuery
-
SQL Server: (Error, Agent)
-
Aurora: (감사, 오류, 일반,) SlowQuery
-
오로라-MySQL: (감사, 오류, 일반,) SlowQuery
-
Aurora-PostgreSQL: (Postgresql, Upgrade).
RDS 데이터베이스에는 관련 로그가 활성화되어 있어야 합니다. 데이터베이스 로깅은 RDS에 대한 요청에 대한 자세한 기록을 제공합니다. 데이터베이스 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
이제 Security Hub가 와 통합되었습니다
RDS 데이터베이스 로그를 로그에 게시하려면 CloudWatch Amazon RDS 사용 설명서의 CloudWatch 로그에 게시할 로그 지정을 참조하십시오.
[RDS.10] RDS 인스턴스에 대해 IAM 인증을 구성해야 합니다.
관련 요구 사항: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6
범주: 보호 > 보안 액세스 관리 > 비밀번호 없는 인증
심각도: 중간
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: rds-instance-iam-authentication-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 RDS DB 인스턴스에 IAM 데이터베이스 인증이 활성화되어 있는지 확인합니다. RDS DB 인스턴스에 대해 IAM 인증이 구성되지 않은 경우 제어가 실패합니다. 이 제어는 엔진 유형이 mysql, postgres, aurora, aurora-mysql, aurora-postgresql 및 mariadb인 RDS 인스턴스만 평가합니다. 또한 검색 결과가 생성되려면 RDS 인스턴스가 available,backing-up, storage-optimization 또는 storage-full 상태 중 하나여야 합니다.
IAM 데이터베이스 인증을 사용하면 암호 대신 인증 토큰을 사용하여 데이터베이스 인스턴스를 인증할 수 있습니다. 데이터베이스를 오가는 네트워크 트래픽은 SSL을 통해 암호화됩니다. 자세한 내용을 알아보려면 Amazon Aurora 사용 설명서의 IAM 데이터베이스 인증을 참조하십시오.
이제 Security Hub가 와 통합되었습니다
RDS DB 인스턴스에서 IAM 데이터베이스 인증을 활성화하려면 Amazon RDS 사용 설명서의 IAM 데이터베이스 인증 활성화 및 비활성화를 참조하십시오.
[RDS.11] RDS 인스턴스에는 자동 백업이 활성화되어 있어야 합니다.
관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)
범주: 복구 > 복원력 > 백업 활성화
심각도: 중간
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: db-instance-backup-enabled
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 유형 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
|
|
백업 보존 기간(일수) |
Integer |
|
|
|
|
RDS DB 인스턴스에 읽기 전용 복제본 백업이 활성화되어 있는지 확인합니다. |
불 |
사용자 지정할 수 없음 |
|
이 제어는 Amazon Relational Database Service 인스턴스에 자동 백업이 활성화되어 있고 백업 보존 기간이 지정된 기간 이상인지 확인합니다. 읽기 전용 복제본은 평가에서 제외됩니다. 인스턴트에 대한 백업이 활성화되지 않았거나 보존 기간이 지정된 기간 미만인 경우 제어가 실패합니다. 백업 보존 기간에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub는 기본값인 7일을 사용합니다.
백업을 통해 보안 사고로부터 더 빠르게 복구할 수 있고 시스템의 복원력을 강화할 수 있습니다. Amazon RDS를 사용하면 일일 전체 인스턴스 볼륨 스냅샷을 구성할 수 있습니다. Amazon RDS 자동 백업에 대한 자세한 내용은 Amazon RDS 사용 설명서의 백업 작업을 참조하세요.
이제 Security Hub가 와 통합되었습니다
RDS DB 인스턴스에서 자동 백업을 활성화하려면 Amazon RDS 사용 설명서의 자동 백업 활성화를 참조하십시오.
[RDS.12] RDS 클러스터에 대해 IAM 인증을 구성해야 합니다.
관련 요구 사항: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6
범주: 보호 > 보안 액세스 관리 > 비밀번호 없는 인증
심각도: 중간
리소스 유형: AWS::RDS::DBCluster
AWS Config 규칙: rds-cluster-iam-authentication-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 Amazon RDS DB 클러스터에 IAM 데이터베이스 인증이 활성화되어 있는지 확인합니다.
IAM 데이터베이스 인증을 사용하면 데이터베이스 인스턴스에 암호 없이 인증할 수 있습니다. 인증은 인증 토큰을 사용합니다. 데이터베이스를 오가는 네트워크 트래픽은 SSL을 통해 암호화됩니다. 자세한 내용을 알아보려면 Amazon Aurora 사용 설명서의 IAM 데이터베이스 인증을 참조하십시오.
이제 Security Hub가 와 통합되었습니다
DB 클러스터에 대한 IAM 인증을 활성화하려면 Amazon Aurora 사용 설명서의 IAM 데이터베이스 인증 활성화 및 비활성화를 참조하십시오.
[RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.
관련 요구 사항: CIS AWS 재단 벤치마크 v3.0.0/2.3.2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5)
범주: 식별 > 취약성, 패치 및 버전 관리
심각도: 높음
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: rds-automatic-minor-version-upgrade-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 RDS 데이터베이스 인스턴스에 대해 자동 마이너 버전 업그레이드가 활성화되어 있는지 확인합니다.
자동 마이너 버전 업그레이드를 활성화하면 관계형 데이터베이스 관리 시스템(RDBMS)에 대한 최신 마이너 버전 업데이트가 설치됩니다. 이러한 업그레이드에는 보안 패치 및 버그 수정이 포함될 수 있습니다. 패치 설치를 최신 상태로 유지하는 것은 시스템 보안의 중요한 단계입니다.
이제 Security Hub가 와 통합되었습니다
기존 DB 인스턴스의 자동 마이너 버전 업그레이드를 활성화하려면 Amazon RDS 사용 설명서의 Amazon RDS DB 인스턴스 수정을 참조하십시오. 자동 마이너 버전 업그레이드의 경우 예를 선택합니다.
[RDS.14] Amazon Aurora 클러스터에는 역추적이 활성화되어 있어야 합니다.
관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SI-13(5)
범주: 복구 > 복원력 > 백업 활성화
심각도: 중간
리소스 유형: AWS::RDS::DBCluster
AWS Config 규칙: aurora-mysql-backtracking-enabled
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 유형 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
|
|
Aurora MySQL 클러스터를 역추적하는 데 걸리는 기간(시간) |
Double |
|
기본값 없음 |
이 제어는 Amazon Aurora 클러스터에 역추적이 활성화되어 있는지 확인합니다. 클러스터에 역추적이 활성화되지 않은 경우 제어가 실패합니다. BacktrackWindowInHours 파라미터에 사용자 지정 값을 제공하는 경우 지정된 시간 동안 클러스터를 역추적하는 경우에만 제어가 통과합니다.
백업을 통해 보안 사고로부터 더 빠르게 복구할 수 있습니다. 또한 시스템의 복원력을 강화합니다. Aurora 역추적은 데이터베이스를 특정 시점으로 복구하는 데 걸리는 시간을 줄여줍니다. 이를 위해 데이터베이스를 복원할 필요는 없습니다.
이제 Security Hub가 와 통합되었습니다
Aurora 역추적을 활성화하려면 Amazon Aurora 사용 설명서의 역추적 구성을 참조하세요.
기존 클러스터에서는 역추적을 활성화할 수 없다는 점에 유의하세요. 대신 역추적이 활성화된 복제본을 생성할 수 있습니다. Aurora 역추적 제한 사항에 대한 자세한 내용은 역추적 개요의 제한 사항 목록을 참조하세요.
[RDS.15] RDS DB 클러스터는 여러 가용 영역에 대해 구성되어야 합니다.
관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
범주: 복구 > 복원력 > 고가용성
심각도: 중간
리소스 유형: AWS::RDS::DBCluster
AWS Config 규칙: rds-cluster-multi-az-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 RDS DB 클러스터에 대해 고가용성이 활성화되었는지 여부를 확인합니다. RDS DB 클러스터가 여러 가용 영역(AZ)에 배포되지 않으면 제어가 실패합니다.
저장된 데이터의 가용성을 보장하려면 여러 AZ에 대해 RDS DB 클러스터를 구성해야 합니다. 여러 AZ에 배포하면 AZ 가용성 문제가 발생하는 경우 및 정기적인 RDS 유지 관리 이벤트 중에 자동 장애 조치가 가능합니다.
이제 Security Hub가 와 통합되었습니다
다중 AZ에 DB 클러스터를 배포하려면 Amazon RDS 사용 설명서의 DB 인스턴스를 다중 AZ DB 인스턴스 배포로 수정을 참조하십시오.
Aurora 글로벌 데이터베이스에 대한 수정 단계가 다릅니다. Aurora 글로벌 데이터베이스에 대해 여러 가용 영역을 구성하려면 DB 클러스터를 선택합니다. 그런 다음 작업과 리더 추가를 선택하고 여러 AZ를 지정합니다. 자세한 내용을 알아보려면 Amazon Aurora 사용 설명서의 DB 클러스터에 Aurora 복제본 추가를 참조하십시오.
[RDS.16] RDS DB 클러스터는 태그를 스냅샷에 복사하도록 구성되어야 합니다.
관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)
범주: 식별 > 인벤토리
심각도: 낮음
리소스 유형: AWS::RDS::DBCluster
AWS Config 규칙: rds-cluster-copy-tags-to-snapshots-enabled (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 스냅샷이 생성될 때 RDS DB 클러스터가 모든 태그를 스냅샷에 복사하도록 구성되어 있는지 확인합니다.
IT 자산의 식별 및 인벤토리는 거버넌스 및 보안의 중요한 측면입니다. 보안 상태를 평가하고 잠재적인 약점 영역에 조치를 취할 수 있도록 모든 RDS DB 클러스터에 대한 가시성을 확보해야 합니다. 스냅샷에는 상위 RDS 데이터베이스 클러스터와 동일한 방식으로 태그를 지정해야 합니다. 이 설정을 활성화하면 스냅샷이 상위 데이터베이스 클러스터의 태그를 상속하게 됩니다.
이제 Security Hub가 와 통합되었습니다
RDS DB 클러스터의 스냅샷에 태그를 자동으로 복사하려면 Amazon Aurora 사용 설명서의 콘솔, CLI 및 API를 사용하여 DB 클러스터 수정을 참조하십시오. 스냅샷으로 태그 복사를 선택합니다.
[RDS.17] RDS DB 인스턴스는 태그를 스냅샷에 복사하도록 구성되어야 합니다.
관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)
범주: 식별 > 인벤토리
심각도: 낮음
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: rds-instance-copy-tags-to-snapshots-enabled (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 스냅샷이 생성될 때 RDS DB 인스턴스가 모든 태그를 스냅샷에 복사하도록 구성되어 있는지 확인합니다.
IT 자산의 식별 및 인벤토리는 거버넌스 및 보안의 중요한 측면입니다. 보안 상태를 평가하고 잠재적인 약점 영역에 조치를 취할 수 있도록 모든 RDS DB 인스턴스에 대한 가시성을 확보해야 합니다. 스냅샷에는 상위 RDS 데이터베이스 인스턴스와 같은 방식으로 태그를 지정해야 합니다. 이 설정을 활성화하면 스냅샷이 상위 데이터베이스 인스턴스의 태그를 상속하게 됩니다.
이제 Security Hub가 와 통합되었습니다
RDS DB 인스턴스의 스냅샷에 태그를 자동으로 복사하려면 Amazon RDS 사용 설명서의 Amazon RDS DB 인스턴스 수정을 참조하십시오. 스냅샷으로 태그 복사를 선택합니다.
[RDS.18] RDS 인스턴스는 VPC에 배포되어야 합니다.
관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
범주: 보호 > 보안 네트워크 구성 > VPC 내 리소스
심각도: 높음
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: rds-deployed-in-vpc (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 Amazon RDS 인스턴스가 EC2-VPC 상에 배포되었는지 여부를 확인합니다.
VPC는 RDS 리소스에 대한 액세스를 보호하기 위한 여러 네트워크 제어를 제공합니다. 이러한 제어에는 VPC 엔드포인트, 네트워크 ACL, 보안 그룹이 포함됩니다. 이러한 제어 기능을 활용하려면 EC2-VPC 상에 RDS 인스턴스를 생성하는 것이 좋습니다.
이제 Security Hub가 와 통합되었습니다
RDS 인스턴스를 VPC로 이동하는 방법에 대한 지침은 Amazon RDS 사용 설명서의 DB 인스턴스용 VPC 업데이트를 참조하십시오.
[RDS.19] 중요한 클러스터 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.
관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
범주: 감지 > 감지 서비스 > 애플리케이션 모니터링
심각도: 낮음
리소스 유형: AWS::RDS::EventSubscription
AWS Config 규칙: rds-cluster-event-notifications-configured (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 데이터베이스 클러스터에 대한 기존 Amazon RDS 이벤트 구독에 다음 소스 유형 및 이벤트 범주 키-값 쌍에 대해 사용하도록 설정된 알림이 있는지 확인합니다.
DBCluster: ["maintenance","failure"]
계정에 기존 이벤트 구독이 없는 경우 제어가 통과됩니다.
RDS 이벤트 알림은 Amazon SNS를 사용하여 RDS 리소스의 가용성 또는 구성 변경 사항을 알려줍니다. 이러한 알림을 통해 신속하게 대응할 수 있습니다. RDS 이벤트 알림에 대한 추가 정보는 Amazon RDS 사용 설명서의 Amazon RDS 이벤트 알림 사용을 참조하십시오.
이제 Security Hub가 와 통합되었습니다
RDS 클러스터 이벤트 알림을 구독하려면 Amazon RDS 사용 설명서의 Amazon RDS 이벤트 알림 구독을 참조하십시오. 다음 값을 사용합니다.
| 필드 | 값 |
|---|---|
|
소스 유형 |
클러스터 |
|
포함할 클러스터 |
모든 클러스터 |
|
포함할 이벤트 범주 |
특정 이벤트 범주 또는 모든 이벤트 범주를 선택합니다. |
[RDS.20] 중요한 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.
관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
범주: 감지 > 감지 서비스 > 애플리케이션 모니터링
심각도: 낮음
리소스 유형: AWS::RDS::EventSubscription
AWS Config 규칙: rds-instance-event-notifications-configured (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 데이터베이스 인스턴스에 대한 기존 Amazon RDS 이벤트 구독에 다음 소스 유형 및 이벤트 범주 키-값 쌍에 대해 사용하도록 설정된 알림이 있는지 확인합니다.
DBInstance: ["maintenance","configuration change","failure"]
계정에 기존 이벤트 구독이 없는 경우 제어가 통과됩니다.
RDS 이벤트 알림은 Amazon SNS를 사용하여 RDS 리소스의 가용성 또는 구성 변경 사항을 알려줍니다. 이러한 알림을 통해 신속하게 대응할 수 있습니다. RDS 이벤트 알림에 대한 추가 정보는 Amazon RDS 사용 설명서의 Amazon RDS 이벤트 알림 사용을 참조하십시오.
이제 Security Hub가 와 통합되었습니다
RDS 인스턴스 이벤트 알림을 구독하려면 Amazon RDS 사용 설명서의 Amazon RDS 이벤트 알림 구독을 참조하십시오. 다음 값을 사용합니다.
| 필드 | 값 |
|---|---|
|
소스 유형 |
인스턴스 |
|
포함할 인스턴스 |
모든 인스턴스 |
|
포함할 이벤트 범주 |
특정 이벤트 범주 또는 모든 이벤트 범주를 선택합니다. |
[RDS.21] 중요한 데이터베이스 파라미터 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.
관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
범주: 감지 > 감지 서비스 > 애플리케이션 모니터링
심각도: 낮음
리소스 유형: AWS::RDS::EventSubscription
AWS Config 규칙: rds-pg-event-notifications-configured (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 다음과 같은 소스 유형, 이벤트 범주 키-값 쌍에 대해 알림이 활성화된 상태에서 Amazon RDS 이벤트 구독이 존재하는지 확인합니다. 계정에 기존 이벤트 구독이 없는 경우 제어가 통과됩니다.
DBParameterGroup: ["configuration change"]
RDS 이벤트 알림은 Amazon SNS를 사용하여 RDS 리소스의 가용성 또는 구성 변경 사항을 알려줍니다. 이러한 알림을 통해 신속하게 대응할 수 있습니다. RDS 이벤트 알림에 대한 추가 정보는 Amazon RDS 사용 설명서의 Amazon RDS 이벤트 알림 사용을 참조하십시오.
이제 Security Hub가 와 통합되었습니다
RDS 데이터베이스 파라미터 그룹 이벤트 알림을 구독하려면 Amazon RDS 사용 설명서의 Amazon RDS 이벤트 알림 구독을 참조하십시오. 다음 값을 사용합니다.
| 필드 | 값 |
|---|---|
|
소스 유형 |
파라미터 그룹 |
|
포함할 파라미터 그룹 |
모든 파라미터 그룹 |
|
포함할 이벤트 범주 |
특정 이벤트 범주 또는 모든 이벤트 범주를 선택합니다. |
[RDS.22] 중요한 데이터베이스 보안 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.
관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
범주: 감지 > 감지 서비스 > 애플리케이션 모니터링
심각도: 낮음
리소스 유형: AWS::RDS::EventSubscription
AWS Config 규칙: rds-sg-event-notifications-configured (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 다음과 같은 소스 유형, 이벤트 범주 키-값 쌍에 대해 알림이 활성화된 상태에서 Amazon RDS 이벤트 구독이 존재하는지 확인합니다. 계정에 기존 이벤트 구독이 없는 경우 제어가 통과됩니다.
DBSecurityGroup: ["configuration change","failure"]
RDS 이벤트 알림은 Amazon SNS를 사용하여 RDS 리소스의 가용성 또는 구성 변경 사항을 알려줍니다. 이러한 알림을 통해 신속하게 대응할 수 있습니다. RDS 이벤트 알림에 대한 추가 정보는 Amazon RDS 사용 설명서의 Amazon RDS 이벤트 알림 사용을 참조하십시오.
이제 Security Hub가 와 통합되었습니다
RDS 인스턴스 이벤트 알림을 구독하려면 Amazon RDS 사용 설명서의 Amazon RDS 이벤트 알림 구독을 참조하십시오. 다음 값을 사용합니다.
| 필드 | 값 |
|---|---|
|
소스 유형 |
보안 그룹 |
|
포함해야 할 보안 그룹 |
모든 보안 그룹 |
|
포함할 이벤트 범주 |
특정 이벤트 범주 또는 모든 이벤트 범주를 선택합니다. |
[RDS.23] RDS 인스턴스는 데이터베이스 엔진 기본 포트를 사용하지 않아야 합니다.
관련 요구 사항: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(5)
범주: 보호 > 보안 네트워크 구성
심각도: 낮음
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: rds-no-default-ports (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 RDS 클러스터 또는 인스턴스가 데이터베이스 엔진의 기본 포트가 아닌 다른 포트를 사용하는지 여부를 확인합니다. RDS 클러스터 또는 인스턴스가 기본 포트를 사용하는 경우 제어가 실패합니다.
알려진 포트를 사용하여 RDS 클러스터 또는 인스턴스를 배포하면 공격자가 클러스터 또는 인스턴스에 대한 정보를 추측할 수 있습니다. 공격자는 이 정보를 다른 정보와 함께 사용하여 RDS 클러스터 또는 인스턴스에 연결하거나 애플리케이션에 대한 추가 정보를 얻을 수 있습니다.
포트를 변경할 때는 이전 포트에 연결하는 데 사용된 기존 연결 문자열도 업데이트해야 합니다. 또한 DB 인스턴스의 보안 그룹에 새 포트에서의 연결을 허용하는 인그레스 규칙이 포함되어 있는지 확인해야 합니다.
이제 Security Hub가 와 통합되었습니다
기존 RDS DB 인스턴스의 기본 포트를 수정하려면 Amazon RDS 사용 설명서의 Amazon RDS DB 인스턴스 수정을 참조하십시오. 기존 RDS DB 클러스터의 기본 포트를 수정하려면 Amazon Aurora 사용 설명서의 콘솔, CLI 및 API를 사용하여 DB 클러스터 수정을 참조하십시오. 데이터베이스 포트의 경우 포트 값을 기본값이 아닌 값으로 변경하십시오.
[RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.
관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
범주: 식별 > 리소스 구성
심각도: 중간
리소스 유형: AWS::RDS::DBCluster
AWS Config 규칙: rds-cluster-default-admin-check
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 Amazon RDS 데이터베이스 클러스터가 관리자 사용자 이름을 기본값에서 변경했는지 여부를 확인합니다. 이 제어는 neptune(Neptune DB) 또는 docdb(DocumentDB) 유형의 엔진에는 적용되지 않습니다. 관리자 사용자 이름을 기본값으로 설정하면 이 규칙이 실패합니다.
Amazon RDS 데이터베이스를 생성할 때는 기본 관리자 사용자 이름을 고유한 값으로 변경해야 합니다. 기본 사용자 이름은 공개되어 있으므로 RDS 데이터베이스 생성 중에 변경해야 합니다. 기본 사용자 이름을 변경하면 의도하지 않은 액세스의 위험이 줄어듭니다.
이제 Security Hub가 와 통합되었습니다
Amazon RDS 데이터베이스 클러스터와 연결된 관리자 사용자 이름을 변경하려면 데이터베이스를 생성할 때 새 RDS 데이터베이스 클러스터를 생성하고 기본 관리자 사용자 이름을 변경하십시오.
[RDS.25] RDS 데이터베이스 인스턴스는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.
관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
범주: 식별 > 리소스 구성
심각도: 중간
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: rds-instance-default-admin-check
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 Amazon Relational Database Service(RDS) 데이터베이스 인스턴스의 관리자 사용자 이름을 기본값에서 변경했는지 여부를 확인합니다. 이 제어는 neptune(Neptune DB) 또는 docdb(DocumentDB) 유형의 엔진에는 적용되지 않습니다. 관리자 사용자 이름이 기본값으로 설정된 경우 제어가 실패합니다.
Amazon RDS 데이터베이스의 기본 관리 사용자 이름은 공개된 정보입니다. Amazon RDS 데이터베이스를 생성할 때는 기본 관리자 사용자 이름을 고유한 값으로 변경하여 의도하지 않은 액세스의 위험을 줄여야 합니다.
이제 Security Hub가 와 통합되었습니다
RDS 데이터베이스 인스턴스와 관련된 관리 사용자 이름을 변경하려면 먼저 새 RDS 데이터베이스 인스턴스를 생성하십시오. 데이터베이스를 생성할 때 기본 관리 사용자 이름을 변경하십시오.
[RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.
범주: 복구 > 복원력 > 백업 활성화
관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)
심각도: 중간
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: rds-resources-protected-by-backup-plan
스케줄 유형: 주기적
파라미터:
| 파라미터 | 설명 | 유형 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
|
|
컨트롤은 매개변수가 true로 설정되어 있고 리소스가 AWS Backup Vault Lock을 사용하는지 여부를 확인합니다. |
불 |
|
기본값 없음 |
이 제어는 Amazon RDS DB 인스턴스에 백업 계획이 적용되는지 여부를 평가합니다. RDS DB 인스턴스에 백업 계획이 적용되지 않는 경우 이 제어가 실패합니다. backupVaultLockCheck매개 변수를 다음과 같이 설정하면 인스턴스가 AWS Backup 잠긴 저장소에 백업된 경우에만 제어가 통과합니다. true
AWS Backup 데이터 백업을 중앙 집중화하고 자동화하는 완전 관리형 백업 서비스입니다. AWS 서비스를 사용하여 AWS Backup백업 계획이라는 백업 정책을 만들 수 있습니다. 이러한 계획을 사용하여 데이터 백업 빈도 및 백업 보존 기간과 같은 백업 요구 사항을 정의할 수 있습니다. 백업 계획에 RDS DB 인스턴스를 포함하면 의도하지 않은 손실이나 삭제로부터 데이터를 보호하는 데 도움이 됩니다.
이제 Security Hub가 와 통합되었습니다
RDS DB 인스턴스를 AWS Backup 백업 계획에 추가하려면 AWS Backup 개발자 안내서의 백업 계획에 리소스 할당을 참조하십시오.
[RDS.27] RDS DB 클러스터는 저장 시 암호화되어야 합니다.
관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
카테고리: 보호 > 데이터 보호 > 암호화 data-at-rest
심각도: 중간
리소스 유형: AWS::RDS::DBCluster
AWS Config 규칙: rds-cluster-encrypted-at-rest
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 RDS DB 클러스터가 저장 시 암호화되어 있는지 확인합니다. RDS DB 클러스터가 저장 시 암호화되지 않으면 제어가 실패합니다.
저장 데이터는 일정 기간 동안 영구 비휘발성 스토리지에 저장되는 모든 데이터를 의미합니다. 암호화를 사용하면 해당 데이터의 기밀성을 보호하여 권한 없는 사용자가 해당 데이터에 액세스할 수 있는 위험을 줄일 수 있습니다. RDS DB 클러스터를 암호화하면 데이터와 메타데이터를 무단 액세스로부터 보호할 수 있습니다. 또한 프로덕션 파일 시스템의 data-at-rest 암호화에 대한 규정 준수 요구 사항도 충족합니다.
이제 Security Hub가 와 통합되었습니다
RDS DB 클러스터를 만들 때 저장 시 암호화를 활성화할 수 있습니다. 클러스터를 생성한 후에는 암호화 설정을 변경할 수 없습니다. 자세한 내용을 알아보려면 Amazon Aurora 사용 설명서의 Amazon Aurora DB 클러스터 암호화를 참조하십시오.
[RDS.28] RDS DB 클러스터에는 태그를 지정해야 합니다.
범주: 식별 > 인벤토리 > 태깅
심각도: 낮음
리소스 유형: AWS::RDS::DBCluster
AWS Config 규칙: tagged-rds-dbcluster (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 유형 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
requiredTagKeys
|
평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록. 태그 키는 대소문자를 구별합니다. | StringList | 요구 사항을 충족하는AWS 태그 목록 | 기본값 없음 |
이 컨트롤은 Amazon RDS DB 클러스터에 파라미터에 requiredTagKeys 정의된 특정 키가 포함된 태그가 있는지 확인합니다. DB 클러스터에 태그 키가 없거나 requiredTagKeys 파라미터에 지정된 모든 키가 없는 경우 제어가 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 DB 클러스터에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.
태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 속성 기반 액세스 제어 (ABAC) 를 권한 부여 전략으로 구현할 수 있습니다. IAM 엔티티 (사용자 또는 역할) 및 리소스에 태그를 첨부할 수 있습니다. AWS IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 ABAC의 용도를 참조하십시오. AWSIAM 사용 설명서에서.
참고
태그에 개인 식별 정보 (PII) 또는 기타 기밀 또는 민감한 정보를 추가하지 마십시오. 태그를 포함한 많은 사람들이 AWS 서비스태그에 액세스할 수 있습니다. AWS Billing태그 지정 모범 사례에 대한 자세한 내용은 에서 AWS 리소스 태그 지정을 참조하십시오. AWS 일반 참조
이제 Security Hub가 와 통합되었습니다
RDS DB 클러스터에 태그를 추가하려면 Amazon RDS 사용 설명서의 Amazon RDS 리소스 태그 지정을 참조하십시오.
[RDS.29] RDS DB 클러스터 스냅샷에는 태그를 지정해야 합니다.
범주: 식별 > 인벤토리 > 태깅
심각도: 낮음
리소스 유형: AWS::RDS::DBClusterSnapshot
AWS Config 규칙: tagged-rds-dbclustersnapshot (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 유형 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
requiredTagKeys
|
평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록. 태그 키는 대소문자를 구별합니다. | StringList | 요구 사항을 충족하는AWS 태그 목록 | 기본값 없음 |
이 컨트롤은 Amazon RDS DB 클러스터 스냅샷에 파라미터에 requiredTagKeys 정의된 특정 키가 포함된 태그가 있는지 확인합니다. DB 클러스터 스냅샷에 태그 키가 없거나 requiredTagKeys 파라미터에 지정된 모든 키가 없는 경우 제어가 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 DB 클러스터 스냅샷에 키 태그가 지정되지 않으면 실패합니다. 로 aws: 시작하는 시스템 태그는 자동으로 적용되며 무시됩니다.
태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 속성 기반 액세스 제어 (ABAC) 를 권한 부여 전략으로 구현할 수 있습니다. IAM 엔티티 (사용자 또는 역할) 및 리소스에 태그를 첨부할 수 있습니다. AWS IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 ABAC의 용도를 참조하십시오. AWSIAM 사용 설명서에서.
참고
태그에 개인 식별 정보 (PII) 또는 기타 기밀 또는 민감한 정보를 추가하지 마십시오. 태그를 포함한 많은 사람들이 AWS 서비스태그에 액세스할 수 있습니다. AWS Billing태그 지정 모범 사례에 대한 자세한 내용은 에서 AWS 리소스 태그 지정을 참조하십시오. AWS 일반 참조
이제 Security Hub가 와 통합되었습니다
RDS DB 클러스터 스냅샷에 태그를 추가하려면 Amazon RDS 사용 설명서의 Amazon RDS 리소스 태그 지정을 참조하십시오.
[RDS.30] RDS DB 인스턴스에는 태그를 지정해야 합니다.
범주: 식별 > 인벤토리 > 태깅
심각도: 낮음
리소스 유형: AWS::RDS::DBInstance
AWS Config 규칙: tagged-rds-dbinstance (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 유형 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
requiredTagKeys
|
평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록. 태그 키는 대소문자를 구별합니다. | StringList | 요구 사항을 충족하는AWS 태그 목록 | 기본값 없음 |
이 컨트롤은 Amazon RDS DB 인스턴스에 파라미터에 requiredTagKeys 정의된 특정 키가 포함된 태그가 있는지 확인합니다. DB 인스턴스에 태그 키가 없거나 requiredTagKeys 파라미터에 지정된 모든 키가 없는 경우 제어가 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 DB 인스턴스에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.
태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 속성 기반 액세스 제어 (ABAC) 를 권한 부여 전략으로 구현할 수 있습니다. IAM 엔티티 (사용자 또는 역할) 및 리소스에 태그를 첨부할 수 있습니다. AWS IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 ABAC의 용도를 참조하십시오. AWSIAM 사용 설명서에서.
참고
태그에 개인 식별 정보 (PII) 또는 기타 기밀 또는 민감한 정보를 추가하지 마십시오. 태그를 포함한 많은 사람들이 AWS 서비스태그에 액세스할 수 있습니다. AWS Billing태그 지정 모범 사례에 대한 자세한 내용은 에서 AWS 리소스 태그 지정을 참조하십시오. AWS 일반 참조
이제 Security Hub가 와 통합되었습니다
RDS DB 인스턴스에 태그를 추가하려면 Amazon RDS 사용 설명서의 Amazon RDS 리소스 태그 지정을 참조하십시오.
[RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.
범주: 식별 > 인벤토리 > 태깅
심각도: 낮음
리소스 유형: AWS::RDS::DBSecurityGroup
AWS Config 규칙: tagged-rds-dbsecuritygroup (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 유형 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
requiredTagKeys
|
평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록. 태그 키는 대소문자를 구별합니다. | StringList | 요구 사항을 충족하는AWS 태그 목록 | 기본값 없음 |
이 컨트롤은 Amazon RDS DB 보안 그룹에 파라미터에 requiredTagKeys 정의된 특정 키가 포함된 태그가 있는지 확인합니다. DB 보안 그룹에 태그 키가 없거나 requiredTagKeys 파라미터에 지정된 모든 키가 없는 경우 제어가 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 DB 보안 그룹에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.
태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 속성 기반 액세스 제어 (ABAC) 를 권한 부여 전략으로 구현할 수 있습니다. IAM 엔티티 (사용자 또는 역할) 및 리소스에 태그를 첨부할 수 있습니다. AWS IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 ABAC의 용도를 참조하십시오. AWSIAM 사용 설명서에서.
참고
태그에 개인 식별 정보 (PII) 또는 기타 기밀 또는 민감한 정보를 추가하지 마십시오. 태그를 포함한 많은 사람들이 AWS 서비스태그에 액세스할 수 있습니다. AWS Billing태그 지정 모범 사례에 대한 자세한 내용은 에서 AWS 리소스 태그 지정을 참조하십시오. AWS 일반 참조
이제 Security Hub가 와 통합되었습니다
RDS DB 보안 그룹에 태그를 추가하려면 Amazon RDS 사용 설명서의 Amazon RDS 리소스 태그 지정을 참조하십시오.
[RDS.32] RDS DB 스냅샷에는 태그가 지정되어야 합니다.
범주: 식별 > 인벤토리 > 태깅
심각도: 낮음
리소스 유형: AWS::RDS::DBSnapshot
AWS Config 규칙: tagged-rds-dbsnapshot (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 유형 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
requiredTagKeys
|
평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록. 태그 키는 대소문자를 구별합니다. | StringList | 요구 사항을 충족하는AWS 태그 목록 | 기본값 없음 |
이 컨트롤은 Amazon RDS DB 스냅샷에 파라미터에 requiredTagKeys 정의된 특정 키가 포함된 태그가 있는지 확인합니다. DB 스냅샷에 태그 키가 없거나 requiredTagKeys 파라미터에 지정된 모든 키가 없는 경우 제어가 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 DB 스냅샷에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.
태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 속성 기반 액세스 제어 (ABAC) 를 권한 부여 전략으로 구현할 수 있습니다. IAM 엔티티 (사용자 또는 역할) 및 리소스에 태그를 첨부할 수 있습니다. AWS IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 ABAC의 용도를 참조하십시오. AWSIAM 사용 설명서에서.
참고
태그에 개인 식별 정보 (PII) 또는 기타 기밀 또는 민감한 정보를 추가하지 마십시오. 태그를 포함한 많은 사람들이 AWS 서비스태그에 액세스할 수 있습니다. AWS Billing태그 지정 모범 사례에 대한 자세한 내용은 에서 AWS 리소스 태그 지정을 참조하십시오. AWS 일반 참조
이제 Security Hub가 와 통합되었습니다
RDS DB 스냅샷에 태그를 추가하려면 Amazon RDS 사용 설명서의 Amazon RDS 리소스 태그 지정을 참조하십시오.
[RDS.33] RDS DB 서브넷 그룹에는 태그가 지정되어야 합니다.
범주: 식별 > 인벤토리 > 태깅
심각도: 낮음
리소스 유형: AWS::RDS::DBSubnetGroup
AWS Config 규칙: tagged-rds-dbsubnetgroups (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 유형 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
requiredTagKeys
|
평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록. 태그 키는 대소문자를 구별합니다. | StringList | 요구 사항을 충족하는AWS 태그 목록 | 기본값 없음 |
이 컨트롤은 Amazon RDS DB 서브넷 그룹에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다. requiredTagKeys DB 서브넷 그룹에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 실패합니다. requiredTagKeys 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 DB 서브넷 그룹에 키 태그가 지정되지 않으면 실패합니다. 로 aws: 시작하는 시스템 태그는 자동으로 적용되며 무시됩니다.
태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 속성 기반 액세스 제어 (ABAC) 를 권한 부여 전략으로 구현할 수 있습니다. IAM 엔티티 (사용자 또는 역할) 및 리소스에 태그를 첨부할 수 있습니다. AWS IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 ABAC의 용도를 참조하십시오. AWSIAM 사용 설명서에서.
참고
태그에 개인 식별 정보 (PII) 또는 기타 기밀 또는 민감한 정보를 추가하지 마십시오. 태그를 포함한 많은 사람들이 AWS 서비스태그에 액세스할 수 있습니다. AWS Billing태그 지정 모범 사례에 대한 자세한 내용은 에서 AWS 리소스 태그 지정을 참조하십시오. AWS 일반 참조
이제 Security Hub가 와 통합되었습니다
RDS DB 서브넷 그룹에 태그를 추가하려면 Amazon RDS 사용 설명서의 Amazon RDS 리소스 태그 지정을 참조하십시오.
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch
관련 요구 사항: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)
범주: 식별 > 로깅
심각도: 중간
리소스 유형: AWS::RDS::DBCluster
AWS Config 규칙: rds-aurora-mysql-audit-logging-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 Amazon Aurora MySQL DB 클러스터가 감사 로그를 Amazon Logs에 게시하도록 구성되어 있는지 여부를 확인합니다. CloudWatch 클러스터가 감사 로그를 Logs에 게시하도록 구성되지 않은 경우 제어가 실패합니다. CloudWatch 컨트롤은 Aurora 서버리스 v1 DB 클러스터에 대한 검색 결과를 생성하지 않습니다.
감사 로그는 로그인 시도, 데이터 수정, 스키마 변경 및 보안 및 규정 준수를 위해 감사할 수 있는 기타 이벤트를 포함한 데이터베이스 활동 기록을 캡처합니다. Amazon Logs의 로그 그룹에 감사 로그를 게시하도록 Aurora MySQL DB 클러스터를 구성하면 CloudWatch 로그 데이터를 실시간으로 분석할 수 있습니다. CloudWatch 로그는 내구성이 뛰어난 스토리지에 로그를 보관합니다. 에서 경보를 생성하고 지표를 볼 수도 있습니다. CloudWatch
참고
감사 로그를 로그에 게시하는 또 다른 방법은 고급 감사를 활성화하고 클러스터 수준 DB 파라미터를 로 설정하는 것입니다. CloudWatch server_audit_logs_upload 1 server_audit_logs_upload parameter의 기본값은 0입니다. 그러나 이 제어를 통과하려면 대신 다음 수정 지침을 사용하는 것이 좋습니다.
이제 Security Hub가 와 통합되었습니다
Aurora MySQL DB 클러스터 감사 로그를 로그에 게시하려면 Amazon Aurora CloudWatch 사용 설명서의 Amazon Logs에 Amazon Aurora MySQL 로그 게시를 참조하십시오 CloudWatch .
[RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
관련 요구 사항: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5)
범주: 식별 > 취약성, 패치 및 버전 관리
심각도: 중간
리소스 유형: AWS::RDS::DBCluster
AWS Config 규칙: rds-cluster-auto-minor-version-upgrade-enable
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 Amazon RDS 다중 AZ DB 클러스터에 대해 자동 마이너 버전 업그레이드가 활성화되어 있는지 확인합니다. 다중 AZ DB 클러스터에 대해 자동 마이너 버전 업그레이드가 활성화되지 않은 경우 제어가 실패합니다.
RDS는 다중 AZ DB 클러스터를 최신 상태로 유지할 수 있도록 자동 마이너 버전 업그레이드를 제공합니다. 마이너 버전은 새로운 소프트웨어 기능, 버그 수정, 보안 패치 및 성능 개선을 도입할 수 있습니다. RDS 데이터베이스 클러스터에서 자동 마이너 버전 업그레이드를 활성화하면 클러스터는 새 버전이 출시될 때 클러스터의 인스턴스와 함께 마이너 버전에 대한 자동 업데이트를 받게 됩니다. 업데이트는 유지 관리 기간 동안 자동으로 적용됩니다.
이제 Security Hub가 와 통합되었습니다
다중 AZ DB 클러스터에서 자동 마이너 버전 업그레이드를 활성화하려면 Amazon RDS 사용 설명서의 다중 AZ DB 클러스터 수정을 참조하십시오.
