Correção de exposições para funções do Amazon RDS - AWS Security Hub
Características de configuração incorreta das funções do Amazon RDS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Correção de exposições para funções do Amazon RDS

nota

O Security Hub está em versão prévia e está sujeito a alterações.

AWS O Security Hub pode gerar descobertas de exposição para funções do Amazon RDS.

No console do Security Hub, a função do Amazon RDS envolvida em uma descoberta de exposição e suas informações de identificação estão listadas na seção Recursos dos detalhes da descoberta. Programaticamente, você pode recuperar detalhes do recurso com a GetFindingsV2operação da API do Security Hub.

Depois de identificar o recurso envolvido em uma descoberta de exposição, você pode excluir o recurso se não precisar dele. A exclusão de um recurso não essencial pode reduzir seu perfil de exposição e AWS seus custos. Se o recurso for essencial, siga estas etapas de remediação recomendadas para ajudar a mitigar o risco. Os tópicos de remediação são divididos com base no tipo de característica.

Uma única descoberta de exposição contém problemas identificados em vários tópicos de remediação. Por outro lado, você pode abordar uma descoberta de exposição e reduzir seu nível de gravidade abordando apenas um tópico de remediação. Sua abordagem para remediação de riscos depende de seus requisitos organizacionais e cargas de trabalho.

nota

A orientação de remediação fornecida neste tópico pode exigir consultas adicionais em outros AWS recursos.

Características de configuração incorreta das funções do Amazon RDS

A seguir, descrevemos as características de configuração incorreta e as etapas de correção das funções do Amazon RDS.

A instância de banco de dados Amazon RDS está configurada com acesso público

As instâncias do Amazon RDS com acesso público são potencialmente acessíveis pela Internet por meio de seus endpoints. Embora o acesso público às vezes seja necessário, por exemplo, para a funcionalidade, essa configuração pode ser usada como um potencial vetor de ataque para que usuários não autorizados tentem acessar seu banco de dados. Bancos de dados acessíveis ao público podem ser expostos à varredura de portas, ataques de força bruta e tentativas de exploração. Seguindo os princípios de segurança padrão, recomendamos que você limite a exposição pública dos recursos do seu banco de dados.

  1. Modificar configurações de acesso público

    Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá a instância de banco de dados afetada. Avalie se a instância de banco de dados exige acessibilidade pública com base na arquitetura do seu aplicativo. Para obter mais informações, consulte Configurar o acesso público ou privado no Amazon RDS.

O cluster de banco de dados Amazon RDS tem um snapshot que é compartilhado publicamente

Os instantâneos públicos podem ser acessados por qualquer pessoa Conta da AWS, potencialmente expondo dados confidenciais a usuários não autorizados. Qualquer pessoa Conta da AWS tem permissão para copiar esses instantâneos públicos e criar instâncias de banco de dados a partir deles, o que pode levar a violações de dados ou acesso não autorizado a dados. Seguindo as melhores práticas de segurança, recomendamos restringir o acesso aos seus snapshots do Amazon RDS somente para organizações confiáveis Contas da AWS .

1. Configurar um snapshot do Amazon RDS para acesso privado

Na descoberta de exposição, abra o recurso por meio do hiperlink. Para obter informações sobre como modificar as configurações de compartilhamento de instantâneos, consulte Compartilhamento de um instantâneo no Guia do usuário do Amazon Aurora. Para obter informações sobre como parar de compartilhar snapshots, consulte Como interromper o compartilhamento de snapshots no Guia do usuário do Amazon Aurora. .

A instância de banco de dados Amazon RDS tem um snapshot que não está criptografado em repouso

Snapshots não criptografados da instância de banco de dados Amazon RDS podem expor dados confidenciais se o acesso não autorizado à camada de armazenamento for obtido. Sem criptografia, os dados em instantâneos poderiam ser expostos por meio de acesso não autorizado. Isso cria um risco de violações de dados e violações de conformidade. Seguindo as melhores práticas de segurança, recomendamos criptografar todos os recursos do banco de dados e seus backups para manter a confidencialidade dos dados.

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá o instantâneo afetado. Você não pode criptografar diretamente um snapshot não criptografado existente. Em vez disso, crie uma cópia criptografada do instantâneo não criptografado. Para obter instruções detalhadas, consulte Cópia de snapshots de cluster de banco de dados e criptografia de recursos do Amazon RDS no Guia do usuário do Amazon Aurora. ..

O cluster de banco de dados Amazon RDS tem um snapshot que não é criptografado em repouso

Os snapshots não criptografados do cluster de banco de dados do Amazon RDS podem expor dados confidenciais se o acesso não autorizado à camada de armazenamento for obtido. Sem criptografia, os dados em instantâneos poderiam ser expostos por meio de acesso não autorizado. Isso cria um risco de violações de dados e violações de conformidade. Seguindo as melhores práticas de segurança, recomendamos criptografar todos os recursos do banco de dados e seus backups para manter a confidencialidade dos dados.

1. Crie uma cópia criptografada do instantâneo

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá o instantâneo afetado. Você não pode criptografar diretamente um snapshot não criptografado existente. Em vez disso, crie uma cópia criptografada do instantâneo não criptografado. Para obter instruções detalhadas, consulte Cópia de snapshots de cluster de banco de dados e criptografia de recursos do Amazon RDS no Guia do usuário do Amazon Aurora. ..

A instância de banco de dados Amazon RDS tem um grupo de segurança aberto

Grupos de segurança atuam como firewalls virtuais para suas instâncias do Amazon RDS para controlar o tráfego de entrada e saída. Grupos de segurança abertos, que permitem acesso irrestrito a partir de qualquer endereço IP, podem expor suas instâncias de banco de dados a acessos não autorizados e possíveis ataques. Seguindo os princípios de segurança padrão, recomendamos restringir o acesso do grupo de segurança a endereços IP e portas específicos para manter o princípio do menor privilégio.

Revise as regras do grupo de segurança e avalie a configuração atual

Na descoberta da exposição, abra o recurso para o grupo de segurança da instância de banco de dados. Avalie quais portas estão abertas e acessíveis a partir de amplos intervalos de IP, como(0.0.0.0/0 or ::/0). Para obter informações sobre a visualização dos detalhes do grupo de segurança, consulte DescribeSecurityGroupsa Amazon Elastic Compute Cloud API Reference.

Modificar as regras do grupo de segurança

Modifique suas regras de grupo de segurança para restringir o acesso a intervalos ou endereços IP confiáveis específicos. Ao atualizar suas regras de grupo de segurança, considere separar os requisitos de acesso para diferentes segmentos de rede criando regras para cada intervalo de IP de origem necessário ou restringindo o acesso a portas específicas. Para modificar as regras do grupo de segurança, consulte Configurar regras do grupo de segurança no Guia EC2 do usuário da Amazon. Para modificar a porta padrão de uma instância de banco de dados existente do Amazon RDS, consulte Modificar o cluster de banco de dados usando o console, a CLI e a API no Guia do usuário do Amazon Aurora.

A instância de banco de dados Amazon RDS tem a autenticação do banco de dados IAM desativada

A autenticação do banco de dados do IAM permite que você se autentique no seu banco de dados do Amazon RDS usando credenciais do IAM em vez de senhas do banco de dados. Isso fornece vários benefícios de segurança, como gerenciamento centralizado de acesso, credenciais temporárias e eliminação do armazenamento de senhas de banco de dados no código do aplicativo. A autenticação de banco de dados do IAM permite a autenticação em instâncias de banco de dados com um token de autenticação em vez de uma senha. Como resultado, o tráfego de rede de e para a instância do banco de dados é criptografado usando SSL. Sem a autenticação do IAM, os bancos de dados geralmente dependem da autenticação baseada em senha, o que pode levar à reutilização de senhas e senhas fracas. Seguindo as melhores práticas de segurança, recomendamos ativar a autenticação do banco de dados do IAM.

Habilitar a autenticação do banco de dados

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá a instância de banco de dados afetada. Você pode ativar a autenticação do banco de dados do IAM nas opções do banco de dados. Para obter mais informações, consulte Habilitar e desabilitar a autenticação do banco de dados do IAM no Guia do usuário do Amazon RDS. Depois de ativar a autenticação do IAM, atualize suas instâncias de banco de dados para usar a autenticação do IAM em vez da autenticação baseada em senha.

A instância de banco de dados Amazon RDS usa o nome de usuário de administrador padrão

Usar nomes de usuário padrão (por exemplo, “admin”, “root”) para instâncias de banco de dados aumenta o risco de segurança, pois elas são amplamente conhecidas e comumente alvo de ataques de força bruta. Os nomes de usuário padrão são previsíveis e facilitam a tentativa de acesso ao seu banco de dados por usuários não autorizados. Com nomes de usuário padrão, os invasores só precisam obter senhas, em vez de precisarem de ambas para obter acesso ao seu banco de dados. Seguindo as melhores práticas de segurança, recomendamos o uso de nomes de usuário de administrador exclusivos para sua instância de banco de dados para aprimorar a segurança por meio da obscuridade e reduzir o risco de tentativas de acesso não autorizado.

Configurar um nome de usuário de administrador exclusivo

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá a instância de banco de dados afetada. Considere quais regras de frequência de backup, período de retenção e ciclo de vida são melhores para seus aplicativos.

O cluster de banco de dados Amazon RDS usa o nome de usuário de administrador padrão

Usar nomes de usuário padrão (por exemplo, “admin”, “root”) para instâncias de banco de dados aumenta o risco de segurança, pois elas são amplamente conhecidas e comumente alvo de ataques de força bruta. Os nomes de usuário padrão são previsíveis e facilitam a tentativa de acesso ao seu banco de dados por usuários não autorizados. Com nomes de usuário padrão, os invasores só precisam obter senhas, em vez de precisarem de ambas para obter acesso ao seu banco de dados. Seguindo as melhores práticas de segurança, recomendamos o uso de nomes de usuário de administrador exclusivos para sua instância de banco de dados para aprimorar a segurança por meio da obscuridade e reduzir o risco de tentativas de acesso não autorizado.

Configurar um nome de usuário de administrador exclusivo

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá a instância de banco de dados afetada. Você não pode alterar o nome de usuário do administrador de uma instância de banco de dados Amazon RDS existente. Para criar um nome de administrador exclusivo, você precisa criar uma nova instância de banco de dados com um nome de usuário personalizado e migrar seus dados.

A instância de banco de dados Amazon RDS tem atualizações automáticas de versões secundárias desativadas

As atualizações automáticas de versões secundárias garantem que suas instâncias do Amazon RDS recebam automaticamente atualizações de versões secundárias do mecanismo quando estiverem disponíveis. Essas atualizações geralmente incluem patches de segurança e correções de erros importantes que ajudam a manter a segurança e a estabilidade do seu banco de dados. Seu banco de dados corre o risco de funcionar com vulnerabilidades de segurança conhecidas que foram corrigidas em versões secundárias mais recentes. Sem atualizações automáticas, as instâncias do banco de dados podem acumular vulnerabilidades de segurança à medida que novas CVEs são descobertas. Seguindo as melhores práticas de segurança, recomendamos ativar atualizações automáticas de versões secundárias para todas as instâncias do Amazon RDS.

Ativar atualizações automáticas de versões secundárias

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá a instância de banco de dados afetada. Você pode ver as configurações automáticas de atualização secundária na guia Manutenção e backups. Para obter mais informações, consulte Atualizações automáticas de versões secundárias do Amazon RDS for MySQL. Você também pode configurar sua janela de manutenção para ocorrer durante períodos de baixa atividade do banco de dados.

A instância de banco de dados Amazon RDS tem backups automatizados desativados

Os backups automatizados fornecem point-in-time recuperação para suas instâncias do Amazon RDS, permitindo que você restaure seu banco de dados em qualquer ponto dentro do período de retenção. Quando os backups automatizados são desativados, você corre o risco de perder dados em caso de exclusão maliciosa, corrupção de dados ou outros cenários de perda de dados. No caso de atividades maliciosas, como ataques de ransomware, exclusão de tabelas de banco de dados ou corrupção, a capacidade de restaurar até um ponto no tempo anterior ao incidente reduz o tempo necessário para se recuperar de um incidente. Seguindo as melhores práticas de segurança, recomendamos habilitar backups automatizados com um período de retenção adequado para todos os bancos de dados de produção.

A instância de banco de dados Amazon RDS tem a proteção de exclusão desativada

A proteção contra exclusão de banco de dados é um recurso que ajuda a impedir a exclusão de suas instâncias de banco de dados. Quando a proteção contra exclusão está desativada, seu banco de dados pode ser excluído por qualquer usuário com permissões suficientes, o que pode resultar em perda de dados ou tempo de inatividade do aplicativo. Os invasores podem excluir seu banco de dados, causando interrupção do serviço, perda de dados e aumento do tempo de recuperação. Seguindo as melhores práticas de segurança, recomendamos ativar a proteção contra exclusão de suas instâncias de banco de dados do RDS para evitar exclusões maliciosas.

Ative a proteção de exclusão para seu cluster de banco de dados Amazon RDS

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá o cluster de banco de dados afetado.

O cluster de banco de dados Amazon RDS tem a proteção de exclusão desativada

A proteção contra exclusão de banco de dados é um recurso que ajuda a impedir a exclusão de suas instâncias de banco de dados. Quando a proteção contra exclusão está desativada, seu banco de dados pode ser excluído por qualquer usuário com permissões suficientes, o que pode resultar em perda de dados ou tempo de inatividade do aplicativo. Os invasores podem excluir seu banco de dados, causando interrupção do serviço, perda de dados e aumento do tempo de recuperação. Seguindo as melhores práticas de segurança, recomendamos habilitar a proteção contra exclusão para seus clusters de banco de dados do RDS para evitar exclusões mal-intencionadas.

Ative a proteção de exclusão para seu cluster de banco de dados Amazon RDS

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá o cluster de banco de dados afetado.

A instância de banco de dados Amazon RDS usa a porta padrão para o mecanismo de banco de dados.

As instâncias do Amazon RDS que usam portas padrão para mecanismos de banco de dados podem enfrentar maiores riscos de segurança, pois essas portas padrão são amplamente conhecidas e geralmente são alvo de ferramentas de verificação automatizadas. Modificar sua instância de banco de dados para usar portas não padrão adiciona uma camada adicional de segurança por meio da obscuridade, tornando mais difícil para usuários não autorizados realizar ataques automatizados ou direcionados ao seu banco de dados. As portas padrão geralmente são verificadas por pessoas não autorizadas e podem fazer com que sua instância de banco de dados seja direcionada. Seguindo as melhores práticas de segurança, recomendamos alterar a porta padrão para uma porta personalizada para reduzir o risco de ataques automatizados ou direcionados.

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá a instância de banco de dados afetada.

Atualizar cadeias de conexão do aplicativo

Depois de alterar a porta, atualize todos os aplicativos e serviços que se conectam à sua instância do Amazon RDS para usar o novo número da porta.

A instância de banco de dados Amazon RDS não é coberta por um plano de backup

AWS O Backup é um serviço de backup totalmente gerenciado que centraliza e automatiza o backup de dados. Serviços da AWS Se sua instância de banco de dados não estiver coberta por um plano de backup, você corre o risco de perder dados em caso de exclusão maliciosa, corrupção de dados ou outros cenários de perda de dados. No caso de atividades maliciosas, como ataques de ransomware, exclusão de tabelas de banco de dados ou corrupção, a capacidade de restaurar até um ponto no tempo anterior ao incidente reduz o tempo necessário para se recuperar de um incidente. Seguindo as melhores práticas de segurança, recomendamos incluir suas instâncias do Amazon RDS em um plano de backup para garantir a proteção dos dados.

Crie e atribua um plano de backup para sua instância de banco de dados

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá a instância de banco de dados afetada. Considere quais regras de frequência de backup, período de retenção e ciclo de vida são melhores para seus aplicativos.