Controles do Amazon Relational Database Service

Esses controles estão relacionados aos recursos do Amazon RDS.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para ter mais informações, consulte Disponibilidade de controles por região.

[RDS.1] Os instantâneos do RDS devem ser privados

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoria: Proteger > Configuração de rede segura

Severidade: crítica

Tipo de recurso: AWS::RDS::DBClusterSnapshot,AWS::RDS::DBSnapshot

Regra do AWS Config : rds-snapshots-public-prohibited

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os instantâneos do RDS são públicos. O controle falhará se os instantâneos do RDS forem públicos. Esse controle avalia as instâncias do RDS, as instâncias de banco de dados do Aurora, as instâncias do banco de dados do Neptune e os clusters do Amazon DocumentDB.

Os snapshots do RDS são usados para fazer backup dos dados nas instâncias do RDS em determinado momento. Eles podem ser usados para restaurar estados anteriores das instâncias do RDS.

Um snapshot do RDS não deve ser público, a menos que isso seja o previsto. Se você compartilhar um instantâneo manual não criptografado como público, isso o disponibilizará para todas as Contas da AWS. Isso pode resultar em exposição não intencional de dados da instância do RDS.

Observe que, se a configuração for alterada para permitir o acesso público, talvez a AWS Config regra não consiga detectar a alteração por até 12 horas. Até que a AWS Config regra detecte a alteração, a verificação é aprovada mesmo que a configuração viole a regra.

Para saber mais sobre como compartilhar um instantâneo de banco de dados, consulte Compartilhar um instantâneo de banco de dados no Guia do usuário do Amazon RDS.

Correção

Para remover o acesso público dos instantâneos do RDS, consulte Compartilhamento de um instantâneo no Guia do usuário do Amazon RDS. Em DB instantâneo visibility (Visibilidade do instantâneo de banco de dados), escolha Private (Privado).

[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela duração PubliclyAccessible AWS Config

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.3.3, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, Nist.800-53.r5 AC-4, Nist.800-53.r5 AC-4 (21), Nist.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), Nist.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), Nist.800-53.r5 SC-7 (4), Nist.800-53.r5 SC-7 (5)

Categoria: Proteger > Configuração de rede segura

Severidade: crítica

Tipo de recurso: AWS::RDS::DBInstance

Regra do AWS Config : rds-instance-public-access-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se as instâncias do Amazon RDS são acessíveis publicamente avaliando o campo PubliclyAccessible no item de configuração da instância.

As instâncias de banco de dados Neptune e os clusters do Amazon DocumentDB não têm o sinalizador PubliclyAccessible e não podem ser avaliados. No entanto, esse controle ainda pode gerar descobertas para esses recursos. Você pode suprimir essas descobertas.

O valor PubliclyAccessible na configuração da instância do RDS indica se a instância de banco de dados é acessível publicamente. Se a instância de banco de dados for configurada com PubliclyAccessible, ela será uma instância voltada para a Internet com um nome de DNS que pode ser resolvido publicamente, resultando em um endereço IP público. Se a instância de banco de dados não for acessível publicamente, ela será uma instância interna com um nome de DNS que é resolvido para um endereço IP privado.

A menos que queira que a instância de RDS seja acessível publicamente, a instância de RDS não deve ser configurada com o valor PubliclyAccessible. Isso pode permitir tráfego desnecessário para sua instância de banco de dados.

Correção

Para remover o acesso público das instâncias de banco de dados do RDS, consulte Modificar uma instância de banco de dados do Amazon RDS no Guia do usuário do Amazon RDS. Em Acesso público, escolha Não.

[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS Foundations Benchmark v1.4.0/2.3.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 AWS CM-3 (6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28 (1), Nist.800-53.R5 SC-7 (10), Nist.800-53.R5 SI-7 (6)

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::RDS::DBInstance

Regra do AWS Config : rds-storage-encrypted

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a criptografia de armazenamento está habilitada para suas instâncias de banco de dados do Amazon RDS.

Esse controle é destinado às instâncias de banco de dados do RDS. No entanto, ele também pode gerar descobertas para as instâncias de banco de dados do Aurora, as instâncias de banco de dados do Neptune e os clusters do Amazon DocumentDB. Se essas descobertas não forem úteis, você poderá suprimi-las.

Para obter uma camada de segurança adicional para os dados confidenciais nas instâncias de banco de dados do RDS, configure as instâncias de banco de dados do RDS para serem criptografadas em repouso. Para criptografar as instâncias de banco de dados do RDS e os snapshots em repouso, habilite a opção de criptografia para as instâncias de banco de dados do RDS. Os dados criptografados em repouso incluem o armazenamento subjacente para instâncias de banco de dados, seus backups automatizados, réplicas de leitura e snapshots.

As instâncias de banco de dados criptografadas do RDS usam o algoritmo de criptografia AES-256 de padrão aberto para criptografar os dados no servidor que hospeda as instâncias de banco de dados do RDS. Após a criptografia dos seus dados, o Amazon RDS lida com a autenticação do acesso e a decodificação dos seus dados de forma transparente com um mínimo impacto sobre o desempenho. Você não precisa modificar seus aplicativos cliente de banco de dados para usar a criptografia.

A criptografia do Amazon RDS está disponível para todos os mecanismos de banco de dados e tipos de armazenamento. A criptografia do Amazon RDS está disponível para a maioria das classes de instância de banco de dados. Para saber mais sobre as classes de instâncias de banco de dados que não são compatíveis com a criptografia do Amazon RDS, consulte Criptografar recursos do Amazon RDS no Guia do usuário do Amazon RDS.

Correção

Para obter informações sobre criptografia de instâncias de banco de dados no Amazon RDS, consulte Criptografar recursos do Amazon RDS no Guia do usuário do Amazon RDS.

[RDS.4] Os instantâneos do cluster do RDS e os instantâneos do banco de dados devem ser criptografados em repouso

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot

Regra do AWS Config : rds-snapshot-encrypted

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um instantâneo do banco de dados RDS está criptografado. O controle falhará se um instantâneo do banco de dados do RDS não estiver criptografado.

Esse controle é destinado às instâncias de banco de dados do RDS. No entanto, ele também pode gerar descobertas para os instantâneos de banco de dados do Aurora, as instâncias de banco de dados do Neptune e os clusters do Amazon DocumentDB. Se essas descobertas não forem úteis, você poderá suprimi-las.

Criptografar dados em repouso reduz o risco de um usuário não autenticado ter acesso aos dados armazenados em disco. Os dados nos instantâneos do RDS devem ser criptografados em repouso para uma camada adicional de segurança.

Correção

Para criptografar um instantâneo do RDS, consulte Criptografar recursos do Amazon RDS no Guia do usuário do Amazon RDS. Os dados criptografados em repouso incluem o armazenamento subjacente para instâncias de banco de dados, seus backups automatizados, réplicas de leitura e instantâneos.

Você só pode criptografar uma instância de banco de dados do RDS ao criá-la, e não após a criação. Entretanto, como é possível criptografar uma cópia de um snapshot não criptografado, é possível efetivamente adicionar criptografia a uma instância de banco de dados não criptografada. Ou seja, é possível criar um snapshot da sua instância de banco de dados e depois criar uma cópia criptografada desse snapshot. Em seguida, é possível restaurar uma instância de banco de dados a partir do snapshot criptografado, logo, você terá uma cópia criptografada da sua instância de banco de dados original.

[RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::RDS::DBInstance

Regra do AWS Config : rds-multi-az-support

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a alta disponibilidade está ativada para suas instâncias de banco de dados do RDS.

As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade. Isso garante a disponibilidade dos dados armazenados. As implantações Multi-AZ permitem o failover automático se houver um problema com a disponibilidade do AZ e durante a manutenção regular do RDS.

Correção

Para implantar suas instâncias de banco de dados em várias AZs, Modificar uma instância de banco de dados para ser uma implantação de instância de banco de dados multi-AZ no Guia do usuário do Amazon RDS.

[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS

Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::RDS::DBInstance

Regra do AWS Config : rds-enhanced-monitoring-enabled

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`monitoringInterval`	Número de segundos entre os intervalos de coleta de métricas de monitoramento	Enum	`1`, `5`, `10`, `15`, `30`, `60`	Nenhum valor padrão

Esse controle verifica se o monitoramento aprimorado está habilitado para uma instância de banco de dados do Amazon Relational Database Service (Amazon RDS). O controle falhará se o monitoramento aprimorado não estiver habilitado para a instância. Se você fornecer um valor personalizado para o parâmetro monitoringInterval, o controle será aprovado somente se as métricas de monitoramento aprimorado forem coletadas para a instância no intervalo especificado.

No Amazon RDS, o monitoramento aprimorado permite uma resposta mais rápida às alterações de desempenho na infraestrutura subjacente. Essas mudanças no desempenho podem resultar na falta de disponibilidade dos dados. O monitoramento aprimorado fornece métricas em tempo real para o sistema operacional no qual a instância do banco de dados do RDS é executada. Um agente está instalado na instância. O agente pode obter métricas com mais precisão do que é possível na camada do hipervisor.

As métricas de Monitoramento avançado são úteis quando você deseja ver como os diferentes processos ou threads em uma instância de banco de dados usam a CPU. Para obter mais informações, consulte Monitoramento avançado no Guia do usuário do Amazon RDS.

Correção

Para obter instruções detalhadas sobre como habilitar o monitoramento aprimorado para sua instância de banco de dados, consulte Configurar e ativar o monitoramento aprimorado no Guia do usuário do Amazon RDS.

[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada

Requisitos relacionados: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)

Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados

Severidade: baixa

Tipo de recurso: AWS::RDS::DBCluster

Regra do AWS Config : rds-cluster-deletion-protection-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um cluster de banco de dados do RDS tem a proteção contra exclusão habilitada. O controle falhará se o cluster de banco de dados do RDS não tiver a proteção contra exclusão habilitada.

A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por uma entidade não autorizada.

Quando a proteção contra exclusão estiver ativada, o cluster de banco de dados do RDS não poderá ser excluído. Você deve desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida.

Correção

Para ativar a proteção contra exclusão de um cluster de banco de dados do RDS, consulte Modificar o cluster de banco de dados usando o console, a CLI e a API no Guia do usuário do Amazon RDS. Em Proteção contra exclusão, escolha Habilitar proteção contra exclusão.

[RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada

Requisitos relacionados: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados

Severidade: baixa

Tipo de recurso: AWS::RDS::DBInstance

Regra do AWS Config : rds-instance-deletion-protection-enabled

Tipo de programação: acionado por alterações

Parâmetros:

databaseEngines: mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web (não personalizável)

Esse controle verifica se suas instâncias de banco de dados do RDS que usam um dos mecanismos de banco de dados listados têm a proteção contra exclusão ativada. O controle falhará se a instância de banco de dados do RDS não tiver a proteção contra exclusão habilitada.

A ativação da proteção contra exclusão de instâncias oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por uma entidade não autorizada.

Embora a proteção contra exclusão esteja ativada, uma instância de banco de dados do RDS não pode ser excluída. Você deve desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida.

Correção

Para ativar a proteção contra exclusão de uma instância de banco de dados do RDS, consulte Modificar uma instância de banco de dados do Amazon RDS no Guia do usuário do Amazon RDS. Em Proteção contra exclusão, escolha Habilitar proteção contra exclusão.

[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch

Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::RDS::DBInstance

Regra do AWS Config : rds-logging-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma instância de banco de dados Amazon RDS está configurada para publicar os seguintes registros no Amazon CloudWatch Logs. O controle falhará se a instância não estiver configurada para publicar os seguintes registros no CloudWatch Logs:

Oracle: (Alert, Audit, Trace, Listener)
PostgreSQL: (Postgresql, Upgrade)
MySQL: (Auditoria, Erro, Geral,) SlowQuery
MariaDB: (Auditoria, erro, geral) SlowQuery
SQL Server: (Error, Agent)
Aurora: (Auditoria, erro, geral) SlowQuery
Aurora-MySQL: (Auditoria, Erro, Geral,) SlowQuery
Aurora-PostgreSQL: (Postgresql, Upgrade).

Os bancos de dados do RDS devem ter os registros relevantes habilitados. O registro em log do banco de dados fornece registros detalhados das solicitações feitas ao RDS. Os logs de bancos de dados podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.

Correção

Para publicar registros do banco de dados do RDS no CloudWatch Logs, consulte Especificação dos registros a serem publicados nos CloudWatch Logs no Guia do usuário do Amazon RDS.

[RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS

Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6

Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha

Severidade: média

Tipo de recurso: AWS::RDS::DBInstance

Regra do AWS Config : rds-instance-iam-authentication-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma instância de banco de dados do RDS tem a autenticação de banco de dados do IAM ativada. O controle falhará se a autenticação do IAM não estiver configurada para instâncias de banco de dados do RDS. Esse controle avalia somente instâncias do RDS com os seguintes tipos de mecanismo: mysql, postgres, aurora, aurora-mysql, aurora-postgresql e mariadb. Uma instância do RDS também deve estar em um dos seguintes estados para que uma descoberta seja gerada: available, backing-up, storage-optimization ou storage-full.

A autenticação de banco de dados do IAM permite a autenticação em instâncias de banco de dados com um token de autenticação em vez de uma senha. O tráfego de rede de e para o banco de dados é criptografado usando SSL. Para obter mais informações, consulte Autenticação de banco de dados do IAM no Guia do usuário do Amazon Aurora.

Correção

Para ativar a autenticação do banco de dados do IAM em uma instância de banco de dados do RDS, consulte Habilitar e desabilitar a autenticação do banco de dados do IAM no Guia do usuário do Amazon RDS.

[RDS.11] As instâncias do RDS devem ter backups automáticos habilitados

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

Categoria: Recuperação > Resiliência > Backups ativados

Severidade: média

Tipo de recurso: AWS::RDS::DBInstance

Regra do AWS Config : db-instance-backup-enabled

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`backupRetentionMinimum`	Período mínimo de retenção de backups em dias	Inteiro	`7` para `35`	`7`
`checkReadReplicas`	Verifica se as instâncias de banco de dados do RDS têm backups habilitados para réplicas de leitura	Booleano	Não personalizável	`false`

Esse controle verifica se uma instância do Amazon Relational Database Service têm backups automatizados habilitados e se o período de retenção de backups é maior ou igual ao período de tempo especificado. As réplicas de leitura são excluídas da avaliação. O controle falhará se os backups não estiverem habilitados para a instância, ou se o período de retenção for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do backup, o Security Hub usará um valor padrão de 7 dias.

Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. O Amazon RDS permite que você configure snapshots diários do volume completo da instância. Para obter mais informações sobre backups automatizados do Amazon RDS, consulte Trabalho com backups no Guia do usuário do Amazon RDS.

Correção

Para habilitar backups automatizados para uma instância de banco de dados do RDS, consulte Habilitar backups automatizados no Guia do usuário da Amazon RDS.

[RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS

Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6

Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha

Severidade: média

Tipo de recurso: AWS::RDS::DBCluster

Regra do AWS Config : rds-cluster-iam-authentication-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um cluster de banco de dados do Amazon RDS tem a autenticação de banco de dados do IAM ativada.

A autenticação de banco de dados do IAM permite a autenticação sem senha para instâncias de banco de dados. A autenticação usa um token de autenticação. O tráfego de rede de e para o banco de dados é criptografado usando SSL. Para obter mais informações, consulte Autenticação de banco de dados do IAM no Guia do usuário do Amazon Aurora.

Correção

Para ativar a autenticação do IAM em um cluster de banco de dados, consulte Habilitar e desabilitar a autenticação de banco de dados do IAM no Guia do usuário do Amazon Aurora.

[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.3.2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5)

Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões

Severidade: alta

Tipo de recurso: AWS::RDS::DBInstance

Regra do AWS Config : rds-automatic-minor-version-upgrade-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se as atualizações automáticas de versões secundárias estão habilitadas para a instância do banco de dados do RDS.

A ativação de atualizações automáticas de versões secundárias garante que as últimas atualizações de versões secundárias do sistema de gerenciamento de banco de dados relacional (RDBMS) sejam instaladas. Essas atualizações podem incluir patches de segurança e correções de erros. Manter-se atualizado com a instalação do patch é uma etapa importante para proteger os sistemas.

Correção

Para habilitar atualizações automáticas de versões secundárias para uma instância de banco de dados existente, consulte Modificar uma instância de banco de dados Amazon RDS no Guia do usuário do Amazon RDS. Em Atualização automática da versão secundária, selecione Sim.

[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SI-13(5)

Categoria: Recuperação > Resiliência > Backups ativados

Severidade: média

Tipo de recurso: AWS::RDS::DBCluster

Regra do AWS Config : aurora-mysql-backtracking-enabled

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`BacktrackWindowInHours`	Número de horas para retroceder um cluster do Aurora MySQL	Double	`0.1` para `72`	Nenhum valor padrão

Esse controle verifica se um cluster do Amazon Aurora têm o retrocesso habilitado. O controle falhará se o cluster não tiver o retrocesso habilitado. Se você fornecer um valor personalizado para o parâmetro BacktrackWindowInHours, o controle passará somente se o cluster for retrocedido pelo período de tempo especificado.

Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. O backtracking do Aurora reduz o tempo de recuperação de um banco de dados para um ponto no tempo. Não é necessária uma restauração do banco de dados para fazer isso.

Correção

Para habilitar o retrocesso do Aurora, consulte Configuração do retrocesso no Guia do usuário do Amazon Aurora.

Observe que você não pode ativar o backtracking em um cluster existente. Em vez disso, é possível criar um clone com o backtracking habilitado. Para obter mais informações sobre as limitações do backtracking do Aurora, consulte a lista de limitações em Visão geral do backtracking.

[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::RDS::DBCluster

Regra do AWS Config : rds-cluster-multi-az-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a alta disponibilidade está ativada para seus clusters de banco de dados do RDS. O controle falhará se um cluster de banco de dados do RDS não for implantado em várias Zonas de disponibilidade (AZs).

Os clusters de banco de dados do RDS devem ser configurados para várias AZs para garantir a disponibilidade dos dados armazenados. A implantação em várias AZs permite o failover automatizado no caso de um problema de disponibilidade do AZ e durante eventos regulares de manutenção do RDS.

Correção

Para implantar seus clusters de banco de dados várias AZs, consulte Modificar uma instância de banco de dados para ser uma implantação de instância de banco de dados multi-AZ no Guia do usuário do Amazon RDS.

As etapas de correção são diferentes nos bancos de dados globais do Aurora. Para configurar várias zonas de disponibilidade para um banco de dados global do Aurora, selecione seu cluster de banco de dados. Em seguida, escolha Ações e Adicionar leitor e especifique várias AZs. Para mais informações, consulte Adicionar réplicas do Aurora a um cluster de banco de dados no Guia do usuário do Amazon Aurora.

[RDS.16] Os clusters de banco de dados do RDS devem ser configurados para copiar tags para instantâneos

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)

Categoria: Identificar > Inventário

Severidade: baixa

Tipo de recurso: AWS::RDS::DBCluster

Regra AWS Config : rds-cluster-copy-tags-to-snapshots-enabled (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os clusters de banco de dados RDS estão configurados para copiar todas as tags para instantâneos quando os instantâneos são criados.

A identificação e o inventário de seus ativos de TI é um aspecto essencial de governança e segurança. Você precisa ter visibilidade de todos os seus clusters de banco de dados do RDS para avaliar seus procedimentos de segurança e atuar em possíveis pontos fracos. Você deve marcar instantâneos da mesma forma que os clusters de banco de dados do Amazon RDS primário. A ativação dessa configuração garante que os instantâneos herdem as tags de seus clusters de banco de dados principais.

Correção

Para copiar automaticamente tags para instantâneos de um cluster de banco de dados do RDS, consulte Modificar cluster de banco de dados usando o console, a CLI e a API no Guia do usuário do Amazon Aurora. Selecione Copiar tags para instantâneos.

[RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para instantâneos

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)

Categoria: Identificar > Inventário

Severidade: baixa

Tipo de recurso: AWS::RDS::DBInstance

Regra AWS Config : rds-instance-copy-tags-to-snapshots-enabled (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se as instâncias de banco de dados RDS estão configuradas para copiar todas as tags para instantâneos quando os instantâneos são criados.

A identificação e o inventário de seus ativos de TI é um aspecto essencial de governança e segurança. Você precisa ter visibilidade de todos as instâncias de bancos de dados do RDS para avaliar seus procedimentos de segurança e atuar em possíveis pontos fracos. Você deve marcar instantâneos da mesma forma que os clusters de banco de dados do Amazon RDS primário. A ativação dessa configuração garante que os instantâneos herdem as tags de suas instâncias de banco de dados principais.

Correção

Para copiar automaticamente as tags para instantâneos de uma instância de banco de dados do RDS, consulte Modificar uma instância de banco de dados do Amazon RDS no Guia do usuário do Amazon RDS. Selecione Copiar tags para instantâneos.

[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC

Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoria: Proteger > Configuração de rede segura > Recursos na VPC

Severidade: alta

Tipo de recurso: AWS::RDS::DBInstance

Regra AWS Config : rds-deployed-in-vpc (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma instância do Amazon RDS está implantada em uma EC2-VPC.

As VPCs fornecem vários controles de rede para proteger o acesso aos recursos do RDS. Esses controles incluem endpoints da VPC, ACLs de rede e grupos de segurança. Para aproveitar esses controles, recomendamos que você crie suas instâncias do RDS em uma EC2-VPC.

Correção

Para obter instruções sobre como mover instâncias do RDS para uma VPC, consulte Atualizar a VPC para uma instância de banco de dados no Guia do usuário do Amazon RDS.

[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster

Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

Categoria: Detectar > Serviços de detecção > Monitoramento de aplicativos

Severidade: baixa

Tipo de recurso: AWS::RDS::EventSubscription

Regra AWS Config : rds-cluster-event-notifications-configured (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma assinatura de eventos existente do Amazon RDS para clusters de banco de dados tem notificações habilitadas para os seguintes pares de valores-chave de tipo de fonte e categoria de evento:


DBCluster: ["maintenance","failure"]

O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.

As notificações de eventos do RDS usam o Amazon SNS para informá-lo sobre alterações na disponibilidade ou na configuração dos seus recursos do RDS. Essas notificações permitem uma resposta rápida. Para obter mais informações sobre notificações de eventos do RDS, consulte Usar a notificação de evento do Amazon RDS no Guia do usuário do Amazon RDS.

Correção

Para assinar notificações de eventos de cluster do RDS, consulte Assinatura da notificação de eventos do Amazon RDS no Guia do usuário do Amazon RDS. Use os seguintes valores:

Campo	Valor
Tipo de origem	Clusters
Clusters a serem incluídos	Todos os clusters
Categorias de eventos a serem incluídas	Selecione categorias de eventos específicas ou Todas as categorias de eventos

[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados

Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

Categoria: Detectar > Serviços de detecção > Monitoramento de aplicativos

Severidade: baixa

Tipo de recurso: AWS::RDS::EventSubscription

Regra AWS Config : rds-instance-event-notifications-configured (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma assinatura de eventos existente do Amazon RDS para instâncias de banco de dados tem notificações habilitadas para os seguintes pares de valores-chave de tipo de fonte e categoria de evento:


DBInstance: ["maintenance","configuration change","failure"]

O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.

As notificações de eventos do RDS usam o Amazon SNS para informá-lo sobre mudanças na disponibilidade ou na configuração dos seus recursos do RDS. Essas notificações permitem uma resposta rápida. Para obter mais informações sobre notificações de eventos do RDS, consulte Usar a notificação de evento do Amazon RDS no Guia do usuário do Amazon RDS.

Correção

Para assinar notificações de eventos de instâncias do RDS, consulte Assinatura da notificação de eventos do Amazon RDS no Guia do usuário do Amazon RDS. Use os seguintes valores:

Campo	Valor
Tipo de origem	Instâncias
Instâncias a serem incluídas	Todas as instâncias
Categorias de eventos a serem incluídas	Selecione categorias de eventos específicas ou Todas as categorias de eventos

[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados

Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

Categoria: Detectar > Serviços de detecção > Monitoramento de aplicativos

Severidade: baixa

Tipo de recurso: AWS::RDS::EventSubscription

Regra AWS Config : rds-pg-event-notifications-configured (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma assinatura de eventos existente do Amazon RDS tem notificações habilitadas para os seguintes pares de valores-chave de tipo de fonte e categoria de evento. O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.


DBParameterGroup: ["configuration change"]

Correção

Para assinar notificações de eventos de grupos de parâmetros de bancos de dados do RDS, consulte Assinatura da notificação de eventos do Amazon RDS no Guia do usuário do Amazon RDS. Use os seguintes valores:

Campo	Valor
Tipo de origem	Grupos de parâmetros
Grupos de parâmetros a serem incluídos	Todos os grupos de parâmetros
Categorias de eventos a serem incluídas	Selecione categorias de eventos específicas ou Todas as categorias de eventos

[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados

Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

Categoria: Detectar > Serviços de detecção > Monitoramento de aplicativos

Severidade: baixa

Tipo de recurso: AWS::RDS::EventSubscription

Regra AWS Config : rds-sg-event-notifications-configured (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum


DBSecurityGroup: ["configuration change","failure"]

Correção

Para assinar notificações de eventos de instâncias do RDS, consulte Assinatura da notificação de eventos do Amazon RDS no Guia do usuário do Amazon RDS. Use os seguintes valores:

Campo	Valor
Tipo de origem	Grupos de segurança
Grupos de segurança a serem incluídos	Todos os grupos de segurança
Categorias de eventos a serem incluídas	Selecione categorias de eventos específicas ou Todas as categorias de eventos

[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(5)

Categoria: Proteger > Configuração de rede segura

Severidade: baixa

Tipo de recurso: AWS::RDS::DBInstance

Regra AWS Config : rds-no-default-ports (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um cluster ou instância do RDS usa uma porta diferente da porta padrão do mecanismo de banco de dados. O controle falhará se o cluster ou a instância do RDS usar a porta padrão.

Se você usar uma porta conhecida para implantar um cluster ou instância do RDS, um invasor poderá adivinhar informações sobre o cluster ou a instância. O invasor pode usar essas informações em conjunto com outras informações para se conectar a um cluster ou instância do RDS ou obter informações adicionais sobre seu aplicativo.

Ao alterar a porta, você também deve atualizar as cadeias de conexão existentes que foram usadas para se conectar à porta antiga. Você também deve verificar o grupo de segurança da instância de banco de dados para garantir que ele inclua uma regra de entrada que permita conectividade na nova porta.

Correção

Para modificar a porta padrão de uma instância de banco de dados RDS existente, consulte Modificar uma instância de banco de dados Amazon RDS no Guia do usuário do Amazon RDS. Para modificar a porta padrão de um cluster de banco de dados Neptune existente, consulte Modificar o cluster de banco de dados usando o console, a CLI e a API no Guia do usuário do Amazon Aurora. Em Porta do banco de dados, altere o valor da porta para um valor não padrão.

[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

Categoria: Identificar > Configuração de recursos

Severidade: média

Tipo de recurso: AWS::RDS::DBCluster

Regra do AWS Config : rds-cluster-default-admin-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um cluster de banco de dados do Amazon RDS alterou o nome de usuário do administrador de seu valor padrão. O controle não se aplica a mecanismos do tipo neptune (Neptune DB) ou docdb (DocumentDB). Essa regra falhará se o nome de usuário do administrador estiver definido com o valor padrão.

Ao criar um banco de dados do Amazon RDS, você deve alterar o nome de usuário do administrador padrão para um valor exclusivo. Os nomes de usuário padrão são de conhecimento público e devem ser alterados durante a criação do banco de dados RDS. Alterar os nomes de usuário padrão reduz o risco de acesso não intencional.

Correção

Para alterar o nome de usuário do administrador associado ao cluster de banco de dados do Amazon RDS, crie um novo cluster de banco de dados do RDS e altere o nome de usuário do administrador padrão ao criar o banco de dados.

[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

Categoria: Identificar > Configuração de recursos

Severidade: média

Tipo de recurso: AWS::RDS::DBInstance

Regra do AWS Config : rds-instance-default-admin-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se você alterou o nome de usuário administrativo para as instâncias de banco de dados do Amazon Relational Database Service (Amazon RDS) do valor padrão do nome de usuário administrativo para as instâncias de banco de dados do Amazon Relational Database Service (Amazon RDS). O controle não se aplica a mecanismos do tipo neptune (Neptune DB) ou docdb (DocumentDB). Esse controle falha se o nome de usuário do administrador estiver definido com o valor padrão.

Os nomes de usuário administrativos padrão nos bancos de dados do Amazon RDS são de conhecimento público. Ao criar um banco de dados do Amazon RDS, você deve alterar o nome de usuário do administrador padrão para um valor exclusivo de modo a reduzir o risco de acesso acidental.

Correção

Para alterar o nome de usuário administrativo associado a uma instância do banco de dados do RDS, primeiro crie uma nova instância do banco de dados do RDS. Altere o nome de usuário administrativo padrão ao criar o banco de dados.

[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup

Categoria: Recuperação > Resiliência > Backups ativados

Severidade: média

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regra: rds-resources-protected-by-backup-plan

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`backupVaultLockCheck`	O controle produz uma `PASSED` descoberta se o parâmetro estiver definido como verdadeiro e o recurso usar o AWS Backup Vault Lock.	Booleano	`true` ou `false`	Nenhum valor padrão

Esse controle avalia se as instâncias de banco de dados do Amazon RDS estão cobertas por um plano de backup. Esse controle falhará se a instância de banco de dados do RDS não estiver coberta por um plano de backup. Se você definir o backupVaultLockCheck parâmetro igual atrue, o controle passará somente se o backup da instância for feito em um cofre AWS Backup bloqueado.

AWS Backup é um serviço de backup totalmente gerenciado que centraliza e automatiza o backup de dados em todo lugar. Serviços da AWS Com AWS Backup, você pode criar políticas de backup chamadas planos de backup. É possível usar esses planos para definir seus requisitos de backup, como a frequência com a qual fazer o backup de seus dados e por quanto tempo manter esses backups. Incluir instâncias de bancos de dados do RDS em seus planos de backup ajuda a proteger seus dados contra perda ou exclusão não intencionais.

Correção

Para adicionar uma instância de banco de dados do RDS a um plano de AWS Backup backup, consulte Atribuição de recursos a um plano de backup no Guia do AWS Backup desenvolvedor.

[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regra: rds-cluster-encrypted-at-rest

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um cluster de banco de dados RDS é criptografado em repouso. O controle falhará se um cluster de banco de dados do RDS não estiver criptografado em repouso.

Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Criptografar seus clusters de banco de dados RDS protege seus dados e metadados contra acesso não autorizado. Ele também atende aos requisitos de conformidade para data-at-rest criptografia de sistemas de arquivos de produção.

Correção

Você pode ativar a criptografia em repouso ao criar um cluster de banco de dados do RDS. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte Criptografar um cluster de banco de dados do Amazon Aurora no Guia do usuário do Amazon Aurora.

[RDS.28] Os clusters de banco de dados do RDS devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regra: tagged-rds-dbcluster (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos AWS requisitos	Nenhum valor padrão

Esse controle verifica se um cluster de banco de dados do Amazon RDS tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o cluster de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o cluster de banco de dados não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define permissões com base em tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. Você pode criar uma única política ABAC ou um conjunto separado de políticas para seus diretores do IAM. Você pode criar essas políticas ABAC para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.

nota

Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS

Correção

Para adicionar tags a um cluster de banco de dados do RDS, consulte Como marcar recursos do Amazon RDS no Guia do usuário do Amazon RDS.

[RDS.29] Os instantâneos do cluster de banco de dados do RDS devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::RDS::DBClusterSnapshot

AWS Config regra: tagged-rds-dbclustersnapshot (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos AWS requisitos	Nenhum valor padrão

Esse controle verifica se um snapshot de cluster de banco de dados do Amazon RDS tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o snapshot do cluster de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o snapshot do cluster de banco de dados não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um snapshot de cluster de banco de dados do RDS, consulte Como marcar recursos do Amazon RDS no Guia do usuário do Amazon RDS.

[RDS.30] As instâncias de banco de dados do RDS devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::RDS::DBInstance

AWS Config regra: tagged-rds-dbinstance (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos AWS requisitos	Nenhum valor padrão

Esse controle verifica se uma instância de banco de dados Amazon RDS tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a instância de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a instância de banco de dados não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a uma instância de banco de dados do RDS, consulte Como marcar recursos do Amazon RDS no Guia do usuário do Amazon RDS.

[RDS.31] Os grupos de segurança do RDS DB devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::RDS::DBSecurityGroup

AWS Config regra: tagged-rds-dbsecuritygroup (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos AWS requisitos	Nenhum valor padrão

Esse controle verifica se um grupo de segurança de banco de dados do Amazon RDS tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o grupo de segurança do banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o grupo de segurança do banco de dados não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um grupo de segurança do banco de dados do RDS, consulte Como marcar recursos do Amazon RDS no Guia do usuário do Amazon RDS.

[RDS.32] Os instantâneos do banco de dados do RDS devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::RDS::DBSnapshot

AWS Config regra: tagged-rds-dbsnapshot (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos AWS requisitos	Nenhum valor padrão

Esse controle verifica se um DB snapshot do Amazon RDS tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o DB snapshot não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o DB snapshot não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um DB snapshot do RDS, consulte Como marcar recursos do Amazon RDS no Guia do usuário do Amazon RDS.

[RDS.33] Os grupos de sub-redes do banco de dados do RDS devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::RDS::DBSubnetGroup

AWS Config regra: tagged-rds-dbsubnetgroups (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos AWS requisitos	Nenhum valor padrão

Esse controle verifica se um grupo de sub-redes de banco de dados do Amazon RDS tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o grupo de sub-redes do banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o grupo de sub-redes do banco de dados não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um grupo de sub-redes de banco de dados do RDS, consulte Como marcar recursos do Amazon RDS no Guia do usuário do Amazon RDS.

[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch

Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regra: rds-aurora-mysql-audit-logging-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um cluster de banco de dados Amazon Aurora MySQL está configurado para publicar logs de auditoria no Amazon Logs. CloudWatch O controle falhará se o cluster não estiver configurado para publicar registros de auditoria no CloudWatch Logs. O controle não gera descobertas para clusters de banco de dados Aurora Serverless v1.

Os logs de auditoria capturam um registro da atividade do banco de dados, incluindo tentativas de login, modificações de dados, alterações de esquema e outros eventos que podem ser auditados para fins de segurança e conformidade. Ao configurar um cluster de banco de dados Aurora MySQL para publicar registros de auditoria em um grupo de logs no Amazon CloudWatch Logs, você pode realizar análises em tempo real dos dados de log. CloudWatch O Logs retém os registros em um armazenamento altamente durável. Você também pode criar alarmes e visualizar métricas no CloudWatch.

nota

Uma forma alternativa de publicar registros de auditoria no Logs é habilitar a auditoria avançada e definir o parâmetro de banco de CloudWatch dados em nível de cluster como. server_audit_logs_upload 1 O padrão para server_audit_logs_upload parameter é 0. No entanto, recomendamos que você use as seguintes instruções de correção para passar esse controle.

Correção

Para publicar registros de auditoria do cluster de banco de dados Aurora MySQL no Logs, consulte Publicação de CloudWatch registros do Amazon Aurora MySQL no Amazon Logs CloudWatch no Guia do usuário do Amazon Aurora.

[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada

Requisitos relacionados: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5)

Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões

Severidade: média

Tipo de recurso: AWS::RDS::DBCluster

AWS Config regra: rds-cluster-auto-minor-version-upgrade-enable

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a atualização automática de versões secundárias está habilitada para um cluster de banco de dados Amazon RDS Multi-AZ. O controle falhará se a atualização automática de versões secundárias não estiver habilitada para o cluster de banco de dados Multi-AZ.

O RDS fornece atualização automática de versões secundárias para que você possa manter seu cluster de banco de dados Multi-AZ atualizado. Versões secundárias podem introduzir novos atributos de software, correções de bugs, patches de segurança e melhorias de desempenho. Ao habilitar a atualização automática de versões secundárias em clusters de banco de dados do RDS, o cluster, junto com as instâncias no cluster, receberá atualizações automáticas para a versão secundária quando novas versões estiverem disponíveis. As atualizações são aplicadas automaticamente durante o período de manutenção.

Correção

Para habilitar a atualização automática de versões secundárias em clusters de banco de dados Multi-AZ, consulte Modificação de um cluster de banco de dados Multi-AZ no Guia do usuário do Amazon RDS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS Private Certificate Authority controles

Controles do Amazon Redshift