本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于亚马逊的 Security Hub 控件 RDS
这些 AWS Security Hub 控制评估亚马逊关系数据库服务 (AmazonRDS) 的服务和资源。
这些控件可能并非全部可用 AWS 区域。 有关更多信息,请参阅按地区划分的控件可用性。
[RDS.1] RDS 快照应该是私有的
相关要求:PCIDSSv3.2.1/1.2.1、v3.2.1/1.3.1、PCI DSS v3.2.1/1.3. PCI DSS 4、v3.2.1/1.3. PCI DSS 6、v3.2. PCI DSS 1/7.2.1、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3(7)、、(21)、、(11)、(11)、(16) NIST.800-53.r5 AC-3、(20)、(21) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)、(3) NIST.800-53.r5 AC-6、(4) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
类别:保护 > 安全网络配置
严重性:严重
资源类型:AWS::RDS::DBClusterSnapshot、AWS::RDS::DBSnapshot
AWS Config 规则:rds-snapshots-public-prohibited
计划类型:已触发变更
参数:无
此控件可检查 Amazon RDS 快照是否公开。如果RDS快照是公开的,则控制失败。此控件评估RDS实例、Aurora 数据库实例、Neptune 数据库实例和 Amazon DocumentDB 集群。
RDS快照用于在特定时间点备份您的RDS实例上的数据。它们可用于恢复RDS实例的先前状态。
除非有意图,否则RDS快照不得公开。如果您将未加密的手动快照共享为公共快照,则该快照可供所有人使用 AWS 账户。 这可能会导致您的RDS实例意外数据泄露。
请注意,如果将配置更改为允许公共访问,则 AWS Config 规则可能在长达 12 小时内无法检测到更改。直到 AWS Config 规则检测到更改,即使配置违反了规则,检查也会通过。
要了解有关共享数据库快照的更多信息,请参阅 Amazon RDS 用户指南中的共享数据库快照。
修复
要删除RDS快照的公共访问权限,请参阅 Amazon RDS 用户指南中的共享快照。对于数据库快照可见性,我们选择私有。
[RDS.2] RDS 数据库实例应禁止公共访问,具体由以下决定 PubliclyAccessible AWS Config持续时间
相关要求:CIS AWS 基金会基准 v3.0.0/2.3.3、v3.2.1/1.2. PCI DSS 1、v3.2.1/1.3.1、v3.2.1/1.3. PCI DSS 2、PCI DSS v3.2.1/1.3.2、v3.2.1/1.3. PCI DSS 4、v3.2.1/1.3.6、v3.2.1/7.2.1、、(21)、(11)、(16)、(21)、(4)、(PCIDSS5) PCI DSS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
类别:保护 > 安全网络配置
严重性:严重
资源类型:AWS::RDS::DBInstance
AWS Config 规则:rds-instance-public-access-check
计划类型:已触发变更
参数:无
此控件通过评估RDS实例配置项目中的PubliclyAccessible字段来检查 Amazon 实例是否可公开访问。
Neptune 数据库实例和 Amazon DocumentDB 集群没有 PubliclyAccessible 标志,因此无法进行评估。但是,这种控件仍然可以为这些资源生成调查发现。您可以隐瞒这些结果。
RDS实例配置中的PubliclyAccessible值表示数据库实例是否可公开访问。当数据库实例配置为时PubliclyAccessible,它是一个面向 Internet 的实例,其DNS名称可公开解析,可解析为公有 IP 地址。当数据库实例不可公开访问时,它就是一个内部实例,其DNS名称可解析为私有 IP 地址。
除非您打算让您的RDS实例可供公众访问,否则不应为该RDS实例配置PubliclyAccessible值。这样做可能会给数据库实例带来不必要的流量。
修复
要删除RDS数据库实例的公有访问权限,请参阅亚马逊RDS用户指南中的修改亚马逊RDS数据库实例。对于公有访问权限,选择否。
[RDS.3] RDS 数据库实例应启用静态加密
相关要求:CIS AWS 基金会基准测试 v3.0.0/2.3.1,CIS AWS Foundations Benchmark v1.4.0/2.3.1、 NIST.800-53.r5 CA-9 (1)、(1)、( NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13)、 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1)、(10)、.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6NIST)
类别:保护 > 数据保护 > 加密 data-at-rest
严重性:中
资源类型:AWS::RDS::DBInstance
AWS Config 规则:rds-storage-encrypted
计划类型:已触发变更
参数:无
此控件检查您的 Amazon RDS 数据库实例是否启用了存储加密。
此控件适用于RDS数据库实例。但是,它也可以生成 Aurora 数据库实例、Neptune 数据库实例和 Amazon DocumentDB 集群的调查发现。如果这些结果没有用,那么您可以隐瞒它们。
要为RDS数据库实例中的敏感数据增加一层安全性,您应将RDS数据库实例配置为静态加密。要加密RDS数据库实例和静态快照,请为RDS数据库实例启用加密选项。静态加密的数据包括数据库实例的底层存储、自动备份、只读副本和快照。
RDS加密的数据库实例使用开放标准 AES -256 加密算法对托管RDS数据库实例的服务器上的数据进行加密。对您的数据进行加密后,Amazon 会透明地RDS处理访问和解密数据的身份验证,而对性能的影响最小。您无需修改数据库客户端应用程序来使用加密。
Amazon RDS 加密目前适用于所有数据库引擎和存储类型。Amazon RDS 加密适用于大多数数据库实例类。要了解不支持 Amazon RDS 加密的数据库实例类,请参阅亚马逊RDS用户指南中的加密亚马逊RDS资源。
修复
有关在亚马逊中加密数据库实例的信息RDS,请参阅亚马逊RDS用户指南中的加密亚马逊RDS资源。
[RDS.4] RDS 集群快照和数据库快照应进行静态加密
相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、NIST .800-53.r5 SI-7 (6)
类别:保护 > 数据保护 > 加密 data-at-rest
严重性:中
资源类型:AWS::RDS::DBClusterSnapshot、 AWS::RDS::DBSnapshot
AWS Config 规则:rds-snapshot-encrypted
计划类型:已触发变更
参数:无
此控件检查RDS数据库快照是否已加密。如果RDS数据库快照未加密,则控制失败。
此控件适用于RDS数据库实例。但是,它也可以生成 Aurora 数据库实例、Neptune 数据库实例和 Amazon DocumentDB 集群的快照的调查发现。如果这些结果没有用,那么您可以隐瞒它们。
对静态数据进行加密可降低未经身份验证的用户访问存储在磁盘上的数据的风险。为了增加安全性,应对RDS快照中的数据进行静态加密。
修复
要加密RDS快照,请参阅亚马逊RDS用户指南中的加密亚马逊RDS资源。加密RDS数据库实例时,加密的数据包括该实例的底层存储、其自动备份、只读副本和快照。
您只能在创建RDS数据库实例时对其进行加密,而不能在创建数据库实例之后加密。不过,由于您可以加密未加密快照的副本,因此,您可以高效地为未加密的数据库实例添加加密。也就是说,您可以创建数据库实例快照,然后创建该快照的加密副本。然后,您可以从加密快照还原数据库实例,从而获得原始数据库实例的加密副本。
[RDS.5] RDS 数据库实例应配置多个可用区
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、NIST .800-53.r5 SI-13 (5)
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::RDS::DBInstance
AWS Config 规则:rds-multi-az-support
计划类型:已触发变更
参数:无
此控件可检查您的RDS数据库实例是否启用了高可用性。
RDS应为多个可用区配置数据库实例 (AZs)。这样可以确保所存储数据的可用性。多可用区部署允许在可用区可用性出现问题和定期RDS维护期间进行自动故障转移。
修复
要将数据库实例部署为多个实例AZs,请在 A mazon RDS 用户指南中将数据库实例修改为多可用区数据库实例部署。
[RDS.6] 应为RDS数据库实例配置增强监控
相关要求: NIST.800-53.r5 CA-7,NIST.800-53.r5 SI-2
类别:检测 > 检测服务
严重性:低
资源类型:AWS::RDS::DBInstance
AWS Config 规则:rds-enhanced-monitoring-enabled
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
监控指标收集间隔之间的秒数 |
枚举 |
|
无默认值 |
此控件检查是否为亚马逊关系数据库服务 (AmazonRDS) 数据库实例启用了增强监控。如果没有为实例启用增强监控,则控制失败。如果您为 monitoringInterval 参数提供自定义值,则仅当在按指定间隔收集实例的增强监控指标时,控制才会通过。
在 Amazon 中RDS,增强监控可以更快地响应底层基础设施的性能变化。这些性能变化可能会导致数据可用性不足。增强监控提供RDS数据库实例运行的操作系统的实时指标。实例上安装了代理。与从虚拟机管理程序层相比,代理可以更准确地获取指标。
当您想要查看数据库实例上的不同进程或线程如何使用时,增强监控指标非常有用CPU。有关更多信息,请参阅 Amazon RDS 用户指南中的增强监控。
修复
有关为数据库实例启用增强监控的详细说明,请参阅 Amazon RDS 用户指南中的设置和启用增强监控。
[RDS.7] RDS 群集应启用删除保护
相关要求: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)
类别:保护 > 数据保护 > 数据删除保护
严重性:低
资源类型:AWS::RDS::DBCluster
AWS Config 规则:rds-cluster-deletion-protection-enabled
计划类型:已触发变更
参数:无
此控件检查RDS数据库集群是否启用了删除保护。如果RDS数据库集群未启用删除保护,则控制失败。
此控件适用于RDS数据库实例。但是,它也可以生成 Aurora 数据库实例、Neptune 数据库实例和 Amazon DocumentDB 集群的调查发现。如果这些结果没有用,那么您可以隐瞒它们。
启用集群删除保护是针对意外数据库删除或未经授权实体删除的额外保护层。
启用删除保护后,无法删除RDS集群。在删除请求成功之前,必须禁用删除保护。
修复
要为RDS数据库集群启用删除保护,请参阅 Amazon RDS 用户指南API中的使用控制台修改数据库集群CLI、和。对于删除保护,选择启用删除保护。
[RDS.8] RDS 数据库实例应启用删除保护
相关要求: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)、NIST .800-53.r5 SI-13 (5)
类别:保护 > 数据保护 > 数据删除保护
严重性:低
资源类型:AWS::RDS::DBInstance
AWS Config 规则:rds-instance-deletion-protection-enabled
计划类型:已触发变更
参数:
-
databaseEngines:mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(不可自定义)
此控件检查使用所列数据库引擎之一的数据库实例是否启用了删除保护。RDS如果RDS数据库实例未启用删除保护,则控制失败。
启用实例删除保护是针对意外数据库删除或未经授权实体删除的额外保护层。
启用删除保护后,无法删除RDS数据库实例。在删除请求成功之前,必须禁用删除保护。
修复
要为RDS数据库实例启用删除保护,请参阅亚马逊RDS用户指南中的修改亚马逊RDS数据库实例。对于删除保护,选择启用删除保护。
[RDS.9] RDS 数据库实例应将日志发布到 CloudWatch 日志
相关要求: NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (10)、 NIST.800-53.r5 AC-6 (9)、 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、.800-53.r5 SI NIST -4 NIST.800-53.r5 SC-7 (20)、.800-53.r5 (20)、NIST .800-53.r5 SI-7 (8) NIST
类别:识别 > 日志记录
严重性:中
资源类型:AWS::RDS::DBInstance
AWS Config 规则:rds-logging-enabled
计划类型:已触发变更
参数:无
此控件检查亚马逊RDS数据库实例是否配置为将以下日志发布到 Amazon L CloudWatch ogs。如果实例未配置为将以下日志发布到 CloudWatch 日志,则控制失败:
-
Oracle:(警报、审计、跟踪、侦听器)
-
PostgreSQL:(Postgresql,升级)
-
我的SQL:(审计、错误、常规、 SlowQuery)
-
MariaDB:(审计、错误、常规、) SlowQuery
-
SQL服务器:(错误,代理)
-
Aurora:(审计、错误、常规、 SlowQuery)
-
Aurora-MySQL:(审计、错误、常规、) SlowQuery
-
Aurora-PostgreSQL:(Postgresql,升级)。
RDS数据库应启用相关日志。数据库日志记录提供对的请求的详细记录RDS。数据库日志可以协助安全和访问审计,并可以帮助诊断可用性问题。
修复
要将RDS数据库日志发布到 CloudWatch 日志,请参阅 Amazon RDS 用户指南中的指定要发布到 CloudWatch 日志的日志。
[RDS.10] 应为RDS实例配置IAM身份验证
相关要求: NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-6
类别:保护 > 安全访问管理 > 无密码身份验证
严重性:中
资源类型:AWS::RDS::DBInstance
AWS Config 规则:rds-instance-iam-authentication-enabled
计划类型:已触发变更
参数:无
此控件检查RDS数据库实例是否启用了IAM数据库身份验证。如果未为RDS数据库实例配置IAM身份验证,则控制失败。此控件仅评估具有以下引擎类型的RDS实例:mysql、postgres、aurora、aurora-mysqlaurora-postgresql、和。mariadbRDS实例还必须处于以下状态之一才能生成查找结果:available、backing-upstorage-optimization、或storage-full。
IAM数据库身份验证允许使用身份验证令牌而不是密码对数据库实例进行身份验证。进出数据库的网络流量使用加密SSL。有关更多信息,请参阅 Amazon Aurora 用户指南中的IAM数据库身份验证。
修复
要在IAM数据库实例上激活数据库身份验证,请参阅 Amazon RDS 用户指南中的启用和禁用IAM数据库身份验证。RDS
[RDS.11] RDS 实例应启用自动备份
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST .800-53.r5 SI-12、.800-53.r5 SI-13 (5) NIST
类别:恢复 > 弹性 > 启用备份
严重性:中
资源类型:AWS::RDS::DBInstance
AWS Config 规则:db-instance-backup-enabled
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
最小备份保留期(以天为单位) |
整数 |
|
|
|
|
检查RDS数据库实例是否为只读副本启用了备份 |
布尔值 |
不可自定义 |
|
此控件检查 Amazon Relational Database Service 实例是否启用了自动备份以及备份保留期是否大于或等于指定时间范围。只读副本不在评估范围内。如果没有为实例启用备份或保留期小于指定时间范围,则控制失败。除非您为备份保留期提供自定义参数值,否则 Security Hub 将使用默认值即 7 天。
备份可帮助您更快地从安全事件中恢复并增强系统的故障恢复能力。Amazon RDS 允许您配置每日完整实例卷快照。有关亚马逊RDS自动备份的更多信息,请参阅《亚马逊RDS用户指南》中的使用备份。
修复
要在RDS数据库实例上启用自动备份,请参阅 Amazon RDS 用户指南中的启用自动备份。
[RDS.12] 应为RDS群集配置IAM身份验证
相关要求: NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-6
类别:保护 > 安全访问管理 > 无密码身份验证
严重性:中
资源类型:AWS::RDS::DBCluster
AWS Config 规则:rds-cluster-iam-authentication-enabled
计划类型:已触发变更
参数:无
此控件检查 Amazon RDS 数据库集群是否启用了IAM数据库身份验证。
IAM数据库身份验证允许对数据库实例进行免密码身份验证。身份验证使用身份验证令牌。进出数据库的网络流量使用加密SSL。有关更多信息,请参阅 Amazon Aurora 用户指南中的IAM数据库身份验证。
修复
要为数据库集群启用IAM身份验证,请参阅 Amazon Aurora 用户指南中的启用和禁用IAM数据库身份验证。
[RDS.13] 应RDS启用自动次要版本升级
相关要求:CIS AWS Foundations Benchmark v3.0.0/2.3.2、.800-53.r5 SI-2、NIST .800-53.r5 SI-2 (2)、.800-53.r5 SI-2 (4)、NIST .800-53.r5 SI-2 (5) NIST NIST
类别:识别 > 漏洞、补丁和版本管理
严重性:高
资源类型:AWS::RDS::DBInstance
AWS Config 规则:rds-automatic-minor-version-upgrade-enabled
计划类型:已触发变更
参数:无
此控件检查RDS数据库实例是否启用了自动次要版本升级。
启用自动次要版本升级可确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新。这些升级可能包括安全补丁和错误修复。及时安装补丁程序是保护系统安全的重要一步。
修复
要为现有数据库实例启用自动次要版本升级,请参阅亚马逊RDS用户指南中的修改亚马逊RDS数据库实例。对于自动次要版本升级,请选择是。
[RDS.14] 亚马逊 Aurora 集群应启用回溯功能
相关要求:NIST.800-53.r5 CP-10、.800-53.r5 CP-6、.800-53.r5 CP-6 (1)、NIST .800-53.r5 CP-6 (2)、.800-53.r5 CP-NIST 9、.800-53.r5 SI-13 (5) NIST NIST NIST
类别:恢复 > 弹性 > 启用备份
严重性:中
资源类型:AWS::RDS::DBCluster
AWS Config 规则:aurora-mysql-backtracking-enabled
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
回溯 Aurora My SQL 集群所需的小时数 |
Double |
|
无默认值 |
此控件检查 Amazon Aurora 集群是否启用了回溯。如果集群未启用回溯,则控制失败。如果您为 BacktrackWindowInHours 参数提供自定义值,则仅当集群在指定的时间长度内被回溯时,控制才会通过。
备份可以帮助您更快地从安全事件中恢复。它们还可以增强系统的弹性。Aurora 回溯可将数据库还原到某个时间点的时间。这样做不需要数据库恢复。
修复
要启用 Aurora 回溯,请参阅《Amazon Aurora 用户指南》中的配置回溯。
请注意,您无法在现有集群上启用回溯功能。相反,您可创建启用回溯功能的克隆。有关 Aurora 回溯限制的更多信息,请参阅回溯概述中的限制列表。
[RDS.15] 应为多个可用区配置RDS数据库集群
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、NIST .800-53.r5 SI-13 (5)
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::RDS::DBCluster
AWS Config 规则:rds-cluster-multi-az-enabled
计划类型:已触发变更
参数:无
此控件可检查您的RDS数据库集群是否启用了高可用性。如果RDS数据库集群未部署在多个可用区中,则控制失败 (AZs)。
RDS应将数据库集群配置为多个集群AZs,以确保存储数据的可用性。部署到多个可用区AZs允许在出现可用区可用性问题和定期RDS维护事件期间进行自动故障转移。
修复
要在多个数据库集群中部署AZs,请在 A mazon RDS 用户指南中将数据库实例修改为多可用区数据库实例部署。
Aurora 全球数据库的修复步骤有所不同。要为 Aurora 全球数据库配置多个可用区,请选择数据库集群。然后,选择 “操作” 和 “添加阅读器”,并指定多个AZs。有关更多信息,请参阅 Amazon Aurora 用户指南中的将 Aurora 副本添加到数据库集群。
[RDS.16] 应将RDS数据库集群配置为将标签复制到快照
相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2、.800-53.r5 CM-2 (2) NIST
类别:识别 > 清单
严重性:低
资源类型:AWS::RDS::DBCluster
AWS Config 规则:rds-cluster-copy-tags-to-snapshots-enabled(自定义 Security Hub 规则)
计划类型:已触发变更
参数:无
此控件检查RDS数据库集群是否配置为在创建快照时将所有标签复制到快照。
IT 资产的识别和清点是治理和安全的一个重要方面。您需要了解所有RDS数据库集群,以便评估其安全状况并对潜在的薄弱环节采取措施。快照的标记方式应与其父RDS数据库集群相同。启用此设置可确保快照继承其父级数据库集群的标签。
修复
要自动将标签复制到RDS数据库集群的快照,请参阅 Amazon Aurora 用户指南API中的使用控制台修改数据库集群CLI,以及。选择将标签复制到快照。
[RDS.17] 应将RDS数据库实例配置为将标签复制到快照
相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2、.800-53.r5 CM-2 (2) NIST
类别:识别 > 清单
严重性:低
资源类型:AWS::RDS::DBInstance
AWS Config 规则:rds-instance-copy-tags-to-snapshots-enabled(自定义 Security Hub 规则)
计划类型:已触发变更
参数:无
此控件检查RDS数据库实例是否配置为在创建快照时将所有标签复制到快照。
IT 资产的识别和清点是治理和安全的一个重要方面。您需要了解所有RDS数据库实例,以便评估其安全状况并对潜在的薄弱环节采取措施。快照的标记方式应与其父RDS数据库实例相同。启用此设置可确保快照继承其父级数据库实例的标签。
修复
要自动将标签复制到RDS数据库实例的快照,请参阅亚马逊RDS用户指南中的修改亚马逊RDS数据库实例。选择将标签复制到快照。
[RDS.18] RDS 实例应部署在 VPC
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)
类别:保护 > 安全网络配置 > 其中的资源 VPC
严重性:高
资源类型:AWS::RDS::DBInstance
AWS Config 规则:rds-deployed-in-vpc(自定义 Security Hub 规则)
计划类型:已触发变更
参数:无
此控件检查是否在 EC2-上部署了 Amazon RDS 实例VPC。
VPCs提供多种网络控制以保护对RDS资源的访问。这些控制包括VPC端点ACLs、网络和安全组。要利用这些控件,我们建议您在 EC2-上创建RDS实例VPC。
修复
有关将RDS实例移至的说明VPC,请参阅 Amazon RDS 用户指南中的更新数据库实例。VPC
[RDS.19] 应为关键群集RDS事件配置现有的事件通知订阅
相关要求: NIST.800-53.r5 CA-7,NIST.800-53.r5 SI-2
分类:检测 > 检测服务 > 应用程序监控
严重性:低
资源类型:AWS::RDS::EventSubscription
AWS Config 规则:rds-cluster-event-notifications-configured(自定义 Security Hub 规则)
计划类型:已触发变更
参数:无
此控件检查数据库集群的现有 Amazon RDS 事件订阅是否为以下源类型和事件类别键值对启用了通知:
DBCluster: ["maintenance","failure"]
如果账户中没有现有活动订阅,则控件通过。
RDS事件通知使用 Amazon SNS 来通知您RDS资源的可用性或配置的变化。这些通知允许快速响应。有关RDS事件通知的更多信息,请参阅亚马逊RDS用户指南中的使用亚马逊RDS事件通知。
修复
要订阅RDS集群事件通知,请参阅亚马逊RDS用户指南中的订阅亚马逊RDS事件通知。使用以下值:
| Field | Value |
|---|---|
|
源类型 |
集群 |
|
要包括的集群 |
所有集群 |
|
要包括的事件类别 |
选择特定事件类别或所有事件类别 |
[RDS.20] 应为关键数据库实例RDS事件配置现有的事件通知订阅
相关要求: NIST.800-53.r5 CA-7,NIST.800-53.r5 SI-2
分类:检测 > 检测服务 > 应用程序监控
严重性:低
资源类型:AWS::RDS::EventSubscription
AWS Config 规则:rds-instance-event-notifications-configured(自定义 Security Hub 规则)
计划类型:已触发变更
参数:无
此控件检查数据库实例的现有 Amazon RDS 事件订阅是否为以下源类型和事件类别键值对启用了通知:
DBInstance: ["maintenance","configuration change","failure"]
如果账户中没有现有活动订阅,则控件通过。
RDS事件通知使用 Amazon SNS 来通知您RDS资源的可用性或配置的变化。这些通知允许快速响应。有关RDS事件通知的更多信息,请参阅亚马逊RDS用户指南中的使用亚马逊RDS事件通知。
修复
要订阅RDS实例事件通知,请参阅亚马逊RDS用户指南中的订阅亚马逊RDS事件通知。使用以下值:
| Field | Value |
|---|---|
|
源类型 |
实例 |
|
要包括的实例 |
所有实例 |
|
要包括的事件类别 |
选择特定事件类别或所有事件类别 |
[RDS.21] 应为关键数据库参数组RDS事件配置事件通知订阅
相关要求: NIST.800-53.r5 CA-7,NIST.800-53.r5 SI-2
分类:检测 > 检测服务 > 应用程序监控
严重性:低
资源类型:AWS::RDS::EventSubscription
AWS Config 规则:rds-pg-event-notifications-configured(自定义 Security Hub 规则)
计划类型:已触发变更
参数:无
此控件检查是否存在针对以下来源类型、RDS事件类别键值对启用通知的 Amazon 事件订阅。如果账户中没有现有活动订阅,则控件通过。
DBParameterGroup: ["configuration change"]
RDS事件通知使用 Amazon SNS 来通知您RDS资源的可用性或配置的变化。这些通知允许快速响应。有关RDS事件通知的更多信息,请参阅亚马逊RDS用户指南中的使用亚马逊RDS事件通知。
修复
要订阅RDS数据库参数组事件通知,请参阅亚马逊RDS用户指南中的订阅亚马逊RDS事件通知。使用以下值:
| Field | Value |
|---|---|
|
源类型 |
参数组 |
|
要包括的参数组 |
所有参数组 |
|
要包括的事件类别 |
选择特定事件类别或所有事件类别 |
[RDS.22] 应为关键的数据库安全组RDS事件配置事件通知订阅
相关要求: NIST.800-53.r5 CA-7,NIST.800-53.r5 SI-2
分类:检测 > 检测服务 > 应用程序监控
严重性:低
资源类型:AWS::RDS::EventSubscription
AWS Config 规则:rds-sg-event-notifications-configured(自定义 Security Hub 规则)
计划类型:已触发变更
参数:无
此控件检查是否存在针对以下来源类型、RDS事件类别键值对启用通知的 Amazon 事件订阅。如果账户中没有现有活动订阅,则控件通过。
DBSecurityGroup: ["configuration change","failure"]
RDS事件通知使用 Amazon SNS 来通知您RDS资源的可用性或配置的变化。这些通知允许快速响应。有关RDS事件通知的更多信息,请参阅亚马逊RDS用户指南中的使用亚马逊RDS事件通知。
修复
要订阅RDS实例事件通知,请参阅亚马逊RDS用户指南中的订阅亚马逊RDS事件通知。使用以下值:
| Field | Value |
|---|---|
|
源类型 |
安全组 |
|
要包括的安全组 |
所有安全组 |
|
要包括的事件类别 |
选择特定事件类别或所有事件类别 |
[RDS.23] RDS 实例不应使用数据库引擎的默认端口
相关要求: NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (5)
类别:保护 > 安全网络配置
严重性:低
资源类型:AWS::RDS::DBInstance
AWS Config 规则:rds-no-default-ports(自定义 Security Hub 规则)
计划类型:已触发变更
参数:无
此控件检查RDS集群或实例是否使用数据库引擎默认端口以外的端口。如果RDS集群或实例使用默认端口,则控制失败。
如果您使用已知端口部署RDS集群或实例,则攻击者可以猜出有关该集群或实例的信息。攻击者可以将此信息与其他信息结合使用,连接到RDS集群或实例,或者获取有关您的应用程序的更多信息。
变更端口时,还必须更新用于连接到旧端口的现有连接字符串。您还应检查数据库实例的安全组,确保其包含允许在新端口上进行连接的入口规则。
修复
要修改现有RDS数据库实例的默认端口,请参阅亚马逊RDS用户指南中的修改亚马逊RDS数据库实例。要修改现有RDS数据库集群的默认端口,请参阅 Amazon Aurora 用户指南API中的使用控制台修改数据库集群CLI,以及。对于数据库端口,将端口值变更为非默认值。
[RDS.24] RDS 数据库集群应使用自定义管理员用户名
相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2
类别:识别 > 资源配置
严重性:中
资源类型:AWS::RDS::DBCluster
AWS Config 规则:rds-cluster-default-admin-check
计划类型:已触发变更
参数:无
此控件检查 Amazon RDS 数据库集群是否已将管理员用户名从其默认值更改为其他值。该控件不适用于 Neptune (Neptune 数据库) 或 docdb (DocumentDB) 类型的引擎。如果管理员用户名设置为默认值,则此规则将失败。
创建 Amazon RDS 数据库时,应将默认管理员用户名更改为唯一值。默认用户名是众所周知的,应在创建RDS数据库时进行更改。变更默认用户名可以降低意外访问的风险。
修复
要更改与 Amazon RDS 数据库集群关联的管理员用户名,请在创建RDS数据库时创建一个新的数据库集群并更改默认管理员用户名。
[RDS.25] RDS 数据库实例应使用自定义的管理员用户名
相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2
类别:识别 > 资源配置
严重性:中
资源类型:AWS::RDS::DBInstance
AWS Config 规则:rds-instance-default-admin-check
计划类型:已触发变更
参数:无
此控件会检查您是否已将亚马逊关系数据库服务 (AmazonRDS) 数据库实例的管理用户名从默认值更改为其他值。该控件不适用于 Neptune (Neptune 数据库) 或 docdb (DocumentDB) 类型的引擎。如果将管理用户名设置为默认值,则控制失败。
Amazon RDS 数据库上的默认管理用户名是众所周知的。创建 Amazon RDS 数据库时,应将默认管理用户名更改为唯一值,以降低意外访问的风险。
修复
要更改与RDS数据库实例关联的管理用户名,请先创建一个新的RDS数据库实例。在创建数据库时变更默认的管理用户名。
[RDS.26] RDS 数据库实例应受备份计划的保护
类别:恢复 > 弹性 > 启用备份
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST .800-53.r5 SI-12、.800-53.r5 SI-13 (5) NIST
严重性:中
资源类型:AWS::RDS::DBInstance
AWS Config 规则:rds-resources-protected-by-backup-plan
计划类型:定期
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
如果将参数设置为 true 且资源使用,则控件会生成 |
布尔值 |
|
无默认值 |
此控件用于评估备份计划是否涵盖了 Amazon RDS 数据库实例。如果RDS数据库实例不在备份计划范围内,则此控制失败。如果将backupVaultLockCheck参数设置为true,则只有在将实例备份到中时,控制才会通过 AWS Backup 保管库已上锁。
AWS Backup 是一项完全托管的备份服务,可集中和自动备份跨区域的数据 AWS 服务。 随着 AWS Backup,您可以创建名为备份计划的备份策略。您可以使用这些计划来定义备份要求,例如数据的备份频率以及这些备份的保留时间。在备份计划中加入RDS数据库实例可帮助您保护数据免遭意外丢失或删除。
修复
将RDS数据库实例添加到 AWS Backup 备份计划,请参阅中的为备份计划分配资源 AWS Backup 开发者指南。
[RDS.27] RDS 数据库集群应进行静态加密
相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、NIST .800-53.r5 SI-7 (6)
类别:保护 > 数据保护 > 加密 data-at-rest
严重性:中
资源类型:AWS::RDS::DBCluster
AWS Config 规则:rds-cluster-encrypted-at-rest
计划类型:已触发变更
参数:无
此控件检查RDS数据库集群是否处于静态加密状态。如果RDS数据库集群未进行静态加密,则控制失败。
静态数据指的是存储在持久、非易失性存储介质中的任何数据,无论存储时长如何。加密可帮助您保护此类数据的机密性,降低未经授权的用户访问这些数据的风险。对RDS数据库集群进行加密可保护您的数据和元数据免遭未经授权的访问。它还满足了生产文件系统 data-at-rest 加密的合规性要求。
修复
您可以在创建RDS数据库集群时启用静态加密。创建集群后,您将无法变更加密设置。有关更多信息,请参阅 Amazon Aurora 用户指南中的加密 Amazon Aurora 数据库集群。
[RDS.28] 应RDS标记数据库集群
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::RDS::DBCluster
AWS Config 规则:tagged-rds-dbcluster(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合条件的标签列表 AWS 要求 | 无默认值 |
此控件检查 Amazon RDS 数据库集群是否具有参数中定义的特定密钥的标签requiredTagKeys。如果数据库集群没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果数据库集群未使用任何密钥进行标记,则该控件将失败。系统标签会自动应用并以其开头aws:,但会被忽略。
标签是您分配给的标签 AWS 资源,它由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以将标签附加到IAM实体(用户或角色)和 AWS 资源的费用。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅用ABAC途 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。 有关更多标记最佳实践,请参阅为自己添加标签 AWS中的资源 AWS 一般参考.
修复
要向RDS数据库集群添加标签,请参阅亚马逊RDS用户指南中的为亚马逊RDS资源添加标签。
[RDS.29] 应RDS标记数据库集群快照
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::RDS::DBClusterSnapshot
AWS Config 规则:tagged-rds-dbclustersnapshot(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合条件的标签列表 AWS 要求 | 无默认值 |
此控件检查 Amazon RDS 数据库集群快照是否具有参数中定义的特定密钥的标签requiredTagKeys。如果数据库集群快照没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果数据库集群快照未使用任何密钥进行标记,则该控件将失败。系统标签会自动应用并以其开头aws:,但会被忽略。
标签是您分配给的标签 AWS 资源,它由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以将标签附加到IAM实体(用户或角色)和 AWS 资源的费用。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅用ABAC途 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。 有关更多标记最佳实践,请参阅为自己添加标签 AWS中的资源 AWS 一般参考.
修复
要为RDS数据库集群快照添加标签,请参阅亚马逊RDS用户指南中的为亚马逊RDS资源添加标签。
[RDS.30] 应RDS标记数据库实例
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::RDS::DBInstance
AWS Config 规则:tagged-rds-dbinstance(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合条件的标签列表 AWS 要求 | 无默认值 |
此控件检查 Amazon RDS 数据库实例是否具有参数中定义的特定密钥的标签requiredTagKeys。如果数据库实例没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果数据库实例未使用任何密钥进行标记,则该控件将失败。系统标签会自动应用并以其开头aws:,但会被忽略。
标签是您分配给的标签 AWS 资源,它由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以将标签附加到IAM实体(用户或角色)和 AWS 资源的费用。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅用ABAC途 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。 有关更多标记最佳实践,请参阅为自己添加标签 AWS中的资源 AWS 一般参考.
修复
要为RDS数据库实例添加标签,请参阅亚马逊RDS用户指南中的为亚马逊RDS资源添加标签。
[RDS.31] 应标记RDS数据库安全组
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::RDS::DBSecurityGroup
AWS Config 规则:tagged-rds-dbsecuritygroup(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合条件的标签列表 AWS 要求 | 无默认值 |
此控件检查 Amazon RDS 数据库安全组是否具有参数中定义的特定密钥的标签requiredTagKeys。如果数据库安全组没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果数据库安全组未使用任何密钥进行标记,则该控件将失败。系统标签会自动应用并以其开头aws:,但会被忽略。
标签是您分配给的标签 AWS 资源,它由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以将标签附加到IAM实体(用户或角色)和 AWS 资源的费用。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅用ABAC途 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。 有关更多标记最佳实践,请参阅为自己添加标签 AWS中的资源 AWS 一般参考.
修复
要向RDS数据库安全组添加标签,请参阅亚马逊RDS用户指南中的为亚马逊RDS资源添加标签。
[RDS.32] 应RDS标记数据库快照
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::RDS::DBSnapshot
AWS Config 规则:tagged-rds-dbsnapshot(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合条件的标签列表 AWS 要求 | 无默认值 |
此控件检查 Amazon RDS 数据库快照是否具有参数中定义的特定密钥的标签requiredTagKeys。如果数据库快照没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果数据库快照未使用任何密钥进行标记,则该控件将失败。系统标签会自动应用并以其开头aws:,但会被忽略。
标签是您分配给的标签 AWS 资源,它由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以将标签附加到IAM实体(用户或角色)和 AWS 资源的费用。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅用ABAC途 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。 有关更多标记最佳实践,请参阅为自己添加标签 AWS中的资源 AWS 一般参考.
修复
要为RDS数据库快照添加标签,请参阅亚马逊RDS用户指南中的为亚马逊RDS资源添加标签。
[RDS.33] 应标记RDS数据库子网组
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::RDS::DBSubnetGroup
AWS Config 规则:tagged-rds-dbsubnetgroups(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合条件的标签列表 AWS 要求 | 无默认值 |
此控件检查 Amazon RDS 数据库子网组是否具有参数中定义的特定密钥的标签requiredTagKeys。如果数据库子网组没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果数据库子网组未使用任何密钥进行标记,则该控件将失败。系统标签会自动应用并以其开头aws:,但会被忽略。
标签是您分配给的标签 AWS 资源,它由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以将标签附加到IAM实体(用户或角色)和 AWS 资源的费用。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅用ABAC途 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。 有关更多标记最佳实践,请参阅为自己添加标签 AWS中的资源 AWS 一般参考.
修复
要向RDS数据库子网组添加标签,请参阅《亚马逊RDS用户指南》中的 “为亚马逊RDS资源添加标签”。
[RDS.34] Aurora 我的SQL数据库集群应将审计日志发布到 CloudWatch 日志
相关要求: NIST.800-53.r5 AC-2(4)、(26)、(9)、、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、NIST .800-53.r5 SI-4 (20)、.800-53.r5 (20)、NIST .800-53.r5 SI-7 (8) NIST
类别:识别 > 日志记录
严重性:中
资源类型:AWS::RDS::DBCluster
AWS Config 规则:rds-aurora-mysql-audit-logging-enabled
计划类型:已触发变更
参数:无
此控件检查 Amazon Aurora 我的SQL数据库集群是否配置为向亚马逊日志发布审核 CloudWatch 日志。如果集群未配置为向日志发布审核日志,则控制失败。 CloudWatch 该控件不会为 Aurora Serverless v1 数据库集群生成调查结果。
审核日志记录捕获数据库活动的记录,包括登录尝试、数据修改、架构变更和其他可以出于安全性和合规性目的进行审计的事件。当您将 Aurora SQL My 数据库集群配置为向 Amazon 日志中的 CloudWatch 日志组发布审计日志时,您可以对日志数据进行实时分析。 CloudWatch 日志将日志保留在高度耐用的存储空间中。您还可以在中创建警报和查看指标 CloudWatch。
注意
将审计日志发布到 CloudWatch 日志的另一种方法是启用高级审计,并将集群级别的数据库参数server_audit_logs_upload设置为。1server_audit_logs_upload parameter 的默认值为 0。但是,我们建议您改用以下补救说明来传递此控件。
修复
要将 Aurora 我的SQL数据库集群审计日志发布到 CloudWatch 日志,请参阅亚马逊 Aurora 用户指南中的将 Amazon Aurora 我的SQL CloudWatch 日志发布到亚马逊日志。
[RDS.35] RDS 数据库集群应启用自动次要版本升级
相关要求:NIST.800-53.r5 SI-2、.800-53.r5 SI-2 (2)、.800-53.r5 SI-2 (4)、NIST .800-53.r5 SI-2 (4)、.800-53.r5 SI-2 (5) NIST NIST
类别:识别 > 漏洞、补丁和版本管理
严重性:中
资源类型:AWS::RDS::DBCluster
AWS Config 规则:rds-cluster-auto-minor-version-upgrade-enable
计划类型:已触发变更
参数:无
此控件检查是否为 Amazon RDS 多可用区数据库集群启用了自动次要版本升级。如果未为多可用区数据库集群启用自动次要版本升级,则控制失败。
RDS提供自动次要版本升级,因此您可以使多可用区数据库集群保持最新状态。次要版本可以引入新的软件功能、错误修复、安全补丁和性能改进。通过在RDS数据库集群上启用自动次要版本升级,当有新版本可用时,集群以及集群中的实例将自动收到次要版本的更新。更新会在维护时段自动应用。
修复
要在多可用区数据库集群上启用自动次要版本升级,请参阅 A mazon RDS 用户指南中的修改多可用区数据库集群。
