修復 Amazon RDS 函數的曝光

注意

Security Hub 處於預覽版本，可能會有所變更。

AWS Security Hub 可以產生 Amazon RDS 函數的公開調查結果。

在 Security Hub 主控台上，涉及公開調查結果的 Amazon RDS 函數及其識別資訊會列在調查結果詳細資訊的資源區段中。您可以使用 Security Hub API GetFindingsV2的操作，以程式設計方式擷取資源詳細資訊。

識別暴露調查結果中涉及的資源之後，如果不需要，您可以刪除資源。刪除非必要的資源可以降低您的暴露設定檔和 AWS 成本。如果資源是必要的，請遵循這些建議的修補步驟，以協助降低風險。修復主題會根據特徵類型進行分割。

單一公開調查結果包含多個修復主題中識別的問題。相反地，您可以透過僅解決一個修補主題來解決暴露問題並降低其嚴重性。您的風險修補方法取決於您的組織需求和工作負載。

注意

本主題中提供的修補指引可能需要在其他 AWS 資源中進行額外諮詢。

內容

• Amazon RDS 函數的組態錯誤特性

  • Amazon RDS 資料庫執行個體已設定為公開存取

  • Amazon RDS 資料庫叢集具有公開共用的快照

  • Amazon RDS 資料庫執行個體具有未靜態加密的快照

  • Amazon RDS 資料庫叢集具有未靜態加密的快照

  • Amazon RDS 資料庫執行個體具有開啟的安全群組

  • Amazon RDS 資料庫執行個體已停用 IAM 資料庫身分驗證

  • Amazon RDS 資料庫執行個體使用預設的管理員使用者名稱

  • Amazon RDS 資料庫叢集使用預設的管理員使用者名稱

  • Amazon RDS 資料庫執行個體已停用自動次要版本升級

  • Amazon RDS 資料庫執行個體已停用自動備份

  • Amazon RDS 資料庫執行個體已停用刪除保護

  • Amazon RDS 資料庫叢集已停用刪除保護

  • Amazon RDS 資料庫執行個體使用資料庫引擎的預設連接埠

  • 備份計畫未涵蓋 Amazon RDS 資料庫執行個體

Amazon RDS 函數的組態錯誤特性

以下說明 Amazon RDS 函數的錯誤組態特性和修復步驟。

Amazon RDS 資料庫執行個體已設定為公開存取

具有公有存取權的 Amazon RDS 執行個體可能可以透過其端點透過網際網路存取。雖然執行個體功能有時需要公開存取，但此組態可以用作未經授權的使用者嘗試存取資料庫的潛在攻擊媒介。可公開存取的資料庫可能會暴露於連接埠掃描、暴力破解攻擊和入侵嘗試。遵循標準安全原則，我們建議您限制資料庫資源的公開暴露。

1. 修改公開存取設定

   在公開調查結果中，開啟具有超連結的資源。這會開啟受影響的資料庫執行個體。根據您的應用程式架構，評估資料庫執行個體是否需要公有可存取性。如需詳細資訊，請參閱在 Amazon RDS 中設定公有或私有存取。

Amazon RDS 資料庫叢集具有公開共用的快照

任何 都可以存取公有快照 AWS 帳戶，可能會將敏感資料暴露給未經授權的使用者。任何 AWS 帳戶 都有複製這些公有快照並從中建立資料庫執行個體的許可，這可能會導致資料外洩或未經授權的資料存取。遵循安全最佳實務，我們建議將 Amazon RDS 快照的存取限制為僅受信任 AWS 帳戶 和組織。

1. 設定 Amazon RDS 快照以進行私有存取

在公開調查結果中，透過超連結開啟資源。如需有關如何修改快照共用設定的資訊，請參閱《Amazon Aurora 使用者指南》中的共用快照。 如需有關如何停止共用快照的資訊，請參閱《Amazon Aurora 使用者指南》中的停止快照共用。

Amazon RDS 資料庫執行個體具有未靜態加密的快照

如果未經授權存取儲存層，未加密的 Amazon RDS 資料庫執行個體快照可能會公開敏感資料。如果沒有加密，快照中的資料可能會透過未經授權的存取公開。這會產生資料外洩和違反合規的風險。遵循安全最佳實務，我們建議您加密所有資料庫資源及其備份，以維護資料機密性。

在公開調查結果中，開啟具有超連結的資源。這會開啟受影響的快照。您無法直接加密現有的未加密快照。反之，請建立未加密快照的加密複本。如需詳細說明，請參閱《Amazon Aurora 使用者指南》中的資料庫叢集快照複製和加密 Amazon RDS 資源。

Amazon RDS 資料庫叢集具有未靜態加密的快照

如果未經授權存取儲存層，未加密的 Amazon RDS 資料庫叢集快照可能會公開敏感資料。如果沒有加密，快照中的資料可能會透過未經授權的存取公開。這會產生資料外洩和違反合規的風險。遵循安全最佳實務，我們建議您加密所有資料庫資源及其備份，以維護資料機密性。

1. 建立快照的加密複本

在公開調查結果中，開啟具有超連結的資源。這會開啟受影響的快照。您無法直接加密現有的未加密快照。反之，請建立未加密快照的加密複本。如需詳細說明，請參閱《Amazon Aurora 使用者指南》中的資料庫叢集快照複製和加密 Amazon RDS 資源。

Amazon RDS 資料庫執行個體具有開啟的安全群組

安全群組可做為 Amazon RDS 執行個體的虛擬防火牆，以控制傳入和傳出流量。允許從任何 IP 地址不受限制存取的開放安全群組，可能會讓您的資料庫執行個體遭受未經授權的存取和潛在的攻擊。遵循標準安全原則，我們建議限制安全群組對特定 IP 地址和連接埠的存取，以維護最低權限原則。

檢閱安全群組規則並評估目前的組態

在公開調查結果中，開啟資料庫執行個體安全群組的資源。評估哪些連接埠可從廣泛的 IP 範圍開啟和存取，例如 (0.0.0.0/0 or ::/0)。如需有關檢視安全群組詳細資訊的資訊，請參閱《Amazon Elastic Compute Cloud API 參考》中的 DescribeSecurityGroups。

修改安全群組規則

修改您的安全群組規則，以限制對特定信任 IP 地址或範圍的存取。更新安全群組規則時，請考慮為每個必要的來源 IP 範圍建立規則，或限制對特定連接埠的存取，以區隔不同網路區段的存取需求。若要修改安全群組規則，請參閱《Amazon EC2 使用者指南》中的設定安全群組規則。若要修改現有 Amazon RDS 資料庫執行個體的預設連接埠，請參閱《Amazon Aurora 使用者指南》中的使用主控台、CLI 和 API 修改資料庫叢集。

Amazon RDS 資料庫執行個體已停用 IAM 資料庫身分驗證

IAM 資料庫身分驗證可讓您使用 IAM 登入資料而非資料庫密碼，對 Amazon RDS 資料庫進行身分驗證。這提供數種安全優勢，例如集中式存取管理、臨時登入資料，以及消除在應用程式程式碼中存放資料庫密碼。IAM 資料庫身分驗證允許使用身分驗證字符而非密碼對資料庫執行個體進行身分驗證。因此，進出資料庫執行個體的網路流量會使用 SSL 加密。如果沒有 IAM 身分驗證，資料庫通常依賴密碼型身分驗證，這可能會導致密碼重複使用和較弱的密碼。遵循安全最佳實務，我們建議啟用 IAM 資料庫身分驗證。

啟用 IAM 資料庫身分驗證

在公開調查結果中，開啟具有超連結的資源。這會開啟受影響的資料庫執行個體。您可以在資料庫選項中啟用 IAM 資料庫身分驗證。如需詳細資訊，請參閱《Amazon RDS 使用者指南》中的啟用和停用 IAM 資料庫身分驗證。啟用 IAM 身分驗證之後，請更新您的資料庫執行個體以使用 IAM 身分驗證，而非密碼型身分驗證。

Amazon RDS 資料庫執行個體使用預設的管理員使用者名稱

對資料庫執行個體使用預設使用者名稱 （例如，「admin」、「root」) 會增加安全風險，因為這些都是廣為人知且常見於暴力攻擊。預設使用者名稱是可預測的，可讓未經授權的使用者更輕鬆地嘗試存取您的資料庫。使用預設使用者名稱時，攻擊者只需要取得密碼，而不需要兩者都取得資料庫的存取權。遵循安全最佳實務，我們建議您為資料庫執行個體使用唯一的管理員使用者名稱，透過模糊性來增強安全性，並降低未經授權的存取嘗試風險。

設定唯一的管理員使用者名稱

在公開調查結果中，開啟具有超連結的資源。這會開啟受影響的資料庫執行個體。考慮哪些備份頻率、保留期和生命週期規則最適合您的應用程式。

Amazon RDS 資料庫叢集使用預設的管理員使用者名稱

對資料庫執行個體使用預設使用者名稱 （例如，「admin」、「root」) 會增加安全風險，因為這些都是廣為人知且常見於暴力攻擊。預設使用者名稱是可預測的，可讓未經授權的使用者更輕鬆地嘗試存取您的資料庫。使用預設使用者名稱時，攻擊者只需要取得密碼，而不需要兩者都取得資料庫的存取權。遵循安全最佳實務，我們建議您為資料庫執行個體使用唯一的管理員使用者名稱，透過模糊性來增強安全性，並降低未經授權的存取嘗試風險。

設定唯一的管理員使用者名稱

在公開調查結果中，開啟具有超連結的資源。這會開啟受影響的資料庫執行個體。您無法變更現有 Amazon RDS 資料庫執行個體的管理員使用者名稱。若要建立唯一的管理員名稱，您需要使用自訂使用者名稱建立新的資料庫執行個體，並遷移您的資料。

Amazon RDS 資料庫執行個體已停用自動次要版本升級

自動次要版本升級可確保您的 Amazon RDS 執行個體在可用時自動接收次要引擎版本升級。這些升級通常包括重要的安全修補程式和錯誤修正，以協助維護資料庫的安全性和穩定性。您的資料庫有執行 的風險，其中包含已在較新的次要版本中修正的已知安全漏洞。如果沒有自動更新，資料庫執行個體可以在發現新的 CVEs 時累積安全漏洞。遵循安全最佳實務，我們建議為所有 Amazon RDS 執行個體啟用自動次要版本升級。

啟用自動次要版本升級

在公開調查結果中，開啟具有超連結的資源。這會開啟受影響的資料庫執行個體。您可以在維護與備份索引標籤中檢視自動次要升級設定。如需詳細資訊，請參閱 Amazon RDS for MySQL 的自動次要版本升級 您也可以將維護時段設定為在低資料庫活動期間發生。

Amazon RDS 資料庫執行個體已停用自動備份

自動化備份可為您的 Amazon RDS 執行個體提供point-in-time復原，讓您能夠將資料庫還原至保留期內的任何時間點。停用自動備份時，若發生惡意刪除、資料損毀或其他資料遺失情況，您可能會遺失資料。如果發生惡意活動，例如勒索軟體攻擊、資料庫資料表刪除或損毀，則能夠在事件之前還原至某個時間點，從而縮短從事件復原所需的時間。遵循安全最佳實務，我們建議為所有生產資料庫啟用具有適當保留期的自動備份。

Amazon RDS 資料庫執行個體已停用刪除保護

資料庫刪除保護是一項功能，可協助防止刪除資料庫執行個體。停用刪除保護時，任何具有足夠許可的使用者都可以刪除您的資料庫，這可能會導致資料遺失或應用程式停機。攻擊者可以刪除您的資料庫，導致服務中斷、資料遺失和增加復原時間。遵循安全最佳實務，建議您為 RDS 資料庫執行個體啟用刪除保護，以防止惡意刪除。

為您的 Amazon RDS 資料庫叢集啟用刪除保護

在公開調查結果中，開啟具有超連結的資源。這會開啟受影響的資料庫叢集。

Amazon RDS 資料庫叢集已停用刪除保護

資料庫刪除保護是一項功能，可協助防止刪除資料庫執行個體。停用刪除保護時，任何具有足夠許可的使用者都可以刪除您的資料庫，這可能會導致資料遺失或應用程式停機。攻擊者可以刪除您的資料庫，導致服務中斷、資料遺失和增加復原時間。遵循安全最佳實務，建議您為 RDS 資料庫叢集啟用刪除保護，以防止惡意刪除。

為您的 Amazon RDS 資料庫叢集啟用刪除保護

在公開調查結果中，開啟具有超連結的資源。這會開啟受影響的資料庫叢集。

Amazon RDS 資料庫執行個體使用資料庫引擎的預設連接埠

為資料庫引擎使用預設連接埠的 Amazon RDS 執行個體可能會面臨更高的安全風險，因為這些預設連接埠廣為人知，且通常是以自動化掃描工具為目標。修改資料庫執行個體以使用非預設連接埠，透過模糊性增加多一層安全性，讓未經授權的使用者更難以對資料庫執行自動化或目標式攻擊。預設連接埠通常由未經授權的人員掃描 ，並可能導致您的資料庫執行個體成為目標。遵循安全最佳實務，建議您將預設連接埠變更為自訂連接埠，以降低自動化或目標式攻擊的風險。

在公開調查結果中，開啟具有超連結的資源。這會開啟受影響的資料庫執行個體。

更新應用程式連線字串

變更連接埠後，請更新連線至 Amazon RDS 執行個體的所有應用程式和服務，以使用新的連接埠號碼。

備份計畫未涵蓋 Amazon RDS 資料庫執行個體

AWS Backup 是全受管備份服務，可集中和自動化跨 的資料備份 AWS 服務。如果備份計畫未涵蓋您的資料庫執行個體，在惡意刪除、資料損毀或其他資料遺失的情況下，您可能會遺失資料。如果發生惡意活動，例如勒索軟體攻擊、資料庫資料表刪除或損毀，則能夠在事件之前還原至某個時間點，從而縮短從事件復原所需的時間。遵循安全最佳實務，我們建議您在備份計畫中包含 Amazon RDS 執行個體，以確保資料保護。

為您的資料庫執行個體建立和指派備份計劃

在公開調查結果中，開啟具有超連結的資源。這會開啟受影響的資料庫執行個體。考慮哪些備份頻率、保留期和生命週期規則最適合您的應用程式。