Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Corregir las exposiciones de las instancias y los clústeres de Amazon RDS
AWSSecurity Hub puede generar resultados de exposición para instancias y clústeres de Amazon RDS.
En la consola de Security Hub, la instancia o el clúster de Amazon RDS involucrados en una búsqueda de exposición y su información de identificación aparecen en la sección Recursos de los detalles de la búsqueda. De forma programática, puede recuperar los detalles de los recursos con el GetFindingsV2funcionamiento de la API CSPM de Security Hub.
Después de identificar el recurso involucrado en un resultado de exposición, puede eliminar el recurso si no lo necesita. Eliminar un recurso no esencial puede reducir su perfil de exposición y sus costes. AWS Si el recurso es esencial, siga estos pasos de remediación recomendados para ayudar a mitigar el riesgo. Los temas de remediación se dividen según el tipo de condición.
Un único resultado de exposición puede incluir problemas identificados en varios temas de remediación. También es posible abordar un resultado de exposición y disminuir su nivel de gravedad con solo tratar uno de los temas de remediación. El enfoque de remediación adecuado depende de los requisitos y cargas de trabajo de la organización.
nota
La guía de remediación que se proporciona en este tema puede requerir consultas adicionales en otros AWS recursos.
Contenido
Características de mala configuración de las instancias y los clústeres de Amazon RDS
La instancia de base de datos de Amazon RDS está configurada con acceso público
El clúster de base de datos de Amazon RDS tiene una instantánea compartida públicamente
La instancia de base de datos de Amazon RDS tiene una instantánea que no está cifrada en reposo
El clúster de base de datos de Amazon RDS tiene una instantánea que no está cifrada en reposo
La instancia de base de datos de Amazon RDS tiene un grupo de seguridad abierto
La instancia de base de datos de Amazon RDS tiene desactivadas las copias de seguridad automáticas
La instancia de base de datos de Amazon RDS tiene desactivada la protección contra eliminación
El clúster de base de datos de Amazon RDS tiene desactivada la protección contra eliminación
La instancia de base de datos de Amazon RDS no está cubierta por un plan de copia de seguridad
Características de mala configuración de las instancias y los clústeres de Amazon RDS
A continuación, se describen los errores de configuración y los pasos para corregirlos en las instancias y los clústeres de Amazon RDS.
La instancia de base de datos de Amazon RDS está configurada con acceso público
Las instancias de Amazon RDS con acceso público pueden quedar potencialmente expuestas a través de internet mediante sus puntos de conexión. Aunque el acceso público a veces es necesario para la funcionalidad de la instancia, esta configuración puede servir como un vector de ataque para que usuarios no autorizados intenten acceder a la base de datos. Las bases de datos a las que se puede acceder públicamente pueden quedar expuestas a detecciones de puertos, ataques de fuerza bruta y otros intentos de explotación. Según las prácticas de seguridad recomendadas, recomendamos limitar la exposición pública de los recursos de base de datos.
-
Modificación de la configuración de acceso público
En el resultado de exposición, abra el recurso mediante el hipervínculo. Esto abrirá la instancia de base de datos afectada. Evalúe si la instancia de base de datos necesita acceso público según la arquitectura de la aplicación. Para obtener más información, consulte Configuración del acceso público o privado en Amazon RDS.
El clúster de base de datos de Amazon RDS tiene una instantánea compartida públicamente
Cualquier persona puede acceder a las instantáneas públicasCuenta de AWS, lo que podría exponer los datos confidenciales a usuarios no autorizados. Cualquiera Cuenta de AWS tiene permiso para copiar estas instantáneas públicas y crear instancias de base de datos a partir de ellas, lo que podría provocar filtraciones de datos o un acceso no autorizado a los datos. Siguiendo las prácticas recomendadas de seguridad, le recomendamos que restrinja el acceso a sus instantáneas de Amazon RDS únicamente a organizaciones Cuentas de AWS y organizaciones de confianza.
1. Configuración de una instantánea de Amazon RDS para acceso privado
En el resultado de exposición, abra el recurso mediante el hipervínculo. Para obtener información sobre cómo modificar la configuración de uso compartido de instantáneas, consulte Compartir una instantánea en la Guía del usuario de Amazon Aurora. Para obtener información sobre cómo dejar de compartir instantáneas, consulte Cómo detener el uso compartido de instantáneas en la Guía del usuario de Amazon Aurora.
La instancia de base de datos de Amazon RDS tiene una instantánea que no está cifrada en reposo
Las instantáneas no cifradas de instancias de base de datos de Amazon RDS pueden exponer información confidencial si un usuario no autorizado obtiene acceso a la capa de almacenamiento. Sin cifrado, los datos en las instantáneas podrían quedar expuestos por accesos no autorizados. Esto genera un riesgo de filtración de datos y de incumplimientos normativos. Según las prácticas de seguridad recomendadas, recomendamos cifrar todos los recursos de base de datos y sus copias de seguridad para mantener la confidencialidad de los datos.
En el resultado de exposición, abra el recurso mediante el hipervínculo. Esto abrirá la instantánea afectada. No puede cifrar directamente una instantánea existente que no esté cifrada. En su lugar, cree una copia cifrada de la instantánea sin cifrar. Para obtener instrucciones detalladas, consulte Cómo copiar instantáneas de clústeres de base de datos y cifrar recursos de Amazon RDS en la Guía del usuario de Amazon Aurora.
El clúster de base de datos de Amazon RDS tiene una instantánea que no está cifrada en reposo
Las instantáneas no cifradas de clústeres de base de datos de Amazon RDS pueden exponer información confidencial si un usuario no autorizado obtiene acceso a la capa de almacenamiento. Sin cifrado, los datos en las instantáneas podrían quedar expuestos por accesos no autorizados. Esto genera un riesgo de filtración de datos y de incumplimientos normativos. Según las prácticas de seguridad recomendadas, recomendamos cifrar todos los recursos de base de datos y sus copias de seguridad para mantener la confidencialidad de los datos.
1. Creación de una copia cifrada de la instantánea
En el resultado de exposición, abra el recurso mediante el hipervínculo. Esto abrirá la instantánea afectada. No puede cifrar directamente una instantánea existente que no esté cifrada. En su lugar, cree una copia cifrada de la instantánea sin cifrar. Para obtener instrucciones detalladas, consulte Cómo copiar instantáneas de clústeres de base de datos y cifrar recursos de Amazon RDS en la Guía del usuario de Amazon Aurora.
La instancia de base de datos de Amazon RDS tiene un grupo de seguridad abierto
Los grupos de seguridad funcionan como firewalls virtuales para que las instancias de Amazon RDS controlen el tráfico entrante y saliente. Los grupos de seguridad abiertos, que permiten acceso sin restricciones desde cualquier dirección IP, pueden exponer las instancias de base de datos a accesos no autorizados y posibles ataques. Según los principios de seguridad estándar, recomendamos restringir el acceso del grupo de seguridad únicamente a direcciones IP y puertos específicos para mantener el principio de privilegios mínimos.
Revisión de las reglas del grupo de seguridad y evaluación de la configuración actual
En el resultado de exposición, abra el recurso correspondiente al grupo de seguridad de la instancia de base de datos. Evalúe qué puertos están abiertos y accesibles desde rangos amplios de direcciones IP, como (0.0.0.0/0 or ::/0). Para obtener información sobre cómo ver los detalles de los grupos de seguridad, consulte DescribeSecurityGroupsla referencia de la API de Amazon Elastic Compute Cloud.
Modificación de reglas del grupo de seguridad
Modifique las reglas del grupo de seguridad para restringir el acceso únicamente a direcciones IP o rangos específicos y de confianza. Al actualizar las reglas del grupo de seguridad, considere separar los requisitos de acceso para distintos segmentos de red mediante la creación de reglas para cada rango de IP de origen requerido o la restricción del acceso únicamente a puertos específicos. Para modificar las reglas de los grupos de seguridad, consulte Configurar las reglas de los grupos de seguridad en la Guía del EC2 usuario de Amazon. Para modificar el puerto predeterminado de una instancia de base de datos de Amazon RDS existente, consulte Cómo modificar el clúster de base de datos mediante la consola, la CLI y la API en la Guía del usuario de Amazon Aurora.
La instancia de base de datos de Amazon RDS tiene desactivada la autenticación de base de datos mediante IAM
La autenticación de base de datos mediante IAM permite autenticarse en la base de datos de Amazon RDS mediante credenciales de IAM en lugar de contraseñas de base de datos. Esto aporta varias ventajas de seguridad, como la administración centralizada de accesos, el uso de credenciales temporales y la posibilidad de evitar almacenar contraseñas de base de datos en el código de la aplicación. La autenticación de bases de datos de IAM permite autenticar las instancias de bases de datos con un token de autenticación en lugar de una contraseña. Como resultado, el tráfico de red hacia la instancia de base de datos y desde esta se cifra mediante SSL. Sin autenticación de IAM, las bases de datos suelen depender de autenticación basada en contraseñas, lo que puede derivar en la reutilización de contraseñas y contraseñas débiles. Según las prácticas de seguridad recomendadas, recomendamos habilitar la autenticación de base de datos mediante IAM.
Habilitación de la autenticación de bases de datos de IAM
En el resultado de exposición, abra el recurso mediante el hipervínculo. Esto abrirá la instancia de base de datos afectada. Puede habilitar la autenticación de base de datos con IAM en las opciones de Base de datos. Para obtener más información, consulte Habilitación y desactivación de la autenticación de base de datos con IAM en la Guía del usuario de Amazon RDS. Después de habilitar la autenticación con IAM, actualice las instancias de base de datos para que utilicen autenticación mediante IAM en lugar de autenticación basada en contraseñas.
La instancia de base de datos de Amazon RDS utiliza el nombre de usuario administrativo predeterminado
El uso de nombres de usuario predeterminados (por ejemplo, “admin”, “root”) en las instancias de base de datos incrementa el riesgo de seguridad, ya que son ampliamente conocidos y suelen ser el objetivo de ataques de fuerza bruta. Los nombres de usuario predeterminados facilitan los esfuerzos de usuarios no autorizados por acceder a la base de datos. Cuando se usan nombres de usuario predeterminados, los atacantes únicamente necesitan obtener las contraseñas, en lugar de necesitar ambas piezas (nombre de usuario y contraseña) para acceder a la base de datos. Según las prácticas recomendadas de seguridad, recomendamos utilizar nombres de usuario administrativos únicos para la instancia de base de datos, con el fin de mejorar la seguridad mediante ocultamiento y reducir el riesgo de intentos de acceso no autorizado.
Configuración de un nombre de usuario de administrador único
En el resultado de exposición, abra el recurso mediante el hipervínculo. Esto abrirá la instancia de base de datos afectada. Considere cuál frecuencia de copias de seguridad, periodo de retención y reglas de ciclo de vida son las más adecuadas para las aplicaciones.
El clúster de base de datos de Amazon RDS utiliza el nombre de usuario de administrador predeterminado
El uso de nombres de usuario predeterminados (por ejemplo, “admin”, “root”) en las instancias de base de datos incrementa el riesgo de seguridad, ya que son ampliamente conocidos y suelen ser el objetivo de ataques de fuerza bruta. Los nombres de usuario predeterminados facilitan los esfuerzos de usuarios no autorizados por acceder a la base de datos. Cuando se usan nombres de usuario predeterminados, los atacantes únicamente necesitan obtener las contraseñas, en lugar de necesitar ambas piezas (nombre de usuario y contraseña) para acceder a la base de datos. Según las prácticas recomendadas de seguridad, recomendamos utilizar nombres de usuario administrativos únicos para la instancia de base de datos, con el fin de mejorar la seguridad mediante ocultamiento y reducir el riesgo de intentos de acceso no autorizado.
Configuración de un nombre de usuario de administrador único
En el resultado de exposición, abra el recurso mediante el hipervínculo. Esto abrirá la instancia de base de datos afectada. No puede cambiar el nombre de usuario de administrador de una instancia de base de datos de Amazon RDS existente. Para crear un nombre de administrador único, debe crear una nueva instancia de base de datos con un nombre personalizado y migrar los datos.
La instancia de base de datos de Amazon RDS tiene desactivadas las actualizaciones automáticas de versiones secundarias.
Las actualizaciones automáticas de versiones secundarias garantizan que las instancias de Amazon RDS reciban automáticamente las nuevas versiones secundarias del motor de base de datos en cuanto estén disponibles. Estas actualizaciones suelen incluir parches de seguridad importantes y correcciones de errores que ayudan a mantener la seguridad y la estabilidad de la base de datos. La base de datos corre el riesgo de operar con vulnerabilidades de seguridad conocidas que ya han sido corregidas en versiones secundarias más recientes. Sin actualizaciones automáticas, las instancias de bases de datos pueden acumular vulnerabilidades de seguridad a medida CVEs que se descubren nuevas. Según las prácticas recomendadas de seguridad, recomendamos habilitar las actualizaciones automáticas de versiones secundarias para todas las instancias de Amazon RDS.
Habilitación de actualizaciones automáticas de versiones secundarias
En el resultado de exposición, abra el recurso mediante el hipervínculo. Esto abrirá la instancia de base de datos afectada. Puede ver la configuración de actualizaciones secundarias automáticas en la pestaña Mantenimiento y copias de seguridad. Para obtener más información, consulte Actualizaciones automáticas de versiones secundarias de Amazon RDS for MySQL. También puede configurar el período de mantenimiento para que se produzca durante los períodos de baja actividad de la base de datos.
La instancia de base de datos de Amazon RDS tiene desactivadas las copias de seguridad automáticas
Las copias de seguridad automatizadas proporcionan la point-in-time recuperación de sus instancias de Amazon RDS, lo que le permite restaurar la base de datos en cualquier punto del período de retención. Cuando las copias de seguridad automáticas están desactivadas, se corre el riesgo de perder datos en caso de eliminación maliciosa, corrupción de datos u otros escenarios de pérdida de datos. En situaciones de actividad maliciosa, como ataques de ransomware, eliminación de tablas o corrupción de datos, la capacidad de restaurar a un punto en el tiempo previo al incidente reduce lo que tarda en recuperarse. Según las prácticas recomendadas de seguridad, recomendamos habilitar las copias de seguridad automáticas con un periodo de retención adecuado para todas las bases de datos de producción.
La instancia de base de datos de Amazon RDS tiene desactivada la protección contra eliminación
La protección contra eliminación es una característica que ayuda a evitar que las instancias de base de datos se eliminen de manera no intencional o maliciosa. Cuando la protección contra eliminación está desactivada, la base de datos puede ser eliminada por cualquier usuario con los permisos suficientes, lo que puede derivar en pérdida de datos o tiempo de inactividad en la aplicación. Los atacantes pueden eliminar la base de datos, lo que provocaría interrupciones del servicio, pérdida de datos y tiempos de recuperación más prolongados. Según las prácticas recomendadas de seguridad, recomendamos habilitar la protección contra eliminación en las instancias de base de datos de Amazon RDS para evitar eliminaciones malintencionadas.
Habilitación de la protección contra eliminación en el clúster de base de datos de Amazon RDS
En el resultado de exposición, abra el recurso mediante el hipervínculo. Esto abrirá el clúster de base de datos afectado.
El clúster de base de datos de Amazon RDS tiene desactivada la protección contra eliminación
La protección contra eliminación es una característica que ayuda a evitar que las instancias de base de datos se eliminen de manera no intencional o maliciosa. Cuando la protección contra eliminación está desactivada, la base de datos puede ser eliminada por cualquier usuario con los permisos suficientes, lo que puede derivar en pérdida de datos o tiempo de inactividad en la aplicación. Los atacantes pueden eliminar la base de datos, lo que provocaría interrupciones del servicio, pérdida de datos y tiempos de recuperación más prolongados. Según las prácticas de seguridad recomendadas, recomendamos habilitar la protección contra eliminación en los clústeres de base de datos de RDS para evitar eliminaciones malintencionadas.
Habilitación de la protección contra eliminación en el clúster de base de datos de Amazon RDS
En el resultado de exposición, abra el recurso mediante el hipervínculo. Esto abrirá el clúster de base de datos afectado.
La instancia de base de datos de Amazon RDS utiliza el puerto predeterminado para el motor de base de datos
Las instancias de Amazon RDS que utilizan puertos predeterminados para los motores de base de datos pueden enfrentar riesgos de seguridad más elevados, ya que estos puertos predeterminados son ampliamente conocidos y suelen ser objetivo de herramientas de detección automatizada. Modificar la instancia de base de datos para que utilice puertos no predeterminados agrega una capa adicional de seguridad, ya que dificulta que usuarios no autorizados realicen ataques automatizados o dirigidos contra la base de datos. Los puertos predeterminados suelen ser analizados con frecuencia por actores no autorizados, lo que puede convertir la instancia de base de datos en un objetivo. Según las prácticas de seguridad recomendadas, recomendamos cambiar el puerto predeterminado por un puerto personalizado para reducir el riesgo de ataques automatizados o dirigidos.
En el resultado de exposición, abra el recurso mediante el hipervínculo. Esto abrirá la instancia de base de datos afectada.
Actualización de las cadenas de conexión de las aplicaciones
Después de cambiar el puerto, actualice todas las aplicaciones y servicios que se conectan a la instancia de Amazon RDS de modo que utilicen el nuevo número de puerto.
La instancia de base de datos de Amazon RDS no está cubierta por un plan de copia de seguridad
AWSBackup es un servicio de respaldo totalmente gestionado que centraliza y automatiza el respaldo de todos los datos. Servicios de AWS Si la instancia de base de datos no está cubierta por un plan de copia de seguridad, corre el riesgo de perder datos en caso de eliminación maliciosa, corrupción de datos u otros escenarios de pérdida de datos. En situaciones de actividad maliciosa, como ataques de ransomware, eliminación de tablas o corrupción de datos, la capacidad de restaurar a un punto en el tiempo previo al incidente reduce lo que tarda en recuperarse. Según las prácticas recomendadas de seguridad, recomendamos incluir las instancias de Amazon RDS en un plan de copias de seguridad para garantizar la protección de los datos.
Creación y asignación de un plan de copia de seguridad para la instancia de base de datos
En el resultado de exposición, abra el recurso mediante el hipervínculo. Esto abrirá la instancia de base de datos afectada. Considere cuál frecuencia de copias de seguridad, periodo de retención y reglas de ciclo de vida son las más adecuadas para las aplicaciones.
