Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk Amazon RDS
AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya Amazon Relational Database Service (Amazon RDS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[RDS.1] Snapshot RDS harus bersifat pribadi
Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, (7),, (21),,, (11), (16), (20), (21), (3), (4 NIST.800-53.r5 AC-3) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Kritis
Jenis sumber daya:AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
AWS Config aturan: rds-snapshots-public-prohibited
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah snapshot Amazon RDS bersifat publik. Kontrol gagal jika snapshot RDS bersifat publik. Kontrol ini mengevaluasi instans RDS, instans Aurora DB, instans DB Neptune, dan cluster Amazon DocumentDB.
Snapshot RDS digunakan untuk mencadangkan data pada instans RDS Anda pada titik waktu tertentu. Mereka dapat digunakan untuk mengembalikan status instans RDS sebelumnya.
Snapshot RDS tidak boleh bersifat publik kecuali dimaksudkan. Jika Anda membagikan snapshot manual yang tidak terenkripsi sebagai publik, ini membuat snapshot tersedia untuk semua. Akun AWS Hal ini dapat mengakibatkan paparan data yang tidak diinginkan dari instans RDS Anda.
Perhatikan bahwa jika konfigurasi diubah untuk mengizinkan akses publik, AWS Config aturan mungkin tidak dapat mendeteksi perubahan hingga 12 jam. Sampai AWS Config aturan mendeteksi perubahan, cek lolos meskipun konfigurasi melanggar aturan.
Untuk mempelajari lebih lanjut tentang berbagi snapshot DB, lihat Berbagi snapshot DB di Panduan Pengguna Amazon RDS.
Remediasi
Untuk menghapus akses publik dari snapshot RDS, lihat Berbagi snapshot di Panduan Pengguna Amazon RDS. Untuk visibilitas snapshot DB, kami memilih Private.
[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible
Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/2.3.3,, (21),, (11), (16), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Kritis
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-instance-public-access-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah instans Amazon RDS dapat diakses publik dengan mengevaluasi PubliclyAccessible bidang dalam item konfigurasi instans.
Instans Neptunus DB dan cluster Amazon DocumentDB tidak memiliki bendera dan tidak dapat dievaluasi. PubliclyAccessible Namun, kontrol ini masih dapat menghasilkan temuan untuk sumber daya ini. Anda dapat menekan temuan ini.
PubliclyAccessibleNilai dalam konfigurasi instans RDS menunjukkan apakah instans DB dapat diakses publik. Ketika instans DB dikonfigurasi denganPubliclyAccessible, itu adalah instance yang menghadap Internet dengan nama DNS yang dapat diselesaikan secara publik, yang diselesaikan ke alamat IP publik. Ketika instans DB tidak dapat diakses publik, itu adalah instance internal dengan nama DNS yang menyelesaikan ke alamat IP pribadi.
Kecuali jika Anda bermaksud agar instans RDS Anda dapat diakses publik, instans RDS tidak boleh dikonfigurasi dengan nilai. PubliclyAccessible Melakukannya mungkin memungkinkan lalu lintas yang tidak perlu ke instance database Anda.
Remediasi
Untuk menghapus akses publik dari instans RDS DB, lihat Memodifikasi instans Amazon RDS DB di Panduan Pengguna Amazon RDS. Untuk akses Publik, pilih No.
[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat
Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/2.3.1, Tolok Ukur AWS Yayasan CIS v1.4.0/2.3.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 SI-7 ( NIST.800-53.r5 SC-26) NIST.800-53.r5 SC-7
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-storage-encrypted
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah enkripsi penyimpanan diaktifkan untuk instans Amazon RDS DB Anda.
Kontrol ini ditujukan untuk instans RDS DB. Namun, itu juga dapat menghasilkan temuan untuk instans Aurora DB, instans DB Neptunus, dan cluster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda bisa menekannya.
Untuk lapisan keamanan tambahan untuk data sensitif Anda dalam instans RDS DB, Anda harus mengonfigurasi instans RDS DB Anda untuk dienkripsi saat istirahat. Untuk mengenkripsi instans dan snapshot RDS DB Anda saat istirahat, aktifkan opsi enkripsi untuk instans RDS DB Anda. Data yang dienkripsi saat istirahat mencakup penyimpanan yang mendasari untuk instans DB, pencadangan otomatisnya, replika baca, dan snapshot.
Instans DB terenkripsi RDS menggunakan algoritme enkripsi AES-256 standar terbuka untuk mengenkripsi data Anda di server yang menghosting instans RDS DB Anda. Setelah data Anda dienkripsi, Amazon RDS menangani otentikasi akses dan dekripsi data Anda secara transparan dengan dampak minimal pada kinerja. Anda tidak perlu memodifikasi aplikasi klien database Anda untuk menggunakan enkripsi.
Enkripsi Amazon RDS saat ini tersedia untuk semua mesin database dan jenis penyimpanan. Enkripsi Amazon RDS tersedia untuk sebagian besar kelas instans DB. Untuk mempelajari tentang kelas instans DB yang tidak mendukung enkripsi Amazon RDS, lihat Mengenkripsi sumber daya Amazon RDS di Panduan Pengguna Amazon RDS.
Remediasi
Untuk informasi tentang mengenkripsi instans DB di Amazon RDS, lihat Mengenkripsi sumber daya Amazon RDS di Panduan Pengguna Amazon RDS.
[RDS.4] Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya:AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
AWS Config aturan: rds-snapshot-encrypted
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah snapshot RDS DB dienkripsi. Kontrol gagal jika snapshot RDS DB tidak dienkripsi.
Kontrol ini ditujukan untuk instans RDS DB. Namun, ini juga dapat menghasilkan temuan untuk snapshot instans Aurora DB, instans DB Neptune, dan cluster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda bisa menekannya.
Mengenkripsi data saat istirahat mengurangi risiko bahwa pengguna yang tidak diautentikasi mendapatkan akses ke data yang disimpan pada disk. Data dalam snapshot RDS harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.
Remediasi
Untuk mengenkripsi snapshot RDS, lihat Mengenkripsi sumber daya Amazon RDS di Panduan Pengguna Amazon RDS. Saat Anda mengenkripsi instans RDS DB, data terenkripsi mencakup penyimpanan yang mendasari untuk instance, pencadangan otomatisnya, replika baca, dan snapshot.
Anda hanya dapat mengenkripsi instans RDS DB saat Anda membuatnya, bukan setelah instans DB dibuat. Namun, karena Anda dapat mengenkripsi salinan snapshot yang tidak dienkripsi, Anda dapat menambahkan enkripsi secara efektif ke instans DB yang tidak terenkripsi. Artinya, Anda dapat membuat snapshot instans DB, lalu membuat salinan terenkripsi dari snapshot tersebut. Anda kemudian dapat memulihkan instans DB dari snapshot terenkripsi untuk menghasilkan salinan terenkripsi dari instans DB asli.
[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-multi-az-support
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah ketersediaan tinggi diaktifkan untuk instans RDS DB Anda. Kontrol gagal jika instans RDS DB tidak dikonfigurasi dengan beberapa Availability Zones (AZs). Kontrol ini tidak berlaku untuk instans RDS DB yang merupakan bagian dari penerapan cluster DB multi-AZ.
Mengonfigurasi instans Amazon RDS DB dengan AZs membantu memastikan ketersediaan data yang disimpan. Penerapan multi-AZ memungkinkan failover otomatis jika ada masalah dengan ketersediaan AZ dan selama pemeliharaan RDS reguler.
Remediasi
Untuk menerapkan instans DB Anda dalam beberapa kali AZs, Memodifikasi instans DB menjadi penerapan instans DB multi-AZ di Panduan Pengguna Amazon RDS.
[RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB
Persyaratan terkait: NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-enhanced-monitoring-enabled
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Jumlah detik antara pemantauan interval pengumpulan metrik |
Enum |
|
Tidak ada nilai default |
Kontrol ini memeriksa apakah pemantauan yang disempurnakan diaktifkan untuk instans DB Amazon Relational Database Service (Amazon RDS). Kontrol gagal jika pemantauan yang ditingkatkan tidak diaktifkan untuk instance. Jika Anda memberikan nilai khusus untuk monitoringInterval parameter, kontrol hanya akan diteruskan jika metrik pemantauan yang disempurnakan dikumpulkan untuk instance pada interval yang ditentukan.
Di Amazon RDS, Enhanced Monitoring memungkinkan respons yang lebih cepat terhadap perubahan kinerja di infrastruktur yang mendasarinya. Perubahan kinerja ini dapat mengakibatkan kurangnya ketersediaan data. Enhanced Monitoring menyediakan metrik real-time dari sistem operasi yang dijalankan instans RDS DB Anda. Agen diinstal pada instance. Agen dapat memperoleh metrik lebih akurat daripada yang mungkin dari lapisan hypervisor.
Metrik Pemantauan Ditingkatkan berguna ketika Anda ingin melihat bagaimana proses atau thread yang berbeda pada instans DB menggunakan CPU. Untuk informasi selengkapnya, lihat Pemantauan yang Ditingkatkan di Panduan Pengguna Amazon RDS.
Remediasi
Untuk petunjuk mendetail tentang mengaktifkan Pemantauan yang Ditingkatkan untuk instans DB Anda, lihat Menyiapkan dan mengaktifkan Pemantauan yang Ditingkatkan di Panduan Pengguna Amazon RDS.
[RDS.7] Cluster RDS harus mengaktifkan perlindungan penghapusan
Persyaratan terkait: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Kategori: Lindungi > Perlindungan data > Perlindungan penghapusan data
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-cluster-deletion-protection-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah klaster RDS DB memiliki perlindungan penghapusan yang diaktifkan. Kontrol gagal jika cluster RDS DB tidak mengaktifkan perlindungan penghapusan.
Kontrol ini ditujukan untuk instans RDS DB. Namun, itu juga dapat menghasilkan temuan untuk instans Aurora DB, instans DB Neptunus, dan cluster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda bisa menekannya.
Mengaktifkan perlindungan penghapusan klaster adalah lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh entitas yang tidak sah.
Ketika perlindungan penghapusan diaktifkan, klaster RDS tidak dapat dihapus. Sebelum permintaan penghapusan berhasil, perlindungan penghapusan harus dinonaktifkan.
Remediasi
Untuk mengaktifkan perlindungan penghapusan klaster RDS DB, lihat Memodifikasi cluster DB menggunakan konsol, CLI, dan API di Panduan Pengguna Amazon RDS. Untuk perlindungan penghapusan, pilih Aktifkan perlindungan penghapusan.
[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan
Persyaratan terkait: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Kategori: Lindungi > Perlindungan data > Perlindungan penghapusan data
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-instance-deletion-protection-enabled
Jenis jadwal: Perubahan dipicu
Parameter:
-
databaseEngines:mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah instans RDS DB Anda yang menggunakan salah satu mesin database yang terdaftar memiliki perlindungan penghapusan diaktifkan. Kontrol gagal jika instans RDS DB tidak mengaktifkan perlindungan penghapusan.
Mengaktifkan perlindungan penghapusan instance adalah lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh entitas yang tidak sah.
Sementara perlindungan penghapusan diaktifkan, instans RDS DB tidak dapat dihapus. Sebelum permintaan penghapusan berhasil, perlindungan penghapusan harus dinonaktifkan.
Remediasi
Untuk mengaktifkan perlindungan penghapusan instans RDS DB, lihat Memodifikasi instans Amazon RDS DB di Panduan Pengguna Amazon RDS. Untuk perlindungan penghapusan, pilih Aktifkan perlindungan penghapusan.
[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch
Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-logging-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah instans Amazon RDS DB dikonfigurasi untuk mempublikasikan log berikut ke Amazon CloudWatch Logs. Kontrol gagal jika instance tidak dikonfigurasi untuk mempublikasikan log berikut ke CloudWatch Log:
-
Oracle: Peringatan, Audit, Jejak, Pendengar
-
PostgreSQL: Postgresql, Tingkatkan
-
MySQL: Audit, Kesalahan, Umum, SlowQuery
-
MariaDB: Audit, Kesalahan, Umum, SlowQuery
-
SQL Server: Kesalahan, Agen
-
Aurora: Audit, Kesalahan, Umum, SlowQuery
-
Aurora-MySQL: Audit, Kesalahan, Umum, SlowQuery
-
Aurora-PostgreSQL: Postgresql
Database RDS harus mengaktifkan log yang relevan. Database logging menyediakan catatan rinci permintaan yang dibuat untuk RDS. Log basis data dapat membantu audit keamanan dan akses dan dapat membantu mendiagnosis masalah ketersediaan.
Remediasi
Untuk informasi tentang memublikasikan log database RDS ke CloudWatch Log, lihat Menentukan log yang akan dipublikasikan ke CloudWatch Log di Panduan Pengguna Amazon RDS.
[RDS.10] Otentikasi IAM harus dikonfigurasi untuk instance RDS
Persyaratan terkait: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Kategori: Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-instance-iam-authentication-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah instans RDS DB memiliki otentikasi database IAM diaktifkan. Kontrol gagal jika otentikasi IAM tidak dikonfigurasi untuk instans RDS DB. Kontrol ini hanya mengevaluasi instans RDS dengan jenis mesin berikut:mysql,,,, postgres auroraaurora-mysql, aurora-postgresql dan. mariadb Instance RDS juga harus berada di salah satu status berikut untuk menghasilkan temuan:available,, backing-upstorage-optimization, ataustorage-full.
Autentikasi basis data IAM memungkinkan otentikasi ke instance database dengan token otentikasi, bukan kata sandi. Lalu lintas jaringan ke dan dari database dienkripsi menggunakan SSL. Untuk informasi selengkapnya, lihat autentikasi database IAM di Panduan Pengguna Amazon Aurora.
Remediasi
Untuk mengaktifkan autentikasi database IAM pada instans RDS DB, lihat Mengaktifkan dan menonaktifkan autentikasi database IAM di Panduan Pengguna Amazon RDS.
[RDS.11] Instans RDS harus mengaktifkan pencadangan otomatis
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Kategori: Pulih> Ketahanan > Cadangan diaktifkan
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: db-instance-backup-enabled
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Periode retensi cadangan minimum dalam beberapa hari |
Bilangan Bulat |
|
|
|
|
Memeriksa apakah instans RDS DB memiliki cadangan yang diaktifkan untuk replika baca |
Boolean |
Tidak dapat disesuaikan |
|
Kontrol ini memeriksa apakah instans Amazon Relational Database Service telah mengaktifkan pencadangan otomatis, dan periode retensi cadangan yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Replika baca dikecualikan dari evaluasi. Kontrol gagal jika cadangan tidak diaktifkan untuk instance, atau jika periode retensi kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode penyimpanan cadangan, Security Hub menggunakan nilai default 7 hari.
Pencadangan membantu Anda pulih lebih cepat dari insiden keamanan dan memperkuat ketahanan sistem Anda. Amazon RDS memungkinkan Anda mengonfigurasi snapshot volume instans penuh harian. Untuk informasi selengkapnya tentang pencadangan otomatis Amazon RDS, lihat Bekerja dengan Pencadangan di Panduan Pengguna Amazon RDS.
Remediasi
Untuk mengaktifkan pencadangan otomatis pada instans RDS DB, lihat Mengaktifkan pencadangan otomatis di Panduan Pengguna Amazon RDS.
[RDS.12] Otentikasi IAM harus dikonfigurasi untuk cluster RDS
Persyaratan terkait: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Kategori: Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-cluster-iam-authentication-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah kluster Amazon RDS DB memiliki otentikasi database IAM yang diaktifkan.
Autentikasi basis data IAM memungkinkan otentikasi bebas kata sandi ke instance database. Otentikasi menggunakan token otentikasi. Lalu lintas jaringan ke dan dari database dienkripsi menggunakan SSL. Untuk informasi selengkapnya, lihat autentikasi database IAM di Panduan Pengguna Amazon Aurora.
Remediasi
Untuk mengaktifkan autentikasi IAM untuk kluster DB, lihat Mengaktifkan dan menonaktifkan autentikasi database IAM di Panduan Pengguna Amazon Aurora.
[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan
Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v3.0.0/2.3.2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
Kategori: Identifikasi > Kerentanan, tambalan, dan manajemen versi
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-automatic-minor-version-upgrade-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah upgrade versi minor otomatis diaktifkan untuk instance database RDS.
Upgrade versi minor otomatis memperbarui database secara berkala ke versi mesin database terbaru. Namun, upgrade mungkin tidak selalu menyertakan versi mesin database terbaru. Jika Anda perlu menyimpan database Anda pada versi tertentu pada waktu tertentu, kami sarankan Anda meningkatkan secara manual ke versi database yang Anda butuhkan sesuai dengan jadwal yang Anda butuhkan. Dalam kasus masalah keamanan kritis atau ketika versi mencapai end-of-support tanggalnya, Amazon RDS mungkin menerapkan pemutakhiran versi minor meskipun Anda belum mengaktifkan opsi pemutakhiran versi minor Otomatis. Untuk informasi selengkapnya, lihat dokumentasi pemutakhiran Amazon RDS untuk mesin database spesifik Anda:
Remediasi
Untuk mengaktifkan upgrade versi minor otomatis untuk instans DB yang ada, lihat Memodifikasi instans Amazon RDS DB di Panduan Pengguna Amazon RDS. Untuk upgrade versi minor otomatis, pilih Ya.
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
Persyaratan terkait: Nist.800-53.r5 CP-10, Nist.800-53.r5 CP-6, Nist.800-53.R5 CP-6 (1), Nist.800-53.r5 CP-6 (2), Nist.800-53.r5 CP-9, Nist.800-53.r5 SI-13 (5)
Kategori: Pulih> Ketahanan > Cadangan diaktifkan
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: aurora-mysql-backtracking-enabled
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Jumlah jam untuk mundur cluster Aurora MySQL |
Ganda |
|
Tidak ada nilai default |
Kontrol ini memeriksa apakah klaster Amazon Aurora telah mengaktifkan backtracking. Kontrol gagal jika cluster tidak mengaktifkan backtracking. Jika Anda memberikan nilai kustom untuk BacktrackWindowInHours parameter, kontrol hanya akan diteruskan jika cluster mundur untuk jangka waktu yang ditentukan.
Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. Aurora backtracking mengurangi waktu untuk memulihkan database ke titik waktu. Hal ini tidak memerlukan database restore untuk melakukannya.
Remediasi
Untuk mengaktifkan backtracking Aurora, lihat Mengonfigurasi backtracking di Panduan Pengguna Amazon Aurora.
Perhatikan bahwa Anda tidak dapat mengaktifkan backtracking pada klaster yang ada. Sebagai gantinya, Anda dapat membuat klon yang mengaktifkan backtracking. Untuk informasi selengkapnya tentang batasan backtracking Aurora, lihat daftar batasan di Ikhtisar mundur.
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-cluster-multi-az-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah ketersediaan tinggi diaktifkan untuk kluster RDS DB Anda. Kontrol gagal jika klaster RDS DB tidak digunakan di beberapa Availability Zones ()AZs.
Cluster RDS DB harus dikonfigurasi untuk beberapa AZs untuk memastikan ketersediaan data yang disimpan. Penerapan ke beberapa AZs memungkinkan failover otomatis jika terjadi masalah ketersediaan AZ dan selama acara pemeliharaan RDS reguler.
Remediasi
Untuk menerapkan cluster DB Anda dalam beberapa AZs, Memodifikasi instans DB menjadi penerapan instans DB multi-AZ di Panduan Pengguna Amazon RDS.
Langkah-langkah remediasi berbeda untuk database global Aurora. Untuk mengonfigurasi beberapa Availability Zone untuk database global Aurora, pilih cluster DB Anda. Kemudian, pilih Actions and Add reader, dan tentukan beberapa AZs. Untuk informasi selengkapnya, lihat Menambahkan Replika Aurora ke cluster DB di Panduan Pengguna Amazon Aurora.
[RDS.16] Cluster RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)
Kategori: Identifikasi > Persediaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-cluster-copy-tags-to-snapshots-enabled (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah cluster RDS DB dikonfigurasi untuk menyalin semua tag ke snapshot saat snapshot dibuat.
Identifikasi dan inventaris aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus memiliki visibilitas semua cluster RDS DB Anda sehingga Anda dapat menilai postur keamanan mereka dan mengambil tindakan pada area kelemahan potensial. Snapshot harus ditandai dengan cara yang sama seperti cluster database RDS induknya. Mengaktifkan pengaturan ini memastikan bahwa snapshot mewarisi tag cluster database induknya.
Remediasi
Untuk secara otomatis menyalin tag ke snapshot untuk klaster RDS DB, lihat Memodifikasi cluster DB menggunakan konsol, CLI, dan API di Panduan Pengguna Amazon Aurora. Pilih Salin tag ke snapshot.
[RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)
Kategori: Identifikasi > Persediaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-instance-copy-tags-to-snapshots-enabled (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah instance RDS DB dikonfigurasi untuk menyalin semua tag ke snapshot saat snapshot dibuat.
Identifikasi dan inventaris aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus memiliki visibilitas semua instans RDS DB Anda sehingga Anda dapat menilai postur keamanan mereka dan mengambil tindakan pada area kelemahan potensial. Snapshot harus ditandai dengan cara yang sama seperti instance database RDS induknya. Mengaktifkan pengaturan ini memastikan bahwa snapshot mewarisi tag dari instance database induknya.
Remediasi
Untuk secara otomatis menyalin tag ke snapshot untuk instans RDS DB, lihat Memodifikasi instans Amazon RDS DB di Panduan Pengguna Amazon RDS. Pilih Salin tag ke snapshot.
[RDS.18] Instans RDS harus digunakan di VPC
Kategori: Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-deployed-in-vpc (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah instans Amazon RDS diterapkan pada -VPC. EC2
VPCs menyediakan sejumlah kontrol jaringan untuk mengamankan akses ke sumber daya RDS. Kontrol ini termasuk VPC Endpoint, jaringan ACLs, dan grup keamanan. Untuk memanfaatkan kontrol ini, kami sarankan Anda membuat instans RDS di -VPC. EC2
Remediasi
Untuk petunjuk cara memindahkan instans RDS ke VPC, lihat Memperbarui VPC untuk instans DB di Panduan Pengguna Amazon RDS.
[RDS.19] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster penting
Persyaratan terkait: NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
Kategori: Deteksi > Layanan deteksi > Pemantauan aplikasi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::EventSubscription
AWS Config aturan: rds-cluster-event-notifications-configured (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS yang ada untuk kluster database telah mengaktifkan notifikasi untuk jenis sumber berikut dan pasangan nilai kunci kategori peristiwa:
DBCluster: ["maintenance","failure"]
Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.
Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons cepat. Untuk informasi tambahan tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.
Remediasi
Untuk berlangganan notifikasi peristiwa klaster RDS, lihat Berlangganan pemberitahuan acara Amazon RDS di Panduan Pengguna Amazon RDS. Gunakan nilai berikut:
| Bidang | Nilai |
|---|---|
|
Jenis sumber |
Klaster |
|
Cluster untuk dimasukkan |
Semua cluster |
|
Kategori acara untuk disertakan |
Pilih kategori acara tertentu atau Semua kategori acara |
[RDS.20] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance basis data penting
Persyaratan terkait: NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2
Kategori: Deteksi > Layanan deteksi > Pemantauan aplikasi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::EventSubscription
AWS Config aturan: rds-instance-event-notifications-configured (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS yang ada untuk instans database telah mengaktifkan notifikasi untuk jenis sumber berikut dan pasangan nilai kunci kategori peristiwa:
DBInstance: ["maintenance","configuration change","failure"]
Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.
Pemberitahuan peristiwa RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons cepat. Untuk informasi tambahan tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.
Remediasi
Untuk berlangganan notifikasi kejadian instans RDS, lihat Berlangganan notifikasi peristiwa Amazon RDS di Panduan Pengguna Amazon RDS. Gunakan nilai berikut:
| Bidang | Nilai |
|---|---|
|
Jenis sumber |
Instans |
|
Contoh untuk disertakan |
Semua contoh |
|
Kategori acara untuk disertakan |
Pilih kategori acara tertentu atau Semua kategori acara |
[RDS.21] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data penting
Persyaratan terkait: NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2
Kategori: Deteksi > Layanan deteksi > Pemantauan aplikasi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::EventSubscription
AWS Config aturan: rds-pg-event-notifications-configured (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah langganan acara Amazon RDS ada dengan notifikasi diaktifkan untuk jenis sumber berikut, pasangan nilai kunci kategori peristiwa. Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.
DBParameterGroup: ["configuration change"]
Pemberitahuan peristiwa RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons cepat. Untuk informasi tambahan tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.
Remediasi
Untuk berlangganan pemberitahuan peristiwa grup parameter database RDS, lihat Berlangganan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS. Gunakan nilai berikut:
| Bidang | Nilai |
|---|---|
|
Jenis sumber |
Grup parameter |
|
Kelompok parameter untuk disertakan |
Semua kelompok parameter |
|
Kategori acara untuk disertakan |
Pilih kategori acara tertentu atau Semua kategori acara |
[RDS.22] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk acara grup keamanan basis data penting
Persyaratan terkait: NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2
Kategori: Deteksi > Layanan Deteksi > Pemantauan aplikasi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::EventSubscription
AWS Config aturan: rds-sg-event-notifications-configured (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah langganan acara Amazon RDS ada dengan notifikasi diaktifkan untuk jenis sumber berikut, pasangan nilai kunci kategori peristiwa. Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.
DBSecurityGroup: ["configuration change","failure"]
Pemberitahuan peristiwa RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons yang cepat. Untuk informasi tambahan tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.
Remediasi
Untuk berlangganan notifikasi kejadian instans RDS, lihat Berlangganan notifikasi peristiwa Amazon RDS di Panduan Pengguna Amazon RDS. Gunakan nilai berikut:
| Bidang | Nilai |
|---|---|
|
Jenis sumber |
Grup keamanan |
|
Kelompok keamanan untuk memasukkan |
Semua kelompok keamanan |
|
Kategori acara untuk disertakan |
Pilih kategori acara tertentu atau Semua kategori acara |
[RDS.23] Instans RDS tidak boleh menggunakan port default mesin database
Persyaratan terkait: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-no-default-ports (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah cluster RDS atau instance menggunakan port selain port default mesin database. Kontrol gagal jika cluster atau instance RDS menggunakan port default. Kontrol ini tidak berlaku untuk instance RDS yang merupakan bagian dari cluster.
Jika Anda menggunakan port yang dikenal untuk menyebarkan cluster atau instance RDS, penyerang dapat menebak informasi tentang cluster atau instance. Penyerang dapat menggunakan informasi ini bersama dengan informasi lain untuk terhubung ke cluster atau instance RDS atau mendapatkan informasi tambahan tentang aplikasi Anda.
Ketika Anda mengubah port, Anda juga harus memperbarui string koneksi yang ada yang digunakan untuk terhubung ke port lama. Anda juga harus memeriksa grup keamanan instans DB untuk memastikan bahwa itu termasuk aturan masuk yang memungkinkan konektivitas pada port baru.
Remediasi
Untuk mengubah port default instans RDS DB yang ada, lihat Memodifikasi instans Amazon RDS DB di Panduan Pengguna Amazon RDS. Untuk mengubah port default kluster RDS DB yang ada, lihat Memodifikasi cluster DB menggunakan konsol, CLI, dan API di Panduan Pengguna Amazon Aurora. Untuk port Database, ubah nilai port ke nilai non-default.
[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2
Kategori: Identifikasi > Konfigurasi Sumber Daya
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-cluster-default-admin-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah kluster database Amazon RDS telah mengubah nama pengguna admin dari nilai defaultnya. Kontrol tidak berlaku untuk mesin jenis neptunus (Neptunus DB) atau docdb (DocumentDB). Aturan ini akan gagal jika nama pengguna admin diatur ke nilai default.
Saat membuat database Amazon RDS, Anda harus mengubah nama pengguna admin default menjadi nilai unik. Nama pengguna default adalah pengetahuan publik dan harus diubah selama pembuatan database RDS. Mengubah nama pengguna default mengurangi risiko akses yang tidak diinginkan.
Remediasi
Untuk mengubah nama pengguna admin yang terkait dengan kluster database Amazon RDS, buat kluster database RDS baru dan ubah nama pengguna admin default saat membuat database.
[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2
Kategori: Identifikasi > Konfigurasi Sumber Daya
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-instance-default-admin-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah Anda telah mengubah nama pengguna administratif untuk instans database Amazon Relational Database Service (Amazon RDS) dari nilai default. Kontrol gagal jika nama pengguna administratif diatur ke nilai default. Kontrol tidak berlaku untuk mesin jenis neptunus (Neptunus DB) atau docdb (DocumentDB), dan untuk instance RDS yang merupakan bagian dari cluster.
Nama pengguna administratif default pada database Amazon RDS adalah pengetahuan publik. Saat membuat database Amazon RDS, Anda harus mengubah nama pengguna administratif default ke nilai unik untuk mengurangi risiko akses yang tidak diinginkan.
Remediasi
Untuk mengubah nama pengguna administratif yang terkait dengan instance database RDS, pertama buat instance database RDS baru. Ubah nama pengguna administratif default saat membuat database.
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
Kategori: Pulih> Ketahanan > Cadangan diaktifkan
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-resources-protected-by-backup-plan
Jenis jadwal: Periodik
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Kontrol menghasilkan |
Boolean |
|
Tidak ada nilai default |
Kontrol ini mengevaluasi jika instans Amazon RDS DB dicakup oleh paket cadangan. Kontrol ini gagal jika instans RDS DB tidak tercakup oleh rencana cadangan. Jika Anda menyetel backupVaultLockCheck parameter sama dengantrue, kontrol hanya akan diteruskan jika instance dicadangkan di brankas yang AWS Backup terkunci.
AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya yang memusatkan dan mengotomatiskan pencadangan data di seluruh. Layanan AWS Dengan AWS Backup, Anda dapat membuat kebijakan cadangan yang disebut rencana cadangan. Anda dapat menggunakan paket ini untuk menentukan persyaratan pencadangan Anda, seperti seberapa sering mencadangkan data Anda dan berapa lama untuk menyimpan cadangan tersebut. Menyertakan instans RDS DB dalam paket cadangan membantu Anda melindungi data Anda dari kehilangan atau penghapusan yang tidak diinginkan.
Remediasi
Untuk menambahkan instans RDS DB ke paket AWS Backup cadangan, lihat Menetapkan sumber daya ke paket cadangan di Panduan AWS Backup Pengembang.
[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-cluster-encrypted-at-rest
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah cluster RDS DB dienkripsi saat istirahat. Kontrol gagal jika cluster RDS DB tidak dienkripsi saat istirahat.
Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya. Mengenkripsi kluster RDS DB Anda melindungi data dan metadata Anda terhadap akses yang tidak sah. Ini juga memenuhi persyaratan kepatuhan untuk data-at-rest enkripsi sistem file produksi.
Remediasi
Anda dapat mengaktifkan enkripsi saat istirahat saat Anda membuat cluster RDS DB. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat cluster. Untuk informasi selengkapnya, lihat Mengenkripsi klaster Amazon Aurora DB di Panduan Pengguna Amazon Aurora.
[RDS.28] Cluster RDS DB harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: tagged-rds-dbcluster (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | 1—6 kunci tag yang memenuhi persyaratan AWS . | Tidak ada nilai default |
Kontrol ini memeriksa apakah kluster Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika cluster DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke kluster RDS DB, lihat Menandai sumber daya Amazon RDS di Panduan Pengguna Amazon RDS.
[RDS.29] Snapshot cluster RDS DB harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBClusterSnapshot
AWS Config aturan: tagged-rds-dbclustersnapshot (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | 1—6 kunci tag yang memenuhi persyaratan AWS . | Tidak ada nilai default |
Kontrol ini memeriksa apakah snapshot kluster Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. requiredTagKeys Kontrol gagal jika snapshot cluster DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot cluster DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke snapshot klaster RDS DB, lihat Menandai sumber daya Amazon RDS di Panduan Pengguna Amazon RDS.
[RDS.30] Instans RDS DB harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: tagged-rds-dbinstance (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | 1—6 kunci tag yang memenuhi persyaratan AWS . | Tidak ada nilai default |
Kontrol ini memeriksa apakah instans Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika instans DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika instance DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke instans RDS DB, lihat Menandai sumber daya Amazon RDS di Panduan Pengguna Amazon RDS.
[RDS.31] Grup keamanan RDS DB harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBSecurityGroup
AWS Config aturan: tagged-rds-dbsecuritygroup (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | 1—6 kunci tag yang memenuhi persyaratan AWS . | Tidak ada nilai default |
Kontrol ini memeriksa apakah grup keamanan Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika grup keamanan DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup keamanan DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke grup keamanan RDS DB, lihat Menandai sumber daya Amazon RDS di Panduan Pengguna Amazon RDS.
[RDS.32] Snapshot RDS DB harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBSnapshot
AWS Config aturan: tagged-rds-dbsnapshot (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | 1—6 kunci tag yang memenuhi persyaratan AWS . | Tidak ada nilai default |
Kontrol ini memeriksa apakah snapshot Amazon RDS DB memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. requiredTagKeys Kontrol gagal jika snapshot DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke snapshot RDS DB, lihat Menandai sumber daya Amazon RDS di Panduan Pengguna Amazon RDS.
[RDS.33] Grup subnet RDS DB harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::RDS::DBSubnetGroup
AWS Config aturan: tagged-rds-dbsubnetgroups (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | 1—6 kunci tag yang memenuhi persyaratan AWS . | Tidak ada nilai default |
Kontrol ini memeriksa apakah grup subnet Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. requiredTagKeys Kontrol gagal jika grup subnet DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup subnet DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke grup subnet RDS DB, lihat Menandai sumber daya Amazon RDS di Panduan Pengguna Amazon RDS.
[RDS.34] Kluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch
Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-aurora-mysql-audit-logging-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah kluster DB MySQL Amazon Aurora dikonfigurasi untuk mempublikasikan log audit ke Amazon Logs. CloudWatch Kontrol gagal jika klaster tidak dikonfigurasi untuk mempublikasikan log audit ke CloudWatch Log. Kontrol tidak menghasilkan temuan untuk cluster Aurora Serverless v1 DB.
Log audit menangkap catatan aktivitas database, termasuk upaya login, modifikasi data, perubahan skema, dan peristiwa lain yang dapat diaudit untuk tujuan keamanan dan kepatuhan. Saat mengonfigurasi klaster DB MySQL Aurora untuk mempublikasikan log audit ke grup log di Amazon Logs, Anda dapat melakukan analisis data CloudWatch log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Anda juga dapat membuat alarm dan melihat metrik di. CloudWatch
catatan
Cara alternatif untuk mempublikasikan log audit ke CloudWatch Log adalah dengan mengaktifkan audit lanjutan dan menyetel parameter DB tingkat cluster ke. server_audit_logs_upload 1 Default untuk server_audit_logs_upload parameter adalah0. Namun, kami sarankan Anda menggunakan instruksi remediasi berikut sebagai gantinya untuk melewati kontrol ini.
Remediasi
Untuk mempublikasikan log audit klaster MySQL DB Aurora ke Log, CloudWatch lihat Menerbitkan log MySQL Amazon Aurora ke Log Amazon di Panduan Pengguna Amazon Aurora. CloudWatch
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
Persyaratan terkait: NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
Kategori: Identifikasi > Kerentanan, tambalan, dan manajemen versi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-cluster-auto-minor-version-upgrade-enable
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah pemutakhiran versi minor otomatis diaktifkan untuk cluster DB Multi-AZ Amazon RDS. Kontrol gagal jika pemutakhiran versi minor otomatis tidak diaktifkan untuk cluster DB multi-AZ.
RDS menyediakan upgrade versi minor otomatis sehingga Anda dapat menjaga cluster DB multi-AZ Anda tetap up to date. Versi minor dapat memperkenalkan fitur perangkat lunak baru, perbaikan bug, patch keamanan, dan peningkatan kinerja. Dengan mengaktifkan upgrade versi minor otomatis pada cluster database RDS, cluster, bersama dengan instance di cluster, akan menerima pembaruan otomatis ke versi minor ketika versi baru tersedia. Pembaruan diterapkan secara otomatis selama jendela pemeliharaan.
Remediasi
Untuk mengaktifkan pemutakhiran versi minor otomatis pada klaster DB multi-AZ, lihat Memodifikasi klaster DB Multi-AZ di Panduan Pengguna Amazon RDS.
[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch
Persyaratan terkait: PCI DSS v4.0.1/10.4.2
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-postgresql-logs-to-cloudwatch
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Daftar tipe log yang dipisahkan koma untuk dipublikasikan ke Log CloudWatch |
StringList |
Tidak dapat disesuaikan |
|
Kontrol ini memeriksa apakah instans Amazon RDS for PostgreSQL DB dikonfigurasi untuk mempublikasikan log ke Amazon Logs. CloudWatch Kontrol gagal jika instance PostgreSQL DB tidak dikonfigurasi untuk mempublikasikan jenis log yang disebutkan dalam parameter ke Log. logTypes CloudWatch
Database logging menyediakan catatan rinci permintaan yang dibuat untuk instance RDS. PostgreSQL menghasilkan log peristiwa yang berisi informasi berguna bagi administrator. Menerbitkan log ini ke CloudWatch Log memusatkan manajemen log dan membantu Anda melakukan analisis data log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Anda juga dapat membuat alarm dan melihat metrik di. CloudWatch
Remediasi
Untuk memublikasikan log instans PostgreSQL DB ke Log, lihat Menerbitkan CloudWatch log PostgreSQL ke Log Amazon di Panduan Pengguna Amazon RDS. CloudWatch
[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch
Persyaratan terkait: PCI DSS v4.0.1/10.4.2
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBCluster
AWS Config aturan: rds-aurora-postgresql-logs-to-cloudwatch
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah klaster DB PostgreSQL Amazon Aurora dikonfigurasi untuk mempublikasikan log ke Amazon Logs. CloudWatch Kontrol gagal jika klaster Aurora PostgreSQL DB tidak dikonfigurasi untuk mempublikasikan log PostgreSQL ke Log. CloudWatch
Database logging menyediakan catatan rinci permintaan yang dibuat untuk cluster RDS. Aurora PostgreSQL menghasilkan log peristiwa yang berisi informasi berguna bagi administrator. Menerbitkan log ini ke CloudWatch Log memusatkan manajemen log dan membantu Anda melakukan analisis data log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Anda juga dapat membuat alarm dan melihat metrik di. CloudWatch
Remediasi
Untuk memublikasikan log klaster Aurora PostgreSQL DB ke Log, CloudWatch lihat Menerbitkan log PostgreSQL Aurora ke Log Amazon di Panduan Pengguna Amazon RDS. CloudWatch
[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-postgres-instance-encrypted-in-transit
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah koneksi ke instance Amazon RDS for PostgreSQL database (DB) dienkripsi dalam perjalanan. Kontrol gagal jika rds.force_ssl parameter untuk grup parameter yang terkait dengan instance disetel ke 0 (off). Kontrol ini tidak mengevaluasi instans RDS DB yang merupakan bagian dari cluster DB.
Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara klaster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.
Remediasi
Untuk mewajibkan semua koneksi ke RDS agar instans PostgreSQL DB menggunakan SSL, lihat Menggunakan SSL dengan instans PostgreSQL DB di Panduan Pengguna Amazon RDS.
[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-mysql-instance-encrypted-in-transit
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah koneksi ke instance Amazon RDS for MySQL database (DB) dienkripsi dalam perjalanan. Kontrol gagal jika rds.require_secure_transport parameter untuk grup parameter yang terkait dengan instance disetel ke 0 (off). Kontrol ini tidak mengevaluasi instans RDS DB yang merupakan bagian dari cluster DB.
Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara klaster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.
Remediasi
Untuk mewajibkan semua koneksi ke RDS agar instans MySQL DB menggunakan SSL, lihat dukungan SSL/TLS untuk instans MySQL DB di Amazon RDS di Panduan Pengguna Amazon RDS.
[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch
Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-sql-server-logs-to-cloudwatch
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Daftar jenis log yang RDS untuk SQL Server DB instance harus dikonfigurasi untuk dipublikasikan ke CloudWatch Log. Kontrol ini gagal jika instans DB tidak dikonfigurasi untuk mempublikasikan jenis log yang ditentukan dalam daftar. |
EnumList (maksimal 2 item) |
|
|
Kontrol ini memeriksa apakah instans Amazon RDS for Microsoft SQL Server DB dikonfigurasi untuk mempublikasikan log ke Amazon Logs. CloudWatch Kontrol gagal jika RDS untuk instans SQL Server DB tidak dikonfigurasi untuk mempublikasikan log ke CloudWatch Log. Anda dapat secara opsional menentukan jenis log yang instans DB harus dikonfigurasi untuk diterbitkan.
Pencatatan basis data menyediakan catatan terperinci tentang permintaan yang dibuat ke instans Amazon RDS DB. Menerbitkan CloudWatch log ke Log memusatkan manajemen log dan membantu Anda melakukan analisis data log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Selain itu, Anda dapat menggunakannya untuk membuat alarm untuk kesalahan tertentu yang dapat terjadi, seperti sering restart yang direkam dalam log kesalahan. Demikian pula, Anda dapat membuat alarm untuk kesalahan atau peringatan yang direkam dalam log agen SQL Server yang terkait dengan pekerjaan agen SQL.
Remediasi
Untuk informasi tentang memublikasikan CloudWatch log ke Log untuk instans DB RDS for SQL Server, lihat file log database Amazon RDS for Microsoft SQL Server di Panduan Pengguna Layanan Amazon Relational Database Service.
[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-sqlserver-encrypted-in-transit
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah koneksi ke Amazon RDS untuk instans Microsoft SQL Server DB dienkripsi dalam perjalanan. Kontrol gagal jika parameter grup rds.force_ssl parameter yang terkait dengan instans DB diatur ke0
(off).
Data dalam transit mengacu pada data yang bergerak dari satu lokasi ke lokasi lain, seperti antara node dalam cluster DB atau antara cluster DB dan aplikasi klien. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko pengguna yang tidak sah menguping lalu lintas jaringan.
Remediasi
Untuk informasi tentang mengaktifkan SSL/TLS koneksi ke instans Amazon RDS DB yang menjalankan Microsoft SQL Server, lihat Menggunakan SSL dengan Instans DB Microsoft SQL Server di Panduan Pengguna Layanan Amazon Relational Database Service.
[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch
Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), (10) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: mariadb-publish-logs-to-cloudwatch-logs
Jenis jadwal: Periodik
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Daftar jenis log yang instance MariaDB harus dikonfigurasi untuk dipublikasikan ke Log. CloudWatch Kontrol menghasilkan |
EnumList (maksimal 4 item) |
|
|
Kontrol ini memeriksa apakah instans Amazon RDS for MariaDB DB dikonfigurasi untuk mempublikasikan jenis log tertentu ke Amazon Logs. CloudWatch Kontrol gagal jika instance MariaDB tidak dikonfigurasi untuk mempublikasikan log ke Log. CloudWatch Anda dapat secara opsional menentukan jenis log yang mana instance MariaDB DB harus dikonfigurasi untuk dipublikasikan.
Pencatatan basis data menyediakan catatan terperinci tentang permintaan yang dibuat ke Amazon RDS for MariaDB instans DB. Menerbitkan log ke Amazon CloudWatch Logs memusatkan manajemen log dan membantu Anda melakukan analisis data log secara real-time. Selain itu, CloudWatch Log menyimpan log dalam penyimpanan yang tahan lama, yang dapat mendukung ulasan dan audit keamanan, akses, dan ketersediaan. Dengan CloudWatch Log, Anda juga dapat membuat alarm dan meninjau metrik.
Remediasi
Untuk informasi tentang mengonfigurasi instans Amazon RDS for MariaDB untuk mempublikasikan log ke Log Amazon, lihat Menerbitkan log MariaDB ke Log CloudWatch Amazon di CloudWatch Panduan Pengguna Layanan Amazon Relational Database Service.
[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RDS::DBInstance
AWS Config aturan: rds-mariadb-instance-encrypted-in-transit
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah koneksi ke instans Amazon RDS for MariaDB DB dienkripsi saat transit. Kontrol gagal jika grup parameter DB yang terkait dengan instans DB tidak sinkron, atau require_secure_transport parameter grup parameter tidak disetel keON.
catatan
Kontrol ini tidak mengevaluasi instans Amazon RDS DB yang menggunakan versi MariaDB lebih awal dari versi 10.5. require_secure_transportParameter hanya didukung untuk MariaDB versi 10.5 dan yang lebih baru.
Data dalam transit mengacu pada data yang bergerak dari satu lokasi ke lokasi lain, seperti antara node dalam cluster DB atau antara cluster DB dan aplikasi klien. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko pengguna yang tidak sah menguping lalu lintas jaringan.
Remediasi
Untuk informasi tentang mengaktifkan koneksi ke instans Amazon RDS SSL/TLS for MariaDB DB, SSL/TLS lihat Memerlukan semua koneksi ke instans DB MariaDB di Panduan Pengguna Layanan Amazon Relational Database Service.
