Correção de exposições para instâncias e clusters do Amazon RDS - AWSSecurity Hub
Características de configuração incorreta para instâncias e clusters do Amazon RDS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Correção de exposições para instâncias e clusters do Amazon RDS

AWSO Security Hub pode gerar descobertas de exposição para instâncias e clusters do Amazon RDS.

No console do Security Hub, a instância ou cluster do Amazon RDS envolvido em uma descoberta de exposição e suas informações de identificação estão listados na seção Recursos dos detalhes da descoberta. Programaticamente, você pode recuperar detalhes do recurso com a GetFindingsV2operação da API CSPM do Security Hub.

Depois de identificar o recurso envolvido em uma descoberta de exposição, é possível excluir o recurso se não precisar dele. A exclusão de um recurso não essencial pode reduzir seu perfil de exposição e AWS seus custos. Se o recurso for essencial, siga estas etapas de correção recomendadas para ajudar a mitigar o risco. Os tópicos de correção são divididos com base no tipo de característica.

Uma única descoberta de exposição contém problemas identificados em vários tópicos de correção. Por outro lado, é possível abordar uma descoberta de exposição e reduzir seu nível de gravidade abordando apenas um tópico de correção. Sua abordagem para a correção de riscos depende de seus requisitos organizacionais e workloads.

nota

A orientação de remediação fornecida neste tópico pode exigir consultas adicionais em outros AWS recursos.

Características de configuração incorreta para instâncias e clusters do Amazon RDS

A seguir, descrevemos as características de configuração incorreta e as etapas de correção para instâncias e clusters do Amazon RDS.

A instância de banco de dados do Amazon RDS está configurada com acesso público

As instâncias do Amazon RDS com acesso público são potencialmente acessíveis pela Internet por meio de seus endpoints. Embora o acesso público às vezes seja necessário para a funcionalidade da instância, essa configuração pode ser usada como um potencial vetor de ataque para que usuários não autorizados tentem acessar seu banco de dados. Bancos de dados acessíveis ao público podem ser expostos a varreduras de portas, ataques de força bruta e tentativas de exploração. Seguindo os princípios de segurança padrão, sugerimos que você limite a exposição pública dos seus recursos de bancos de dados.

  1. Modificação das configurações de acesso público

    Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá a instância de banco de dados afetada. Avalie se a instância de banco de dados exige acessibilidade pública com base na arquitetura da sua aplicação. Para obter mais informações, consulte Configuração do acesso público ou privado no Amazon RDS.

O cluster de banco de dados do Amazon RDS tem um snapshot que é compartilhado publicamente

Os instantâneos públicos podem ser acessados por qualquer pessoaConta da AWS, potencialmente expondo dados confidenciais a usuários não autorizados. Qualquer pessoa Conta da AWS tem permissão para copiar esses instantâneos públicos e criar instâncias de banco de dados a partir deles, o que pode levar a violações de dados ou acesso não autorizado a dados. Seguindo as melhores práticas de segurança, recomendamos restringir o acesso aos seus snapshots do Amazon RDS somente para organizações confiáveisContas da AWS.

1. Configuração de um snapshot do Amazon RDS para acesso privado

Na descoberta de exposição, abra o recurso com o hiperlink. Para obter informações sobre como modificar as configurações de compartilhamento de instantâneos, consulte Compartilhamento de um instantâneo no Guia do usuário do Amazon Aurora. Para obter informações sobre como parar de compartilhar snapshots, consulte Interrupção do compartilhamento de snapshots no Guia do usuário do Amazon Aurora.

A instância de banco de dados do Amazon RDS tem um snapshot que não está criptografado em repouso

Snapshots não criptografados da instância de banco de dados do Amazon RDS podem expor dados sensíveis se o acesso não autorizado à camada de armazenamento for obtido. Sem criptografia, os dados em snapshots poderiam ser expostos por meio de acesso não autorizado. Isso cria um risco de violações de dados e violações de conformidade. Seguindo as práticas recomendadas de segurança, sugerimos criptografar todos os recursos do banco de dados e seus backups para manter a confidencialidade dos dados.

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá o snapshot afetado. Não é possível criptografar diretamente um snapshots não criptografado existente. Em vez disso, crie uma cópia criptografada do snapshot não criptografado. Para obter instruções detalhadas, consulte Cópia de snapshots de cluster de banco de dados e recursos de criptografia do Amazon RDS no Guia do usuário do Amazon Aurora.

O cluster de banco de dados do Amazon RDS tem um snapshot que não está criptografado em repouso

Snapshots não criptografados do cluster de banco de dados do Amazon RDS podem expor dados sensíveis se o acesso não autorizado à camada de armazenamento for obtido. Sem criptografia, os dados em snapshots poderiam ser expostos por meio de acesso não autorizado. Isso cria um risco de violações de dados e violações de conformidade. Seguindo as práticas recomendadas de segurança, sugerimos criptografar todos os recursos do banco de dados e seus backups para manter a confidencialidade dos dados.

1. Criação de uma cópia criptografada do snapshot

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá o snapshot afetado. Não é possível criptografar diretamente um snapshots não criptografado existente. Em vez disso, crie uma cópia criptografada do snapshot não criptografado. Para obter instruções detalhadas, consulte Cópia de snapshots de cluster de banco de dados e recursos de criptografia do Amazon RDS no Guia do usuário do Amazon Aurora.

A instância de banco de dados do Amazon RDS tem um grupo de segurança aberto

Os grupos de segurança funcionam como firewalls virtuais para suas instâncias do Amazon RDS com a finalidade de controlar o tráfego de entrada e de saída. Grupos de segurança abertos, que permitem acesso irrestrito a partir de qualquer endereço IP, podem expor suas instâncias de banco de dados a acesso não autorizado e a ataques potenciais. Seguindo os princípios de segurança padrão, sugerimos restringir o acesso de grupos de segurança a endereços IP e portas específicas para manter o princípio do privilégio mínimo.

Análise das regras do grupo de segurança e avaliação da configuração atual

Na descoberta da exposição, abra o recurso para o grupo de segurança da instância de banco de dados. Avalie quais portas estão abertas e acessíveis a partir de amplos intervalos de IP, como (0.0.0.0/0 or ::/0). Para obter informações sobre a visualização dos detalhes do grupo de segurança, consulte DescribeSecurityGroupsa Amazon Elastic Compute Cloud API Reference.

Modificação de regras de grupos de segurança

Modifique suas regras de grupo de segurança para restringir o acesso a intervalos ou endereços IP confiáveis específicos. Ao atualizar suas regras de grupo de segurança, considere separar os requisitos de acesso para diferentes segmentos de rede criando regras para cada intervalo de IP de origem necessário ou restringindo o acesso a portas específicas. Para modificar as regras do grupo de segurança, consulte Configurar regras do grupo de segurança no Guia EC2 do usuário da Amazon. Para modificar a porta padrão de uma instância de banco de dados existente do Amazon RDS, consulte Modificação do cluster de banco de dados usando o console, a CLI e a API no Guia do usuário do Amazon Aurora.

A instância de banco de dados do Amazon RDS tem a autenticação de banco de dados do IAM desabilitada

A autenticação do banco de dados do IAM permite que você se autentique no seu banco de dados do Amazon RDS usando credenciais do IAM em vez de senhas do banco de dados. Isso fornece vários benefícios de segurança, como o gerenciamento centralizado de acesso, credenciais temporárias e eliminação do armazenamento de senhas de banco de dados no código da aplicação. A autenticação de banco de dados do IAM permite a autenticação em instâncias de banco de dados com um token de autenticação em vez de uma senha. Como resultado, o tráfego de rede de e para a instância de banco de dados é criptografado usando SSL. Sem a autenticação do IAM, os bancos de dados geralmente dependem da autenticação baseada em senha, o que pode levar à reutilização de senhas e senhas fracas. Seguindo as práticas recomendadas de segurança, sugerimos habilitar a autenticação do banco de dados do IAM.

Habilitação da autenticação do banco de dados do IAM.

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá a instância de banco de dados afetada. É possível habilitar a autenticação do banco de dados do IAM nas opções de banco de dados. Para obter mais informações, consulte Habilitação e desabilitação da autenticação de banco de dados do IAM no Guia do usuário do Amazon RDS. Depois de habilitar a autenticação do IAM, atualize suas instâncias de banco de dados para usar a autenticação do IAM em vez da autenticação baseada em senha.

A instância de banco de dados do Amazon RDS usa o nome de usuário do administrador padrão

Usar nomes de usuário padrão (por exemplo, “admin”, “root”) para instâncias de banco de dados aumenta o risco de segurança, pois elas são amplamente conhecidas e comumente alvo de ataques de força bruta. Os nomes de usuário padrão são previsíveis e facilitam a tentativa de acesso ao seu banco de dados por usuários não autorizados. Com nomes de usuário padrão, os invasores só precisam obter senhas, em vez de precisarem de ambos para obter acesso ao seu banco de dados. Seguindo as práticas recomendadas de segurança, sugerimos o uso de nomes de usuário de administrador exclusivos para sua instância de banco de dados para aprimorar a segurança por meio de obscuridade e reduzir o risco de tentativas de acesso não autorizado.

Configuração de um nome de usuário de administrador exclusivo

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá a instância de banco de dados afetada. Considere quais regras de frequência de backup, período de retenção e ciclo de vida são melhores para suas aplicações.

O cluster de banco de dados do Amazon RDS usa o nome de usuário do administrador padrão

Usar nomes de usuário padrão (por exemplo, “admin”, “root”) para instâncias de banco de dados aumenta o risco de segurança, pois elas são amplamente conhecidas e comumente alvo de ataques de força bruta. Os nomes de usuário padrão são previsíveis e facilitam a tentativa de acesso ao seu banco de dados por usuários não autorizados. Com nomes de usuário padrão, os invasores só precisam obter senhas, em vez de precisarem de ambos para obter acesso ao seu banco de dados. Seguindo as práticas recomendadas de segurança, sugerimos o uso de nomes de usuário de administrador exclusivos para sua instância de banco de dados para aprimorar a segurança por meio de obscuridade e reduzir o risco de tentativas de acesso não autorizado.

Configuração de um nome de usuário de administrador exclusivo

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá a instância de banco de dados afetada. Não é possível alterar o nome de usuário do administrador de uma instância de banco de dados existente do Amazon RDS. Para criar um nome de administrador exclusivo, você precisará criar uma nova instância de banco de dados com um nome de usuário personalizado e migrar seus dados.

A instância de banco de dados do Amazon RDS tem as atualizações automáticas de versões secundárias desabilitadas

As atualizações automáticas de versões secundárias garantem que suas instâncias do Amazon RDS recebam automaticamente atualizações de versões secundárias do mecanismo quando estiverem disponíveis. Essas atualizações geralmente incluem patches de segurança e correções de erros importantes que ajudam a manter a segurança e a estabilidade do seu banco de dados. Seu banco de dados corre o risco de funcionar com vulnerabilidades de segurança conhecidas que foram corrigidas em versões secundárias mais recentes. Sem atualizações automáticas, as instâncias do banco de dados podem acumular vulnerabilidades de segurança à medida que novas CVEs são descobertas. Seguindo as práticas recomendadas de segurança, sugerimos habilitar as atualizações automáticas de versões secundárias para todas as instâncias do Amazon RDS.

Habilitação de atualizações da versão secundária automáticas

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá a instância de banco de dados afetada. É possível ver as configurações automáticas de atualização secundária na guia Manutenção e backups. Para obter mais informações, consulte Atualizações automáticas de versões secundárias do Amazon RDS for MySQL. Você também pode configurar sua janela de manutenção para ocorrer durante períodos de baixa atividade do banco de dados.

A instância de banco de dados do Amazon RDS tem os backups automatizados desabilitados

Os backups automatizados fornecem point-in-time recuperação para suas instâncias do Amazon RDS, permitindo que você restaure seu banco de dados em qualquer ponto dentro do período de retenção. Quando os backups automatizados são desabilitados, você corre o risco de perder dados em caso de exclusão maliciosa, corrupção de dados ou outros cenários de perda de dados. No caso de atividades maliciosas, como ataques de ransomware, exclusão de tabelas de banco de dados ou corrupção, a capacidade de restaurar até um ponto no tempo anterior ao incidente reduz o tempo necessário para se recuperar de um incidente. Seguindo as práticas recomendadas de segurança, sugerimos habilitar backups automatizados com um período de retenção adequado para todos os bancos de dados de produção.

A instância de banco de dados do Amazon RDS tem a proteção contra exclusão desabilitada

A proteção contra exclusão de banco de dados é um atributo que ajuda a impedir a exclusão de suas instâncias de banco de dados. Quando a proteção contra exclusão está desabilitada, seu banco de dados pode ser excluído por qualquer usuário com permissões suficientes, o que pode resultar em perda de dados ou tempo de inatividade da aplicação. Os invasores podem excluir seu banco de dados, causando interrupção do serviço, perda de dados e aumento do tempo de recuperação. Seguindo as práticas recomendadas de segurança, sugerimos habilitar a proteção contra exclusão de suas instâncias de banco de dados do RDS para evitar exclusões maliciosas.

Habilitação da proteção contra exclusão para seu cluster do Amazon DocumentDB

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá o cluster de banco de dados afetado.

O cluster de banco de dados do Amazon RDS tem a proteção contra exclusão desabilitada

A proteção contra exclusão de banco de dados é um atributo que ajuda a impedir a exclusão de suas instâncias de banco de dados. Quando a proteção contra exclusão está desabilitada, seu banco de dados pode ser excluído por qualquer usuário com permissões suficientes, o que pode resultar em perda de dados ou tempo de inatividade da aplicação. Os invasores podem excluir seu banco de dados, causando interrupção do serviço, perda de dados e aumento do tempo de recuperação. Seguindo as práticas recomendadas de segurança, sugerimos habilitar a proteção contra exclusão de seus clusters de banco de dados do RDS para evitar exclusões maliciosas.

Habilitação da proteção contra exclusão para seu cluster do Amazon DocumentDB

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá o cluster de banco de dados afetado.

A instância de banco de dados do Amazon RDS usa a porta padrão para o mecanismo de banco de dados

As instâncias do Amazon RDS que usam portas padrão para mecanismos de banco de dados podem enfrentar maiores riscos de segurança, pois essas portas padrão são amplamente conhecidas e geralmente são alvo de ferramentas de verificação automatizadas. Modificar sua instância de banco de dados para usar portas não padrão acrescenta uma camada adicional de segurança por meio da obscuridade, tornando mais difícil para usuários não autorizados realizar ataques automatizados ou direcionados ao seu banco de dados. As portas padrão geralmente são verificadas por pessoas não autorizadas e podem fazer com que sua instância de banco de dados seja um alvo. Seguindo as práticas recomendadas de segurança, sugerimos alterar a porta padrão para uma porta personalizada para reduzir o risco de ataques automatizados ou direcionados.

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá a instância de banco de dados afetada.

Atualização de strings de conexão da aplicação

Depois de alterar a porta, atualize todas as aplicações e serviços que se conectam à sua instância do Amazon RDS para usar o novo número da porta.

A instância de banco de dados do Amazon RDS não está coberta por um plano de backup

AWSO Backup é um serviço de backup totalmente gerenciado que centraliza e automatiza o backup de dados. Serviços da AWS Se a sua instância de banco de dados não estiver coberta por um plano de backup, você corre o risco de perder dados em caso de exclusão maliciosa, corrupção de dados ou outros cenários de perda de dados. No caso de atividades maliciosas, como ataques de ransomware, exclusão de tabelas de banco de dados ou corrupção, a capacidade de restaurar até um ponto no tempo anterior ao incidente reduz o tempo necessário para se recuperar de um incidente. Seguindo as práticas recomendadas de segurança, sugerimos incluir suas instâncias do Amazon RDS em um plano de backup para garantir a proteção dos dados.

Criação e atribuição de um plano de backup para sua instância de banco de dados

Na descoberta de exposição, abra o recurso com o hiperlink. Isso abrirá a instância de banco de dados afetada. Considere quais regras de frequência de backup, período de retenção e ciclo de vida são melhores para suas aplicações.