Controles de Security Hub para Amazon RDS
Estos controles de AWS Security Hub CSPM evalúan Amazon Relational Database Service (Amazon RDS) y los recursos de Amazon RDS. Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[RDS.1] La instantánea de RDS debe ser privada
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
Categoría: Proteger - Configuración de red segura
Gravedad: crítica
Tipo de recurso: AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
AWS Config Regla de: rds-snapshots-public-prohibited
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las instantáneas de Amazon RDS son públicas. El control falla si las instantáneas de RDS son públicas. Este control evalúa instancias de RDS, instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB.
Las instantáneas de RDS se utilizan para realizar copias de seguridad de los datos de las instancias de RDS en un momento determinado. Se pueden utilizar para restaurar estados anteriores de instancias de RDS.
Una instantánea de RDS no debe ser pública a menos que se quiera. Si comparte una instantánea manual sin cifrar públicamente, estará disponible para todas las cuentas de Cuentas de AWS. Esto puede provocar una exposición no intencionada de los datos de su instancia de RDS.
Tenga en cuenta que si se cambia la configuración para permitir el acceso público, es posible que la regla de AWS Config no pueda detectar el cambio durante un máximo de 12 horas. Hasta que la regla de AWS Config detecte el cambio, la comprobación se superará aunque la configuración infrinja la regla.
Para obtener más información sobre cómo compartir una instantánea de base de datos, consulte Cómo compartir una instantánea de base de datos en la Guía del usuario de Amazon RDS.
Corrección
Para eliminar el acceso público de las instantáneas de RDS, consulte Compartir una instantánea en la Guía del usuario de Amazon RDS. En Visibilidad de las instantáneas de base de datos, elija Privada.
[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, en función de la configuración PubliclyAccessible
Requisitos relacionados: Indicador de referencia de AWS de CIS v5.0.0/2.2.3; Indicador de referencia de AWS de CIS v3.0.0/2.3.3; NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(5), PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4
Categoría: Proteger - Configuración de red segura
Gravedad: crítica
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-instance-public-access-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las instancias de Amazon RDS son accesibles públicamente mediante la evaluación del campo PubliclyAccessible en el elemento de configuración de instancia.
Las instancias de base de datos de Neptune y los clústeres de Amazon DocumentDB no tienen el indicador de PubliclyAccessible y no se pueden evaluar. Sin embargo, este control aún puede generar resultados para estos recursos. Puede suprimir estos resultados.
El valor PubliclyAccessible de la configuración de la instancia de RDS indica si la instancia de base de datos es accesible públicamente. Si la instancia de base de datos se ha configurado con PubliclyAccessible, se trata de una instancia orientada a Internet con un nombre DNS que se puede resolver públicamente y que se resuelve en una dirección IP pública. Cuando la instancia de base de datos no es accesible públicamente, se trata de una instancia interna con un nombre DNS que se resuelve en una dirección IP privada.
A menos que tenga la intención de dar acceso público a su instancia de RDS, la instancia de RDS no debe configurarse con el valor PubliclyAccessible. Si lo hace, podría generar tráfico innecesario a su instancia de base de datos.
Corrección
Para eliminar el acceso público a las instancias de base de datos de RDS, consulte Modificación de una instancia de base de datos de Amazon RDS en la Guía del usuario de Amazon RDS. En Acceso público, elija No.
[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo
Requisitos relacionados: Indicador de referencia de AWS de CIS v5.0.0/2.2.1; Indicador de referencia de AWS de CIS v3.0.0/2.3.1; Indicador de referencia de AWS de CIS v1.4.0/2.3.1; NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Categoría: Proteger > Protección de datos > Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-storage-encrypted
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el cifrado de almacenamiento está habilitado para las instancias de base de datos de Amazon RDS.
Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.
Para obtener una capa adicional de seguridad para la información confidencial en las instancias de base de datos de RDS, debe configurar las instancias de base de datos de RDS de tal manera que se cifren en reposo. Para cifrar las instancias de base de datos de RDS y las instantáneas en reposo, debe habilitar la opción de cifrado para las instancias de base de datos de RDS. Los datos cifrados en reposo incluyen el almacenamiento subyacente de una instancia de base de datos, sus copias de seguridad automatizadas, sus réplicas de lectura y sus instantáneas.
En las instancias de base de datos cifradas de RDS se utiliza el algoritmo de cifrado AES-256 de código estándar para cifrar los datos en el servidor que aloja la instancia de base de datos de RDS. Una vez cifrados los datos, Amazon RDS se encarga de la autenticación de acceso y del descifrado de los datos de forma transparente, con un impacto mínimo en el desempeño. No es necesario modificar las aplicaciones cliente de base de datos para utilizar el cifrado.
El cifrado de Amazon RDS actualmente está disponible para todos los motores de bases de datos y tipos de almacenamiento. El cifrado de Amazon RDS está disponible para la mayoría de las clases de instancias de bases de datos. Para obtener información acerca de las clases de instancia de base de datos que no admiten el cifrado de Amazon RDS, consulte Cifrado de recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
Corrección
Para obtener información sobre el cifrado de instancias de base de datos en Amazon RDS, consulte Cifrar los recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Categoría: Proteger > Protección de datos > Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::RDS::DBClusterSnapshot, AWS::RDS::DBSnapshot
AWS Config Regla de: rds-snapshot-encrypted
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una instantánea de base de datos de RDS está cifrada. El control falla si una instantánea de base de datos de RDS no está cifrada.
Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para instantáneas de instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.
El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. Los datos de las instantáneas de RDS deben cifrarse en reposo para ofrecer un nivel de seguridad adicional.
Corrección
Para cifrar una instantánea de RDS, consulte Cifrar los recursos de Amazon RDS en la Guía del usuario de Amazon RDS. Cuando cifra una instancia de base de datos de RDS, los datos cifrados incluyen el almacenamiento subyacente de la instancia, sus copias de seguridad automatizadas, sus réplicas de lectura y sus instantáneas.
Solo se puede cifrar una instancia de base de datos de RDS al crearla, no después de que se haya creado. Sin embargo, debido a que se puede cifrar una copia de una instantánea de base de datos sin cifrar, en la práctica es posible agregar el cifrado a una instancia de base de datos sin cifrar. Es decir, puede crear una instantánea de una instancia de base de datos y, a continuación, crear una copia cifrada de esa instantánea. A continuación, se puede restaurar una instancia de base de datos a partir de la instantánea cifrada y de este modo, se tiene una copia cifrada de la instancia de base de datos original.
Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad
Requisitos relacionados: Indicador de referencia de AWS de CIS v5.0.0/2.2.4; NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-multi-az-support
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la alta disponibilidad está habilitada para sus instancias de base de datos de RDS. El control lanza un error si una instancia de base de datos de RDS no se configura con varias zonas de disponibilidad (AZ). Este control no se aplica a las instancias de base de datos de RDS que forman parte de una implementación de clúster Multi-AZ.
Al configurar las instancias de base de datos de Amazon RDS con zonas de disponibilidad, garantiza la disponibilidad de los datos almacenados. Las implementaciones en zonas de disponibilidad múltiples permiten la conmutación por error automática si hay algún problema con la disponibilidad de las zonas de disponibilidad y durante el mantenimiento regular del RDS.
Corrección
Para implementar sus instancias de base de datos en varias zonas de disponibilidad, consulte Modificar una instancia de base de datos para convertirla en una implementación de base de datos de varias zonas de disponibilidad en la Guía del usuario de Amazon RDS.
Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]
Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-enhanced-monitoring-enabled
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Número de segundos entre los intervalos de recopilación de métricas de supervisión |
Enum |
|
Sin valor predeterminado |
Este control comprueba si la supervisión mejorada está habilitada para una instancia de base de datos de Amazon Relational Database Service (Amazon RDS). Se produce un error en el control si la supervisión mejorada no está habilitada para la instancia. Si proporciona un valor personalizado para el parámetro monitoringInterval, el control pasa si se recopilan métricas de supervisión mejoradas para la instancia en el intervalo especificado.
En Amazon RDS, la supervisión mejorada permite una respuesta más rápida a los cambios de rendimiento en la infraestructura subyacente. Estos cambios en el rendimiento podrían provocar una falta de disponibilidad de los datos. El monitoreo mejorado proporciona métricas en tiempo real para el sistema operativo en el que se ejecuta la instancia de base de datos de RDS. El agente está instalado en la instancia. El agente puede obtener métricas con mayor precisión de lo que es posible desde la capa del hipervisor.
Las métricas de monitorización mejoradas son útiles cuando desea ver cómo diferentes procesos o subprocesos en una instancia de base de datos usan la CPU. Para obtener más información, consulte Enhanced Monitoring (Supervisión mejorada) en la Guía del usuario de Amazon RDS.
Corrección
Para obtener instrucciones detalladas sobre cómo habilitar la supervisión mejorada para su instancia de base de datos, consulte Configuración y activación de la supervisión mejorada en la Guía del usuario de Amazon RDS.
Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación
Requisitos relacionados: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)
Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos
Gravedad: baja
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regla de: rds-cluster-deletion-protection-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de base de datos RDS tiene habilitada la protección contra eliminación. El control falla si un clúster de base de datos RDS no tiene habilitada la protección contra eliminación.
Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.
Habilitar la protección contra la eliminación de clústeres es un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada.
Cuando la protección de eliminación está habilitada, no se puede eliminar un clúster de base de datos. Para que una solicitud de eliminación se pueda realizar correctamente, la protección contra la eliminación debe estar deshabilitada.
Corrección
Para habilitar la protección contra la eliminación de un clúster de base de datos de RDS, consulte Modificación del clúster de base de datos mediante la consola, la CLI y la API en la Guía del usuario de Amazon RDS. En Protección contra eliminación, elija Habilitar la protección contra eliminación.
Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación
Requisitos relacionados: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos
Gravedad: baja
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-instance-deletion-protection-enabled
Tipo de horario: provocado por un cambio
Parámetros:
-
databaseEngines:mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(no personalizable)
Este control comprueba si las instancias de base de datos de RDS que utilizan uno de los motores de bases de datos de la lista tienen habilitada la protección contra la eliminación. El control falla si una instancia de base de datos RDS no tiene habilitada la protección contra eliminación.
La activación de la protección contra la eliminación de instancias es un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada.
Mientras la protección contra la eliminación está habilitada, no se puede eliminar una instancia de base de datos de RDS. Para que una solicitud de eliminación se pueda realizar correctamente, la protección contra la eliminación debe estar deshabilitada.
Corrección
Para habilitar la protección contra la eliminación de una instancia de base de datos de RDS, consulte Modificación de una instancia de base de datos de Amazon RDS en la Guía del usuario de Amazon RDS. En Protección contra eliminación, elija Habilitar la protección contra eliminación.
[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Registros de CloudWatch
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.2.1
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una instancia de base de datos de Amazon RDS está configurada para publicar los siguientes registros en Registros de Amazon CloudWatch. Se produce un error en el control si la instancia no está configurada para publicar los siguientes registros en Registros de CloudWatch:
-
Oracle: Alert, Audit, Trace, Listener
-
PostgreSQL: Postgresql, Upgrade
-
MySQL: Audit, Error, General, SlowQuery
-
MariaDB: Audit, Error, General, SlowQuery
-
SQL Server: Error, Agent
-
Aurora: Audit, Error, General, SlowQuery
-
Aurora-MySQL: Audit, Error, General, SlowQuery
-
Aurora-PostgreSQL: Postgresql
Las bases de datos de RDS deben tener habilitados los registros relevantes. El registro de la base de datos proporciona registros detallados de las solicitudes realizadas a RDS. Los registros de las bases de datos pueden ayudar con las auditorías de seguridad y acceso y pueden ayudar a diagnosticar problemas de disponibilidad.
Corrección
Para obtener información sobre cómo publicar los registros de bases de datos de RDS en Registros de CloudWatch, consulte Especificación de los registros que se publicarán en Registros de CloudWatch en la Guía del usuario de Amazon RDS.
La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS
Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6
Categoría: Proteger > Gestión del acceso seguro > Autenticación sin contraseña
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-instance-iam-authentication-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una instancia de base de datos de RDS tiene habilitada la autenticación de bases de datos de IAM. El control falla si la autenticación de IAM no está configurada para las instancias de base de datos de RDS. Este control solo evalúa las instancias de RDS con los siguientes tipos de motor: mysql, postgres, aurora, aurora-mysql, aurora-postgresql y mariadb. Una instancia de RDS también debe estar en uno de los siguientes estados para que se genere un resultado: available, backing-up, storage-optimization o storage-full.
La autenticación de bases de datos de IAM permite autenticar las instancias de bases de datos con un token de autenticación en lugar de una contraseña. El tráfico de red hacia y desde la base de datos se cifra mediante SSL. Para obtener más información, consulte Autenticación de bases de datos de IAM en la Guía del usuario de Amazon Aurora.
Corrección
Para activar la autenticación de bases de datos de IAM en una instancia de base de datos de RDS, consulte Habilitar y deshabilitar la autenticación de bases de datos de IAM en la Guía del usuario de Amazon RDS.
Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Respaldos habilitados
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: db-instance-backup-enabled
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
El periodo mínimo de retención de copias de seguridad en días |
Entero |
|
|
|
|
Comprueba si las instancias de base de datos de RDS tienen habilitadas las copias de seguridad para las réplicas de lectura |
Booleano |
No personalizable |
|
Este control comprueba si la instancia de Amazon Relational Database Service tiene habilitadas las copias de seguridad automáticas y si el periodo de retención de las copias de seguridad es superior o igual al periodo especificado. Las réplicas de lectura se excluyen de la evaluación. Se produce un error en el control si las copias de seguridad no están habilitadas para la instancia o si el periodo de retención es inferior al periodo especificado. A menos que se proporcione un valor personalizado de parámetro para el periodo de retención de copia de seguridad, Security Hub utiliza un valor predeterminado de 7 días.
Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad y refuerzan la resiliencia de sus sistemas. Amazon RDS permite configurar instantáneas diarias del volumen de instancias completo. Para más información sobre las copias de seguridad automatizadas de Amazon RDS, consulte Trabajo con copias de seguridad en la Guía del usuario de Amazon RDS.
Corrección
Para habilitar copias de seguridad automatizadas para una instancia de base de datos de RDS, consulte Habilitación de copias de seguridad automatizadas en Guía del usuario de Amazon RDS.
La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS
Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6
Categoría: Proteger > Gestión del acceso seguro > Autenticación sin contraseña
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regla de: rds-cluster-iam-authentication-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de base de datos de Amazon RDS tiene habilitada la autenticación de bases de datos de IAM.
La autenticación de bases de datos de IAM permite autenticar las instancias de bases de datos sin contraseña. La autenticación usa un token de autenticación. El tráfico de red hacia y desde la base de datos se cifra mediante SSL. Para obtener más información, consulte Autenticación de bases de datos de IAM en la Guía del usuario de Amazon Aurora.
Corrección
Para habilitar la autenticación de IAM para un clúster de base de datos, consulte Habilitar y deshabilitar la autenticación de bases de datos de IAM en la Guía del usuario de Amazon Aurora.
Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas
Requisitos relacionados: Indicador de referencia de AWS de CIS v5.0.0/2.2.2; Indicador de referencia de AWS de CIS v3.0.0/2.3.2; NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3
Categoría: Identificar > Administración de vulnerabilidades, parches y versiones
Gravedad: alta
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-automatic-minor-version-upgrade-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las actualizaciones automáticas de las versiones secundarias están habilitadas para la instancia de base de datos de RDS.
Las actualizaciones automáticas de versiones secundarias actualizan periódicamente la base de datos a versiones recientes del motor. Sin embargo, es posible que la actualización no siempre incluya la versión más reciente del motor de base de datos. Si necesita mantener las bases de datos en versiones específicas en momentos determinados, le recomendamos que las actualice manualmente a las versiones de base de datos que necesite según el calendario requerido. En casos de problemas críticos de seguridad o cuando una versión alcanza su fecha de fin de soporte, Amazon RDS podría aplicar una actualización de versión secundaria incluso si no habilitó la opción Actualización automática de versión secundaria. Para obtener más información, consulte la documentación de actualización de Amazon RDS correspondiente al motor de base de datos:
Corrección
Para habilitar las actualizaciones automáticas de las versiones secundarias de una instancia de base de datos existente, consulte Modificación de una instancia de base de datos de Amazon RDS en la Guía del usuario de Amazon RDS. Para la actualización automática de una versión secundaria, seleccione Sí.
Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Respaldos habilitados
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regla de: aurora-mysql-backtracking-enabled
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Número de horas necesarias para hacer búsquedas de datos anteriores en un clúster Aurora MySQL |
Doble |
|
Sin valor predeterminado |
Este control comprueba si un clúster de Amazon Aurora tiene habilitada la característica de búsqueda de datos anteriores. Se produce un error en el control si el clúster no tiene habilitada la búsqueda de datos anteriores. Si proporciona un valor personalizado para el parámetro BacktrackWindowInHours, el control solo pasa si la búsqueda de datos anteriores en el clúster se hace durante el periodo especificado.
Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La búsqueda de datos anteriores de Aurora reduce el tiempo de recuperación de una base de datos en un punto en el tiempo. Para ello, no es necesario restaurar la base de datos.
Corrección
Para habilitar la búsqueda de datos anteriores de Aurora, consulte Configuración de la búsqueda de datos anteriores en la Guía del usuario de Amazon Aurora.
Tenga en cuenta que no puede habilitar la búsqueda de datos anteriores en un clúster existente. En su lugar, puede crear un clon que tenga habilitado la búsqueda de datos anteriores. Para obtener más información sobre las limitaciones del búsqueda de datos anteriores de Aurora, consulte la lista de limitaciones en Descripción general de búsqueda de datos anteriores.
Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad
Requisitos relacionados: Indicador de referencia de AWS de CIS v5.0.0/2.2.4; NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regla de: rds-cluster-multi-az-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la alta disponibilidad está habilitada para sus clústeres de base de datos de RDS. El control falla si un clúster de base de datos de RDS no se implementa en varias zonas de disponibilidad (AZ).
Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad a fin de garantizar la disponibilidad de los datos almacenados. La implementación en varias zonas de disponibilidad permite la conmutación por error automática en caso de que se produzca un problema de disponibilidad de las zonas de disponibilidad y durante los eventos de mantenimiento habituales del RDS.
Corrección
Para implementar sus clústeres de base de datos en varias zonas de disponibilidad, consulte Modificar una instancia de base de datos para convertirla en una implementación de base de datos de varias zonas de disponibilidad en la Guía del usuario de Amazon RDS.
Los pasos de solución son diferentes para las bases de datos globales de Aurora. Para configurar varias zonas de disponibilidad para una base de datos global de Aurora, seleccione su clúster de base de datos. A continuación, elija Acciones y Añadir lector y especifique varias zonas de disponibilidad (AZ). Para obtener más información, consulte Agregar réplicas Aurora a un clúster de base de datos en la Guía del usuario de Amazon Aurora.
[RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)
Categoría: Identificar - Inventario
Gravedad: baja
Tipo de recurso: AWS::RDS::DBCluster
Regla de AWS Config: rds-cluster-copy-tags-to-snapshots-enabled (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control verifica si un clúster de bases de datos de Amazon Aurora está configurado para copiar automáticamente las etiquetas en las instantáneas del clúster cuando dichas instantáneas se crean. El control falla si el clúster de bases de datos Aurora no está configurado para copiar automáticamente las etiquetas en las instantáneas del clúster cuando estas se crean.
La identificación y el inventario de sus activos de TI es un aspecto fundamental de seguridad y control. Debe tener visibilidad de todos los clústeres de bases de datos de Amazon Aurora para evaluar su postura de seguridad y tomar medidas ante posibles áreas de debilidad. Las instantáneas de bases de datos Aurora deben tener las mismas etiquetas que sus clústeres de bases de datos de origen. En Amazon Aurora, puede configurar un clúster de bases de datos para copiar automáticamente todas las etiquetas del clúster en sus instantáneas. Al habilitar este ajuste, las instantáneas de bases de datos heredan las mismas etiquetas que sus clústeres de origen.
Corrección
Para obtener información sobre cómo configurar un clúster de bases de datos de Amazon Aurora para copiar automáticamente las etiquetas en las instantáneas de bases de datos, consulte Modificación de un clúster de bases de datos de Amazon Aurora en la Guía del usuario de Amazon Aurora.
Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)
Categoría: Identificar - Inventario
Gravedad: baja
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config: rds-instance-copy-tags-to-snapshots-enabled (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las instancias de base de datos de RDS están configuradas para copiar todas las etiquetas a las instantáneas cuando se crean las instantáneas.
La identificación y el inventario de sus activos de TI es un aspecto fundamental de seguridad y control. Tiene que tener una visión de todas sus instancias de base de datos de RDS para que pueda evaluar sus posiciones de seguridad y tomar así las acciones pertinentes respecto a las posibles áreas débiles. Las instantáneas se deben etiquetar de la misma manera que las instancias de base de datos RDS principales. Al habilitar esta configuración, se garantiza que las instantáneas hereden las etiquetas de sus instancias de base de datos principales.
Corrección
Para copiar automáticamente las etiquetas en las instantáneas de una instancia de base de datos de RDS, consulte Modificación de una instancia de base de datos de Amazon RDS en la Guía del usuario de Amazon RDS. Seleccione Copiar etiquetas en instantáneas
Las instancias de RDS [RDS.18] deben implementarse en una VPC
Categoría: Proteger > Configuración de red segura > Recursos dentro de VPC
Gravedad: alta
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config: rds-deployed-in-vpc (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una instancia de Amazon RDS está implementada en una VPC de EC2.
Las VPC proporcionan una serie de controles de red para proteger el acceso a los recursos de RDS. Estos controles incluyen puntos de enlace de VPC, ACL de red y grupos de seguridad. Para aprovechar estos controles, le recomendamos que cree las instancias de RDS en una VPC de EC2.
Corrección
Para obtener instrucciones sobre cómo mover instancias de RDS a una VPC, consulte Actualización de la VPC de una instancia de base de datos en la Guía del usuario de Amazon RDS.
Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos
Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones
Gravedad: baja
Tipo de recurso: AWS::RDS::EventSubscription
Regla de AWS Config: rds-cluster-event-notifications-configured (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una suscripción a eventos de Amazon RDS existente para clústeres de base de datos tiene habilitadas notificaciones para los siguientes pares clave-valor de tipo de origen y categoría de evento:
DBCluster: ["maintenance","failure"]
El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.
Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte Uso de las notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.
Corrección
Para suscribirse a las notificaciones de eventos del clúster de RDS, consulte Suscribirse a las notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS. Use los siguientes valores:
| Campo | Valor |
|---|---|
|
Tipo de origen |
Clústeres |
|
Clústeres que se van a incluir |
Todos los clústeres |
|
Categorías de eventos a incluir |
Seleccione categorías de eventos específicas o Todas las categorías de eventos |
Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos
Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2
Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones
Gravedad: baja
Tipo de recurso: AWS::RDS::EventSubscription
Regla de AWS Config: rds-instance-event-notifications-configured (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una suscripción a eventos de Amazon RDS existente para instancias de base de datos tiene habilitadas notificaciones para los siguientes pares clave-valor de tipo de origen y categoría de evento:
DBInstance: ["maintenance","configuration change","failure"]
El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.
Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte Uso de las notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.
Corrección
Para suscribirse a las notificaciones de eventos de instancias de RDS, consulte Suscribirse a las notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS. Use los siguientes valores:
| Campo | Valor |
|---|---|
|
Tipo de origen |
instancias |
|
Instancias que se van a incluir |
Todas las instancias |
|
Categorías de eventos a incluir |
Seleccione categorías de eventos específicas o Todas las categorías de eventos |
Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos
Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2
Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones
Gravedad: baja
Tipo de recurso: AWS::RDS::EventSubscription
Regla de AWS Config: rds-pg-event-notifications-configured (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si existe una suscripción a eventos de Amazon RDS con notificaciones habilitadas para los siguientes pares clave-valor de tipo de fuente y categoría de evento. El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.
DBParameterGroup: ["configuration change"]
Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte Uso de las notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.
Corrección
Para suscribirse a las notificaciones de eventos del grupo de parámetros de la base de datos de RDS, consulte Suscripción a la notificación de eventos de Amazon RDS en la Guía del usuario de Amazon RDS. Use los siguientes valores:
| Campo | Valor |
|---|---|
|
Tipo de origen |
Grupos de parámetros |
|
Grupos de parámetros que se van a incluir |
Todos los grupos de parámetros |
|
Categorías de eventos a incluir |
Seleccione categorías de eventos específicas o Todas las categorías de eventos |
Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos
Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2
Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones
Gravedad: baja
Tipo de recurso: AWS::RDS::EventSubscription
Regla de AWS Config: rds-sg-event-notifications-configured (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si existe una suscripción a eventos de Amazon RDS con notificaciones habilitadas para los siguientes pares clave-valor de tipo de fuente y categoría de evento. El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.
DBSecurityGroup: ["configuration change","failure"]
Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte Uso de las notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS.
Corrección
Para suscribirse a las notificaciones de eventos de instancias de RDS, consulte Suscribirse a las notificaciones de eventos de Amazon RDS en la Guía del usuario de Amazon RDS. Use los siguientes valores:
| Campo | Valor |
|---|---|
|
Tipo de origen |
Grupos de seguridad |
|
Grupos de seguridad que se van a incluir |
Todos los grupos de seguridad |
|
Categorías de eventos a incluir |
Seleccione categorías de eventos específicas o Todas las categorías de eventos |
Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(5)
Categoría: Proteger - Configuración de red segura
Gravedad: baja
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config: rds-no-default-ports (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster o instancia de RDS utiliza un puerto distinto del puerto predeterminado del motor de base de datos. El control falla si el clúster o la instancia de RDS utilizan el puerto predeterminado. Este control no se aplica a las instancias de RDS que forman parte de un clúster.
Si utiliza un puerto conocido para implementar un clúster o una instancia de RDS, un atacante puede adivinar la información sobre el clúster o la instancia. El atacante puede usar esta información junto con otra información para conectarse a un clúster o instancia de RDS u obtener información adicional sobre la aplicación.
Al cambiar el puerto, también debe actualizar las cadenas de conexión existentes que se utilizaron para conectarse al puerto anterior. También debe comprobar el grupo de seguridad de la instancia de base de datos para asegurarse de que incluye una regla de entrada que permita la conectividad en el nuevo puerto.
Corrección
Para modificar el puerto predeterminado de una instancia de base de datos de RDS existente, consulte Modificación de una instancia de base de datos de Amazon RDS en la Guía del usuario de Amazon RDS. Para modificar el puerto predeterminado de un clúster de base de datos de RDS existente, consulte Modificación del clúster de base de datos mediante la consola, la CLI y la API en la Guía del usuario de Amazon Aurora. Para el Puerto de base de datos, cambie el valor del puerto por un valor que no sea el predeterminado.
Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2
Categoría: Identificar > Configuración de recursos
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regla de: rds-cluster-default-admin-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de base de datos de Amazon RDS ha cambiado el nombre de usuario de administrador con respecto a su valor predeterminado. El control no se aplica a los motores del tipo neptune (Neptune DB) o docdb (DocumentDB). Esta regla fallará si el nombre de usuario del administrador está establecido en el valor predeterminado.
Al crear una base de datos de Amazon RDS, debe cambiar el nombre de usuario de administrador predeterminado por un valor único. Los nombres de usuario predeterminados son de dominio público y deben cambiarse durante la creación de la base de datos de RDS. Cambiar los nombres de usuario predeterminados reduce el riesgo de accesos no deseados.
Corrección
Para cambiar el nombre de usuario de administrador asociado al clúster de base de datos de Amazon RDS, cree un nuevo clúster de base de datos de RDS y cambie el nombre de usuario de administrador predeterminado al crear la base de datos.
Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2
Categoría: Identificar > Configuración de recursos
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-instance-default-admin-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si ha cambiado el nombre de usuario administrativo de las instancias de base de datos de Amazon Relational Database Service (Amazon RDS) con respecto al valor predeterminado. El control falla si el nombre de usuario administrativo está establecido en el valor predeterminado. El control no se aplica a motores del tipo Neptune (Neptune-DB) o DocDB (DocumentDB), ni a las instancias de RDS que forman parte de un clúster.
Los nombres de usuario administrativos predeterminados en las bases de datos de Amazon RDS son de dominio público. Al crear una base de datos de Amazon RDS, debe cambiar el nombre de usuario administrativo predeterminado por un valor único para reducir el riesgo de accesos no deseados.
Corrección
Para cambiar el nombre de usuario administrativo asociado a una instancia de base de datos de RDS, cree primero una nueva instancia de base de datos de RDS. Cambie el nombre de usuario administrativo predeterminado al crear la base de datos.
Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad
Categoría: Recuperación > Resiliencia > Respaldos habilitados
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-resources-protected-by-backup-plan
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
El control produce un resultado |
Booleano |
|
Sin valor predeterminado |
Este control evalúa si las instancias de base de datos de Amazon RDS están cubiertas por un plan de copias de seguridad. Se produce un error en este control si la instancia de base de datos de RDS no está cubierta por un plan de copias de seguridad. Si se establece el parámetro backupVaultLockCheck en un valor igual a true, el control solo pasa si la copia de seguridad de la instancia se encuentra en un almacén bloqueado de AWS Backup.
nota
Este control no evalúa las instancias de Neptune ni las de DocumentDB. Tampoco evalúa las instancias de bases de datos de RDS que son miembros de un clúster.
AWS Backup es un servicio de copia de seguridad completamente administrado que centraliza y automatiza las copias de seguridad de datos en Servicios de AWS. Con AWS Backup, puede crear políticas de copia de seguridad denominadas planes de copia de seguridad. Puede utilizar estos planes para definir los requisitos de copia de seguridad, como la frecuencia con la que se va a realizar la copia de seguridad de los datos y el tiempo durante el que se van a conservar esas copias de seguridad. La inclusión de instancias de base de datos de RDS en un plan de copias de seguridad le ayuda a proteger sus datos contra pérdidas o eliminaciones involuntarias.
Corrección
Para añadir una instancia de base de datos de RDS a un plan de copias de seguridad de AWS Backup, consulte Asignación de recursos a un plan de copias de seguridad en la Guía para desarrolladores de AWS Backup.
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Categoría: Proteger > Protección de datos > Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regla de: rds-cluster-encrypted-at-rest
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de base de datos de RDS está cifrado en reposo. El control falla si un clúster de base de datos de RDS no está cifrado en reposo.
Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado pueda acceder a ellos. El cifrado de los clústeres de bases de datos de RDS protege sus datos y metadatos contra el acceso no autorizado. También cumple con los requisitos de conformidad para el cifrado de datos en reposo de los sistemas de archivos de producción.
Corrección
Puede habilitar el cifrado en reposo al crear un clúster de base de datos de RDS. No se puede cambiar la configuración de cifrado después de crear un clúster. Para obtener más información, consulte Cifrado de un clúster de base de datos de Amazon Aurora en la Guía del usuario de Amazon Aurora.
[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::RDS::DBCluster
Regla de AWS Config: tagged-rds-dbcluster (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. | Sin valor predeterminado |
Este control comprueba si un clúster de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si el clúster de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el clúster de base de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un clúster de base de datos de RDS, consulte Etiquetado de los recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::RDS::DBClusterSnapshot
Regla de AWS Config: tagged-rds-dbclustersnapshot (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. | Sin valor predeterminado |
Este control comprueba si una instantánea de clúster de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si la instantánea de clúster de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instantánea de clúster de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a la instantánea de clúster de base de datos de RDS, consulte Etiquetado de los recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::RDS::DBInstance
Regla de AWS Config: tagged-rds-dbinstance (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. | Sin valor predeterminado |
Este control comprueba si una instancia de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si la instancia de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instancia de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a una instancia de base de datos de RDS, consulte Etiquetado de los recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::RDS::DBSecurityGroup
Regla de AWS Config: tagged-rds-dbsecuritygroup (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. | Sin valor predeterminado |
Este control comprueba si un grupo de seguridad de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si el grupo de seguridad de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de seguridad de base de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un grupo de seguridad de base de datos de RDS, consulte Etiquetado de los recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::RDS::DBSnapshot
Regla de AWS Config: tagged-rds-dbsnapshot (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. | Sin valor predeterminado |
Este control comprueba si una instantánea de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si la instantánea de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instantánea de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar una instantánea de base de datos de RDS, consulte Etiquetado de los recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::RDS::DBSubnetGroup
Regla de AWS Config: tagged-rds-dbsubnetgroups (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. | Sin valor predeterminado |
Este control comprueba si un grupo de subredes de bases de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control lanza un error si el grupo de subredes de bases de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de subredes de bases de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un grupo de subredes de bases de datos de RDS, consulte Etiquetado de los recursos de Amazon RDS en la Guía del usuario de Amazon RDS.
Los clústeres de base de datos Aurora MySQL [RDS.34] deben publicar registros de auditoría en CloudWatch Logs
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.2.1
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regla de: rds-aurora-mysql-audit-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de base de datos Amazon Aurora MySQL publica registros de auditoría en Registros de Amazon CloudWatch. Se produce un error en el control si el clúster no publica registros de auditoría en Registros de CloudWatch. El control no genera resultados para los clústeres de base de datos Aurora sin servidor v1.
Los registros de auditoría recopilan un registro de la actividad de la base de datos, incluidos los intentos de inicio de sesión, las modificaciones de datos, los cambios de esquema y otros eventos que se pueden auditar por motivos de seguridad y conformidad. Cuando configura un clúster de base de datos Aurora MySQL para publicar registro de auditoría en un grupo de registro en Registros de Amazon CloudWatch, puede realizar análisis en tiempo real de los datos de registro. CloudWatch Logs conserva los registros en un almacenamiento de alta duración. También puede crear alarmas y visualizar métricas en CloudWatch.
nota
Una forma alternativa de publicar los registros de auditoría en CloudWatch Logs consiste en habilitar la auditoría avanzada y configurar el parámetro de base de datos nivel de clúster server_audit_logs_upload en 1 El valor predeterminado de server_audit_logs_upload parameter es 0. Sin embargo, le recomendamos que utilice las siguientes instrucciones de corrección para pasar este control.
Corrección
Para publicar los registros de auditoría del clúster de base de datos Registros de CloudWatch, consulte Publicar registros de Amazon Aurora MySQL en Registros de Amazon CloudWatch en la Guía del usuario de Amazon Aurora.
Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias
Requisitos relacionados: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3
Categoría: Identificar > Administración de vulnerabilidades, parches y versiones
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regla de: rds-cluster-auto-minor-version-upgrade-enable
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la actualización automática de la versión secundaria está habilitada para un clúster de base de datos de Amazon RDS Multi-AZ. El control lanza un error si la actualización automática de la versión secundaria no está habilitada para un clúster de base de datos en varias zonas de disponibilidad.
RDS proporciona la actualización automática de las versiones secundarias para que pueda mantener actualizado el clúster de base de datos en varias zonas de disponibilidad. Las versiones secundarias pueden introducir nuevas funciones de software, correcciones de errores, parches de seguridad y mejoras de rendimiento. Al habilitar la actualización automática de las versiones secundarias en los clústeres de bases de datos de RDS, el clúster, junto con las instancias del clúster, recibirá actualizaciones automáticas de la versión secundaria cuando haya nuevas versiones disponibles. Las actualizaciones se aplican automáticamente durante el período de mantenimiento.
Corrección
Para habilitar la actualización automática de las versiones secundarias en clústeres de bases de datos en varias zonas de disponibilidad, consulte Modificación de un clúster de base de datos Multi-AZ en la Guía del usuario de Amazon RDS.
[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar los registros en Registros de CloudWatch
Requisitos relacionados: PCI DSS v4.0.1/10.4.2
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-postgresql-logs-to-cloudwatch
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Lista separada por comas de los tipos de registro que se van a publicar en Registros de CloudWatch |
StringList |
No personalizable |
|
Este control comprueba si una instancia de base de datos de Amazon RDS para PostgreSQL está configurada para publicar los registros en Registros de Amazon CloudWatch. El control lanza un error si la instancia de base de datos de PostgreSQL no está configurada para publicar los tipos de registros que se mencionan en el parámetro logTypes en los Registros de CloudWatch.
El registro de base de datos proporciona detalles sobre las solicitudes realizadas a una instancia de RDS. PostgreSQL genera registros de eventos que contienen información útil para los administradores. La publicación de estos registros en Registros de CloudWatch centraliza la administración de registros y lo ayuda a realizar análisis en tiempo real de los datos de registro. CloudWatch Logs conserva los registros en un almacenamiento de alta duración. También puede crear alarmas y visualizar métricas en CloudWatch.
Corrección
Para publicar registros de instancias de bases de datos PostgreSQL en Registros de CloudWatch, consulte Publicación de registros de PostgreSQL en Registros de Amazon CloudWatch en la Guía del usuario de Amazon RDS.
[RDS.37] Los clústeres de base de datos Aurora PostgreSQL deben publicar registros en Registros de CloudWatch
Requisitos relacionados: PCI DSS v4.0.1/10.4.2
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regla de: rds-aurora-postgresql-logs-to-cloudwatch
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de base de datos de Amazon Aurora PostgreSQL está configurado para publicar registros en Registros de Amazon CloudWatch. El control lanza un error si el clúster de base de datos Aurora PostgreSQL no publica registros de PostgreSQL en Registros de CloudWatch.
El registro de base de datos proporciona detalles sobre las solicitudes realizadas a un clúster de RDS. Aurora PostgreSQL genera registros de eventos que contienen información útil para los administradores. La publicación de estos registros en Registros de CloudWatch centraliza la administración de registros y lo ayuda a realizar análisis en tiempo real de los datos de registro. CloudWatch Logs conserva los registros en un almacenamiento de alta duración. También puede crear alarmas y visualizar métricas en CloudWatch.
Corrección
Para publicar registros de clústeres de bases de datos Aurora PostgreSQL en Registros de CloudWatch, consulte Publicación de registros de Aurora PostgreSQL en Registros de Amazon CloudWatch en la Guía del usuario de Amazon RDS.
[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-postgres-instance-encrypted-in-transit
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si una conexión a una instancia de base de datos de Amazon RDS for PostgreSQL está cifrada en tránsito. El control falla si el parámetro rds.force_ssl, correspondiente al grupo de parámetros asociado con la instancia, está configurado en 0 (desactivado). Este control no evalúa las instancias de bases de datos de RDS que forman parte de un clúster de bases de datos.
Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.
Corrección
Para exigir que todas las conexiones a la instancia de base de datos RDS para PostgreSQL usen SSL, consulte Uso de SSL con una instancia de base de datos PostgreSQL en la Guía del usuario de Amazon RDS.
[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-mysql-instance-encrypted-in-transit
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si una conexión a una instancia de base de datos de Amazon RDS for MySQL está cifrada en tránsito. El control falla si el parámetro rds.require_secure_transport, correspondiente al grupo de parámetros asociado con la instancia, está configurado en 0 (desactivado). Este control no evalúa las instancias de bases de datos de RDS que forman parte de un clúster de bases de datos.
Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.
Corrección
Para exigir que todas las conexiones a la instancia de base de datos de RDS para MySQL usen SSL, consulte Compatibilidad con SSL/TLS para instancias de bases de datos MySQL en Amazon RDS en la Guía del usuario de Amazon RDS.
[RDS.40] Las instancias de bases de datos de RDS para SQL Server deben publicar registros en Registros de CloudWatch.
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-sql-server-logs-to-cloudwatch
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Una lista de los tipos de registros que una instancia de base de datos de RDS para SQL Server debe publicar en Registros CloudWatch. Este control falla si una instancia de base de datos no está configurada para publicar un tipo de registro especificado en la lista. |
EnumList (máximo de 2 elementos) |
|
|
Este control verifica si una instancia de base de datos de Amazon RDS para Microsoft SQL Server está configurada para publicar registros en Registros de Amazon CloudWatch. El control falla si el RDS para SQL Server no está configurado para publicar registros en Registros de CloudWatch. Puede indicar, si así lo desea, los tipos de registros que la instancia de base de datos debe publicar.
El registro de base de datos proporciona registros detallados de las solicitudes hechas a una instancia de base de datos de Amazon RDS. Publicar registros en Registros de CloudWatch centraliza la administración de registros y ayuda a realizar análisis en tiempo real de los datos de registro. CloudWatch Logs conserva los registros en un almacenamiento de alta duración. Además, esta capacidad permite configurar alarmas para errores que puedan presentarse, como reinicios frecuentes registrados en el registro de errores. Del mismo modo, puede configurar alarmas para errores o advertencias registrados en los registros del agente de SQL Server relacionados con trabajos del agente de SQL.
Corrección
Para obtener información sobre cómo publicar registros en Registros de Amazon CloudWatch para una instancia de base de datos de RDS para SQL Server, consulte la Archivos de registro de bases de datos de Amazon RDS para Microsoft SQL Server en la Guía del usuario de Amazon Relational Database Service.
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-sqlserver-encrypted-in-transit
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si la conexión a una instancia de base de datos de Amazon RDS para Microsoft SQL Server está cifrada en tránsito. El control falla si el parámetro rds.force_ssl del grupo de parámetros asociado con la instancia está configurado en 0
(off).
Los datos en tránsito corresponden a datos que se desplazan de un lugar a otro, por ejemplo, entre nodos dentro de un clúster de bases de datos o entre un clúster de base de datos y una aplicación cliente. Los datos se pueden trasladar por Internet o dentro de una red privada. Cifrar los datos en tránsito reduce el riesgo de que usuarios no autorizados intercepten el tráfico de red.
Corrección
Para obtener información sobre cómo habilitar SSL/TLS para conexiones a instancias de base de datos de Amazon RDS que ejecutan Microsoft SQL Server, consulte Uso de SSL con una instancia de base de datos de Microsoft SQL Server en la Guía del usuario de Amazon Relational Database Service.
[RDS.42] Las instancias de bases de datos de RDS para MariaDB deben publicar registros en Registros de CloudWatch
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: mariadb-publish-logs-to-cloudwatch-logs
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
La lista describe los tipos de registros que una instancia de base de datos de MariaDB debe publicar en Registros de CloudWatch. El control genera un resultado |
EnumList (máximo de 4 elementos) |
|
|
Este control verifica si una instancia de base de datos de Amazon RDS para MariaDB está configurada para publicar ciertos tipos de registros en Registros de Amazon CloudWatch. El control falla si la instancia de MariaDB no está configurada para publicar los registros en Registros de Amazon CloudWatch. Puede indicar, si así lo desea, los tipos de registros que la instancia de MariaDB debe publicar.
El registro de base de datos proporciona información detallada sobre las solicitudes realizadas a una instancia de Amazon RDS para MariaDB. Publicar registros en Registros de Amazon CloudWatch centraliza la administración de registros y permite realizar análisis en tiempo real de los datos de registro. Además, Registros de Amazon CloudWatch retiene los registros en almacenamiento duradero, lo que respalda las revisiones y auditorías de seguridad, acceso y disponibilidad. Con Registros de Amazon CloudWatch, también puede crear alarmas y revisar métricas.
Corrección
Para obtener información sobre cómo configurar una instancia de base de datos de Amazon RDS para MariaDB para publicar registros en Registros de Amazon CloudWatch, consulte la Publicación de registros de MariaDB en Registros de Amazon CloudWatch en la Guía del usuario de Amazon Relational Database Service.
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::RDS::DBProxy
AWS Config Regla de: rds-proxy-tls-encryption
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si un proxy de bases de datos de Amazon RDS exige TLS para todas las conexiones entre el proxy y la instancia de base de datos de RDS subyacente. El control falla si el proxy no exige TLS para todas las conexiones entre el proxy y la instancia de base de datos de RDS.
Amazon RDS Proxy puede actuar como una capa adicional de seguridad entre las aplicaciones cliente y las instancias de bases de datos de RDS subyacentes. Por ejemplo, se puede conectar a un proxy de RDS con TLS 1.3, incluso si la instancia de base de datos subyacente solo admite una versión anterior de TLS. Al utilizar RDS Proxy, puede imponer requisitos estrictos de autenticación para las aplicaciones de base de datos.
Corrección
Para obtener información sobre cómo modificar la configuración de un proxy de Amazon RDS para exigir TLS, consulte la Modificación de un proxy de RDS en la Guía del usuario de Amazon Relational Database Service.
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-mariadb-instance-encrypted-in-transit
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si las conexiones a una instancia de base de datos de Amazon RDS para MariaDB están cifradas en tránsito. El control falla si el grupo de parámetros de base de datos asociado con la instancia de base de datos no está sincronizado o si el parámetro require_secure_transport del grupo de parámetros no está configurado en ON.
nota
Este control no evalúa instancias de bases de datos de Amazon RDS que utilizan versiones de MariaDB anteriores a la versión 10.5. El parámetro require_secure_transport se admite únicamente para versiones de MariaDB 10.5 y posteriores.
Los datos en tránsito corresponden a datos que se desplazan de un lugar a otro, por ejemplo, entre nodos dentro de un clúster de bases de datos o entre un clúster de base de datos y una aplicación cliente. Los datos se pueden trasladar por Internet o dentro de una red privada. Cifrar los datos en tránsito reduce el riesgo de que usuarios no autorizados intercepten el tráfico de red.
Corrección
Para obtener información sobre cómo habilitar SSL/TLS para las conexiones a una instancia de base de datos de Amazon RDS para MariaDB, consulte la Requisito de SSL/TLS para todas las conexiones a una instancia de base de datos de MariaDB en la Guía del usuario de Amazon Relational Database Service.
[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regla de: aurora-mysql-cluster-audit-logging
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si un clúster de bases de datos de Amazon Aurora MySQL tiene habilitado el registro de auditoría. El control falla si el grupo de parámetros de base de datos asociado al clúster de base de datos no está sincronizado, si el parámetro server_audit_logging no está configurado en 1 o si el parámetro server_audit_events está configurado en un valor vacío.
Los registros de bases de datos pueden ayudar con auditorías de seguridad y acceso, y contribuir al diagnóstico de problemas de disponibilidad. Los registros de auditoría recopilan un registro de la actividad de la base de datos, incluidos los intentos de inicio de sesión, las modificaciones de datos, los cambios de esquema y otros eventos que se pueden auditar por motivos de seguridad y conformidad.
Corrección
Para obtener información sobre cómo habilitar el registro para un clúster de bases de datos de Amazon Aurora MySQL, consulte la Publicación de registros de Aurora MySQL en Registros de Amazon CloudWatch en la Guía del usuario de Amazon Aurora.
[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet
Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente
Gravedad: alta
Tipo de recurso: AWS::RDS::DBInstance
AWS Config Regla de: rds-instance-subnet-igw-check
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si una instancia de base de datos de Amazon RDS está implementada en una subred pública que tiene una ruta hacia una puerta de enlace de Internet. El control falla si la instancia de base de datos de RDS está implementada en una subred que tiene una ruta hacia una puerta de enlace de Internet y el destino está configurado en 0.0.0.0/0 o ::/0.
Al aprovisionar los recursos de Amazon RDS en subredes privadas, puede evitar que los recursos de RDS reciban tráfico entrante desde Internet pública, lo cual puede prevenir accesos no intencionados a las instancias de bases de datos de RDS. Si los recursos de RDS se aprovisionan en una subred pública que está abierta a Internet, estos podrían ser vulnerables a riesgos como la filtración de datos.
Corrección
Para obtener información sobre cómo aprovisionar una subred privada para una instancia de base de datos de Amazon RDS, consulte la Uso de una instancia de base de datos en una VPC en la Guía del usuario de Amazon Relational Database Service.
[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regla de: rds-pgsql-cluster-copy-tags-to-snapshot-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control verifica si un clúster de bases de datos de Amazon RDS para PostgreSQL está configurado para copiar etiquetas automáticamente en las instantáneas del clúster de base de datos cuando estas se crean. El control falla si el parámetro CopyTagsToSnapshot está configurado en false para el clúster de bases de datos de RDS para PostgreSQL.
Copiar etiquetas en las instantáneas de bases de datos ayuda a mantener un seguimiento adecuado de recursos, una gobernanza correcta y una asignación de costos apropiada entre los recursos de copia de seguridad. Esto permite una identificación coherente de recursos, control de acceso y supervisión de cumplimiento tanto en las bases de datos activas como en sus instantáneas. Las instantáneas etiquetadas correctamente mejoran las operaciones de seguridad al garantizar que los recursos de copia de seguridad hereden los mismos metadatos que sus bases de datos de origen.
Corrección
Para obtener información sobre cómo configurar un clúster de bases de datos de Amazon RDS para PostgreSQL para copiar etiquetas automáticamente en las instantáneas de bases de datos, consulte la Etiquetado de recursos de Amazon RDS en la Guía del usuario de Amazon Relational Database Service.
[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::RDS::DBCluster
AWS Config Regla de: rds-mysql-cluster-copy-tags-to-snapshot-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control verifica si un clúster de bases de datos de Amazon RDS para MySQL está configurado para copiar etiquetas automáticamente en las instantáneas del clúster de base de datos cuando estas se crean. El control falla si el parámetro CopyTagsToSnapshot está configurado en false para el clúster de bases de datos de RDS para MySQL.
Copiar etiquetas en las instantáneas de bases de datos ayuda a mantener un seguimiento adecuado de recursos, una gobernanza correcta y una asignación de costos apropiada entre los recursos de copia de seguridad. Esto permite una identificación coherente de recursos, control de acceso y supervisión de cumplimiento tanto en las bases de datos activas como en sus instantáneas. Las instantáneas etiquetadas correctamente mejoran las operaciones de seguridad al garantizar que los recursos de copia de seguridad hereden los mismos metadatos que sus bases de datos de origen.
Corrección
Para obtener información sobre cómo configurar un clúster de bases de datos de Amazon RDS para MySQL para copiar etiquetas automáticamente en las instantáneas de bases de datos, consulte Etiquetado de recursos de Amazon RDS en la Guía del usuario de Amazon Relational Database Service.
