修复可能失陷的数据库
GuardDuty 会生成 RDS 保护调查发现类型,指示您启用 RDS 防护 后 支持的数据库 中潜在的可疑和异常登录行为。GuardDuty 使用 RDS 登录活动,通过识别登录尝试中的异常模式来分析和描述威胁。
注意
您可以从 GuardDuty 活跃调查发现类型 中选择某个调查发现类型来访问其完整信息。
按照以下建议的步骤修复 Amazon 环境中可能受攻击的 Amazon Aurora 数据库。
通过成功登录事件修复可能受攻击的数据库
以下建议的步骤可以帮助您修复可能受攻击的 Aurora 数据库,该数据库表现出与成功登录事件相关的异常行为。
-
确定受影响的数据库和用户。
生成的 GuardDuty 调查发现提供了受影响数据库的名称和相应的用户详细信息。有关更多信息,请参阅 调查发现详细信息。
-
确认这种行为是预期的还是意外的。
以下列表指定了可能导致 GuardDuty 生成调查发现的潜在场景:
-
经过很长时间后才登录到其数据库的用户。
-
偶尔登录数据库的用户,例如,每个季度登录一次的财务分析师。
-
尝试登录成功的潜在可疑攻击者可能会攻击数据库。
-
-
如果行为出乎意料,请开始此步骤。
-
限制数据库访问
限制可疑账户和登录活动源的数据库访问。有关更多信息,请参阅 修复可能遭泄露的凭证 和 限制网络访问。
-
评测影响并确定访问了哪些信息。
-
请查看审计日志(如果有),以确定可能被访问的信息片段。有关更多信息,请参阅《Amazon Aurora 用户指南》中的监控 Amazon Aurora 数据库集群中的事件、日志和流。
-
确定是否访问或修改了任何敏感或受保护信息。
-
-
通过失败登录事件修复可能受攻击的数据库
以下建议的步骤可以帮助您修复可能受攻击的 Aurora 数据库,该数据库表现出与失败登录事件相关的异常行为。
-
确定受影响的数据库和用户。
生成的 GuardDuty 调查发现提供了受影响数据库的名称和相应的用户详细信息。有关更多信息,请参阅 调查发现详细信息。
-
确定失败登录尝试源。
生成的 GuardDuty 调查发现在调查发现面板的攻击者部分提供了 IP 地址和 ASN 组织(如果是公有连接)。
自治系统(AS)是由一个或多个网络运营商运行的一个或多个 IP 前缀(可在网络上访问的 IP 地址列表)组成的群组,这些运营商维护单一、明确定义的路由策略。网络运营商需要自治系统号(ASN)来控制其网络中的路由,并与其他互联网服务提供商(ISP)交换路由信息。
-
确认这种行为是否是意料之外的。
检查此活动是否表示试图获得对数据库的其他未经授权的访问,如下所示:
-
如果源是内部的,请检查应用程序是否配置错误并重复尝试连接。
-
如果是外部攻击者,则检查相应的数据库是否面向公众或配置错误,从而允许潜在的恶意行为者暴力破解常用用户名。
-
-
如果行为出乎意料,请开始此步骤。
-
限制数据库访问
限制可疑账户和登录活动源的数据库访问。有关更多信息,请参阅 修复可能遭泄露的凭证 和 限制网络访问。
-
执行根本原因分析并确定可能导致此活动的步骤。
设置警报,以便在活动修改网络策略并造成不安全状态时收到通知。有关更多信息,请参阅《Amazon Network Firewall 开发人员指南》中 Amazon Network Firewall 的防火墙策略。
-
修复可能遭泄露的凭证
GuardDuty 调查发现可能表明,当调查发现中确定的用户执行了意外的数据库操作时,受影响数据库的用户凭证已遭泄露。您可以在控制台的调查发现面板中的 RDS DB 用户详细信息部分或调查发现 JSON 的 resource.rdsDbUserDetails 中识别用户。这些用户详细信息包括用户名、使用的应用程序、访问的数据库、SSL 版本和身份验证方法。
-
要对调查发现中涉及的特定用户撤销访问权限或轮换密码,请参阅《Amazon Aurora 用户指南》中的 Amazon Aurora MySQL 的安全性或 Amazon Aurora PostgreSQL 的安全性。
-
使用 Amazon Secrets Manager 安全存储并自动轮换 Amazon Relational Database Service(RDS)数据库的密钥。有关更多信息,请参阅《Amazon Secrets Manager 开发人员指南》中的 Amazon Secrets Manager 教程。
-
使用 IAM 数据库身份验证来管理数据库用户的访问权限,无需密码。有关更多信息,请参阅《Amazon Aurora 用户指南》中的 IAM 数据库身份验证。
有关更多信息,请参阅《Amazon RDS 用户指南》中的 Amazon Relational Database Service 安全最佳实践。
限制网络访问
GuardDuty 调查发现可能表明,除了应用程序或虚拟私有云(VPC)之外,还可以访问数据库。如果调查发现中的远程 IP 地址是意外的连接源,请对安全组进行审计。附加到数据库的安全组列表可在 https://console.aws.amazon.com/rds/ 控制台的安全组下或调查发现 JSON 的 resource.rdsDbInstanceDetails.dbSecurityGroups 中找到。有关配置安全组的更多信息,请参阅《Amazon RDS 用户指南》中的使用安全组控制访问。
如果使用的是防火墙,请通过重新配置网络访问控制列表(NACL)来限制对数据库的网络访问。有关更多信息,请参阅《Amazon Network Firewall 开发人员指南》中 Amazon Network Firewall 的防火墙。