Por padrão, as instâncias do Amazon RDS não são criptografadas. Isso expõe os dados a um possível roubo e acesso não autorizado.

Canais de comunicação de dados protegidos de forma insuficiente podem colocar dados organizacionais críticos em risco de roubo, adulteração ou divulgação.

Por padrão, os clusters do Amazon Redshift não são criptografados. Isso expõe os dados a acesso não autorizado e possível roubo.

Um bucket do Amazon S3 é criado sem criptografia no lado do servidor. A criptografia atenua as violações de dados tornando os dados ilegíveis para qualquer pessoa sem as credenciais adequadas. A criptografia em repouso pode ajudar a atender alguns requisitos de conformidade industrial e governamental, como GDPR, HIPAA e PCI.

A falta de registros de auditoria limita a capacidade de detectar e responder a incidentes relacionados à segurança e impede a investigação forense.

As definições de configuração que prejudicam os recursos de registro incluem, mas não estão limitadas a:
- desativar deliberadamente o log de auditoria
- isentar o log de ações de usuários, grupos ou processos específicos
- proteger inadequadamente a integridade do log
- não habilitar o log de auditoria opcional
- reduzir a taxa de amostragem de log

A falta de registros de auditoria limita a capacidade de detectar e responder a incidentes relacionados à segurança e impede a investigação forense.

As definições de configuração que prejudicam os recursos de registro incluem, mas não estão limitadas a:
- desativar deliberadamente o log de auditoria
- isentar o log de ações de usuários, grupos ou processos específicos
- proteger inadequadamente a integridade do log
- não habilitar o log de auditoria opcional
- reduzir a taxa de amostragem de log

Por padrão, o CloudTrail registra eventos e fornece arquivos de log, mas o registro em log é deliberadamente desabilitado. Isso pode permitir que um comportamento mal-intencionado não seja detectado, além de inibir a análise forense no caso de uma violação.

Exemplo 1: A tarefa do Ansible a seguir configura um CloudTrail com registro em log desabilitado porque enable_logging está definido como false.

- name: create a single region cloudtrail
  community.aws.cloudtrail:
    s3_bucket_name: mylogbucket
    s3_key_prefix: cloudtrail
    region: us-west-2
    enable_logging: false

Por padrão, os Grupos de Logs do CloudWatch retêm os logs indefinidamente. Um valor de retenção não definido indica que as políticas de manipulação de dados organizacionais não foram consultadas para definir as configurações apropriadas. Isso pode resultar em despesas desnecessárias para a organização armazenar e gerenciar eventos de log.

Um invasor pode lançar um ataque de negação de carteira (DoW), solicitando persistentemente o registro de eventos espúrios por um longo período de tempo, o que pode impactar a organização financeiramente.

Exemplo 1: O exemplo a seguir mostra uma tarefa do Ansible que não consegue definir uma política de retenção.

- name: create a log_group in CloudWatchLogs
  community.aws.cloudwatchlogs_log_group:
    log_group_name: test-log-group
    tags: { "Name": "test-log-group", "Env" : "QA" }

A falta de registros de auditoria limita a capacidade de detectar e responder a incidentes relacionados à segurança e impede a investigação forense.

As definições de configuração que prejudicam os recursos de registro incluem, mas não estão limitadas a:
- desativar deliberadamente o log de auditoria
- isentar o log de ações de usuários, grupos ou processos específicos
- proteger inadequadamente a integridade do log
- não habilitar o log de auditoria opcional
- reduzir a taxa de amostragem de log

Os backups são essenciais para proteger contra perda ou corrupção de dados. As configurações que prejudicam os backups incluem, mas não se limitam a:
- Desativar o backup de dados
- Falha no backup regular dos dados
- Falha na verificação regular da integridade dos backups
- Período de retenção de backup insuficiente

Os backups são essenciais para proteger contra perda ou corrupção de dados. As configurações que prejudicam os backups incluem, mas não se limitam a:
- Desativar o backup de dados
- Falha no backup regular dos dados
- Falha na verificação regular da integridade dos backups
- Período de retenção de backup insuficiente

A falta de registros de auditoria limita a capacidade de detectar e responder a incidentes relacionados à segurança e impede a investigação forense.

As definições de configuração que prejudicam os recursos de registro incluem, mas não estão limitadas a:
- desativar deliberadamente o log de auditoria
- isentar o log de ações de usuários, grupos ou processos específicos
- proteger inadequadamente a integridade do log
- não habilitar o log de auditoria opcional
- reduzir a taxa de amostragem de log

Uma resposta atrasada a violações prejudica a capacidade de uma organização de limitar o impacto de uma violação.

As definições de configuração que prejudicam os recursos de monitoramento incluem, mas não estão limitadas a:
- desabilitar deliberadamente o monitoramento
- não habilitar o monitoramento opcional
- não especificar eventos relevantes para exportar para serviços de monitoramento
- isentar do monitoramento ações de usuários, grupos, processos e regiões geográficas específicos

Uma resposta atrasada a violações prejudica a capacidade de uma organização de limitar o impacto de uma violação.

As definições de configuração que prejudicam os recursos de monitoramento incluem, mas não estão limitadas a:
- desabilitar deliberadamente o monitoramento
- não habilitar o monitoramento opcional
- não especificar eventos relevantes para exportar para serviços de monitoramento
- isentar do monitoramento ações de usuários, grupos, processos e regiões geográficas específicos

Por padrão, a validação do arquivo de log do CloudTrail está desabilitada, o que evita que os investigadores confirmem que não houve violação externa dos arquivos de log do CloudTrail.

Isso permite que um invasor com os privilégios necessários execute alterações de configuração prejudiciais e as oculte modificando os logs do CloudTrail.

Exemplo 1: A seguinte tarefa Ansible define uma configuração do CloudTrail sem a validação da integridade do arquivo de log porque o parâmetro enable_log_file_validation está ausente.

- name: create a single region cloudtrail
  community.aws.cloudtrail:
    s3_bucket_name: mylogbucket
    s3_key_prefix: cloudtrail
    region: us-west-2

Por padrão, um contêiner não pode executar a maioria das operações de administração do sistema e da rede. O modo privilegiado remove tais restrições. Isso expande drasticamente a superfície de ataque de trabalhos mal-intencionados.

As atualizações automáticas de software, que garantem a correção oportuna de vulnerabilidades de software conhecidas, são desabilitadas.

As chaves gerenciadas pelo cliente não são usadas para criptografar dados em repouso.

Por padrão, a AWS usa chaves gerenciadas pela AWS para criptografar dados em repouso se a criptografia estiver habilitada. As chaves gerenciadas pelo cliente permitem que as organizações usem chaves criptográficas de sua escolha para criptografar dados. Isso dá às organizações melhor controle e registro de processos de criptografia.

Assim, as chaves gerenciadas pelo cliente geralmente fazem parte da solução para atender aos requisitos que incluem, mas não estão limitados a:
- Logs de auditoria para acesso a dados confidenciais
- Residência de dados
- Substituição, desabilitação ou destruição de chaves

Observe que as chaves com o formato aws/service-name são reservadas para chaves gerenciadas pela AWS.

Uma instância do Amazon RDS acessível publicamente amplia desnecessariamente a superfície de ataque de uma organização. Os serviços abertos à interação com o público estão sujeitos a varreduras e investigações quase contínuas por parte dos invasores.

Exemplo 1: A tarefa do Ansible a seguir configura uma instância do RDS com acesso público porque publicly_accessible está definido como true.

- name: createdb
  community.aws.rds_instance:
    db_instance_identifier: test-db
    engine: aurora
    instance_type: db.t2.small
    username: "{{ username }}"
    password: "{{ password }}"
    cluster_id: test-cluster
    publicly_accessible: true

Os serviços em nuvem normalmente usam técnicas como cache, replicação e balanceamento de carga para facilitar a escalabilidade do serviço, entregar conteúdo mais rapidamente e mitigar os impactos de ataques volumétricos. Recursos de disponibilidade desabilitados ou mal configurados degradam o desempenho do serviço, mas os efeitos imediatos geralmente não são aparentes até que ocorram eventos extremos, como picos de tráfego e falhas de hardware.