Mi empresa está utilizando AWS para su infraestructura, incluidas las instancias Mysql RDS para nuestras bases de datos. Todo lo que tenemos está en una VPC y requiere acceso a través de nuestra VPN. Todas nuestras bases de datos no son accesibles al público ni a subredes privadas.
A pesar de esto, actualmente tenemos una solicitud de un cliente para cumplir con una auditoría de seguridad de nuestros sistemas. En esta auditoría se incluye un análisis de seguridad de la base de datos.
Sin embargo, la única herramienta de escaneo disponible en el mercado de AWS es Nessus, que solo es capaz de escanear instancias de EC2 que no sean micro o pequeñas. Le he preguntado a AWS si sabía de alguna herramienta que pueda usar para escanear la base de datos y el ingeniero de soporte no sabía de ninguna.
También he preguntado, pero aún no he recibido una respuesta, si proporcionan resultados de análisis de seguridad que pueden ejecutarse internamente o proporcionan documentación sobre el hecho de que analizan sus servidores y corrigen cualquier vulnerabilidad. He realizado esta solicitud a través de su equipo de soporte y el formulario de solicitud de cumplimiento que se encuentra aquí: enlace . Lo que me puso en contacto con un representante de ventas que no es capaz de responder mis preguntas o de ayudarme a lograr el éxito en la demanda de nuestros clientes. También he intentado proporcionar el documento técnico de evaluación de riesgos proporcionado por AWS, pero se consideró insuficiente.
También confieso que no soy un profesional de seguridad de TI y trabajo para una pequeña empresa en la que debo usar muchos sombreros para no dominar la jerga de seguridad. He leído brevemente la página de cumplimiento y he notado que AWS RDS no parece ser compatible con HIPA o FedRAMP pero honestamente no creo que eso deba aplicarse a mi organización porque no conservamos información confidencial en nuestra base de datos. También preferimos no mover nuestra base de datos de AWS RDS ya que utilizamos la funcionalidad multi-az.
Así que ahora, dada la historia de fondo, todavía me he quedado infructuoso en mi búsqueda para proporcionar un certificado en forma de análisis de seguridad de nuestras bases de datos. Mi pregunta sería para aquellos que han tenido que cumplir con tales solicitudes específicamente con AWS RDS y seguridad. ¿Cómo ha cumplido con la demanda de su cliente al proporcionar dicho análisis?