La mia azienda utilizza AWS per la sua infrastruttura che include istanze Mysql RDS per i nostri database. Tutto ciò che abbiamo è in un VPC e richiede l'accesso tramite la nostra VPN. I nostri database non sono tutti accessibili al pubblico e nelle sottoreti private.
Nonostante ciò, al momento abbiamo una richiesta da parte di un cliente di conformarsi a un controllo di sicurezza dei nostri sistemi. Incluso in questo audit è una scansione di sicurezza del database.
Tuttavia, l'unico strumento di scansione disponibile nel mercato AWS è Nessus, che è in grado di scansionare solo le istanze EC2 che non sono micro o piccole. Ho chiesto il supporto AWS se sapevano di qualsiasi strumento che posso usare per analizzare il database e il tecnico di supporto non ne sapeva nulla.
Ho anche chiesto, ma devo ancora ricevere una risposta, se forniscono risultati delle scansioni di sicurezza che possono essere eseguite internamente o forniscono documentazione al fatto che eseguono la scansione dei loro server e correggono eventuali vulnerabilità. Ho inoltrato questa richiesta sia al team di assistenza che al modulo di richiesta di conformità che si trova qui: link . Il che mi ha messo in contatto con un rappresentante delle vendite non in grado di rispondere alle mie domande o di aiutarmi a raggiungere il successo nella richiesta dei nostri clienti. Ho anche provato a fornire il white paper di valutazione del rischio fornito da AWS ma che è stato giudicato insufficiente.
Confesso anche che non sono un professionista della sicurezza IT e lavoro per una piccola azienda in cui devo indossare molti cappelli, quindi non sono abile nel gergo della sicurezza. Ho letto brevemente la pagina di conformità e ho notato che AWS RDS non sembra essere conforme HIPA o FedRAMP ma onestamente non penso che dovrebbe applicarsi alla mia organizzazione perché non conserviamo informazioni sensibili nel nostro database. Inoltre, preferiamo non spostare il nostro database da AWS RDS poiché utilizziamo funzionalità multi-az.
Quindi ora dato il retroscena, sono ancora lasciato infruttuoso nella mia ricerca per fornire attestazioni sotto forma di scansioni di sicurezza dei nostri database. La mia domanda sarebbe rivolta a coloro che hanno dovuto soddisfare tali richieste specificamente con RDS e sicurezza AWS. Come hai soddisfatto la richiesta del tuo cliente fornendo una scansione del genere?