EQUIPO DE CIBERSEGURIDAD

A continuación, menciono algunas de las vulnerabilidades más comunes que se han visto en
RDS y cómo evitarlas:

Configuraciones de seguridad inadecuadas: Una de las vulnerabilidades más comunes es

dejar las instancias de RDS con configuraciones de seguridad predeterminadas o poco
seguras. Por ejemplo, dejar el acceso público a la base de datos (Internet-facing) sin
restricciones o utilizar contraseñas débiles.

Solución: Implementar una configuración de seguridad adecuada, como restringir el acceso a

través de grupos de seguridad de Amazon VPC, utilizar listas de control de acceso (ACL) y
asegurarse de que las contraseñas sean lo suficientemente fuertes y se cambien
periódicamente.

Escalado incorrecto de recursos: Configurar recursos insuficientes (como capacidad de

almacenamiento, memoria o poder de procesamiento) puede llevar a problemas de rendimiento
o interrupciones del servicio.

Solución: Monitorear el rendimiento de la base de datos y ajustar los recursos según sea
necesario. Utilizar las herramientas y funciones de AWS para monitorear la utilización de
recursos y tomar decisiones informadas.

Falta de copias de seguridad adecuadas: No configurar copias de seguridad periódicas y

almacenarlas en un lugar seguro puede llevar a la pérdida de datos en caso de fallo o ataque.

Solución: Configurar y mantener copias de seguridad automáticas y realizar pruebas de

restauración periódicas para asegurarse de que los datos se puedan recuperar correctamente.

Exposición de credenciales: Si se almacenan o transmiten las credenciales de acceso a la

base de datos de manera insegura, los atacantes podrían obtener acceso no autorizado.

Solución: Utilizar herramientas seguras para almacenar y gestionar las credenciales de

acceso, como AWS Secrets Manager o AWS Parameter Store, y nunca almacenarlas en texto
plano o en repositorios públicos de código.

Falta de actualizaciones y parches: No mantener actualizado el motor de base de datos o

aplicar parches de seguridad puede dejar la base de datos vulnerable a ataques conocidos.

Solución: Mantener el motor de base de datos actualizado y aplicar rápidamente los parches
de seguridad recomendados por AWS.
Encriptación de datos en tránsito y en reposo: Amazon RDS admite la encriptación tanto de
los datos en tránsito (cuando se comunican entre la base de datos y la aplicación) como de los
datos en reposo (almacenados en el almacenamiento de la base de datos). Utiliza SSL/TLS
para asegurar las conexiones a la base de datos y la encriptación de bases de datos
transparente (TDE) para proteger los datos almacenados.

Uso de IAM para la autenticación: Amazon RDS admite la autenticación a través de AWS
Identity and Access Management (IAM), lo que te permite asignar permisos a los usuarios en
lugar de depender únicamente de contraseñas de base de datos. Utilizar IAM para autenticar
conexiones puede proporcionar un nivel adicional de seguridad.

Control de acceso basado en roles: Utiliza la función de control de acceso basado en roles
(RBAC) para otorgar los permisos mínimos necesarios a los usuarios o aplicaciones que
acceden a la base de datos. Limitar los privilegios de acceso reduce la superficie de ataque en
caso de una vulnerabilidad o inyección SQL.

Monitorización y registro: Implementa una sólida estrategia de monitoreo y registro para

detectar actividad sospechosa o anormal en la base de datos. Puedes utilizar Amazon
CloudWatch para monitorear métricas y habilitar el registro de eventos de la base de datos para
tener una visibilidad completa de las actividades de tu RDS.

Actualizaciones y parches: Mantén siempre actualizado el motor de base de datos utilizado

por RDS. AWS proporciona actualizaciones y parches de seguridad para los motores de base
de datos compatibles con RDS. Estar al día con las últimas versiones reduce el riesgo de estar
expuesto a vulnerabilidades conocidas.

Restricción de acceso por dirección IP: Utiliza listas de control de acceso (ACL) para
restringir el acceso a la base de datos solo a direcciones IP específicas o rangos de IP
autorizados. De esta manera, limitarás las conexiones solo a aplicaciones o redes confiables.

Habilitar CloudTrail: Activa AWS CloudTrail para auditar y rastrear todas las acciones
realizadas en tu cuenta de AWS. Esto te permite tener un registro detallado de quién ha
realizado cambios o acceso a tus recursos de RDS.