인터넷에서 데이터베이스에 대한 공개 액세스를 제공하는 것이 가능합니다. 공격자는 여전히 사용자 이름과 비밀번호, IAM 액세스 또는 익스플로잇을 알아야 데이터베이스에 접근할 수 있습니다.
공개 RDS 스냅샷
AWS는 누구나 RDS 스냅샷을 다운로드할 수 있는 액세스를 제공하는 것을 허용합니다. 자신의 계정에서 이러한 공개 RDS 스냅샷을 매우 쉽게 나열할 수 있습니다:
# Public RDS snapshotsawsrdsdescribe-db-snapshots--include-public## Search by account IDaws rds describe-db-snapshots --include-public --query 'DBSnapshots[?contains(DBSnapshotIdentifier, `284546856933:`) == `true`]'
## To share a RDS snapshot with everybody the RDS DB cannot be encrypted (so the snapshot won't be encryted)## To share a RDS encrypted snapshot you need to share the KMS key also with the account# From the own account you can check if there is any public snapshot with:awsrdsdescribe-db-snapshots--snapshot-typepublic [--region us-west-2]## Even if in the console appear as there are public snapshot it might be public## snapshots from other accounts used by the current account
