Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für Amazon Redshift Serverless
Diese AWS Security Hub Kontrollen bewerten den Service und die Ressourcen von Amazon Redshift Serverless. Die Steuerelemente sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen in VPC
Schweregrad: Hoch
Art der Ressource: AWS::RedshiftServerless::Workgroup
AWS Config -Regel: redshift-serverless-workgroup-routes-within-vpc
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob erweitertes VPC-Routing für eine Amazon Redshift Serverless-Arbeitsgruppe aktiviert ist. Die Steuerung schlägt fehl, wenn das erweiterte VPC-Routing für die Arbeitsgruppe deaktiviert ist.
Wenn erweitertes VPC-Routing für eine Amazon Redshift Serverless-Arbeitsgruppe deaktiviert ist, leitet Amazon Redshift den Datenverkehr über das Internet weiter, einschließlich des Datenverkehrs zu anderen Diensten innerhalb des Netzwerks. AWS Wenn Sie erweitertes VPC-Routing für eine Arbeitsgruppe aktivieren, zwingt Amazon Redshift den gesamten UNLOAD Datenverkehr zwischen Ihrem Cluster COPY und Ihren Datenrepositorys über Ihre Virtual Private Cloud (VPC), die auf dem Amazon VPC-Service basiert. Mit erweitertem VPC-Routing können Sie Standard-VPC-Funktionen verwenden, um den Datenfluss zwischen Ihrem Amazon Redshift Redshift-Cluster und anderen Ressourcen zu steuern. Dazu gehören Funktionen wie VPC-Sicherheitsgruppen und Endpunktrichtlinien, Netzwerkzugriffskontrolllisten (ACLs) und DNS-Server (Domain Name System). Sie können auch VPC-Flow-Logs verwenden, um den UNLOAD Datenverkehr COPY zu überwachen.
Abhilfe
Weitere Informationen über erweitertes VPC-Routing und dessen Aktivierung für eine Arbeitsgruppe finden Sie unter Steuern des Netzwerkverkehrs mit erweitertem Redshift-VPC-Routing im Amazon Redshift Management Guide.
[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::RedshiftServerless::Workgroup
AWS Config -Regel: redshift-serverless-workgroup-encrypted-in-transit
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob Verbindungen zu einer Amazon Redshift Serverless-Arbeitsgruppe erforderlich sind, um Daten während der Übertragung zu verschlüsseln. Die Steuerung schlägt fehl, wenn der require_ssl Konfigurationsparameter für die Arbeitsgruppe auf gesetzt ist. false
Eine Amazon Redshift Serverless-Arbeitsgruppe ist eine Sammlung von Rechenressourcen, die Rechenressourcen wie RPUs VPC-Subnetzgruppen und Sicherheitsgruppen gruppiert. Zu den Eigenschaften einer Arbeitsgruppe gehören Netzwerk- und Sicherheitseinstellungen. Diese Einstellungen geben an, ob Verbindungen zu einer Arbeitsgruppe erforderlich sein sollen, um SSL zur Verschlüsselung von Daten während der Übertragung zu verwenden.
Abhilfe
Informationen zur Aktualisierung der Einstellungen für eine Amazon Redshift Serverless-Arbeitsgruppe, sodass SSL-Verbindungen erforderlich sind, finden Sie unter Connecting to Amazon Redshift Serverless im Amazon Redshift Management Guide.
[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind
Schweregrad: Hoch
Art der Ressource: AWS::RedshiftServerless::Workgroup
AWS Config -Regel: redshift-serverless-workgroup-no-public-access
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob der öffentliche Zugriff für eine Amazon Redshift Serverless-Arbeitsgruppe deaktiviert ist. Es bewertet die publiclyAccessible Eigenschaft einer Redshift Serverless-Arbeitsgruppe. Die Steuerung schlägt fehl, wenn der öffentliche Zugriff für die Arbeitsgruppe aktiviert ist (true).
Die Einstellung public access (publiclyAccessible) für eine Amazon Redshift Serverless-Arbeitsgruppe gibt an, ob auf die Arbeitsgruppe von einem öffentlichen Netzwerk aus zugegriffen werden kann. Wenn der öffentliche Zugriff für eine Arbeitsgruppe aktiviert (true) ist, erstellt Amazon Redshift eine Elastic IP-Adresse, die die Arbeitsgruppe von außerhalb der VPC öffentlich zugänglich macht. Wenn Sie nicht möchten, dass eine Arbeitsgruppe öffentlich zugänglich ist, deaktivieren Sie den öffentlichen Zugriff für sie.
Abhilfe
Informationen zum Ändern der Einstellung für den öffentlichen Zugriff für eine Amazon Redshift Serverless-Arbeitsgruppe finden Sie unter Anzeigen der Eigenschaften für eine Arbeitsgruppe im Amazon Redshift Management Guide.
[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys
Verwandte Anforderungen: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), 2 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::RedshiftServerless::Namespace
AWS Config -Regel: redshift-serverless-namespace-cmk-encryption
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Eine Liste von Amazon-Ressourcennamen (ARNs) AWS KMS keys , die in die Bewertung aufgenommen werden sollen. Das Steuerelement generiert einen |
StringList (maximal 3 Elemente) |
1—3 ARNs der vorhandenen KMS-Schlüssel. Beispiel: |
Kein Standardwert |
Dieses Steuerelement prüft, ob ein Amazon Redshift Serverless-Namespace im Ruhezustand verschlüsselt ist, wenn ein Kunde verwaltet wird. AWS KMS key Die Steuerung schlägt fehl, wenn der Redshift Serverless-Namespace nicht mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt ist. Sie können optional eine Liste von KMS-Schlüsseln angeben, die das Steuerelement in die Bewertung einbeziehen soll.
In Amazon Redshift Serverless definiert ein Namespace einen logischen Container für Datenbankobjekte. Dieses Steuerelement überprüft regelmäßig, ob die Verschlüsselungseinstellungen für einen Namespace einen vom Kunden verwalteten AWS KMS key anstelle eines AWS verwalteten KMS-Schlüssels für die Verschlüsselung von Daten im Namespace angeben. Mit einem vom Kunden verwalteten KMS-Schlüssel haben Sie die volle Kontrolle über den Schlüssel. Dazu gehören die Definition und Pflege der Schlüsselrichtlinie, die Verwaltung von Zuschüssen, die Rotation von kryptografischem Material, die Zuweisung von Tags, die Erstellung von Aliasnamen sowie die Aktivierung und Deaktivierung des Schlüssels.
Abhilfe
Informationen zur Aktualisierung der Verschlüsselungseinstellungen für einen Amazon Redshift Serverless-Namespace und zur Angabe eines vom Kunden verwalteten AWS KMS key Namespace finden Sie unter Ändern des AWS KMS key für einen Namespace im Amazon Redshift Management Guide.
[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden
Kategorie: Identifizieren > Ressourcenkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::RedshiftServerless::Namespace
AWS Config -Regel: redshift-serverless-default-admin-check
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Eine Liste von Admin-Benutzernamen, die Redshift Serverless-Namespaces verwenden sollten. Das Steuerelement generiert eine |
StringList (maximal 6 Artikel) |
1—6 gültige Admin-Benutzernamen für Redshift Serverless-Namespaces. |
Kein Standardwert |
Dieses Steuerelement prüft, ob der Admin-Benutzername für einen Amazon Redshift Serverless-Namespace der Standard-Admin-Benutzername ist. admin Die Steuerung schlägt fehl, wenn der Admin-Benutzername für den Redshift Serverless-Namespace lautet. admin Sie können optional eine Liste von Admin-Benutzernamen angeben, die das Steuerelement in die Bewertung einbeziehen soll.
Wenn Sie einen Amazon Redshift Serverless-Namespace erstellen, sollten Sie einen benutzerdefinierten Admin-Benutzernamen für den Namespace angeben. Der Standard-Admin-Benutzername ist public knowledge. Durch die Angabe eines benutzerdefinierten Admin-Benutzernamens können Sie beispielsweise dazu beitragen, das Risiko oder die Effektivität von Brute-Force-Angriffen gegen den Namespace zu verringern.
Abhilfe
Sie können den Admin-Benutzernamen für einen Amazon Redshift Serverless-Namespace mithilfe der Amazon Redshift Serverless-Konsole oder API ändern. Um ihn mithilfe der Konsole zu ändern, wählen Sie die Namespace-Konfiguration und wählen Sie dann im Menü Aktionen die Option Administratoranmeldedaten bearbeiten aus. Um sie programmgesteuert zu ändern, verwenden Sie den UpdateNamespaceVorgang oder, falls Sie den verwenden AWS CLI, führen Sie den Befehl update-namespace aus. Wenn Sie den Admin-Benutzernamen ändern, müssen Sie gleichzeitig auch das Admin-Passwort ändern.
[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::RedshiftServerless::Namespace
AWS Config -Regel: redshift-serverless-publish-logs-to-cloudwatch
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob ein Amazon Redshift Serverless Namespace so konfiguriert ist, dass er Verbindungs- und Benutzerprotokolle nach Amazon Logs exportiert. CloudWatch Die Steuerung schlägt fehl, wenn der Redshift Serverless-Namespace nicht für den Export der Protokolle in Logs konfiguriert ist. CloudWatch
Wenn Sie Amazon Redshift Serverless so konfigurieren, dass Verbindungsprotokoll- (connectionlog) und Benutzerprotokolldaten (userlog) in eine Protokollgruppe in Amazon CloudWatch Logs exportiert werden, können Sie Ihre Protokolldatensätze sammeln und in einem dauerhaften Speicher speichern, der Sicherheits-, Zugriffs- und Verfügbarkeitsprüfungen und Audits unterstützt. Mit CloudWatch Logs können Sie auch Protokolldaten in Echtzeit analysieren und diese zur Erstellung von Alarmen und CloudWatch zur Überprüfung von Metriken verwenden.
Abhilfe
Um Protokolldaten für einen Amazon Redshift Serverless-Namespace nach Amazon CloudWatch Logs zu exportieren, müssen die entsprechenden Protokolle in den Konfigurationseinstellungen für die Auditprotokollierung für den Namespace für den Export ausgewählt werden. Informationen zur Aktualisierung dieser Einstellungen finden Sie unter Sicherheit und Verschlüsselung bearbeiten im Amazon Redshift Management Guide.
