Controles de Security Hub para Amazon Redshift sin servidor
Estos controles de AWS Security Hub CSPM evalúan el servicio y los recursos de Amazon Redshift sin servidor. Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[RedshiftServerless.1] Los grupos de trabajo de Amazon Redshift sin servidor deben usar enrutamiento de VPC mejorado
Categoría: Proteger > Configuración de red segura > Recursos dentro de VPC
Gravedad: alta
Tipo de recurso: AWS::RedshiftServerless::Workgroup
AWS Config Regla de: redshift-serverless-workgroup-routes-within-vpc
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si el enrutamiento de VPC mejorado está habilitado para un grupo de trabajo de Amazon Redshift sin servidor. El control falla si el enrutamiento de VPC mejorado está desactivado para el grupo de trabajo.
Si el enrutamiento de VPC mejorado está desactivado para un grupo de trabajo de Amazon Redshift sin servidor, Amazon Redshift dirige el tráfico a través de Internet, incluido el tráfico hacia otros servicios dentro de la red de AWS. Si habilita el enrutamiento de VPC mejorado para un grupo de trabajo, Amazon Redshift fuerza todo el tráfico COPY y UNLOAD entre el clúster y los repositorios de datos a pasar por la nube virtual privada (VPC), basada en el servicio Amazon VPC. Con el enrutamiento de VPC mejorado, puede usar características estándar de VPC para controlar el flujo de datos entre el clúster de Amazon Redshift y otros recursos. Esto incluye características como grupos de seguridad de VPC y políticas de puntos de conexión, listas de control de acceso de la red (ACL) y servidores del sistema de nombres de dominio (DNS). También puede usar los registros de flujo de VPC para supervisar el tráfico COPY y UNLOAD.
Corrección
Para obtener información sobre el enrutamiento de VPC mejorado y sobre cómo habilitarlo para un grupo de trabajo, consulte Control del tráfico de red con el enrutamiento de VPC mejorado de Redshift en la Guía de administración de Amazon Redshift.
[RedshiftServerless.2] Las conexiones a los grupos de trabajo de Redshift sin servidor deben requerir el uso de SSL
Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::RedshiftServerless::Workgroup
AWS Config Regla de: redshift-serverless-workgroup-encrypted-in-transit
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si las conexiones a un grupo de trabajo de Amazon Redshift sin servidor deben requerir cifrar los datos en tránsito. El control falla si el parámetro de configuración require_ssl del grupo de trabajo está configurado en false.
Un grupo de trabajo de Amazon Redshift sin servidor es un conjunto de recursos de computación que agrupa recursos de computación como RPU, grupos de subredes de VPC y grupos de seguridad. Las propiedades de un grupo de trabajo incluyen configuraciones de red y seguridad. Estas configuraciones especifican si las conexiones a un grupo de trabajo deben requerir el uso de SSL para cifrar los datos en tránsito.
Corrección
Para obtener información sobre cómo actualizar las configuraciones de un grupo de trabajo de Amazon Redshift sin servidor para requerir conexiones SSL, consulte Conexión a Amazon Redshift sin servidor en la Guía de administración de Amazon Redshift.
[RedshiftServerless.3] Los grupos de trabajo de Redshift sin servidor deben prohibir el acceso público
Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente
Gravedad: alta
Tipo de recurso: AWS::RedshiftServerless::Workgroup
AWS Config Regla de: redshift-serverless-workgroup-no-public-access
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si el acceso público está desactivado para un grupo de trabajo de Amazon Redshift sin servidor. Evalúa la propiedad publiclyAccessible de un grupo de trabajo de Redshift sin servidor. El control falla si el acceso público está habilitado (true) para el grupo de trabajo.
La configuración de acceso público (publiclyAccessible) de un grupo de trabajo de Amazon Redshift sin servidor especifica si se puede acceder al grupo de trabajo desde una red pública. Si el acceso público está habilitado (true) para un grupo de trabajo, Amazon Redshift crea una dirección IP elástica que hace que el grupo de trabajo sea accesible públicamente desde fuera de la VPC. Si no desea que un grupo de trabajo sea accesible públicamente, desactive el acceso público para ese grupo de trabajo.
Corrección
Para obtener información sobre cómo cambiar la configuración de acceso público de un grupo de trabajo de Amazon Redshift sin servidor, consulte Visualización de las propiedades de un grupo de trabajo en la Guía de administración de Amazon Redshift.
[RedshiftServerless.4] Los espacios de nombres de Redshift sin servidor se deben cifrar con una clave de AWS KMS keys administrada por el cliente
Requisitos relacionados: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SC-12(2), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SI-7(6)
Categoría: Proteger > Protección de datos > Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::RedshiftServerless::Namespace
AWS Config Regla de: redshift-serverless-namespace-cmk-encryption
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Una lista de nombres de recursos de Amazon (ARN) de AWS KMS keys para incluir en la evaluación. El control genera un resultado |
StringList: (máximo de 3 elementos) |
Entre 1 y 3 ARN de claves de KMS existentes. Por ejemplo: |
Sin valor predeterminado |
Este control verifica si un espacio de nombres de Amazon Redshift sin servidor está cifrado en reposo con una AWS KMS key administrada por el cliente. El control falla si el espacio de nombres de Redshift sin servidor no está cifrado con una clave de KMS administrada por el cliente. Puede especificar opcionalmente una lista de claves de KMS para que el control las incluya en la evaluación.
En Amazon Redshift sin servidor, un espacio de nombres define un contenedor lógico para objetos de base de datos. Este control verifica periódicamente si la configuración de cifrado de un espacio de nombres especifica una AWS KMS key administrada por el cliente, en lugar de una clave de KMS administrada por AWS, para cifrar los datos en el espacio de nombres. Con una clave de KMS administrada por el cliente, ejerce control pleno sobre la clave. Esto incluye definir y mantener la política de claves, administrar concesiones, rotar el material criptográfico, asignar etiquetas, crear alias y habilitar y desactivar la clave.
Corrección
Para obtener información sobre cómo actualizar la configuración de cifrado de un espacio de nombres de Amazon Redshift sin servidor y especificar una AWS KMS key administrada por el cliente, consulte Modificación del AWS KMS key de un espacio de nombres en la Guía de administración de Amazon Redshift.
[RedshiftServerless.5] Los espacios de nombres de Redshift sin servidor no deben usar el nombre predeterminado de administrador
Categoría: Identificar > Configuración de recursos
Gravedad: media
Tipo de recurso: AWS::RedshiftServerless::Namespace
AWS Config Regla de: redshift-serverless-default-admin-check
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Una lista de nombres de usuario de administrador que los espacios de nombres de Redshift sin servidor deben usar. El control genera un resultado |
StringList (máximo de 6 elementos) |
Entre 1 y 6 nombres de usuario de administrador válidos para espacios de nombres de Redshift sin servidor. |
Sin valor predeterminado |
Este control verifica si el nombre de usuario de administrador de un espacio de nombres de Amazon Redshift sin servidor es el nombre de administrador predeterminado, admin. El control falla si el nombre de usuario de administrador del espacio de nombres de Redshift sin servidor es admin. Puede especificar de manera opcional una lista de nombres de usuario de administrador para que el control los incluya en la evaluación.
Al crear un espacio de nombres de Amazon Redshift sin servidor, debe especificar un nombre de usuario de administrador personalizado para el espacio de nombres. El nombre de usuario de administrador predeterminado es de conocimiento público. Al especificar un nombre de usuario de administrador personalizado, puede, por ejemplo, ayudar a mitigar el riesgo o la efectividad de ataques de fuerza bruta contra el espacio de nombres.
Corrección
Puede cambiar el nombre de usuario de administrador de un espacio de nombres de Amazon Redshift sin servidor mediante la consola o la API de Amazon Redshift sin servidor. Para cambiarlo mediante la consola, seleccione la configuración del espacio de nombres y luego seleccione Editar credenciales de administrador en el menú Acciones. Para cambiarlo mediante programación, use la operación UpdateNamespace o, si utiliza la AWS CLI, ejecute el comando update-namespace. Si cambia el nombre de usuario de administrador, también debe cambiar la contraseña de administrador al mismo tiempo.
[RedshiftServerless.6] Los espacios de nombres de Redshift sin servidor deben exportar registros a Registros de Amazon CloudWatch
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RedshiftServerless::Namespace
AWS Config Regla de: redshift-serverless-publish-logs-to-cloudwatch
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si un espacio de nombres de Amazon Redshift sin servidor está configurado para exportar registros de conexión y registros de usuario a Registros de Amazon CloudWatch. El control falla si el espacio de nombres de Redshift sin servidor no está configurado para exportar los registros a Registros de CloudWatch.
Si configura Amazon Redshift sin servidor para exportar datos de registros de conexión (connectionlog) y registros de usuario (userlog) a un grupo de registro en Registros de Amazon CloudWatch, puede recopilar y almacenar los registros en almacenamiento duradero, lo que puede respaldar revisiones y auditorías de seguridad, acceso y disponibilidad. Con Registros de Amazon CloudWatch, también puede realizar análisis en tiempo real de los datos de registro y usar CloudWatch para crear alarmas y revisar métricas.
Corrección
Para exportar datos de registro desde un espacio de nombres de Amazon Redshift sin servidor a Registros de Amazon CloudWatch, los registros correspondientes se deben seleccionar para su exportación dentro de la configuración de auditoría de registro del espacio de nombres. Para obtener información sobre cómo actualizar estas configuraciones, consulte Edición de la seguridad y el cifrado en la Guía de administración de Amazon Redshift.
