Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Sumber daya terkait Informasi tambahan

Gunakan AWS Config untuk memantau konfigurasi keamanan Amazon Redshift

Lucas Kauffman dan abhishek sengar, Amazon Web Services

Ringkasan

Menggunakan AWS Config, Anda dapat mengevaluasi konfigurasi keamanan untuk sumber daya AWS Anda. AWS Config dapat memantau sumber daya, dan jika pengaturan konfigurasi melanggar aturan yang Anda tetapkan, AWS Config menandai sumber daya sebagai tidak sesuai.

Anda dapat menggunakan AWS Config untuk mengevaluasi dan memantau cluster dan database Amazon Redshift Anda. Untuk informasi selengkapnya tentang rekomendasi dan fitur keamanan, lihat Keamanan di Amazon Redshift. Pola ini mencakup aturan AWS Lambda khusus untuk AWS Config. Anda dapat menerapkan aturan ini di akun Anda untuk memantau konfigurasi keamanan klaster dan database Amazon Redshift Anda. Aturan dalam pola ini membantu Anda menggunakan AWS Config untuk mengonfirmasi bahwa:

Pencatatan audit diaktifkan untuk database di klaster Amazon Redshift
SSL diperlukan untuk terhubung ke cluster Amazon Redshift
Cipher Federal Information Processing Standards (FIPS) sedang digunakan
Database di cluster Amazon Redshift dienkripsi
Pemantauan aktivitas pengguna diaktifkan

Prasyarat dan batasan

Prasyarat

Akun AWS yang aktif.
AWS Config harus diaktifkan di akun AWS Anda. Untuk informasi selengkapnya, lihat Menyiapkan AWS Config dengan Konsol atau Menyiapkan AWS Config dengan AWS CLI.
Python versi 3.9 atau yang lebih baru harus digunakan untuk penangan AWS Lambda. Untuk informasi selengkapnya, lihat Bekerja dengan Python (dokumentasi AWS Lambda).

Versi produk

Python versi 3.9 atau yang lebih baru

Arsitektur

Tumpukan teknologi target

AWS Config

Arsitektur target

AWS Config menjalankan aturan kustom secara berkala.
Aturan kustom memanggil fungsi Lambda.
Fungsi Lambda memeriksa klaster Amazon Redshift untuk konfigurasi yang tidak sesuai.
Fungsi Lambda melaporkan status kepatuhan setiap cluster Amazon Redshift ke AWS Config.

Otomatisasi dan skala

Skala aturan khusus AWS Config untuk menilai semua klaster Amazon Redshift di akun Anda. Tidak ada tindakan tambahan yang diperlukan untuk menskalakan solusi ini.

Alat

Layanan AWS

AWS Config memberikan tampilan mendetail tentang sumber daya di akun AWS Anda dan cara konfigurasinya. Ini membantu Anda mengidentifikasi bagaimana sumber daya terkait satu sama lain dan bagaimana konfigurasinya telah berubah dari waktu ke waktu.
AWS Identity and Access Management (IAM) membantu Anda mengelola akses ke sumber daya AWS dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.
AWS Lambda adalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.
Amazon Redshift adalah layanan gudang data skala petabyte terkelola di AWS Cloud.

Repositori kode

Kode untuk pola ini tersedia di GitHub aws-config-rulesrepositori. Aturan kustom dalam repositori ini adalah aturan Lambda dalam bahasa pemrograman Python. Repositori ini berisi banyak aturan khusus untuk AWS Config. Hanya aturan berikut yang digunakan dalam pola ini:

REDSHIFT_AUDIT_ENABLED— Konfirmasikan bahwa pencatatan audit diaktifkan di klaster Amazon Redshift. Jika Anda juga ingin mengonfirmasi bahwa pemantauan aktivitas pengguna diaktifkan, gunakan REDSHIFT_USER_ACTIVITY_MONITORING_ENABLED aturan sebagai gantinya.
REDSHIFT_SSL_REQUIRED— Konfirmasikan bahwa SSL diperlukan untuk terhubung ke cluster Amazon Redshift. Jika Anda juga ingin mengonfirmasi bahwa cipher Federal Information Processing Standards (FIPS) sedang digunakan, gunakan aturan sebagai gantinya. REDSHIFT_FIPS_REQUIRED
REDSHIFT_FIPS_REQUIRED— Konfirmasikan bahwa SSL diperlukan dan cipher FIPS sedang digunakan.
REDSHIFT_DB_ENCRYPTED— Konfirmasikan bahwa database di cluster Amazon Redshift dienkripsi.
REDSHIFT_USER_ACTIVITY_MONITORING_ENABLED— Konfirmasikan bahwa pencatatan audit dan pemantauan aktivitas pengguna diaktifkan.

Epik

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Konfigurasikan kebijakan IAM.	Buat kebijakan berbasis identitas IAM khusus yang memungkinkan peran eksekusi Lambda membaca konfigurasi klaster Amazon Redshift. Untuk informasi selengkapnya, lihat Mengelola akses ke sumber daya (dokumentasi Amazon Redshift) dan Membuat kebijakan IAM (dokumentasi IAM). { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "redshift:DescribeClusterParameterGroups", "redshift:DescribeClusterParameters", "redshift:DescribeClusters", "redshift:DescribeClusterSecurityGroups", "redshift:DescribeClusterSnapshots", "redshift:DescribeClusterSubnetGroups", "redshift:DescribeEventSubscriptions", "redshift:DescribeLoggingStatus" ], "Resource": "*" } ] } Tetapkan kebijakan AWSLambdaEksekusi dan AWSConfigRulesExecutionRoleterkelola sebagai kebijakan izin untuk peran eksekusi Lambda. Untuk petunjuk, lihat Menambahkan izin identitas IAM (dokumentasi IAM).	Administrator AWS
Kloning repositori.	Dalam shell Bash, jalankan perintah berikut. Ini mengkloning aws-config-rulesrepositori dari. GitHub `git clone https://github.com/awslabs/aws-config-rules.git`	AWS Umum

Konfigurasikan kebijakan IAM.

Buat kebijakan berbasis identitas IAM khusus yang memungkinkan peran eksekusi Lambda membaca konfigurasi klaster Amazon Redshift. Untuk informasi selengkapnya, lihat Mengelola akses ke sumber daya (dokumentasi Amazon Redshift) dan Membuat kebijakan IAM (dokumentasi IAM).


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "redshift:DescribeClusterParameterGroups",
            "redshift:DescribeClusterParameters",
            "redshift:DescribeClusters",
            "redshift:DescribeClusterSecurityGroups",
            "redshift:DescribeClusterSnapshots",
            "redshift:DescribeClusterSubnetGroups",
            "redshift:DescribeEventSubscriptions",
            "redshift:DescribeLoggingStatus"
        ],
        "Resource": "*"
      }
    ]
}

Tetapkan kebijakan AWSLambdaEksekusi dan AWSConfigRulesExecutionRoleterkelola sebagai kebijakan izin untuk peran eksekusi Lambda. Untuk petunjuk, lihat Menambahkan izin identitas IAM (dokumentasi IAM).

Administrator AWS

Kloning repositori.

Dalam shell Bash, jalankan perintah berikut. Ini mengkloning aws-config-rulesrepositori dari. GitHub


git clone https://github.com/awslabs/aws-config-rules.git

AWS Umum

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Terapkan aturan di AWS Config.	Mengikuti petunjuk dalam Membuat aturan Lambda kustom (dokumentasi AWS Config), terapkan satu atau beberapa aturan berikut di akun Anda: `REDSHIFT_AUDIT_ENABLED` `REDSHIFT_SSL_REQUIRED` `REDSHIFT_FIPS_REQUIRED` `REDSHIFT_DB_ENCRYPTED` `REDSHIFT_USER_ACTIVITY_MONITORING_ENABLED`	Administrator AWS
Verifikasi aturannya fungsional.	Setelah menerapkan aturan, ikuti petunjuk dalam Mengevaluasi sumber daya Anda (dokumentasi AWS Config) untuk mengonfirmasi bahwa AWS Config mengevaluasi resource Amazon Redshift Anda dengan benar.	AWS Umum

Sumber daya terkait

Dokumentasi layanan AWS

Keamanan di Amazon Redshift (dokumentasi Amazon Redshift)
Mengelola keamanan database (dokumentasi Amazon Redshift)
Aturan kustom AWS Config (dokumentasi AWS Config)

AWS Prescriptive Guidance

Informasi tambahan

Anda dapat menggunakan Aturan Terkelola AWS berikut di AWS Config untuk mengonfirmasi konfigurasi keamanan berikut untuk Amazon Redshift:

redshift-cluster-configuration-check— Gunakan aturan ini untuk mengonfirmasi bahwa pencatatan audit diaktifkan untuk database di klaster Amazon Redshift dan mengonfirmasi bahwa database dienkripsi.
redshift-require-tls-ssl— Gunakan aturan ini untuk mengonfirmasi bahwa SSL diperlukan untuk terhubung ke cluster Amazon Redshift.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Perbarui kredensyal dari IAM Identity Center menggunakan PowerShell

Gunakan Network Firewall untuk menangkap nama DNS dari lalu lintas keluar