Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk Amazon Redshift Serverless
AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya Amazon Redshift Serverless. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan
Kategori: Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::RedshiftServerless::Workgroup
AWS Config aturan: redshift-serverless-workgroup-routes-within-vpc
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah perutean VPC yang disempurnakan diaktifkan untuk grup kerja Amazon Redshift Tanpa Server. Kontrol gagal jika perutean VPC yang ditingkatkan dinonaktifkan untuk grup kerja.
Jika perutean VPC yang disempurnakan dinonaktifkan untuk workgroup Amazon Redshift Tanpa Server, Amazon Redshift merutekan lalu lintas melalui internet, termasuk lalu lintas ke layanan lain dalam jaringan. AWS Jika Anda mengaktifkan perutean VPC yang disempurnakan untuk grup kerja, Amazon Redshift memaksa semua UNLOAD lalu lintas antara cluster COPY dan repositori data Anda melalui virtual private cloud (VPC) berdasarkan layanan Amazon VPC. Dengan perutean VPC yang disempurnakan, Anda dapat menggunakan fitur VPC standar untuk mengontrol aliran data antara cluster Amazon Redshift dan sumber daya lainnya. Ini termasuk fitur seperti grup keamanan VPC dan kebijakan titik akhir, daftar kontrol akses jaringan (ACLs), dan server Sistem Nama Domain (DNS). Anda juga dapat menggunakan log aliran VPC untuk memantau COPY dan UNLOAD lalu lintas.
Remediasi
Untuk informasi selengkapnya tentang perutean VPC yang disempurnakan dan cara mengaktifkannya untuk grup kerja, lihat Mengontrol lalu lintas jaringan dengan perutean VPC yang disempurnakan Redshift di Panduan Manajemen Amazon Redshift.
[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RedshiftServerless::Workgroup
AWS Config aturan: redshift-serverless-workgroup-encrypted-in-transit
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah koneksi ke workgroup Amazon Redshift Tanpa Server diperlukan untuk mengenkripsi data dalam perjalanan. Kontrol gagal jika parameter require_ssl konfigurasi untuk workgroup diatur kefalse.
Workgroup Amazon Redshift Tanpa Server adalah kumpulan sumber daya komputasi yang mengelompokkan sumber daya komputasi seperti, grup subnet RPUs VPC, dan grup keamanan. Properti workgroup mencakup pengaturan jaringan dan keamanan. Pengaturan ini menentukan apakah koneksi ke workgroup harus diperlukan untuk menggunakan SSL untuk mengenkripsi data dalam perjalanan.
Remediasi
Untuk informasi tentang memperbarui setelan grup kerja Amazon Redshift Tanpa Server agar memerlukan koneksi SSL, lihat Menyambungkan ke Amazon Redshift Tanpa Server di Panduan Manajemen Amazon Redshift.
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::RedshiftServerless::Workgroup
AWS Config aturan: redshift-serverless-workgroup-no-public-access
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah akses publik dinonaktifkan untuk grup kerja Amazon Redshift Tanpa Server. Ini mengevaluasi publiclyAccessible properti grup kerja Redshift Serverless. Kontrol gagal jika akses publik diaktifkan (true) untuk workgroup.
Pengaturan public access (publiclyAccessible) untuk workgroup Amazon Redshift Serverless menentukan apakah workgroup dapat diakses dari jaringan publik. Jika akses publik diaktifkan (true) untuk grup kerja, Amazon Redshift akan membuat alamat IP Elastis yang membuat grup kerja dapat diakses publik dari luar VPC. Jika Anda tidak ingin grup kerja dapat diakses publik, nonaktifkan akses publik untuk itu.
Remediasi
Untuk informasi tentang mengubah setelan akses publik untuk grup kerja Amazon Redshift Tanpa Server, lihat Melihat properti untuk grup kerja di Panduan Manajemen Amazon Redshift.
[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys
Persyaratan terkait: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), Nist.800-53.R5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RedshiftServerless::Namespace
AWS Config aturan: redshift-serverless-namespace-cmk-encryption
Jenis jadwal: Periodik
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Daftar Nama Sumber Daya Amazon (ARNs) AWS KMS keys untuk disertakan dalam evaluasi. Kontrol menghasilkan |
StringList (maksimal 3 item) |
1—3 kunci ARNs KMS yang ada. Sebagai contoh: |
Tidak ada nilai default |
Kontrol ini memeriksa apakah namespace Amazon Redshift Tanpa Server dienkripsi saat istirahat dengan pelanggan yang dikelola. AWS KMS key Kontrol gagal jika namespace Redshift Tanpa Server tidak dienkripsi dengan kunci KMS yang dikelola pelanggan. Anda dapat secara opsional menentukan daftar kunci KMS untuk kontrol untuk disertakan dalam evaluasi.
Di Amazon Redshift Tanpa Server, namespace mendefinisikan wadah logis untuk objek database. Kontrol ini secara berkala memeriksa apakah pengaturan enkripsi untuk namespace menentukan pelanggan yang dikelola AWS KMS key, bukan kunci KMS yang AWS dikelola, untuk enkripsi data di namespace. Dengan kunci KMS yang dikelola pelanggan, Anda memiliki kendali penuh atas kunci tersebut. Ini termasuk mendefinisikan dan memelihara kebijakan kunci, mengelola hibah, memutar materi kriptografi, menetapkan tag, membuat alias, dan mengaktifkan dan menonaktifkan kunci.
Remediasi
Untuk informasi tentang memperbarui setelan enkripsi untuk namespace Amazon Redshift Tanpa Server dan menentukan pelanggan yang dikelola AWS KMS key, lihat Mengubah AWS KMS key namespace di Panduan Manajemen Amazon Redshift.
[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default
Kategori: Identifikasi > Konfigurasi sumber daya
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RedshiftServerless::Namespace
AWS Config aturan: redshift-serverless-default-admin-check
Jenis jadwal: Periodik
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Daftar nama pengguna admin yang harus digunakan ruang nama Redshift Tanpa Server. Kontrol menghasilkan |
StringList (maksimal 6 item) |
1—6 nama pengguna admin yang valid untuk ruang nama Redshift Tanpa Server. |
Tidak ada nilai default |
Kontrol ini memeriksa apakah nama pengguna admin untuk namespace Amazon Redshift Tanpa Server adalah nama pengguna admin default. admin Kontrol gagal jika nama pengguna admin untuk namespace Redshift Tanpa Server. admin Anda dapat secara opsional menentukan daftar nama pengguna admin untuk kontrol untuk disertakan dalam evaluasi.
Saat membuat namespace Amazon Redshift Tanpa Server, Anda harus menentukan nama pengguna admin khusus untuk namespace. Nama pengguna admin default adalah pengetahuan publik. Dengan menentukan nama pengguna admin kustom, Anda dapat, misalnya, membantu mengurangi risiko atau efektivitas serangan brute force terhadap namespace.
Remediasi
Anda dapat mengubah nama pengguna admin untuk namespace Amazon Redshift Tanpa Server dengan menggunakan konsol Amazon Redshift Serverless atau API. Untuk mengubahnya dengan menggunakan konsol, pilih konfigurasi namespace, lalu pilih Edit kredensi admin di menu Tindakan. Untuk mengubahnya secara terprogram, gunakan UpdateNamespaceoperasi atau, jika Anda menggunakan AWS CLI, jalankan perintah update-namespace. Jika Anda mengubah nama pengguna admin, Anda juga harus mengubah kata sandi admin secara bersamaan.
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::RedshiftServerless::Namespace
AWS Config aturan: redshift-serverless-publish-logs-to-cloudwatch
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah namespace Amazon Redshift Tanpa Server dikonfigurasi untuk mengekspor koneksi dan log pengguna ke Amazon Logs. CloudWatch Kontrol gagal jika namespace Redshift Tanpa Server tidak dikonfigurasi untuk mengekspor log ke Log. CloudWatch
Jika Anda mengonfigurasi Amazon Redshift Tanpa Server untuk mengekspor data log koneksi (connectionlog) dan log pengguna (userlog) ke grup log di Amazon CloudWatch Logs, Anda dapat mengumpulkan dan menyimpan catatan log Anda dalam penyimpanan tahan lama, yang dapat mendukung ulasan dan audit keamanan, akses, dan ketersediaan. Dengan CloudWatch Log, Anda juga dapat melakukan analisis real-time data log dan digunakan CloudWatch untuk membuat alarm dan meninjau metrik.
Remediasi
Untuk mengekspor data log untuk namespace Amazon Redshift Tanpa Server ke Amazon CloudWatch Logs, masing-masing log harus dipilih untuk diekspor dalam pengaturan konfigurasi pencatatan audit untuk namespace. Untuk informasi tentang memperbarui setelan ini, lihat Mengedit keamanan dan enkripsi di Panduan Manajemen Amazon Redshift.
