Kontrol Security Hub untuk Amazon Redshift Serverless - AWS Security Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk Amazon Redshift Serverless

AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya Amazon Redshift Serverless. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan

Kategori: Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::RedshiftServerless::Workgroup

AWS Config aturan: redshift-serverless-workgroup-routes-within-vpc

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah perutean VPC yang disempurnakan diaktifkan untuk grup kerja Amazon Redshift Tanpa Server. Kontrol gagal jika perutean VPC yang ditingkatkan dinonaktifkan untuk grup kerja.

Jika perutean VPC yang disempurnakan dinonaktifkan untuk workgroup Amazon Redshift Tanpa Server, Amazon Redshift merutekan lalu lintas melalui internet, termasuk lalu lintas ke layanan lain dalam jaringan. AWS Jika Anda mengaktifkan perutean VPC yang disempurnakan untuk grup kerja, Amazon Redshift memaksa semua UNLOAD lalu lintas antara cluster COPY dan repositori data Anda melalui virtual private cloud (VPC) berdasarkan layanan Amazon VPC. Dengan perutean VPC yang disempurnakan, Anda dapat menggunakan fitur VPC standar untuk mengontrol aliran data antara cluster Amazon Redshift dan sumber daya lainnya. Ini termasuk fitur seperti grup keamanan VPC dan kebijakan titik akhir, daftar kontrol akses jaringan (ACLs), dan server Sistem Nama Domain (DNS). Anda juga dapat menggunakan log aliran VPC untuk memantau COPY dan UNLOAD lalu lintas.

Remediasi

Untuk informasi selengkapnya tentang perutean VPC yang disempurnakan dan cara mengaktifkannya untuk grup kerja, lihat Mengontrol lalu lintas jaringan dengan perutean VPC yang disempurnakan Redshift di Panduan Manajemen Amazon Redshift.

[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL

Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::RedshiftServerless::Workgroup

AWS Config aturan: redshift-serverless-workgroup-encrypted-in-transit

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah koneksi ke workgroup Amazon Redshift Tanpa Server diperlukan untuk mengenkripsi data dalam perjalanan. Kontrol gagal jika parameter require_ssl konfigurasi untuk workgroup diatur kefalse.

Workgroup Amazon Redshift Tanpa Server adalah kumpulan sumber daya komputasi yang mengelompokkan sumber daya komputasi seperti, grup subnet RPUs VPC, dan grup keamanan. Properti workgroup mencakup pengaturan jaringan dan keamanan. Pengaturan ini menentukan apakah koneksi ke workgroup harus diperlukan untuk menggunakan SSL untuk mengenkripsi data dalam perjalanan.

Remediasi

Untuk informasi tentang memperbarui setelan grup kerja Amazon Redshift Tanpa Server agar memerlukan koneksi SSL, lihat Menyambungkan ke Amazon Redshift Tanpa Server di Panduan Manajemen Amazon Redshift.

[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik

Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::RedshiftServerless::Workgroup

AWS Config aturan: redshift-serverless-workgroup-no-public-access

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah akses publik dinonaktifkan untuk grup kerja Amazon Redshift Tanpa Server. Ini mengevaluasi publiclyAccessible properti grup kerja Redshift Serverless. Kontrol gagal jika akses publik diaktifkan (true) untuk workgroup.

Pengaturan public access (publiclyAccessible) untuk workgroup Amazon Redshift Serverless menentukan apakah workgroup dapat diakses dari jaringan publik. Jika akses publik diaktifkan (true) untuk grup kerja, Amazon Redshift akan membuat alamat IP Elastis yang membuat grup kerja dapat diakses publik dari luar VPC. Jika Anda tidak ingin grup kerja dapat diakses publik, nonaktifkan akses publik untuk itu.

Remediasi

Untuk informasi tentang mengubah setelan akses publik untuk grup kerja Amazon Redshift Tanpa Server, lihat Melihat properti untuk grup kerja di Panduan Manajemen Amazon Redshift.

[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys

Persyaratan terkait: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), Nist.800-53.R5 SI-7 (6)

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::RedshiftServerless::Namespace

AWS Config aturan: redshift-serverless-namespace-cmk-encryption

Jenis jadwal: Periodik

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub

kmsKeyArns

Daftar Nama Sumber Daya Amazon (ARNs) AWS KMS keys untuk disertakan dalam evaluasi. Kontrol menghasilkan FAILED temuan jika namespace Redshift Tanpa Server tidak dienkripsi dengan kunci KMS dalam daftar.

StringList (maksimal 3 item)

1—3 kunci ARNs KMS yang ada. Sebagai contoh: arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

Tidak ada nilai default

Kontrol ini memeriksa apakah namespace Amazon Redshift Tanpa Server dienkripsi saat istirahat dengan pelanggan yang dikelola. AWS KMS key Kontrol gagal jika namespace Redshift Tanpa Server tidak dienkripsi dengan kunci KMS yang dikelola pelanggan. Anda dapat secara opsional menentukan daftar kunci KMS untuk kontrol untuk disertakan dalam evaluasi.

Di Amazon Redshift Tanpa Server, namespace mendefinisikan wadah logis untuk objek database. Kontrol ini secara berkala memeriksa apakah pengaturan enkripsi untuk namespace menentukan pelanggan yang dikelola AWS KMS key, bukan kunci KMS yang AWS dikelola, untuk enkripsi data di namespace. Dengan kunci KMS yang dikelola pelanggan, Anda memiliki kendali penuh atas kunci tersebut. Ini termasuk mendefinisikan dan memelihara kebijakan kunci, mengelola hibah, memutar materi kriptografi, menetapkan tag, membuat alias, dan mengaktifkan dan menonaktifkan kunci.

Remediasi

Untuk informasi tentang memperbarui setelan enkripsi untuk namespace Amazon Redshift Tanpa Server dan menentukan pelanggan yang dikelola AWS KMS key, lihat Mengubah AWS KMS key namespace di Panduan Manajemen Amazon Redshift.

[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default

Kategori: Identifikasi > Konfigurasi sumber daya

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::RedshiftServerless::Namespace

AWS Config aturan: redshift-serverless-default-admin-check

Jenis jadwal: Periodik

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub

validAdminUserNames

Daftar nama pengguna admin yang harus digunakan ruang nama Redshift Tanpa Server. Kontrol menghasilkan FAILED temuan jika namespace menggunakan nama pengguna admin yang tidak ada dalam daftar. Daftar tidak dapat menentukan nilai default,admin.

StringList (maksimal 6 item)

1—6 nama pengguna admin yang valid untuk ruang nama Redshift Tanpa Server.

Tidak ada nilai default

Kontrol ini memeriksa apakah nama pengguna admin untuk namespace Amazon Redshift Tanpa Server adalah nama pengguna admin default. admin Kontrol gagal jika nama pengguna admin untuk namespace Redshift Tanpa Server. admin Anda dapat secara opsional menentukan daftar nama pengguna admin untuk kontrol untuk disertakan dalam evaluasi.

Saat membuat namespace Amazon Redshift Tanpa Server, Anda harus menentukan nama pengguna admin khusus untuk namespace. Nama pengguna admin default adalah pengetahuan publik. Dengan menentukan nama pengguna admin kustom, Anda dapat, misalnya, membantu mengurangi risiko atau efektivitas serangan brute force terhadap namespace.

Remediasi

Anda dapat mengubah nama pengguna admin untuk namespace Amazon Redshift Tanpa Server dengan menggunakan konsol Amazon Redshift Serverless atau API. Untuk mengubahnya dengan menggunakan konsol, pilih konfigurasi namespace, lalu pilih Edit kredensi admin di menu Tindakan. Untuk mengubahnya secara terprogram, gunakan UpdateNamespaceoperasi atau, jika Anda menggunakan AWS CLI, jalankan perintah update-namespace. Jika Anda mengubah nama pengguna admin, Anda juga harus mengubah kata sandi admin secara bersamaan.

[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::RedshiftServerless::Namespace

AWS Config aturan: redshift-serverless-publish-logs-to-cloudwatch

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah namespace Amazon Redshift Tanpa Server dikonfigurasi untuk mengekspor koneksi dan log pengguna ke Amazon Logs. CloudWatch Kontrol gagal jika namespace Redshift Tanpa Server tidak dikonfigurasi untuk mengekspor log ke Log. CloudWatch

Jika Anda mengonfigurasi Amazon Redshift Tanpa Server untuk mengekspor data log koneksi (connectionlog) dan log pengguna (userlog) ke grup log di Amazon CloudWatch Logs, Anda dapat mengumpulkan dan menyimpan catatan log Anda dalam penyimpanan tahan lama, yang dapat mendukung ulasan dan audit keamanan, akses, dan ketersediaan. Dengan CloudWatch Log, Anda juga dapat melakukan analisis real-time data log dan digunakan CloudWatch untuk membuat alarm dan meninjau metrik.

Remediasi

Untuk mengekspor data log untuk namespace Amazon Redshift Tanpa Server ke Amazon CloudWatch Logs, masing-masing log harus dipilih untuk diekspor dalam pengaturan konfigurasi pencatatan audit untuk namespace. Untuk informasi tentang memperbarui setelan ini, lihat Mengedit keamanan dan enkripsi di Panduan Manajemen Amazon Redshift.