Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Usa AWS Config per monitorare le configurazioni di sicurezza di Amazon Redshift
Creato da Lucas Kauffman (AWS) e abhishek sengar (AWS)
Riepilogo
Utilizzando AWS Config, puoi valutare le configurazioni di sicurezza per le tue risorse AWS. AWS Config può monitorare le risorse e, se le impostazioni di configurazione violano le regole definite, AWS Config contrassegna la risorsa come non conforme.
Puoi utilizzare AWS Config per valutare e monitorare i cluster e i database Amazon Redshift. Per ulteriori informazioni sui consigli e sulle funzionalità di sicurezza, consulta la sezione Sicurezza in Amazon Redshift. Questo modello include regole AWS Lambda personalizzate per AWS Config. Puoi implementare queste regole nel tuo account per monitorare le configurazioni di sicurezza dei cluster e dei database Amazon Redshift. Le regole di questo modello ti aiutano a utilizzare AWS Config per confermare che:
La registrazione di controllo è abilitata per i database nel cluster Amazon Redshift.
SSL è necessario per connettersi al cluster Amazon Redshift
Sono in uso i codici FIPS (Federal Information Processing Standards)
I database nel cluster Amazon Redshift sono crittografati
Il monitoraggio delle attività degli utenti è abilitato
Prerequisiti e limitazioni
Prerequisiti
Un account AWS attivo.
AWS Config deve essere abilitato nel tuo account AWS. Per ulteriori informazioni, consulta Configurazione di AWS Config con la console o Configurazione di AWS Config con l'interfaccia a riga di comando di AWS.
Python versione 3.9 o successiva deve essere utilizzata per il gestore AWS Lambda. Per ulteriori informazioni, consulta Working with Python (documentazione AWS Lambda).
Versioni del prodotto
Python versione 3.9 o successiva
Architettura
Stack tecnologico Target
AWS Config
Architettura di destinazione
AWS Config esegue periodicamente la regola personalizzata.
La regola personalizzata richiama la funzione Lambda.
La funzione Lambda verifica la presenza di configurazioni non conformi nei cluster Amazon Redshift.
La funzione Lambda riporta lo stato di conformità di ogni cluster Amazon Redshift ad AWS Config.
Automazione e scalabilità
Le regole personalizzate di AWS Config si adattano alla valutazione di tutti i cluster Amazon Redshift presenti nel tuo account. Non è richiesta alcuna azione aggiuntiva per scalare questa soluzione.
Strumenti
Servizi AWS
AWS Config fornisce una visione dettagliata delle risorse nel tuo account AWS e di come sono configurate. Ti aiuta a identificare in che modo le risorse sono correlate tra loro e come le loro configurazioni sono cambiate nel tempo.
AWS Identity and Access Management (IAM) ti aiuta a gestire in modo sicuro l'accesso alle tue risorse AWS controllando chi è autenticato e autorizzato a utilizzarle.
AWS Lambda è un servizio di elaborazione che ti aiuta a eseguire codice senza dover fornire o gestire server. Esegue il codice solo quando necessario e si ridimensiona automaticamente, quindi paghi solo per il tempo di calcolo che utilizzi.
Amazon Redshift è un servizio di data warehouse gestito su scala petabyte nel cloud AWS.
Repository di codice
Il codice per questo pattern è disponibile nel GitHub aws-config-rules
REDSHIFT_AUDIT_ENABLED— Verifica che la registrazione di controllo sia abilitata sul cluster Amazon Redshift. Se desideri inoltre confermare che il monitoraggio delle attività degli utenti sia abilitato, implementa invece laREDSHIFT_USER_ACTIVITY_MONITORING_ENABLEDregola.REDSHIFT_SSL_REQUIRED— Verifica che sia necessario SSL per la connessione al cluster Amazon Redshift. Se desideri inoltre confermare che siano in uso i codici FIPS (Federal Information Processing Standards), implementa invece la regola.REDSHIFT_FIPS_REQUIREDREDSHIFT_FIPS_REQUIRED— Verifica che SSL sia richiesto e che i codici FIPS siano in uso.REDSHIFT_DB_ENCRYPTED— Verifica che i database nel cluster Amazon Redshift siano crittografati.REDSHIFT_USER_ACTIVITY_MONITORING_ENABLED— Verifica che la registrazione degli audit e il monitoraggio delle attività degli utenti siano abilitati.
Epiche
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Configura le politiche IAM. |
| Amministratore AWS |
Clonare il repository. | In una shell Bash, esegui il seguente comando. Questo clona il aws-config-rules
| Informazioni generali su AWS |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Implementa le regole in AWS Config. | Seguendo le istruzioni in Creazione di regole Lambda personalizzate (documentazione di AWS Config), distribuisci una o più delle seguenti regole nel tuo account:
| Amministratore AWS |
Verifica che le regole funzionino. | Dopo aver distribuito le regole, segui le istruzioni in Evaluating your resources (documentazione AWS Config) per confermare che AWS Config stia valutando correttamente le tue risorse Amazon Redshift. | Informazioni generali su AWS |
Risorse correlate
Documentazione del servizio AWS
Sicurezza in Amazon Redshift (documentazione Amazon Redshift)
Gestione della sicurezza del database (documentazione Amazon Redshift)
Regole personalizzate di AWS Config (documentazione AWS Config)
Prontuario AWS
Informazioni aggiuntive
Puoi utilizzare le seguenti AWS Managed Rules in AWS Config per confermare le seguenti configurazioni di sicurezza per Amazon Redshift:
redshift-cluster-configuration-check— Utilizza questa regola per confermare che la registrazione di controllo sia abilitata per i database nel cluster Amazon Redshift e confermare che i database siano crittografati.
redshift-require-tls-ssl— Utilizza questa regola per confermare che è necessario SSL per la connessione al cluster Amazon Redshift.
