Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli del Security Hub per Amazon Redshift Serverless
Questi AWS Security Hub controlli valutano il servizio e le risorse Amazon Redshift Serverless. I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato
Categoria: Protezione > Configurazione di rete sicura > Risorse all'interno del VPC
Gravità: alta
Tipo di risorsa: AWS::RedshiftServerless::Workgroup
Regola AWS Config : redshift-serverless-workgroup-routes-within-vpc
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se il routing VPC avanzato è abilitato per un gruppo di lavoro Amazon Redshift Serverless. Il controllo fallisce se il routing VPC avanzato è disabilitato per il gruppo di lavoro.
Se il routing VPC avanzato è disabilitato per un gruppo di lavoro Amazon Redshift Serverless, Amazon Redshift indirizza il traffico attraverso Internet, incluso il traffico verso altri servizi all'interno della rete. AWS Se abiliti il routing VPC avanzato per un gruppo di lavoro, Amazon Redshift impone tutto il UNLOAD traffico tra il cluster COPY e i tuoi repository di dati attraverso il tuo cloud privato virtuale (VPC) basato sul servizio Amazon VPC. Con il routing VPC migliorato, puoi utilizzare le funzionalità VPC standard per controllare il flusso di dati tra il cluster Amazon Redshift e altre risorse. Ciò include funzionalità come i gruppi di sicurezza VPC e le politiche degli endpoint, le liste di controllo degli accessi alla rete (ACLs) e i server DNS (Domain Name System). Puoi anche utilizzare i log di flusso in VPC per monitorare COPY il traffico. UNLOAD
Correzione
Per ulteriori informazioni sul routing VPC avanzato e su come abilitarlo per un gruppo di lavoro, consulta Controlling network traffic with Redshift Enhanced VPC routing nella Amazon Redshift Management Guide.
[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless di Redshift devono essere necessarie per utilizzare SSL
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::RedshiftServerless::Workgroup
Regola AWS Config : redshift-serverless-workgroup-encrypted-in-transit
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se le connessioni a un gruppo di lavoro Serverless Amazon Redshift sono necessarie per crittografare i dati in transito. Il controllo fallisce se il parametro di require_ssl configurazione per il gruppo di lavoro è impostato su. false
Un gruppo di lavoro Serverless di Amazon Redshift è una raccolta di risorse di elaborazione che raggruppa risorse di calcolo come RPUs sottogruppi di sottoreti VPC e gruppi di sicurezza. Le proprietà di un gruppo di lavoro includono le impostazioni di rete e di sicurezza. Queste impostazioni specificano se devono essere necessarie le connessioni a un gruppo di lavoro per utilizzare SSL per crittografare i dati in transito.
Correzione
Per informazioni sull'aggiornamento delle impostazioni per un gruppo di lavoro Amazon Redshift Serverless per richiedere connessioni SSL, consulta Connecting to Amazon Redshift Serverless nella Amazon Redshift Management Guide.
[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico
Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
Gravità: alta
Tipo di risorsa: AWS::RedshiftServerless::Workgroup
Regola AWS Config : redshift-serverless-workgroup-no-public-access
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se l'accesso pubblico è disabilitato per un gruppo di lavoro Serverless Amazon Redshift. Valuta la publiclyAccessible proprietà di un gruppo di lavoro Redshift Serverless. Il controllo fallisce se l'accesso pubblico è abilitato (true) per il gruppo di lavoro.
L'impostazione public access (publiclyAccessible) per un gruppo di lavoro Amazon Redshift Serverless specifica se è possibile accedere al gruppo di lavoro da una rete pubblica. Se l'accesso pubblico è abilitato (true) per un gruppo di lavoro, Amazon Redshift crea un indirizzo IP elastico che rende il gruppo di lavoro accessibile pubblicamente dall'esterno del VPC. Se non vuoi che un gruppo di lavoro sia accessibile al pubblico, disabilita l'accesso pubblico per esso.
Correzione
Per informazioni sulla modifica dell'impostazione di accesso pubblico per un gruppo di lavoro Serverless Amazon Redshift, consulta Visualizzazione delle proprietà di un gruppo di lavoro nella Amazon Redshift Management Guide.
[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys
Requisiti correlati: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), 2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 (6)
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::RedshiftServerless::Namespace
Regola AWS Config : redshift-serverless-namespace-cmk-encryption
Tipo di pianificazione: periodica
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Un elenco di Amazon Resource Names (ARNs) AWS KMS keys da includere nella valutazione. Il controllo genera un |
StringList (massimo 3 articoli) |
1-3 ARNs delle chiavi KMS esistenti. Ad esempio: |
Nessun valore predefinito |
Questo controllo verifica se uno spazio dei nomi Amazon Redshift Serverless è crittografato quando è inattivo e gestito dal cliente. AWS KMS key Il controllo fallisce se lo spazio dei nomi Redshift Serverless non è crittografato con una chiave KMS gestita dal cliente. Facoltativamente, puoi specificare un elenco di chiavi KMS per il controllo da includere nella valutazione.
In Amazon Redshift Serverless, uno spazio dei nomi definisce un container logico per gli oggetti del database. Questo controllo verifica periodicamente se le impostazioni di crittografia per un namespace specificano una chiave KMS gestita dal cliente AWS KMS key, anziché una chiave KMS AWS gestita, per la crittografia dei dati nello spazio dei nomi. Con una chiave KMS gestita dal cliente, hai il pieno controllo della chiave. Ciò include la definizione e il mantenimento della politica chiave, la gestione delle sovvenzioni, la rotazione del materiale crittografico, l'assegnazione di tag, la creazione di alias e l'attivazione e la disabilitazione della chiave.
Correzione
Per informazioni sull'aggiornamento delle impostazioni di crittografia per uno spazio dei nomi Amazon Redshift Serverless e sulla specificazione di un namespace gestito dal cliente AWS KMS key, consulta Changing the AWS KMS key for a namespace nella Amazon Redshift Management Guide.
[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito
Categoria: Identificazione > Configurazione delle risorse
Gravità: media
Tipo di risorsa: AWS::RedshiftServerless::Namespace
Regola AWS Config : redshift-serverless-default-admin-check
Tipo di pianificazione: periodica
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Un elenco di nomi utente di amministrazione che i namespace Redshift Serverless devono utilizzare. Il controllo genera un |
StringList (massimo 6 articoli) |
1—6 nomi utente di amministrazione validi per i namespace Redshift Serverless. |
Nessun valore predefinito |
Questo controllo verifica se il nome utente di amministratore per uno spazio dei nomi Amazon Redshift Serverless è il nome utente amministratore predefinito,. admin Il controllo fallisce se il nome utente di amministratore per lo spazio dei nomi Redshift Serverless è. admin Facoltativamente, puoi specificare un elenco di nomi utente di amministrazione da includere nel controllo nella valutazione.
Quando crei uno spazio dei nomi Amazon Redshift Serverless, devi specificare un nome utente amministratore personalizzato per lo spazio dei nomi. Il nome utente amministratore predefinito è di dominio pubblico. Specificando un nome utente di amministratore personalizzato, puoi, ad esempio, contribuire a mitigare il rischio o l'efficacia degli attacchi di forza bruta contro il namespace.
Correzione
Puoi modificare il nome utente di amministratore per uno spazio dei nomi Amazon Redshift Serverless utilizzando la console o l'API Amazon Redshift Serverless. Per modificarlo utilizzando la console, scegli la configurazione dello spazio dei nomi, quindi scegli Modifica credenziali di amministratore nel menu Azioni. Per modificarla a livello di codice, usa l'UpdateNamespaceoperazione o, se usi il, esegui il AWS CLI comando update-namespace. Se modifichi il nome utente dell'amministratore, devi modificare contemporaneamente anche la password dell'amministratore.
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::RedshiftServerless::Namespace
Regola AWS Config : redshift-serverless-publish-logs-to-cloudwatch
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se uno spazio dei nomi Amazon Redshift Serverless è configurato per esportare i log di connessione e utente in Amazon Logs. CloudWatch Il controllo fallisce se lo spazio dei nomi Redshift Serverless non è configurato per esportare i log in Logs. CloudWatch
Se configuri Amazon Redshift Serverless per esportare i dati di log di connessione (connectionlog) e log degli utenti (userlog) in un gruppo di log in Amazon CloudWatch Logs, puoi raccogliere e archiviare i tuoi record di log in uno storage durevole, che può supportare revisioni e verifiche di sicurezza, accesso e disponibilità. Con CloudWatch Logs, puoi anche eseguire analisi in tempo reale dei dati di log e utilizzarli CloudWatch per creare allarmi e rivedere i parametri.
Correzione
Per esportare i dati di log per uno spazio dei nomi Amazon Redshift Serverless in CloudWatch Amazon Logs, è necessario selezionare i rispettivi log per l'esportazione nelle impostazioni di configurazione di audit logging per lo spazio dei nomi. Per informazioni sull'aggiornamento di queste impostazioni, consulta Modifica della sicurezza e della crittografia nella Amazon Redshift Management Guide.
