기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Redshift Serverless에 대한 Security Hub CSPM 제어
이러한 AWS Security Hub CSPM제어는 Amazon Redshift Serverless 서비스 및 리소스를 평가합니다. 컨트롤을 전혀 사용하지 못할 수 있습니다AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
범주: 보호 > 보안 네트워크 구성 > VPC 내 리소스
심각도: 높음
리소스 유형: AWS::RedshiftServerless::Workgroup
AWS Config 규칙: redshift-serverless-workgroup-routes-within-vpc
스케줄 유형: 주기적
파라미터: 없음
이 제어는 Amazon Redshift Serverless 작업 그룹에 대해 향상된 VPC 라우팅이 활성화되어 있는지 확인합니다. 작업 그룹에 대해 향상된 VPC 라우팅이 비활성화된 경우 제어가 실패합니다.
Amazon Redshift Serverless 작업 그룹에 대해 향상된 VPC 라우팅이 비활성화된 경우 Amazon Redshift는 AWS네트워크 내의 다른 서비스로 트래픽을 포함하여 인터넷을 통해 트래픽을 라우팅합니다. 작업 그룹에 대해 향상된 VPC 라우팅을 활성화하면 Amazon Redshift는 클러스터와 데이터 리포지토리 사이의 COPY 및 UNLOAD 트래픽이 모두 Amazon VPC 서비스를 기반으로 하는 가상 프라이빗 클라우드(VPC)를 통과하도록 강제합니다. 향상된 VPC 라우팅을 사용하여 Amazon Redshift 클러스터와 다른 리소스 간의 데이터 흐름을 제어할 수 있습니다. 여기에는 VPC 보안 그룹 및 엔드포인트 정책, 네트워크 액세스 제어 목록(ACL), 도메인 이름 시스템(DNS) 서버와 같은 기능이 포함됩니다. VPC 흐름 로그를 사용하여 COPY 및 UNLOAD 트래픽을 모니터링할 수도 있습니다.
문제 해결
향상된 VPC 라우팅 및 작업 그룹에 대해 이 기능을 활성화하는 방법에 대한 자세한 내용은 Amazon Redshift 관리 안내서의 Redshift 향상된 VPC 라우팅을 사용하여 네트워크 트래픽 제어를 참조하세요.
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
범주: 보호 > 데이터 보호 > 전송 중인 데이터 암호화
심각도: 중간
리소스 유형: AWS::RedshiftServerless::Workgroup
AWS Config 규칙: redshift-serverless-workgroup-encrypted-in-transit
스케줄 유형: 주기적
파라미터: 없음
이 제어는 Amazon Redshift Serverless 작업 그룹에 대한 연결이 전송 중 데이터를 암호화해야 하는지 확인합니다. 작업 그룹의 require_ssl 구성 파라미터가 false로 설정된 경우 제어가 실패합니다.
Amazon Redshift Serverless 작업 그룹은 RPU, VPC 서브넷 그룹, 보안 그룹과 같은 컴퓨팅 리소스를 그룹화하는 컴퓨팅 리소스 모음입니다. 작업 그룹의 속성에는 네트워크 및 보안 설정이 포함됩니다. 이러한 설정은 작업 그룹에 대한 연결이 SSL을 사용하여 전송 중 데이터를 암호화해야 하는지 여부를 지정합니다.
문제 해결
SSL 연결을 요구하도록 Amazon Redshift Serverless 작업 그룹의 설정을 업데이트하는 방법에 대한 자세한 내용은 Amazon Redshift 관리 안내서의 Amazon Redshift Serverless에 연결을 참조하세요.
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스
심각도: 높음
리소스 유형: AWS::RedshiftServerless::Workgroup
AWS Config 규칙: redshift-serverless-workgroup-no-public-access
스케줄 유형: 주기적
파라미터: 없음
이 제어는 Amazon Redshift Serverless 작업 그룹에 대해 퍼블릭 액세스가 비활성화되었는지 확인합니다. 이를 위해 Redshift Serverless 작업 그룹의 publiclyAccessible 속성을 평가합니다. 작업 그룹에 대해 퍼블릭 액세스가 활성화된 경우(true) 제어가 실패합니다.
Amazon Redshift Serverless 작업 그룹에 대한 퍼블릭 액세스(publiclyAccessible) 설정은 퍼블릭 네트워크에서 작업 그룹에 액세스할 수 있는지 여부를 지정합니다. 작업 그룹에 대해 퍼블릭 액세스가 활성화된 경우(true) Amazon Redshift는 VPC 외부에서 작업 그룹에 공개적으로 액세스할 수 있는 탄력적 IP 주소를 생성합니다. 작업 그룹에 공개적으로 액세스할 수 없도록 하려면 해당 작업 그룹에 대한 퍼블릭 액세스를 비활성화합니다.
문제 해결
Amazon Redshift Serverless 작업 그룹의 퍼블릭 액세스 설정을 변경하는 방법에 대한 자세한 내용은 Amazon Redshift 관리 안내서의 작업 그룹 속성 보기를 참조하세요.
[RedshiftServerless.4] Redshift Serverless 네임스페이스는 고객 관리형 로 암호화해야 합니다.AWS KMS keys
관련 요구 사항: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SC-12(2), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SI-7(6)
범주: 보호 > 데이터 보호 > 저장 데이터 암호화
심각도: 중간
리소스 유형: AWS::RedshiftServerless::Namespace
AWS Config 규칙: redshift-serverless-namespace-cmk-encryption
스케줄 유형: 주기적
파라미터:
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub CSPM 기본값 |
|---|---|---|---|---|
|
|
평가에 AWS KMS keys포함할의 Amazon 리소스 이름(ARNs) 목록입니다. Redshift Serverless 네임스페이스가 목록의 KMS 키로 암호화되지 않은 경우, 제어가 |
StringList(최대 3개 항목) |
기존 KMS 키의 ARN 1~3개. 예를 들어 |
기본값 없음 |
이 제어는 Amazon Redshift Serverless 네임스페이스가 고객 관리형 AWS KMS key로 저장 시 암호화되는지 확인합니다. Redshift Serverless 네임스페이스가 고객 관리형 KMS 키로 암호화되지 않는 경우 제어가 실패합니다. 선택적으로 평가에 포함할 제어에 대한 KMS 키 목록을 지정할 수 있습니다.
Amazon Redshift Serverless에서 네임스페이스는 데이터베이스 객체에 대한 논리적 컨테이너를 정의합니다. 이 제어는 네임스페이스의 암호화 설정이 네임스페이스의 데이터 암호화를 위해 관리형 KMS 키 AWS KMS key대신 고객 AWS관리형를 지정하는지 여부를 주기적으로 확인합니다. 고객 관리형 KMS 키를 사용하면 고객이 키를 완전히 제어할 수 있습니다. 여기에는 키 정책 정의 및 유지 관리, 권한 부여 관리, 암호화 자료 교체, 태그 할당, 별칭 생성, 키 활성화 및 비활성화가 포함됩니다.
문제 해결
Amazon Redshift Serverless 네임스페이스의 암호화 설정 업데이트 및 고객 관리형 지정에 대한 자세한 내용은 Amazon Redshift 관리 안내서의 네임스페이스에 AWS KMS key대한 변경을 AWS KMS key참조하세요.
[RedshiftServerless.5] Redshift Serverless 네임스페이스는 기본 관리자 사용자 이름을 사용해서는 안 됩니다
범주: 식별 > 리소스 구성
심각도: 중간
리소스 유형: AWS::RedshiftServerless::Namespace
AWS Config 규칙: redshift-serverless-default-admin-check
스케줄 유형: 주기적
파라미터: 없음
이 제어는 Amazon Redshift Serverless 네임스페이스의 관리자 사용자 이름이 기본 관리자 사용자 이름인 admin인지 확인합니다. Redshift Serverless 네임스페이스의 관리자 사용자 이름이 admin인 경우 제어가 실패합니다.
Amazon Redshift Serverless 네임스페이스를 생성할 때 네임스페이스의 사용자 지정 관리자 사용자 이름을 지정해야 합니다. 기본 관리자 사용자 이름은 공개 지식입니다. 사용자 지정 관리자 사용자 이름을 지정하면 예를 들어 네임스페이스에 대한 무차별 대입 공격의 위험 또는 효과를 완화하는 데 도움이 될 수 있습니다.
문제 해결
Amazon Redshift Serverless 콘솔 또는 API를 사용하여 Amazon Redshift Serverless 네임스페이스의 관리자 사용자 이름을 변경할 수 있습니다. 콘솔을 사용하여 변경하려면 네임스페이스 구성을 선택한 다음 작업 메뉴에서 관리자 자격 증명 편집을 선택합니다. 프로그래밍 방식으로 변경하려면 UpdateNamespace 작업을 사용하거나를 사용하는 경우 update-namespace 명령을 AWS CLI실행합니다. 관리자 사용자 이름을 변경하는 경우 동시에 관리자 암호도 변경해야 합니다.
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
범주: 식별 > 로깅
심각도: 중간
리소스 유형: AWS::RedshiftServerless::Namespace
AWS Config 규칙: redshift-serverless-publish-logs-to-cloudwatch
스케줄 유형: 주기적
파라미터: 없음
이 제어는 Amazon Redshift Serverless 네임스페이스가 연결 및 사용자 로그를 Amazon CloudWatch Logs로 내보내도록 구성되어 있는지 확인합니다. Redshift Serverless 네임스페이스가 로그를 CloudWatch Logs로 내보내도록 구성되지 않은 경우 제어가 실패합니다.
연결 로그(connectionlog) 및 사용자 로그(userlog) 데이터를 Amazon CloudWatch Logs의 로그 그룹으로 내보내도록 Amazon Redshift Serverless를 구성하면 보안, 액세스 및 가용성 검토 및 감사를 지원할 수 있는 내구성이 뛰어난 스토리지에 로그 레코드를 수집하고 저장할 수 있습니다. CloudWatch Logs를 사용하면 로그 데이터에 대한 실시간 분석을 수행하고 CloudWatch를 사용하여 경보를 생성하고 지표를 확인할 수도 있습니다.
문제 해결
Amazon Redshift Serverless 네임스페이스의 로그 데이터를 Amazon CloudWatch Logs로 내보내려면 네임스페이스에 대한 감사 로깅 구성 설정에서 해당 로그를 내보내도록 선택해야 합니다. 이러한 설정을 업데이트하는 방법에 대한 자세한 내용은 Amazon Redshift 관리 안내서의 보안 및 암호화 편집을 참조하세요.
