As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para Amazon Redshift Serverless
Esses AWS Security Hub controles avaliam o serviço e os recursos do Amazon Redshift Serverless. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado
Categoria: Proteger > Configuração de rede segura > Recursos na VPC
Severidade: alta
Tipo de recurso: AWS::RedshiftServerless::Workgroup
Regra do AWS Config : redshift-serverless-workgroup-routes-within-vpc
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o roteamento aprimorado de VPC está habilitado para um grupo de trabalho sem servidor do Amazon Redshift. O controle falhará se o roteamento de VPC aprimorado for desativado para o grupo de trabalho.
Se o roteamento de VPC aprimorado for desativado para um grupo de trabalho sem servidor do Amazon Redshift, o Amazon Redshift roteará o tráfego pela Internet, incluindo tráfego para outros serviços dentro da rede. AWS Se você habilitar o roteamento de VPC aprimorado para um grupo de trabalho, o Amazon Redshift forçará todo o UNLOAD tráfego entre seu cluster COPY e seus repositórios de dados por meio de sua nuvem privada virtual (VPC) com base no serviço Amazon VPC. Com o roteamento aprimorado da VPC, você pode usar os recursos padrão da VPC para controlar o fluxo de dados entre seu cluster do Amazon Redshift e outros recursos. Isso inclui recursos como grupos de segurança de VPC e políticas de endpoint, listas de controle de acesso à rede (ACLs) e servidores DNS (Sistema de Nomes de Domínio). Você também pode usar os registros de fluxo da VPC para monitorar COPY e UNLOAD trafegar.
Correção
Para obter mais informações sobre o roteamento de VPC aprimorado e como habilitá-lo para um grupo de trabalho, consulte Controlando o tráfego de rede com o roteamento de VPC aprimorado do Redshift no Guia de Gerenciamento do Amazon Redshift.
[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::RedshiftServerless::Workgroup
Regra do AWS Config : redshift-serverless-workgroup-encrypted-in-transit
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se as conexões com um grupo de trabalho sem servidor do Amazon Redshift são necessárias para criptografar dados em trânsito. O controle falhará se o parâmetro require_ssl de configuração do grupo de trabalho estiver definido como. false
Um grupo de trabalho sem servidor do Amazon Redshift é uma coleção de recursos computacionais que agrupa recursos computacionais, como grupos de sub-redes RPUs VPC e grupos de segurança. As propriedades de um grupo de trabalho incluem configurações de rede e segurança. Essas configurações especificam se as conexões com um grupo de trabalho devem ser obrigadas a usar SSL para criptografar dados em trânsito.
Correção
Para obter informações sobre como atualizar as configurações de um grupo de trabalho sem servidor do Amazon Redshift para exigir conexões SSL, consulte Conectando-se ao Amazon Redshift Serverless no Guia de gerenciamento do Amazon Redshift.
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Severidade: alta
Tipo de recurso: AWS::RedshiftServerless::Workgroup
Regra do AWS Config : redshift-serverless-workgroup-no-public-access
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o acesso público está desativado para um grupo de trabalho sem servidor do Amazon Redshift. Ele avalia a publiclyAccessible propriedade de um grupo de trabalho sem servidor do Redshift. O controle falhará se o acesso público estiver habilitado (true) para o grupo de trabalho.
A configuração de acesso público (publiclyAccessible) para um grupo de trabalho sem servidor do Amazon Redshift especifica se o grupo de trabalho pode ser acessado de uma rede pública. Se o acesso público estiver habilitado (true) para um grupo de trabalho, o Amazon Redshift cria um endereço IP elástico que torna o grupo de trabalho acessível publicamente de fora da VPC. Se você não quiser que um grupo de trabalho seja acessível ao público, desative o acesso público a ele.
Correção
Para obter informações sobre como alterar a configuração de acesso público para um grupo de trabalho sem servidor do Amazon Redshift, consulte Visualização das propriedades de um grupo de trabalho no Guia de gerenciamento do Amazon Redshift.
[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys
Requisitos relacionados: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SI-7 (6)
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::RedshiftServerless::Namespace
Regra do AWS Config : redshift-serverless-namespace-cmk-encryption
Tipo de programação: Periódico
Parâmetros:
| Parameter | Descrição | Type | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Uma lista de nomes de recursos da Amazon (ARNs) AWS KMS keys a serem incluídos na avaliação. O controle gera uma |
StringList (máximo de 3 itens) |
1—3 ARNs das chaves KMS existentes. Por exemplo: |
Nenhum valor padrão |
Esse controle verifica se um namespace sem servidor do Amazon Redshift está criptografado em repouso com um cliente gerenciado. AWS KMS key O controle falhará se o namespace Redshift Serverless não for criptografado com uma chave KMS gerenciada pelo cliente. Opcionalmente, você pode especificar uma lista de chaves KMS para o controle incluir na avaliação.
No Amazon Redshift Serverless, um namespace define um contêiner lógico para objetos de banco de dados. Esse controle verifica periodicamente se as configurações de criptografia de um namespace especificam uma chave KMS gerenciada pelo cliente AWS KMS key, em vez de uma chave AWS gerenciada do KMS, para criptografia de dados no namespace. Com uma chave KMS gerenciada pelo cliente, você tem controle total da chave. Isso inclui definir e manter a política de chaves, gerenciar concessões, alternar material criptográfico, atribuir tags, criar aliases e ativar e desativar a chave.
Correção
Para obter informações sobre a atualização das configurações de criptografia de um namespace sem servidor do Amazon Redshift e a especificação de um cliente gerenciado AWS KMS key, consulte Alteração de um AWS KMS key namespace no Guia de gerenciamento do Amazon Redshift.
[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão
Categoria: Identificar > Configuração de recursos
Severidade: média
Tipo de recurso: AWS::RedshiftServerless::Namespace
Regra do AWS Config : redshift-serverless-default-admin-check
Tipo de programação: Periódico
Parâmetros:
| Parameter | Descrição | Type | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Uma lista de nomes de usuário administrativos que os namespaces do Redshift Serverless devem usar. O controle gera uma |
StringList (máximo de 6 itens) |
1—6 nomes de usuário administrativos válidos para namespaces Redshift Serverless. |
Nenhum valor padrão |
Esse controle verifica se o nome de usuário do administrador de um namespace Amazon Redshift Serverless é o nome de usuário padrão do administrador,. admin O controle falhará se o nome de usuário do administrador do namespace Redshift Serverless for. admin Opcionalmente, você pode especificar uma lista de nomes de usuário administrativos para o controle incluir na avaliação.
Ao criar um namespace Amazon Redshift Serverless, você deve especificar um nome de usuário de administrador personalizado para o namespace. O nome de usuário padrão do administrador é de conhecimento público. Ao especificar um nome de usuário de administrador personalizado, você pode, por exemplo, ajudar a reduzir o risco ou a eficácia dos ataques de força bruta contra o namespace.
Correção
Você pode alterar o nome de usuário do administrador de um namespace Amazon Redshift Serverless usando o console ou a API do Amazon Redshift Serverless. Para alterá-lo usando o console, escolha a configuração do namespace e escolha Editar credenciais de administrador no menu Ações. Para alterá-la programaticamente, use a UpdateNamespaceoperação ou, se estiver usando a AWS CLI, execute o comando update-namespace. Se você alterar o nome de usuário do administrador, também deverá alterar a senha do administrador ao mesmo tempo.
[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::RedshiftServerless::Namespace
Regra do AWS Config : redshift-serverless-publish-logs-to-cloudwatch
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um namespace Amazon Redshift Serverless está configurado para exportar registros de conexão e usuário para o Amazon Logs. CloudWatch O controle falhará se o namespace Redshift Serverless não estiver configurado para exportar os registros para o Logs. CloudWatch
Se você configurar o Amazon Redshift Serverless para exportar dados de log de conexão (connectionlog) e log de usuário (userlog) para um grupo de log no Amazon CloudWatch Logs, poderá coletar e armazenar seus registros de log em armazenamento durável, que pode oferecer suporte a análises e auditorias de segurança, acesso e disponibilidade. Com o CloudWatch Logs, você também pode realizar análises em tempo real dos dados de registro e usá-los CloudWatch para criar alarmes e analisar métricas.
Correção
Para exportar dados de log de um namespace Amazon Redshift Serverless para o Amazon CloudWatch Logs, os respectivos logs devem ser selecionados para exportação nas configurações de registro de auditoria do namespace. Para obter informações sobre a atualização dessas configurações, consulte Edição de segurança e criptografia no Guia de gerenciamento do Amazon Redshift.
