As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles CSPM do Security Hub para Amazon Redshift Serverless
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Redshift Serverless. Os controles podem não estar disponíveis em todosRegiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado
Categoria: Proteger > Configuração de rede segura > Recursos na VPC
Gravidade: alta
Tipo de recurso: AWS::RedshiftServerless::Workgroup
Regra do AWS Config: redshift-serverless-workgroup-routes-within-vpc
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o roteamento de VPC aprimorado está habilitado para um grupo de trabalho do Amazon Redshift sem servidor. O controle falhará se o roteamento de VPC aprimorado for desabilitado para o grupo de trabalho.
Se o roteamento de VPC aprimorado for desativado para um grupo de trabalho sem servidor do Amazon Redshift, o Amazon Redshift roteará o tráfego pela Internet, incluindo tráfego para outros serviços dentro da rede. AWS Se você habilitar o roteamento de VPC aprimorado para um grupo de trabalho, o Amazon Redshift forçará todo o tráfego de COPY e UNLOAD entre seu cluster e seus repositórios de dados através da sua nuvem privada virtual (VPC) com base no serviço da Amazon VPC. Com o roteamento de VPC aprimorado, é possível usar recursos de VPC padrão para controlar o fluxo de dados entre seu cluster do Amazon Redshift e outros recursos. Isso inclui recursos como grupos de segurança de VPC e políticas de endpoint, listas de controle de acesso à rede (ACLs) e servidores DNS (Sistema de Nomes de Domínio). Também é possível usar os logs de fluxo da VPC para monitorar o tráfego de COPY e UNLOAD.
Correção
Para obter mais informações sobre o roteamento de VPC aprimorado e como habilitá-lo para um grupo de trabalho, consulte Controle do tráfego de rede com o roteamento de VPC aprimorado do Redshift no Guia de gerenciamento do Amazon Redshift.
[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Gravidade: média
Tipo de recurso: AWS::RedshiftServerless::Workgroup
Regra do AWS Config: redshift-serverless-workgroup-encrypted-in-transit
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se as conexões com um grupo de trabalho do Amazon Redshift sem servidor são obrigadas a criptografar dados em trânsito. O controle falhará se o parâmetro require_ssl da configuração do grupo de trabalho estiver definido como false.
Um grupo de trabalho sem servidor do Amazon Redshift é uma coleção de recursos computacionais que agrupa recursos computacionais, como grupos de sub-redes RPUs VPC e grupos de segurança. As propriedades de um grupo de trabalho incluem configurações de rede e segurança. Essas configurações especificam se as conexões com um grupo de trabalho devem ser obrigadas a usar SSL para criptografar dados em trânsito.
Correção
Para obter informações sobre como atualizar as configurações de um grupo de trabalho do Amazon Redshift sem servidor para exigir conexões de SSL, consulte Conexão com o Amazon Redshift sem servidor no Guia de gerenciamento do Amazon Redshift.
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Gravidade: alta
Tipo de recurso: AWS::RedshiftServerless::Workgroup
Regra do AWS Config: redshift-serverless-workgroup-no-public-access
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o acesso público está desabilitado para um grupo de trabalho do Amazon Redshift sem servidor. Ele avalia a propriedade publiclyAccessible de um grupo de trabalho do Redshift sem servidor. O controle falhará se o acesso público estiver habilitado (true) para o grupo de trabalho.
A configuração de acesso público (publiclyAccessible) de um grupo de trabalho do Amazon Redshift sem servidor especifica se o grupo de trabalho pode ser acessado a partir de uma rede pública. Se o acesso público estiver habilitado (true) para um grupo de trabalho, o Amazon Redshift cria um endereço IP elástico que torna o grupo de trabalho acessível publicamente de fora da VPC. Se você não quiser que um grupo de trabalho seja acessível ao público, desabilite o acesso público a ele.
Correção
Para obter informações sobre como alterar a configuração de acesso público para um grupo de trabalho do Amazon Redshift sem servidor, consulte Visualização das propriedades de um grupo de trabalho no Guia de gerenciamento do Amazon Redshift.
[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys
Requisitos relacionados: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SI-7 (6)
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Gravidade: média
Tipo de recurso: AWS::RedshiftServerless::Namespace
Regra do AWS Config: redshift-serverless-namespace-cmk-encryption
Tipo de programação: Periódico
Parâmetros:
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
|---|---|---|---|---|
|
|
Uma lista de nomes de recursos da Amazon (ARNs) AWS KMS keys a serem incluídos na avaliação. O controle gerará uma descoberta |
StringList (máximo de 3 itens) |
1—3 ARNs das chaves KMS existentes. Por exemplo: |
Nenhum valor padrão |
Esse controle verifica se um namespace do Amazon Redshift sem servidor é criptografado em repouso com uma AWS KMS key gerenciada pelo cliente. O controle falhará se o namespace Redshift sem servidor não for criptografado com uma chave do KMS gerenciada pelo cliente. Opcionalmente, é possível especificar uma lista de chaves do KMS para o controle incluir na avaliação.
No Amazon Redshift Serverless, um namespace define um contêiner lógico para objetos de banco de dados. Esse controle verifica periodicamente se as configurações de criptografia de um namespace especificam uma chave KMS gerenciada pelo clienteAWS KMS key, em vez de uma chave AWS gerenciada do KMS, para criptografia de dados no namespace. Com uma chave do KMS gerenciada pelo cliente, você tem controle total sobre a chave. Isso inclui definir e manter a política de chaves, gerenciar concessões, alternar material criptográfico, atribuir tags, criar aliases e habilitar e desabilitar a chave.
Correção
Para obter informações sobre a atualização das configurações de criptografia de um namespace sem servidor do Amazon Redshift e a especificação de um cliente gerenciadoAWS KMS key, consulte Alteração de um AWS KMS key namespace no Guia de gerenciamento do Amazon Redshift.
[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão
Categoria: Identificar > Configuração de recursos
Gravidade: média
Tipo de recurso: AWS::RedshiftServerless::Namespace
Regra do AWS Config: redshift-serverless-default-admin-check
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o nome de usuário do administrador de um namespace Amazon Redshift sem servidor é o nome de usuário padrão do administrador, admin. O controle falhará se o nome de usuário do administrador do namespace Redshift sem servidor for admin.
Ao criar um namespace do Amazon Redshift sem servidor, é necessário especificar um nome de usuário de administrador personalizado para o namespace. O nome de usuário padrão do administrador é de conhecimento público. Ao especificar um nome de usuário de administrador personalizado, é possível, por exemplo, ajudar a reduzir o risco ou a eficácia dos ataques de força bruta contra o namespace.
Correção
É possível alterar o nome de usuário do administrador de um namespace do Amazon Redshift sem servidor usando o console ou a API do Amazon Redshift sem servidor. Para alterá-lo usando o console, escolha a configuração do namespace e escolha Editar credenciais do administrador no menu Ações. Para alterá-la programaticamente, use a UpdateNamespaceoperação ou, se estiver usando aAWS CLI, execute o comando update-namespace. Se você alterar o nome de usuário do administrador, também deverá alterar a senha do administrador ao mesmo tempo.
[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch
Categoria: Identificar > Registro em log
Gravidade: média
Tipo de recurso: AWS::RedshiftServerless::Namespace
Regra do AWS Config: redshift-serverless-publish-logs-to-cloudwatch
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um namespace Amazon Redshift Serverless está configurado para exportar registros de conexão e usuário para o Amazon Logs. CloudWatch O controle falhará se o namespace Redshift Serverless não estiver configurado para exportar os registros para o Logs. CloudWatch
Se você configurar o Amazon Redshift Serverless para exportar dados de log de conexão (connectionlog) e log de usuário (userlog) para um grupo de log no Amazon CloudWatch Logs, poderá coletar e armazenar seus registros de log em armazenamento durável, que pode oferecer suporte a análises e auditorias de segurança, acesso e disponibilidade. Com o CloudWatch Logs, você também pode realizar análises em tempo real dos dados de registro e usá-los CloudWatch para criar alarmes e analisar métricas.
Correção
Para exportar dados de log de um namespace Amazon Redshift Serverless para o Amazon CloudWatch Logs, os respectivos logs devem ser selecionados para exportação nas configurações de registro de auditoria do namespace. Para obter informações sobre a atualização dessas configurações, consulte Edição de segurança e criptografia no Guia de gerenciamento do Amazon Redshift.
