适用于亚马逊 Redshift Serverless 的 Security Hub 控件 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于亚马逊 Redshift Serverless 的 Security Hub 控件

这些 AWS Security Hub 控制措施用于评估 Amazon Redshift 无服务器服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性

[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由

类别:保护 > 安全网络配置 > VPC 内的资源

严重性:

资源类型:AWS::RedshiftServerless::Workgroup

AWS Config 规则:redshift-serverless-workgroup-routes-within-vpc

计划类型:定期

参数:

此控件检查是否已为 Amazon Redshift 无服务器工作组启用增强型 VPC 路由。如果为工作组禁用增强型 VPC 路由,则控制失败。

如果对 Amazon Redshift 无服务器工作组禁用增强型 VPC 路由,Amazon Redshift 会通过互联网路由流量,包括流向网络内其他服务的流量。 AWS 如果您为工作组启用增强型 VPC 路由,Amazon Redshift 将基于亚马逊 VPC 服务的虚拟私有云 (VPC) 强制您的集群和数据存储库之间COPY的所有UNLOAD流量通过您的虚拟私有云 (VPC)。通过增强型 VPC 路由,您可以使用标准 VPC 功能来控制您的 Amazon Redshift 集群与其他资源之间的数据流。这包括 VPC 安全组和终端节点策略、网络访问控制列表 (ACLs) 和域名系统 (DNS) 服务器等功能。您还可以使用 VPC 流日志来监控COPYUNLOAD流量。

修复

有关增强型 VPC 路由以及如何为工作组启用增强型 VPC 路由的更多信息,请参阅 Amazon Redshift 管理指南中的使用 Redshift 增强型 VPC 路由控制网络流量

[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组

类别:保护 > 数据保护 > 加密 data-in-transit

严重性:

资源类型:AWS::RedshiftServerless::Workgroup

AWS Config 规则:redshift-serverless-workgroup-encrypted-in-transit

计划类型:定期

参数:

此控件检查是否需要连接到 Amazon Redshift 无服务器工作组才能加密传输中的数据。如果工作组的require_ssl配置参数设置为,则控制失败。false

Amazon Redshift Serverless 工作组是一组计算资源,将 RPUs VPC 子网组和安全组等计算资源组合在一起。工作组的属性包括网络和安全设置。这些设置指定是否需要连接到工作组才能使用 SSL 对传输中的数据进行加密。

修复

有关更新亚马逊 Redshift 无服务器工作组的设置以要求 SSL 连接的信息,请参阅《亚马逊 Redshift 管理指南》中的连接到亚马逊 Redshift Serverless

[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问

类别:保护 > 安全网络配置 > 不公开访问的资源

严重性:

资源类型:AWS::RedshiftServerless::Workgroup

AWS Config 规则:redshift-serverless-workgroup-no-public-access

计划类型:定期

参数:

此控件检查是否已禁用 Amazon Redshift 无服务器工作组的公共访问权限。它会评估 Redshift 无服务器工作组的publiclyAccessible属性。如果为工作组启用了公共访问权限 (true),则控制将失败。

Amazon Redshift 无服务器工作组的公共访问权限 (publiclyAccessible) 设置指定是否可以从公共网络访问该工作组。如果为工作组启用了公共访问权限 (true),Amazon Redshift 会创建一个弹性 IP 地址,使该工作组可以从 VPC 外部公开访问。如果您不希望某个工作组可以公开访问,请对其禁用公共访问权限。

修复

有关更改 Amazon Redshift 无服务器工作组的公共访问设置的信息,请参阅 Amazon Redshift 管理指南中的查看工作组的属性

[RedshiftServerless.4] Redshift 无服务器命名空间应使用客户托管进行加密 AWS KMS keys

相关要求: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9(1)、(10)、2 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12)、 NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

类别:保护 > 数据保护 > 加密 data-at-rest

严重性:

资源类型:AWS::RedshiftServerless::Namespace

AWS Config 规则:redshift-serverless-namespace-cmk-encryption

计划类型:定期

参数:

参数 说明 类型 允许的自定义值 Security Hub 默认值

kmsKeyArns

评估中 AWS KMS keys 要包含的 Amazon 资源名称 (ARNs) 列表。如果 Redshift Serverless 命名空间未使用列表中的 KMS 密钥进行加密,则该控件会生成一个FAILED结果。

StringList (最多 3 件商品)

1—3 个 ARNs 现有 KMS 密钥。例如:arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

无默认值

此控件检查 Amazon Redshift Serverless 命名空间是否使用客户托管进行静态加密。 AWS KMS key如果 Redshift Serverless 命名空间未使用客户托管的 KMS 密钥加密,则控制失败。您可以选择为控件指定要包含在评估中的 KMS 密钥列表。

在 Amazon Redshift Serverless 中,命名空间定义了数据库对象的逻辑容器。此控件会定期检查命名空间的加密设置是否指定由客户管理 AWS KMS key的而不是 AWS 托管的 KMS 密钥来加密命名空间中的数据。使用客户托管的 KMS 密钥,您可以完全控制密钥。这包括定义和维护密钥策略、管理授权、轮换加密材料、分配标签、创建别名以及启用和禁用密钥。

修复

有关更新 Amazon Redshift 无服务器命名空间的加密设置和指定客户托管的命名空间的信息 AWS KMS key,请参阅 Amazon Redshift 管理指南中的更改命名空间。 AWS KMS key

[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名

类别:识别 > 资源配置

严重性:

资源类型:AWS::RedshiftServerless::Namespace

AWS Config 规则:redshift-serverless-default-admin-check

计划类型:定期

参数:

参数 说明 类型 允许的自定义值 Security Hub 默认值

validAdminUserNames

Redshift Serverless 命名空间应使用的管理员用户名列表。如果命名空间使用的管理员用户名不在列表中,则控件会生成FAILED查找结果。该列表无法指定默认值admin

StringList (最多 6 件商品)

Redshift Serverless 命名空间的 1—6 个有效管理员用户名。

无默认值

此控件检查 Amazon Redshift Serverless 命名空间的管理员用户名是否为默认管理员用户名。admin如果 Redshift Serverless 命名空间的管理员用户名为,则控制失败。admin您可以选择指定要包含在评估中的控件的管理员用户名列表。

创建 Amazon Redshift 无服务器命名空间时,应为命名空间指定自定义管理员用户名。默认管理员用户名为公共知识。例如,通过指定自定义管理员用户名,您可以帮助降低针对命名空间的暴力攻击的风险或有效性。

修复

您可以使用亚马逊 Redshift 无服务器控制台或 API 更改亚马逊 Redshift 无服务器命名空间的管理员用户名。要使用控制台进行更改,请选择命名空间配置,然后在 “操作” 菜单上选择 “编辑管理员凭据”。要以编程方式对其进行更改,请使用UpdateNamespace操作,或者,如果您使用的是,则运行 update- AWS CLI namesp ace 命令。如果您更改管理员用户名,则还必须同时更改管理员密码。

[RedshiftServerless.6] Redshift 无服务器命名空间应将日志导出到日志 CloudWatch

类别:识别 > 日志记录

严重性:

资源类型:AWS::RedshiftServerless::Namespace

AWS Config 规则:redshift-serverless-publish-logs-to-cloudwatch

计划类型:定期

参数:

此控件检查 Amazon Redshift 无服务器命名空间是否配置为将连接和用户日志导出到亚马逊日志。 CloudWatch 如果 Redshift Serverless 命名空间未配置为将日志导出到日志,则控制失败。 CloudWatch

如果您将 Amazon Redshift Serverless 配置为将连接 CloudWatch 日志 (connectionloguserlog) 和用户日志 () 数据导出到 Amazon Logs 中的日志组,则可以收集日志记录并将其存储在持久存储中,这样可以支持安全、访问和可用性审查和审计。借助 CloudWatch 日志,您还可以对日志数据进行实时分析,并 CloudWatch 用于创建警报和查看指标。

修复

要将 Amazon Redshift Serverless 命名空间的 CloudWatch 日志数据导出到 Amazon 日志,必须在该命名空间的审核日志配置设置中选择相应的日志进行导出。有关更新这些设置的信息,请参阅 Amazon Redshift 管理指南中的编辑安全和加密