本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Redshift 控件
这些控件与 Amazon Redshift 资源有关。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[Redshift.1] Amazon Redshift 集群应禁止公共访问
相关要求:PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
类别:保护 > 安全网络配置 > 不公开访问的资源
严重性:严重
资源类型:AWS::Redshift::Cluster
Amazon Config 规则:redshift-cluster-public-access-check
计划类型:已触发变更
参数:无
此控件可检查 Amazon Redshift 集群是否公开访问。它会评估集群配置项目中的 PubliclyAccessible
字段。
Amazon Redshift 集群配置的 PubliclyAccessible
属性表示集群是否公开访问。当集群配置为 PubliclyAccessible
设置为 true
时,它是一个面向 Internet 的实例,具有可公开解析的 DNS 名称,可解析为公共 IP 地址。
当集群不可公开访问时,它是一个内部实例,其 DNS 名称可解析为私有 IP 地址。除非您希望集群可以公开访问,否则不应将集群配置为把 PubliclyAccessible
设置为 true
。
修复
要更新 Amazon Redshift 集群以禁用公共访问,请参阅 Amazon Redshift 管理指南中的修改集群。将公开访问设置为否。
[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密
相关要求:NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)。
类别:保护 > 数据保护 > 传输中数据加密
严重性:中
资源类型:AWS::Redshift::Cluster
AWS::Redshift::ClusterParameterGroup
Amazon Config 规则:redshift-require-tls-ssl
计划类型:已触发变更
参数:无
此控件检查是否需要连接到 Amazon Redshift 集群才能在传输中使用加密。如果 Amazon Redshift 集群参数 require_SSL
未设置为 True
,则检查将失败。
TLS 可用于帮助防止潜在的攻击者使用 person-in-the-middle 或类似的攻击来窃听或操纵网络流量。只应允许通过 TLS 进行加密连接。加密传输中数据可能会影响性能。您应该使用此功能测试应用程序,以了解性能概况和 TLS 的影响。
修复
要将 Amazon Redshift 参数组更新为要求加密,请参阅 Amazon Redshift 管理指南中的修改参数组。将 require_ssl
设置为 True。
[Redshift.3] Amazon Redshift 集群应启用自动快照
相关要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-13(5)。
类别:恢复 > 弹性 > 启用备份
严重性:中
资源类型:AWS::Redshift::Cluster
Amazon Config 规则:redshift-backup-enabled
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
|
最短快照保留期(以天为单位) |
整数 |
|
|
此控件检查 Amazon Redshift 集群是否启用了自动快照,以及保留期是否大于或等于指定的时间范围。如果没有为集群启用自动快照,或者保留期小于指定的时间范围,则控制失败。除非您为快照保留期提供自定义参数值,否则 Security Hub 将使用默认值即 7 天。
备份可以帮助您更快地从安全事件中恢复。它们增强了系统的弹性。默认情况下,Amazon Redshift 会定期拍摄快照。此控件检查是否已启用自动快照并将其保留至少七天。有关 Amazon Redshift 自动快照的更多详情,请参阅 Amazon Redshift 管理指南中的自动快照。
修复
要更新 Amazon Redshift 集群的快照保留期,请参阅 Amazon Redshift 管理指南中的修改集群。对于备份,将快照保留期设置为 7 或更大。
[Redshift.4] Amazon Redshift 集群应启用审核日志记录
相关要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。
类别:识别 > 日志记录
严重性:中
资源类型:AWS::Redshift::Cluster
Amazon Config 规则:redshift-cluster-audit-logging-enabled
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
-
loggingEnabled = true
(不可自定义)
此控件用于检查 Amazon Redshift 集群是否启用了审核日志。
Amazon Redshift 审核日志记录提供有关集群中的连接和用户活动的其他信息。这些数据可以存储在 Amazon S3 中并加以保护,有助于安全审计和调查。有关更多信息,请参阅 Amazon Redshift 管理指南中的数据库审核日志记录。
修复
要为 Amazon Redshift 集群配置审核日志记录,请参阅 Amazon Redshift 管理指南中的使用控制台配置审计。
[Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能
相关要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)。
类别:检测 > 漏洞和补丁管理
严重性:中
资源类型:AWS::Redshift::Cluster
Amazon Config 规则:redshift-cluster-maintenancesettings-check
计划类型:已触发变更
参数:
-
allowVersionUpgrade = true
(不可自定义)
此控件检查是否为 Amazon Redshift 集群启用了自动主要版本升级。
启用自动主要版本升级可确保在维护时段内安装 Amazon Redshift 集群的最新主要版本更新。这些更新可能包括安全补丁和错误修复。及时安装补丁程序是保护系统安全的重要一步。
修复
要从中修复此问题 Amazon CLI,请使用 Amazon modify-cluster
Redshift 命令设置--allow-version-upgrade
属性。
aws redshift modify-cluster --cluster-identifier
clustername
--allow-version-upgrade
其中,
是 Amazon Redshift 集群名称的位置。clustername
[Redshift.7] Redshift 集群应使用增强型 VPC 路由
相关要求:NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)。
类别:保护 > 安全网络配置 > API 私有访问
严重性:中
资源类型:AWS::Redshift::Cluster
Amazon Config 规则:redshift-enhanced-vpc-routing-enabled
计划类型:已触发变更
参数:无
此控件会检查 Amazon Redshift 集群是否已启用 EnhancedVpcRouting
。
增强型 VPC 路由强制集群和数据存储库之间的所有 COPY
和 UNLOAD
流量通过 VPC。然后,您可以使用安全组和网络访问控制列表等 VPC 功能来保护网络流量。您还可以使用 VPC Flow 日志监控网络流量。
修复
有关详细的补救说明,请参阅 Amazon Redshift 管理指南中的启用增强型 VPC 路由。
[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名
相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2
类别:识别 > 资源配置
严重性:中
资源类型:AWS::Redshift::Cluster
Amazon Config 规则:redshift-default-admin-check
计划类型:已触发变更
参数:无
此控件检查 Amazon Redshift 集群是否已将管理员用户名从其默认值变更为其他值。如果 Redshift 集群的管理员用户名设置为 awsuser
,则此控制失败。
创建 Redshift 集群时,应将默认管理员用户名变更为唯一值。默认用户名是众所周知的,应在配置时进行变更。变更默认用户名可以降低意外访问的风险。
修复
创建 Amazon Redshift 集群后,您无法更改其管理员用户名。要创建新集群,请按照此处的说明进行操作。
[Redshift.9] Redshift 集群不应使用默认的数据库名称
相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2
类别:识别 > 资源配置
严重性:中
资源类型:AWS::Redshift::Cluster
Amazon Config 规则:redshift-default-db-name-check
计划类型:已触发变更
参数:无
此控件检查 Amazon Redshift 集群是否已将数据库名称从其默认值变更为其他名称。如果 Redshift 集群的数据库名称设置为 dev
,则控制失败。
创建 Redshift 集群时,应将默认数据库名称变更为唯一值。默认名称是众所周知的,应在配置时进行变更。例如,如果在 IAM policy 条件中使用众所周知的名称,则可能会导致意外访问。
修复
创建 Amazon Redshift 集群后,您无法更改其数据库名称。有关创建新集群的说明,请参阅 Amazon Redshift 入门指南中的 Amazon Redshift 入门。
[Redshift.10] Redshift 集群应在静态状态下进行加密
相关要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)。
类别:保护 > 数据保护 > 静态数据加密
严重性:中
资源类型:AWS::Redshift::Cluster
Amazon Config 规则:redshift-cluster-kms-enabled
计划类型:已触发变更
参数:无
此控件会检查 Amazon Redshift 集群是否处于静态加密状态。如果 Redshift 集群未静态加密或者加密密钥与规则参数中提供的密钥不同,则则控制失败。
在 Amazon Redshift 中,您可以为集群开启数据库加密,以帮助保护静态数据。为集群开启加密时,会对集群及其快照的数据块和系统元数据进行加密。静态数据加密是推荐的最佳实践,因为它为数据添加了一层访问管理。对静态 Redshift 集群进行加密可降低未经授权的用户访问磁盘上存储的数据的风险。
修复
要将 Redshift 集群修改为使用 KMS 加密,请参阅 Amazon Redshift 管理指南中的变更集群加密。
[Redshift.11] 应该标记 Redshift 集群
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::Redshift::Cluster
Amazon Config 规则:tagged-redshift-cluster
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合Amazon 要求的标签列表 |
No default value
|
此控件检查 Amazon Redshift 集群是否具有参数中定义的特定密钥的标签。requiredTagKeys
如果集群没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys
。如果requiredTagKeys
未提供该参数,则该控件仅检查标签密钥是否存在,如果集群未使用任何密钥进行标记,则该控件将失败。系统标签会自动应用并以其开头aws:
,但会被忽略。
标签是您分配给 Amazon 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,该策略根据标签定义权限。您可以向 IAM 实体(用户或角色)和 Amazon 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 Amazon? 在 IAM 用户指南中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 Amazon Web Services,包括 Amazon Billing。有关更多标记最佳做法,请参阅中的为Amazon 资源添加标签。Amazon Web Services 一般参考
修复
要向 Redshift 集群添加标签,请参阅亚马逊 Redshift 管理指南中的在亚马逊 Redshift 中为资源添加标签。
[Redshift.12] 应标记 Redshift 事件通知订阅
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::Redshift::EventSubscription
Amazon Config 规则:tagged-redshift-eventsubscription
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合Amazon 要求的标签列表 |
No default value
|
此控件检查 Amazon Redshift 集群快照是否具有参数中定义的特定密钥的标签。requiredTagKeys
如果集群快照没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys
。如果requiredTagKeys
未提供该参数,则该控件仅检查标签密钥是否存在,如果集群快照未使用任何密钥进行标记,则该控件将失败。系统标签会自动应用并以其开头aws:
,但会被忽略。
标签是您分配给 Amazon 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,该策略根据标签定义权限。您可以向 IAM 实体(用户或角色)和 Amazon 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 Amazon? 在 IAM 用户指南中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 Amazon Web Services,包括 Amazon Billing。有关更多标记最佳做法,请参阅中的为Amazon 资源添加标签。Amazon Web Services 一般参考
修复
要向 Redshift 事件通知订阅添加标签,请参阅亚马逊 Redshift 管理指南中的在亚马逊 Redshift 中为资源添加标签。
[Redshift.13] 应标记 Redshift 集群快照
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::Redshift::ClusterSnapshot
Amazon Config 规则:tagged-redshift-clustersnapshot
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合Amazon 要求的标签列表 |
No default value
|
此控件检查 Amazon Redshift 集群快照是否具有参数中定义的特定密钥的标签。requiredTagKeys
如果集群快照没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys
。如果requiredTagKeys
未提供该参数,则该控件仅检查标签密钥是否存在,如果集群快照未使用任何密钥进行标记,则该控件将失败。系统标签会自动应用并以其开头aws:
,但会被忽略。
标签是您分配给 Amazon 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,该策略根据标签定义权限。您可以向 IAM 实体(用户或角色)和 Amazon 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 Amazon? 在 IAM 用户指南中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 Amazon Web Services,包括 Amazon Billing。有关更多标记最佳做法,请参阅中的为Amazon 资源添加标签。Amazon Web Services 一般参考
修复
要向 Redshift 集群快照添加标签,请参阅亚马逊 Redshift 管理指南中的在亚马逊 Redshift 中为资源添加标签。
[Redshift.14] 应标记 Redshift 集群子网组
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::Redshift::ClusterSubnetGroup
Amazon Config 规则:tagged-redshift-clustersubnetgroup
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合Amazon 要求的标签列表 |
No default value
|
此控件检查 Amazon Redshift 集群子网组是否具有参数中定义的特定密钥的标签。requiredTagKeys
如果集群子网组没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys
。如果requiredTagKeys
未提供该参数,则该控件仅检查标签密钥是否存在,如果集群子网组未使用任何密钥进行标记,则该控件将失败。系统标签会自动应用并以其开头aws:
,但会被忽略。
标签是您分配给 Amazon 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,该策略根据标签定义权限。您可以向 IAM 实体(用户或角色)和 Amazon 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 Amazon? 在 IAM 用户指南中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 Amazon Web Services,包括 Amazon Billing。有关更多标记最佳做法,请参阅中的为Amazon 资源添加标签。Amazon Web Services 一般参考
修复
要向 Redshift 集群子网组添加标签,请参阅亚马逊 Redshift 管理指南中的在 Amazon Redshift 中为资源添加标签。
[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口
类别:保护 > 安全网络配置 > 安全组配置
严重性:高
资源类型:AWS::Redshift::Cluster
Amazon Config 规则:redshift-unrestricted-port-access
计划类型:定期
参数:无
此控件检查与 Amazon Redshift 集群关联的安全组是否具有允许从互联网访问集群端口的入口规则(0.0.0.0/0 或:: /0)。如果安全组入口规则允许从 Internet 访问集群端口,则控制失败。
允许对 Redshift 集群端口(带有 /0 后缀的 IP 地址)进行不受限制的入站访问可能会导致未经授权的访问或安全事件。我们建议在创建安全组和配置入站规则时应用最低权限访问原则。
修复
要将 Redshift 集群端口的入口限制为受限来源,请参阅 Amazon VPC 用户指南中的使用安全组规则。更新端口范围与 Redshift 集群端口匹配且 IP 端口范围为 0.0.0.0/0 的规则。