本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 Amazon Redshift Serverless
这些 Amazon Security Hub 控件可评估 Amazon Redshift Serverless 服务和资源。控件可能无法在所有中可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[RedshiftServerless.1] Amazon Redshift Serverless 工作组应使用增强型 VPC 路由
类别:保护 > 安全网络配置 > VPC 内的资源
严重性:高
资源类型:AWS::RedshiftServerless::Workgroup
Amazon Config 规则:redshift-serverless-workgroup-routes-within-vpc
计划类型:定期
参数:无
此控件检查是否为 Amazon Redshift Serverless 工作组启用了增强型 VPC 路由。如果为工作组禁用增强型 VPC 路由,则控制失败。
如果 Amazon Redshift Serverless 工作组禁用增强型 VPC 路由,则 Amazon Redshift 会通过互联网路由流量,包括至网络中的其他服务的流量。 Amazon 如果您为工作组启用增强型 VPC 路由,则 Amazon Redshift 会强制COPY通过基于 Amazon VPC 服务的 Virtual PC 服务的 Virtual PC 服务的 Virtual PC 服务的 Virtual PC 服务的 Virtual PC 服务的 Virtual PC 服务的 VPC UNLOAD 通过增强型 VPC 路由,您可以使用标准的 VPC 功能来控制 Amazon Redshift 集群与其他资源之间的数据流。这包括 VPC 安全组和终端节点策略、网络访问控制列表 (ACLs) 和域名系统 (DNS) 服务器等功能。还可以使用 VPC 流日志来监控COPY和UNLOAD流量。
修复
有关增强型 VPC 路由以及如何为工作组启用增强型 VPC 路由的更多信息,请参阅 Amazon Redshift 管理指南中的使用 Redshift 增强型 VPC 路由控制网络流量。
[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组
类别:数据加密 data-in-transit
严重性:中
资源类型:AWS::RedshiftServerless::Workgroup
Amazon Config 规则:redshift-serverless-workgroup-encrypted-in-transit
计划类型:定期
参数:无
此控件检查是否需要连接到 Amazon Redshift Serverless 工作组才能对数据加密。如果工作组的require_ssl配置参数设置为,则控制失败。false
Amazon Redshift Serverless 工作组是将计算资源组合在一起,例如 RPUs VPC 子网组和安全组。工作组的属性包括网络和安全设置。这些设置指定是否需要连接到工作组才能使用 SSL 对传输中的数据进行加密。
修复
有关更新亚马逊 Redshift 无服务器工作组的设置以要求 SSL 连接的信息,请参阅《亚马逊 Redshift 管理指南》中的连接到亚马逊 Redshift Serverless。
[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问
类别:保护 > 安全网络配置 > 不公开访问的资源
严重性:高
资源类型:AWS::RedshiftServerless::Workgroup
Amazon Config 规则:redshift-serverless-workgroup-no-public-access
计划类型:定期
参数:无
此控件检查是否为 Amazon Redshift Serverless 工作组禁用公共访问。它评估 Redshift Serverless 工作组的publiclyAccessible属性。如果为工作组启用了公共访问(true),则控制失败。
Amazon Redshift Serverless 工作组的公共访问 (publiclyAccessible) 设置指定是否可以从公共网络访问工作组。如果为工作组启用了公共访问权限 (true),Amazon Redshift 会创建一个弹性 IP 地址,使该工作组可以从 VPC 外部公开访问。如果您不希望某个工作组可以公开访问,请对其禁用公共访问权限。
修复
有关更改 Amazon Redshift 无服务器工作组的公共访问设置的信息,请参阅 Amazon Redshift 管理指南中的查看工作组的属性。
[RedshiftServerless.4] Redshift 无服务器命名空间应使用客户托管进行加密 Amazon KMS keys
相关要求: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9(1)、(10)、2 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12)、 NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)
类别:数据加密 data-at-rest
严重性:中
资源类型:AWS::RedshiftServerless::Namespace
Amazon Config 规则:redshift-serverless-namespace-cmk-encryption
计划类型:定期
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
评估中 Amazon KMS keys 要包含的 Amazon 资源名称 (ARNs) 列表。如果 Redshift Serverless 命名空间未使用列表中的 KMS 密钥进行加密,则该控件会生成一个 |
StringList (最多 3 件商品) |
1—3 个 ARNs 现有 KMS 密钥。例如: |
无默认值 |
此控件检查 Amazon Redshift Serverless 命名空间是否使用客户托管的静态加密。 Amazon KMS key如果 Redshift Serverless 命名空间未使用客户托管的 KMS 密钥加密,则控制失败。您可以选择为控件指定要包含在评估中的 KMS 密钥列表。
在 Amazon Redshift Serverless 中,命名空间定义了数据库对象的逻辑容器。此控件会定期检查命名空间的加密设置是否指定由客户管理 Amazon KMS key的而不是 Amazon 托管的 KMS 密钥来加密命名空间中的数据。使用客户托管的 KMS 密钥,您可以完全控制密钥。这包括定义和维护密钥策略、管理授权、轮换加密材料、分配标签、创建别名以及启用和禁用密钥。
修复
有关更新 Amazon Redshift 无服务器命名空间的加密设置和指定客户托管的命名空间的信息 Amazon KMS key,请参阅 Amazon Redshift 管理指南中的更改命名空间。 Amazon KMS key
[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名
类别:识别 > 资源配置
严重性:中
资源类型:AWS::RedshiftServerless::Namespace
Amazon Config 规则:redshift-serverless-default-admin-check
计划类型:定期
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
Redshift Serverless 命名空间应使用的管理员用户名列表。如果命名空间使用的管理员用户名不在列表中,则控件会生成 |
StringList (最多 6 件商品) |
Redshift Serverless 命名空间的 1—6 个有效管理员用户名。 |
无默认值 |
此控件检查 Amazon Redshift Serverless 命名空间的管理员用户名是否为默认管理员用户名。admin如果 Redshift Serverless 命名空间的管理员用户名为,则控制失败。admin您可以选择指定要包含在评估中的控件的管理员用户名列表。
创建 Amazon Redshift 无服务器命名空间时,应为命名空间指定自定义管理员用户名。默认管理员用户名为公共知识。例如,通过指定自定义管理员用户名,您可以帮助降低针对命名空间的暴力攻击的风险或有效性。
修复
您可以使用亚马逊 Redshift 无服务器控制台或 API 更改亚马逊 Redshift 无服务器命名空间的管理员用户名。要使用控制台进行更改,请选择命名空间配置,然后在 “操作” 菜单上选择 “编辑管理员凭据”。要以编程方式对其进行更改,请使用UpdateNamespace操作,或者,如果您使用的是,则运行 update- Amazon CLI namesp ace 命令。如果您更改管理员用户名,则还必须同时更改管理员密码。
[RedshiftServerless.6] Redshift 无服务器命名空间应将日志导出到日志 CloudWatch
类别:识别 > 日志记录
严重性:中
资源类型:AWS::RedshiftServerless::Namespace
Amazon Config 规则:redshift-serverless-publish-logs-to-cloudwatch
计划类型:定期
参数:无
此控件检查 Amazon Redshift Serverless 命名空间是否配置为将连接和用户日志导出到 Amazon Logs。 CloudWatch 如果 Redshift Serverless 命名空间没有配置为将日志导出到 Logs,则控制失败。 CloudWatch
如果您将 Amazon Redshift Serverless 配置为将连接 CloudWatch 日志 (connectionloguserlog) 和用户日志 () 数据导出到 Amazon Logs 中的日志组,则可以收集日志记录并将其存储在持久存储中,这样可以支持安全、访问和可用性审查和审计。利用 CloudWatch Logs,您还可以对日志数据进行实时分析, CloudWatch 并使用创建告警和查看指标。
修复
要将 Amazon Redshift Serverless 命名空间的 CloudWatch 日志数据导出到 Amazon Logs,必须在命名空间的审核日志配置设置中选择要导出的相应日志。有关更新这些设置的信息,请参阅 Amazon Redshift 管理指南中的编辑安全和加密。
[RedshiftServerless.7] Redshift Serverless 命名空间不应使用默认数据库名称
相关要求: NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2
类别:识别 > 资源配置
严重性:中
资源类型:AWS::RedshiftServerless::Namespace
Amazon Config 规则:redshift-serverless-default-db-name-check
计划类型:定期
参数:无
此控件检查 Amazon Redshift Serverless 命名空间是否使用默认数据库名称。dev如果 Redshift Serverless 命名空间使用默认数据库名称,则控制失败。dev
创建 Amazon Redshift Serverless 命名空间时,应为数据库名称指定一个唯一的自定义值,而不是使用默认数据库名称,即。dev原定设置数据库名称为公共知识。通过指定不同的数据库名称,您可以降低风险,例如未经授权的用户无意中获得对命名空间中数据的访问权限。
修复
创建 Amazon Redshift Serverless 命名后,您无法更改其数据库名称。但是,您可以在创建 Redshift Serverless 命名空间时为 Redshift Serverless 命名空间指定自定义数据库名称。有关创建命名空间的信息,请参阅 Amazon Redshift 管理指南中的工作组和命名空间。