Amazon Redshift の Security Hub コントロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

これらの AWS Security Hub コントロールは、Amazon Redshift サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

関連する要件： NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-77

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度: 非常事態

リソースタイプ : AWS::Redshift::Cluster

AWS Config ルール : redshift-cluster-public-access-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon Redshift クラスターがパブリックにアクセス可能かどうかをチェックします。このコントロールは、クラスター設定項目の PubliclyAccessible フィールドを評価します。

Amazon Redshift クラスター設定の PubliclyAccessible 属性は、クラスターがパブリックにアクセス可能かどうかを示します。クラスターが PubliclyAccessible を true に設定して構成されている場合、パブリックに解決可能な DNS 名を持つインターネット向けインスタンスであり、パブリック IP アドレスに解決されます。

クラスターがパブリックにアクセスできない場合、プライベート IP アドレスに解決される DNS 名を持つ内部インスタンスです。クラスターをパブリックにアクセスさせる意図がない限り、クラスターは PubliclyAccessible を true に設定しないでください。

修正

Amazon Redshift クラスターを更新してパブリックアクセスを無効にするには、「Amazon Redshift 管理ガイド」の「クラスターの変更」を参照してください。[Publicly Accessible] を [No] に設定します。

[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

関連する要件： NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/4.2.1

カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化

重要度: 中

リソースタイプ： AWS::Redshift::Cluster AWS::Redshift::ClusterParameterGroup

AWS Config ルール : redshift-require-tls-ssl

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon Redshift クラスターへの接続において、転送中に暗号化を使用する必要があるかどうかをチェックします。Amazon Redshift クラスターパラメータ require_SSL が True に設定されていない場合、チェックは失敗します。

TLS を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。TLS 経由の暗号化された接続のみを許可する必要があります。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。TLS のパフォーマンスプロファイルと TLS の影響を把握するには、この機能を使用してアプリケーションをテストする必要があります。

修正

Amazon Redshift パラメータグループを更新して暗号化を要求するには、「Amazon Redshift 管理ガイド」の「パラメータグループの変更」を参照してください。require_sslを True に設定します。

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > バックアップの有効化

重要度: 中

リソースタイプ : AWS::Redshift::Cluster

AWS Config ルール : redshift-backup-enabled

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon Redshift クラスターで自動スナップショットが有効になっているかどうか、および保持期間が指定された時間枠以上であるかどうかをチェックします。クラスターの自動スナップショットが有効になっていない場合や、保持期間が指定された時間枠未満の場合、コントロールは失敗します。スナップショット保持期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 7 日を使用します。

バックアップは、セキュリティインシデントからより迅速に復元するために役立ちます。これにより、システムの耐障害性が強化されます。Amazon Redshift は、デフォルトで定期的にスナップショットを作成します。このコントロールは、自動スナップショットが有効で、少なくとも 7 日間保持されているかどうかをチェックします。Amazon Redshift の自動スナップショットの詳細については、「Amazon Redshift 管理ガイド」の「自動スナップショット」を参照してください。

修正

Amazon Redshift クラスターのスナップショット保持期間を更新するには、「Amazon Redshift 管理ガイド」の「クラスターの変更」を参照してください。[Backup] (バックアップ) の場合、[Snapshot retention] (スナップショットの保持) を 7 以上の値に設定します。

[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります

関連する要件： NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.2.15

カテゴリ: 識別 > ログ記録

重要度: 中

リソースタイプ : AWS::Redshift::Cluster

AWS Config ルール: redshift-cluster-audit-logging-enabled (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon Redshift クラスターで監査ログ記録が有効になっているかどうかをチェックします。

Amazon Redshift 監査ログ記録は、ユーザーのクラスター内の接続とユーザーアクティビティに関する追加情報を提供します。このデータは、Amazon S3 内で保存および保護することができ、セキュリティ監査や調査に役立ちます。詳細については、「Amazon Redshift 管理ガイド」の「データベース監査ログ記録」を参照してください。

修正

Amazon Redshift クラスターの監査ログを設定するには、「Amazon Redshift 管理ガイド」の「コンソールを使用して監査を設定する」を参照してください。

[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)

カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理

重要度: 中

リソースタイプ : AWS::Redshift::Cluster

AWS Config ルール : redshift-cluster-maintenancesettings-check

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon Redshift クラスターで自動メジャーバージョンアップグレードが有効になっているかどうかをチェックします。

自動メジャーバージョンアップグレードを有効にすることで、メンテナンスウィンドウ中に Amazon Redshift クラスターの最新のメジャーバージョンの更新がインストールされます。これらのアップデートには、セキュリティパッチやバグ修正が含まれる場合があります。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。

修正

からこの問題を修正するには AWS CLI、Amazon Redshift modify-cluster コマンドを使用して --allow-version-upgrade 属性を設定します。 clusternameは Amazon Redshift クラスターの名前です。

aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade

[Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > API プライベートアクセス

重要度: 中

リソースタイプ : AWS::Redshift::Cluster

AWS Config ルール : redshift-enhanced-vpc-routing-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon Redshift クラスターで EnhancedVpcRouting が有効かどうかをチェックします。

拡張 VPC ルーティングは、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが VPC を経由するよう強制します。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用して、ネットワークトラフィックをモニタリングすることもできます。

修正

詳細な修正手順については、「Amazon Redshift 管理ガイド」の「拡張された VPC ルーティングの有効化」を参照してください。

[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

カテゴリ: 識別 > リソース設定

重要度: 中

リソースタイプ : AWS::Redshift::Cluster

AWS Config ルール : redshift-default-admin-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Redshift クラスターが、管理者ユーザーネームをデフォルト値から変更したかどうかをチェックします。Redshift クラスターの管理者ユーザーネームが awsuser に設定されている場合、このコントロールは失敗します。

Amazon RDS クラスターを作成するときは、デフォルトの管理者ユーザーネームを一意の値に変更する必要があります。デフォルトのユーザーネームはパブリックナレッジであり、設定時に変更する必要があります。デフォルトのユーザーネームを変更すると、意図しないアクセスのリスクが軽減されます。

修正

Amazon Redshift クラスターの管理者ユーザーネームは、作成後に変更することはできません。デフォルト以外のユーザー名で新しいクラスターを作成するには、「Amazon Redshift 入門ガイド」の「ステップ 1: サンプル Amazon Redshift クラスターを作成する」を参照してください。

[Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

カテゴリ: 識別 > リソース設定

重要度: 中

リソースタイプ : AWS::Redshift::Cluster

AWS Config ルール : redshift-default-db-name-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Redshift クラスターが、データベース名をデフォルト値から変更したかどうかをチェックします。Redshift クラスターのデータベース名が dev に設定されている場合、このコントロールは失敗します。

Redshift クラスターを作成するときは、デフォルトのデータベース名を一意の値に変更する必要があります。デフォルトの名前は一般に知られているため、設定時に変更する必要があります。よく知られた名前は、IAM ポリシー条件などで使用されると偶発的なアクセスにつながる可能性があります。

修正

Amazon Redshift クラスターのデータベース名は、作成後に変更することはできません。新規クラスターの作成方法については、「Amazon Redshift の入門ガイド」の「Amazon Redshift の開始方法」を参照してください。

[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化

重要度: 中

リソースタイプ : AWS::Redshift::Cluster

AWS Config ルール : redshift-cluster-kms-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Redshift クラスターが保管時に暗号化されているかどうかをチェックします。Redshift クラスターが保存時に暗号化されていない場合、または暗号化キーがルールパラメータで指定されたキーと異なる場合、コントロールは失敗します。

Amazon Redshift では、クラスターに対してデータベースの暗号化を有効にして、保管中のデータを保護できます。クラスターに対して暗号化を有効にすると、クラスターとそのスナップショットのデータブロックとシステムメタデータが暗号化されます。保管中のデータの暗号化は、データにアクセス管理のレイヤーを追加できるため、推奨されるベストプラクティスです。保管中の Redshift クラスターを暗号化すると、認証されていないユーザーがディスクに保存しているデータにアクセスするリスクが低減されます。

修正

KMS 暗号化を使用するように Redshift クラスターを変更するには、Amazon Redshift 管理ガイドの「クラスターの暗号化の変更」を参照してください。

[Redshift.11] Redshift クラスターにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::Redshift::Cluster

AWS Config ルール: tagged-redshift-cluster (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon Redshift クラスターにパラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。クラスターにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、クラスターにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とは AWS」を参照してください。

修正

Redshift クラスターにタグを追加するには、「Amazon Redshift 管理ガイド」の「Amazon Redshift でのリソースのタグ付け」を参照してください。

[Redshift.12] Redshift イベント通知サブスクリプションにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::Redshift::EventSubscription

AWS Config ルール: tagged-redshift-eventsubscription (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon Redshift クラスタースナップショットに、パラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。クラスタースナップショットにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、クラスタースナップショットにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とは AWS」を参照してください。

修正

Redshift イベント通知サブスクリプションにタグを追加するには、「Amazon Redshift 管理ガイド」の「Amazon Redshift でのリソースのタグ付け」を参照してください。

[Redshift.13] Redshift クラスタースナップショットにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::Redshift::ClusterSnapshot

AWS Config ルール: tagged-redshift-clustersnapshot (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon Redshift クラスタースナップショットに、パラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。クラスタースナップショットにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、クラスタースナップショットにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とは AWS」を参照してください。

修正

Redshift クラスタースナップショットにタグを追加するには、「Amazon Redshift 管理ガイド」の「Amazon Redshift でのリソースのタグ付け」を参照してください。

[Redshift.14] Redshift クラスターサブネットグループにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::Redshift::ClusterSubnetGroup

AWS Config ルール: tagged-redshift-clustersubnetgroup (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon Redshift クラスターサブネットグループに、パラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。クラスターサブネットグループにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、クラスターサブネットグループがキーでタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とは AWS」を参照してください。

修正

Redshift クラスターサブネットグループにタグを追加するには、「Amazon Redshift 管理ガイド」の「Amazon Redshift でのリソースのタグ付け」を参照してください。

[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります

関連する要件： PCI DSS v4.0.1/1.3.1

カテゴリ: 保護 > セキュアなネットワーク設定 > セキュリティグループの設定

重要度: 高

リソースタイプ : AWS::Redshift::Cluster

AWS Config ルール : redshift-unrestricted-port-access

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Redshift クラスターに関連付けられたセキュリティグループに、インターネット (0.0.0.0/0 または ::/0) からのクラスターポートへのアクセスを許可する入力ルールがあるかどうかをチェックします。セキュリティグループの入力ルールがインターネットからのクラスターポートへのアクセスを許可すると、コントロールは失敗します。

Redshift クラスターポート (/0 サフィックスを持つ IP アドレス) への無制限のインバウンドアクセスを許可すると、不正アクセスやセキュリティインシデントが発生する可能性があります。セキュリティグループを作成し、インバウンドルールを設定するときは、最小特権アクセスのプリンシパルを適用することをお勧めします。

修正

Redshift クラスターポートの入力を制限されたオリジンに制限するには、「Amazon VPC ユーザーガイド」の「セキュリティグループルールの操作」を参照してください。ポート範囲が Redshift クラスターポートと一致し、IP ポート範囲が 0.0.0.0/0 であるルールを更新します。

[Redshift.16] Redshift クラスターサブネットグループには、複数のアベイラビリティーゾーンからのサブネットが必要です

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度: 中

リソースタイプ : AWS::Redshift::ClusterSubnetGroup

AWS Config ルール : redshift-cluster-subnet-group-multi-az

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Redshift クラスターサブネットグループに複数のアベイラビリティーゾーン (AZ) からのサブネットがあるかどうかをチェックします。クラスターサブネットグループに少なくとも 2 つの異なる AZs。

複数の AZsと、障害イベントが発生した場合でも Redshift データウェアハウスが動作し続けることができます。

修正

Redshift クラスターサブネットグループを複数の AZs、「Amazon Redshift 管理ガイド」の「クラスターサブネットグループの変更」を参照してください。