As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controles CSPM do Security Hub para Amazon Redshift Serverless
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Redshift Serverless. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado
**Categoria:** Proteger > Configuração de rede segura > Recursos na VPC
**Gravidade:** alta
**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o roteamento de VPC aprimorado está habilitado para um grupo de trabalho do Amazon Redshift sem servidor. O controle falhará se o roteamento de VPC aprimorado for desabilitado para o grupo de trabalho.
Se o roteamento de VPC aprimorado for desativado para um grupo de trabalho sem servidor do Amazon Redshift, o Amazon Redshift roteará o tráfego pela Internet, incluindo tráfego para outros serviços dentro da rede. AWS Se você habilitar o roteamento de VPC aprimorado para um grupo de trabalho, o Amazon Redshift forçará todo o tráfego de `COPY` e `UNLOAD` entre seu cluster e seus repositórios de dados através da sua nuvem privada virtual (VPC) com base no serviço da Amazon VPC. Com o roteamento de VPC aprimorado, é possível usar recursos de VPC padrão para controlar o fluxo de dados entre seu cluster do Amazon Redshift e outros recursos. Isso inclui recursos como grupos de segurança de VPC e políticas de endpoint, listas de controle de acesso à rede (ACLs) e servidores DNS (Sistema de Nomes de Domínio). Também é possível usar os logs de fluxo da VPC para monitorar o tráfego de `COPY` e `UNLOAD`.
### Correção
Para obter mais informações sobre o roteamento de VPC aprimorado e como habilitá-lo para um grupo de trabalho, consulte [Controle do tráfego de rede com o roteamento de VPC aprimorado do Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) no *Guia de gerenciamento do Amazon Redshift*.
## [RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se as conexões com um grupo de trabalho do Amazon Redshift sem servidor são obrigadas a criptografar dados em trânsito. O controle falhará se o parâmetro `require_ssl` da configuração do grupo de trabalho estiver definido como `false`.
Um grupo de trabalho sem servidor do Amazon Redshift é uma coleção de recursos computacionais que agrupa recursos computacionais, como grupos de sub-redes RPUs VPC e grupos de segurança. As propriedades de um grupo de trabalho incluem configurações de rede e segurança. Essas configurações especificam se as conexões com um grupo de trabalho devem ser obrigadas a usar SSL para criptografar dados em trânsito.
### Correção
Para obter informações sobre como atualizar as configurações de um grupo de trabalho do Amazon Redshift sem servidor para exigir conexões de SSL, consulte [Conexão com o Amazon Redshift sem servidor](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html) no *Guia de gerenciamento do Amazon Redshift*.
## [RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** alta
**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o acesso público está desabilitado para um grupo de trabalho do Amazon Redshift sem servidor. Ele avalia a propriedade `publiclyAccessible` de um grupo de trabalho do Redshift sem servidor. O controle falhará se o acesso público estiver habilitado (`true`) para o grupo de trabalho.
A configuração de acesso público (`publiclyAccessible`) de um grupo de trabalho do Amazon Redshift sem servidor especifica se o grupo de trabalho pode ser acessado a partir de uma rede pública. Se o acesso público estiver habilitado (`true`) para um grupo de trabalho, o Amazon Redshift cria um endereço IP elástico que torna o grupo de trabalho acessível publicamente de fora da VPC. Se você não quiser que um grupo de trabalho seja acessível ao público, desabilite o acesso público a ele.
### Correção
Para obter informações sobre como alterar a configuração de acesso público para um grupo de trabalho do Amazon Redshift sem servidor, consulte [Visualização das propriedades de um grupo de trabalho](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html) no *Guia de gerenciamento do Amazon Redshift*.
## [RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys
**Requisitos relacionados:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | Uma lista de nomes de recursos da Amazon (ARNs) AWS KMS keys a serem incluídos na avaliação. O controle gerará uma descoberta `FAILED` se um namespace do Redshift sem servidor não estiver criptografado com uma chave do KMS na lista. | StringList (máximo de 3 itens) | 1—3 ARNs das chaves KMS existentes. Por exemplo: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`. | Nenhum valor padrão |
Esse controle verifica se um namespace do Amazon Redshift sem servidor é criptografado em repouso com uma AWS KMS key gerenciada pelo cliente. O controle falhará se o namespace Redshift sem servidor não for criptografado com uma chave do KMS gerenciada pelo cliente. Opcionalmente, é possível especificar uma lista de chaves do KMS para o controle incluir na avaliação.
No Amazon Redshift Serverless, um namespace define um contêiner lógico para objetos de banco de dados. Esse controle verifica periodicamente se as configurações de criptografia de um namespace especificam uma chave KMS gerenciada pelo cliente AWS KMS key, em vez de uma chave AWS gerenciada do KMS, para criptografia de dados no namespace. Com uma chave do KMS gerenciada pelo cliente, você tem controle total sobre a chave. Isso inclui definir e manter a política de chaves, gerenciar concessões, alternar material criptográfico, atribuir tags, criar aliases e habilitar e desabilitar a chave.
### Correção
*Para obter informações sobre a atualização das configurações de criptografia de um namespace sem servidor do Amazon Redshift e a especificação de um cliente gerenciado AWS KMS key, consulte [Alteração de um AWS KMS key namespace no Guia de gerenciamento do](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html) Amazon Redshift.*
## [RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão
**Categoria:** Identificar > Configuração de recursos
**Gravidade:** média
**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o nome de usuário do administrador de um namespace Amazon Redshift sem servidor é o nome de usuário padrão do administrador, `admin`. O controle falhará se o nome de usuário do administrador do namespace Redshift sem servidor for `admin`.
Ao criar um namespace do Amazon Redshift sem servidor, é necessário especificar um nome de usuário de administrador personalizado para o namespace. O nome de usuário padrão do administrador é de conhecimento público. Ao especificar um nome de usuário de administrador personalizado, é possível, por exemplo, ajudar a reduzir o risco ou a eficácia dos ataques de força bruta contra o namespace.
### Correção
É possível alterar o nome de usuário do administrador de um namespace do Amazon Redshift sem servidor usando o console ou a API do Amazon Redshift sem servidor. Para alterá-lo usando o console, escolha a configuração do namespace e escolha **Editar credenciais do administrador** no menu **Ações**. Para alterá-la programaticamente, use a [UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html)operação ou, se estiver usando a AWS CLI, execute o comando [update-namespace](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html). Se você alterar o nome de usuário do administrador, também deverá alterar a senha do administrador ao mesmo tempo.
## [RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um namespace Amazon Redshift Serverless está configurado para exportar registros de conexão e usuário para o Amazon Logs. CloudWatch O controle falhará se o namespace Redshift Serverless não estiver configurado para exportar os registros para o Logs. CloudWatch
Se você configurar o Amazon Redshift Serverless para exportar dados de log de conexão (`connectionlog`) e log de usuário (`userlog`) para um grupo de log no Amazon CloudWatch Logs, poderá coletar e armazenar seus registros de log em armazenamento durável, que pode oferecer suporte a análises e auditorias de segurança, acesso e disponibilidade. Com o CloudWatch Logs, você também pode realizar análises em tempo real dos dados de registro e usá-los CloudWatch para criar alarmes e analisar métricas.
### Correção
Para exportar dados de log de um namespace Amazon Redshift Serverless para o Amazon CloudWatch Logs, os respectivos logs devem ser selecionados para exportação nas configurações de registro de auditoria do namespace. Para obter informações sobre a atualização dessas configurações, consulte [Edição de segurança e criptografia](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html) no *Guia de gerenciamento do Amazon Redshift*.