本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 Amazon Redshift 的 Security Hub 控件
这些 AWS Security Hub 控制措施用于评估 Amazon Redshift 服务和资源。
这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[Redshift.1] Amazon Redshift 集群应禁止公共访问
相关要求: NIST.800-53.r5 AC-21、、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3、(21)、、、(11) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (16)、(20) NIST.800-53.r5 AC-6、(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 v3.2.1/1.2.1、 NIST.800-53.r5 SC-7 v3.2.1/1.3.1、 NIST.800-53.r5 SC-7 v3.2.1/1.3.2、 NIST.800-53.r5 SC-7 v3.2.1/1.3.2、v3.2.1/1. PCI DSS 3.4、v3.2.1/1.3.4、PCI DSS v3.2.1/1.4.4 PCI DSS PCI DSS PCI DSS PCI DSS
类别:保护 > 安全网络配置 > 不公开访问的资源
严重性:严重
资源类型:AWS::Redshift::Cluster
AWS Config 规则:redshift-cluster-public-access-check
计划类型:已触发变更
参数:无
此控件可检查 Amazon Redshift 集群是否公开访问。它会评估集群配置项目中的 PubliclyAccessible 字段。
Amazon Redshift 集群配置的 PubliclyAccessible 属性表示集群是否公开访问。如果将集群配置为PubliclyAccessible设置true,则它是一个面向 Internet 的实例,其名称可公开解析,该DNS名称可解析为公有 IP 地址。
当集群不可公开访问时,它就是一个内部实例,其DNS名称可解析为私有 IP 地址。除非您希望集群可以公开访问,否则不应将集群配置为把 PubliclyAccessible 设置为 true。
修复
要更新 Amazon Redshift 集群以禁用公共访问,请参阅 Amazon Redshift 管理指南中的修改集群。将公开访问设置为否。
[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密
相关要求: NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 3、3、 NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23)、(4)、 NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2)、PCI DSS v4.0.1/4.2.1
类别:保护 > 数据保护 > 加密 data-in-transit
严重性:中
资源类型:AWS::Redshift::Cluster AWS::Redshift::ClusterParameterGroup
AWS Config 规则:redshift-require-tls-ssl
计划类型:已触发变更
参数:无
此控件检查是否需要连接到 Amazon Redshift 集群才能在传输中使用加密。如果 Amazon Redshift 集群参数 require_SSL 未设置为 True,则检查将失败。
TLS可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。只TLS应允许加密连接。加密传输中数据可能会影响性能。您应该使用此功能测试您的应用程序,以了解其性能概况和影响TLS。
修复
要将 Amazon Redshift 参数组更新为要求加密,请参阅 Amazon Redshift 管理指南中的修改参数组。将 require_ssl 设置为 True。
[Redshift.3] Amazon Redshift 集群应启用自动快照
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、 NIST.800-53.r5 SC-7 (10)、NIST .800-53.r5 SI-13 (5)
类别:恢复 > 弹性 > 启用备份
严重性:中
资源类型:AWS::Redshift::Cluster
AWS Config 规则:redshift-backup-enabled
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
最短快照保留期(以天为单位) |
整数 |
|
|
此控件检查 Amazon Redshift 集群是否启用了自动快照,以及保留期是否大于或等于指定的时间范围。如果没有为集群启用自动快照,或者保留期小于指定的时间范围,则控制失败。除非您为快照保留期提供自定义参数值,否则 Security Hub 将使用默认值即 7 天。
备份可以帮助您更快地从安全事件中恢复。它们增强了系统的弹性。默认情况下,Amazon Redshift 会定期拍摄快照。此控件检查是否已启用自动快照并将其保留至少七天。有关 Amazon Redshift 自动快照的更多详情,请参阅 Amazon Redshift 管理指南中的自动快照。
修复
要更新 Amazon Redshift 集群的快照保留期,请参阅 Amazon Redshift 管理指南中的修改集群。对于备份,将快照保留期设置为 7 或更大。
[Redshift.4] Amazon Redshift 集群应启用审核日志记录
相关要求: NIST.800-53.r5 AC-2(4)、(26)、 NIST.800-53.r5 AC-4 (9)、、 NIST.800-53.r5 AC-6 (9)、.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、NIST .800-53.r5 SI-4 (20)、.8 NIST 00-53.r5 SI-7 (8)、v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST PCI DSS
类别:识别 > 日志记录
严重性:中
资源类型:AWS::Redshift::Cluster
AWS Config 规则:redshift-cluster-audit-logging-enabled(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
-
loggingEnabled = true(不可自定义)
此控件用于检查 Amazon Redshift 集群是否启用了审核日志。
Amazon Redshift 审核日志记录提供有关集群中的连接和用户活动的其他信息。这些数据可以存储在 Amazon S3 中并加以保护,有助于安全审计和调查。有关更多信息,请参阅 Amazon Redshift 管理指南中的数据库审核日志记录。
修复
要为 Amazon Redshift 集群配置审核日志记录,请参阅 Amazon Redshift 管理指南中的使用控制台配置审计。
[Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能
相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2)、.800-53.r5 SI-2、.800-53.r5 SI NIST -2 (2)、.800-53.r5 SI-2 (4)、NIST .800-53.r5 SI-2 (4)、.800-53.r5 SI-2 (5) NIST NIST
类别:识别 > 漏洞、补丁和版本管理
严重性:中
资源类型:AWS::Redshift::Cluster
AWS Config 规则:redshift-cluster-maintenancesettings-check
计划类型:已触发变更
参数:
-
allowVersionUpgrade = true(不可自定义)
此控件检查是否为 Amazon Redshift 集群启用了自动主要版本升级。
启用自动主要版本升级可确保在维护时段内安装 Amazon Redshift 集群的最新主要版本更新。这些更新可能包括安全补丁和错误修复。及时安装补丁程序是保护系统安全的重要一步。
修复
要从中修复此问题 AWS CLI,请使用 Amazon modify-cluster Redshift 命令并设置--allow-version-upgrade属性。 clustername
aws redshift modify-cluster --cluster-identifierclustername--allow-version-upgrade
[Redshift.7] Redshift 集群应使用增强型路由 VPC
相关要求: NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)
类别:保护 > 安全网络配置 > API 私人访问
严重性:中
资源类型:AWS::Redshift::Cluster
AWS Config 规则:redshift-enhanced-vpc-routing-enabled
计划类型:已触发变更
参数:无
此控件会检查 Amazon Redshift 集群是否已启用 EnhancedVpcRouting。
增强的VPC路由会强制集群和数据存储库之间的所有COPYUNLOAD流量通过您的VPC。然后,您可以使用安全组和网络访问控制列表等VPC功能来保护网络流量。您还可以使用VPC流日志来监控网络流量。
修复
有关详细的补救说明,请参阅 Amazon Redshift 管理指南中的启用增强型VPC路由。
[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名
相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2
类别:识别 > 资源配置
严重性:中
资源类型:AWS::Redshift::Cluster
AWS Config 规则:redshift-default-admin-check
计划类型:已触发变更
参数:无
此控件检查 Amazon Redshift 集群是否已将管理员用户名从其默认值变更为其他值。如果 Redshift 集群的管理员用户名设置为 awsuser,则此控制失败。
创建 Redshift 集群时,应将默认管理员用户名变更为唯一值。默认用户名是众所周知的,应在配置时进行变更。变更默认用户名可以降低意外访问的风险。
修复
创建 Amazon Redshift 集群后,您无法更改其管理员用户名。要使用非默认用户名创建新集群,请参阅《Amazon Redshift 入门指南》中的步骤 1:创建示例 Amazon Redshift 集群。
[Redshift.9] Redshift 集群不应使用默认的数据库名称
相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2
类别:识别 > 资源配置
严重性:中
资源类型:AWS::Redshift::Cluster
AWS Config 规则:redshift-default-db-name-check
计划类型:已触发变更
参数:无
此控件检查 Amazon Redshift 集群是否已将数据库名称从其默认值变更为其他名称。如果 Redshift 集群的数据库名称设置为 dev,则控制失败。
创建 Redshift 集群时,应将默认数据库名称变更为唯一值。默认名称是众所周知的,应在配置时进行变更。例如,如果在IAM政策条件中使用知名名称,则可能会导致无意中访问。
修复
创建 Amazon Redshift 集群后,您无法更改其数据库名称。有关创建新集群的说明,请参阅 Amazon Redshift 入门指南中的 Amazon Redshift 入门。
[Redshift.10] Redshift 集群应在静态状态下进行加密
相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、8 (1)、NIST. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)
类别:保护 > 数据保护 > 加密 data-at-rest
严重性:中
资源类型:AWS::Redshift::Cluster
AWS Config 规则:redshift-cluster-kms-enabled
计划类型:已触发变更
参数:无
此控件会检查 Amazon Redshift 集群是否处于静态加密状态。如果 Redshift 集群未静态加密或者加密密钥与规则参数中提供的密钥不同,则则控制失败。
在 Amazon Redshift 中,您可以为集群开启数据库加密,以帮助保护静态数据。为集群开启加密时,会对集群及其快照的数据块和系统元数据进行加密。静态数据加密是推荐的最佳实践,因为它为数据添加了一层访问管理。对静态 Redshift 集群进行加密可降低未经授权的用户访问磁盘上存储的数据的风险。
修复
要修改 Redshift 集群以使用KMS加密,请参阅 Amazon Redshift 管理指南中的更改集群加密。
[Redshift.11] 应标记 Redshift 集群
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::Redshift::Cluster
AWS Config 规则:tagged-redshift-cluster(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 |
No default value
|
此控件可检查 Amazon Redshift 集群是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果集群没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果集群未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 Redshift 集群添加标签,请参阅《Amazon Redshift 管理指南》中的在 Amazon Redshift 中为资源添加标签。
[Redshift.12] 应标记 Redshift 事件通知订阅
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::Redshift::EventSubscription
AWS Config 规则:tagged-redshift-eventsubscription(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 |
No default value
|
此控件可检查 Amazon Redshift 集群快照是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果集群快照没有任何标签键或未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果集群快照未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 Redshift 事件通知订阅添加标签,请参阅《Amazon Redshift 管理指南》中的在 Amazon Redshift 中为资源添加标签。
[Redshift.13] 应标记 Redshift 集群快照
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::Redshift::ClusterSnapshot
AWS Config 规则:tagged-redshift-clustersnapshot(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 |
No default value
|
此控件可检查 Amazon Redshift 集群快照是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果集群快照没有任何标签键或未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果集群快照未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 Redshift 集群快照添加标签,请参阅《Amazon Redshift 管理指南》中的在 Amazon Redshift 中为资源添加标签。
[Redshift.14] 应标记 Redshift 集群子网组
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::Redshift::ClusterSubnetGroup
AWS Config 规则:tagged-redshift-clustersubnetgroup(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 |
No default value
|
此控件可检查 Amazon Redshift 集群子网组是否有具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果集群子网组没有任何标签键或未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果集群子网组未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 Redshift 集群子网组添加标签,请参阅《Amazon Redshift 管理指南》中的在 Amazon Redshift 中为资源添加标签。
[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口
相关要求:PCIDSSv4.0.1/1.3.1
类别:保护 > 安全网络配置 > 安全组配置
严重性:高
资源类型:AWS::Redshift::Cluster
AWS Config 规则:redshift-unrestricted-port-access
计划类型:定期
参数:无
此控件可与检查 Amazon Redshift 集群关联的安全组是否有允许从互联网访问集群端口的入口规则(0.0.0.0/0 或 ::/0)。如果安全组入口规则允许从互联网访问集群端口,则此控件将失败。
允许对 Redshift 集群端口(带有 /0 后缀的 IP 地址)进行不受限制的入站访问可能会导致未经授权的访问或安全事件。我们建议在创建安全组和配置入站规则时应用最低权限访问原则。
修复
要将 Redshift 集群端口的入口限制为受限来源,请参阅 A VPC mazon 用户指南中的使用安全组规则。更新端口范围与 Redshift 集群端口相匹配且 IP 端口范围为 0.0.0.0/0 的规则。
