

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 适用于亚马逊 Redshift Serverless 的 Security Hub CSPM 控件
<a name="redshiftserverless-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon Redshift 无服务器服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由
<a name="redshiftserverless-1"></a>

**类别：**保护 > 安全网络配置 > VPC 内的资源

**严重性：**高

**资源类型：**`AWS::RedshiftServerless::Workgroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)

**计划类型：**定期

**参数：**无

此控件检查是否为 Amazon Redshift Serverless 工作组启用了增强型 VPC 路由。如果为工作组禁用了增强型 VPC 路由，则该控件会失败。

如果对 Amazon Redshift 无服务器工作组禁用增强型 VPC 路由，Amazon Redshift 会通过互联网路由流量，包括流向网络内其他服务的流量。 AWS 如果为工作组启用增强型 VPC 路由，Amazon Redshift 会强制基于 Amazon VPC 服务通过虚拟私有云（VPC）路由集群和数据存储库之间的所有 `COPY` 和 `UNLOAD` 流量。借助增强型 VPC 路由，您可以使用标准 VPC 功能来控制 Amazon Redshift 集群与其他资源之间的数据流。这包括 VPC 安全组和终端节点策略、网络访问控制列表 (ACLs) 和域名系统 (DNS) 服务器等功能。您还可以使用 VPC 流日志来监控 `COPY` 和 `UNLOAD` 流量。

### 修复
<a name="redshiftserverless-1-remediation"></a>

有关增强型 VPC 路由以及如何为工作组启用它的更多信息，请参阅《Amazon Redshift 管理指南》**中的[使用 Redshift 增强型 VPC 路由控制网络流量](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html)。

## [RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组
<a name="redshiftserverless-2"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::RedshiftServerless::Workgroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)

**计划类型：**定期

**参数：**无

此控件检查是否需要连接到 Amazon Redshift Serverless 工作组才能加密传输中数据。如果工作组的 `require_ssl` 配置参数设置为 `false`，则该控件会失败。

Amazon Redshift Serverless 工作组是一组计算资源，将 RPUs VPC 子网组和安全组等计算资源组合在一起。工作组的属性包括网络和安全设置。这些设置指定是否应要求与工作组的连接使用 SSL 加密传输中数据。

### 修复
<a name="redshiftserverless-2-remediation"></a>

有关更新 Amazon Redshift Serverless 工作组的设置以要求 SSL 连接的信息，请参阅《Amazon Redshift 管理指南》**中的[连接到 Amazon Redshift Serverless](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html)。

## [RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问
<a name="redshiftserverless-3"></a>

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**高

**资源类型：**`AWS::RedshiftServerless::Workgroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)

**计划类型：**定期

**参数：**无

此控件检查是否为 Amazon Redshift Serverless 工作组禁用了公开访问。它评估 Redshift Serverless 工作组的 `publiclyAccessible` 属性。如果为工作组启用了公开访问（`true`），则该控件会失败。

Amazon Redshift Serverless 工作组的公开访问（`publiclyAccessible`）设置指定是否可以从公共网络访问该工作组。如果为工作组启用了公开访问（`true`），Amazon Redshift 会创建一个弹性 IP 地址，使得可以从 VPC 外部公开访问该工作组。如果您不希望某个工作组可以公开访问，请为其禁用公开访问。

### 修复
<a name="redshiftserverless-3-remediation"></a>

有关更改 Amazon Redshift Serverless 工作组的公开访问设置的信息，请参阅《Amazon Redshift 管理指南》**中的[查看工作组的属性](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html)。

## [RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys
<a name="redshiftserverless-4"></a>

**相关要求：** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9(1)、(10)、2 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12)、 NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::RedshiftServerless::Namespace`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  评估中 AWS KMS keys 要包含的 Amazon 资源名称 (ARNs) 列表。如果 Redshift Serverless 命名空间未使用列表中的 KMS 密钥进行加密，则该控件会生成 `FAILED` 调查发现。  |  StringList （最多 3 件商品）  |  1—3 个 ARNs 现有 KMS 密钥。例如：`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`。  |  无默认值  | 

此控件检查 Amazon Redshift Serverless 命名空间是否使用客户管理型 AWS KMS key进行静态加密。如果未使用客户管理型 KMS 密钥对 Redshift Serverless 命名空间进行加密，则该控件会失败。您可以选择为控件指定要包含在评估中的 KMS 密钥列表。

在 Amazon Redshift Serverless 中，命名空间定义了数据库对象的逻辑容器。此控件会定期检查命名空间的加密设置是否指定由客户管理 AWS KMS key的而不是 AWS 托管的 KMS 密钥来加密命名空间中的数据。使用客户管理型 KMS 密钥，您可以完全控制密钥。这包括定义和维护密钥策略、管理授权、轮换加密材料、分配标签、创建别名以及启用和禁用密钥。

### 修复
<a name="redshiftserverless-4-remediation"></a>

有关更新 Amazon Redshift 无服务器命名空间的加密设置和指定客户托管的命名空间的信息 AWS KMS key，请参阅 *Amazon* Redshift 管理[指南中的更改命名空间](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html)。 AWS KMS key 

## [RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名
<a name="redshiftserverless-5"></a>

**类别：**识别 > 资源配置

**严重性：**中

**资源类型：**`AWS::RedshiftServerless::Namespace`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon Redshift Serverless 命名空间的管理员用户名是否为默认管理员用户名 `admin`。如果 Redshift Serverless 命名空间的管理员用户名为 `admin`，则该控件会失败。

创建 Amazon Redshift Serverless 命名空间时，应为该命名空间指定自定义管理员用户名。默认管理员用户名为公共知识。例如，通过指定自定义管理员用户名，您可以帮助降低命名空间遭受暴力攻击的风险或有效性。

### 修复
<a name="redshiftserverless-5-remediation"></a>

您可以使用 Amazon Redshift Serverless 控制台或 API 更改 Amazon Redshift Serverless 命名空间的管理员用户名。要使用控制台进行更改，请选择命名空间配置，然后在**操作**菜单上选择**编辑管理员凭证**。要以编程方式对其进行更改，请使用[UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html)操作，或者，如果您使用的是，则运行 [update- AWS CLI namesp](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html) ace 命令。如果您更改管理员用户名，则必须同时更改管理员密码。

## [RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch
<a name="redshiftserverless-6"></a>

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::RedshiftServerless::Namespace`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon Redshift Serverless 命名空间是否配置为将连接和用户日志导出到亚马逊日志。 CloudWatch 如果 Redshift Serverless 命名空间未配置为将日志导出到日志，则控制失败。 CloudWatch 

如果您将 Amazon Redshift Serverless 配置为将连接 CloudWatch 日志 (`connectionlog``userlog`) 和用户日志 () 数据导出到 Amazon Logs 中的日志组，则可以收集日志记录并将其存储在持久存储中，这样可以支持安全、访问和可用性审查和审计。借助 CloudWatch 日志，您还可以对日志数据进行实时分析，并 CloudWatch 用于创建警报和查看指标。

### 修复
<a name="redshiftserverless-6-remediation"></a>

要将 Amazon Redshift Serverless 命名空间的 CloudWatch 日志数据导出到 Amazon 日志，必须在该命名空间的审核日志配置设置中选择相应的日志进行导出。有关更新这些设置的信息，请参阅《Amazon Redshift 管理指南》**中的[编辑安全性和加密](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html)。