本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Redshift 的 Security Hub 控制項
這些 AWS Security Hub 控制項會評估 Amazon Redshift 服務和資源。
這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性。
【Redshift.1】 Amazon Redshift 叢集應禁止公開存取
相關要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)、PCIDSSv3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.2、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/1.3.6、PCIDSSv4.0.1/1.4.4
類別:保護 > 安全網路組態 > 資源不可公開存取
嚴重性:嚴重
資源類型: AWS::Redshift::Cluster
AWS Config 規則:redshift-cluster-public-access-check
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon Redshift 叢集是否可公開存取。它會評估叢集組態項目中的 PubliclyAccessible 欄位。
Amazon Redshift 叢集組態的PubliclyAccessible屬性會指出叢集是否可公開存取。當叢集設定為 PubliclyAccessible時true,它是一個面向網際網路的執行個體,具有可公開解析DNS的名稱,可解析為公有 IP 地址。
當叢集無法公開存取時,它是內部執行個體,其DNS名稱會解析為私有 IP 地址。除非您打算讓叢集公開存取,否則叢集不應PubliclyAccessible設定為 true。
修補
若要更新 Amazon Redshift 叢集以停用公有存取,請參閱《Amazon Redshift 管理指南》中的修改叢集。將可公開存取設定為否。
【Redshift.2】 與 Amazon Redshift 叢集的連線應在傳輸中加密
相關要求: NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23(3)、 NIST.800-53.r5 SC-7(4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8、(1)、 NIST.800-53.r5 SC-8(2)、PCIDSSv4.0.1/4.2.1
類別:保護 > 資料保護 > 加密 data-in-transit
嚴重性:中
資源類型: AWS::Redshift::Cluster AWS::Redshift::ClusterParameterGroup
AWS Config 規則:redshift-require-tls-ssl
排程類型:已觸發變更
參數:無
此控制項會檢查是否需要連線至 Amazon Redshift 叢集,才能使用傳輸中的加密。如果 Amazon Redshift 叢集參數require_SSL未設定為 ,則檢查會失敗True。
TLS 可用來協助防止潛在攻擊者使用 person-in-the-middle 或類似的攻擊來竊聽或操作網路流量。只TLS允許透過 加密的連線。加密傳輸中的資料可能會影響效能。您應該使用此功能測試應用程式,以了解效能描述檔和 的影響TLS。
修補
若要將 Amazon Redshift 參數群組更新為需要加密,請參閱《Amazon Redshift 管理指南》中的修改參數群組。require_ssl 設定為 True。
【Redshift.3】 Amazon Redshift 叢集應該啟用自動快照
相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-13(5)
類別:復原 > 復原能力 > 備份已啟用
嚴重性:中
資源類型: AWS::Redshift::Cluster
AWS Config 規則:redshift-backup-enabled
排程類型:變更已觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
最短快照保留期間,以天為單位 |
Integer |
|
|
此控制項會檢查 Amazon Redshift 叢集是否已啟用自動快照,以及大於或等於指定時間範圍的保留期間。如果叢集未啟用自動快照,或保留期間少於指定的時間範圍,則控制項會失敗。除非您提供快照保留期間的自訂參數值,否則 Security Hub 會使用預設值 7 天。
備份可協助您更快地從安全事件中復原。它們可增強您系統的彈性。根據預設,Amazon Redshift 會定期拍攝快照。此控制項會檢查是否啟用自動快照並保留至少七天。如需 Amazon Redshift 自動化快照的詳細資訊,請參閱《Amazon Redshift 管理指南》中的自動化快照。
修補
若要更新 Amazon Redshift 叢集的快照保留期,請參閱《Amazon Redshift 管理指南》中的修改叢集。對於備份,將快照保留值設定為 7 或更高。
【Redshift.4】 Amazon Redshift 叢集應該啟用稽核記錄
相關要求: NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCIDSSv4.0.1/10.2.1
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::Redshift::Cluster
AWS Config rule:redshift-cluster-audit-logging-enabled(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
-
loggingEnabled = true(不可自訂)
此控制項會檢查 Amazon Redshift 叢集是否已啟用稽核記錄。
Amazon Redshift 稽核記錄提供叢集中連線和使用者活動的其他資訊。此資料可在 Amazon S3 中存放和保護,並有助於安全稽核和調查。如需詳細資訊,請參閱《Amazon Redshift 管理指南》中的資料庫稽核記錄。
修補
若要設定 Amazon Redshift 叢集的稽核記錄,請參閱《Amazon Redshift 管理指南》中的使用主控台設定稽核。
【Redshift.6】 Amazon Redshift 應該已啟用主要版本的自動升級
相關要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)
類別:識別 > 漏洞、修補程式和版本管理
嚴重性:中
資源類型: AWS::Redshift::Cluster
AWS Config 規則:redshift-cluster-maintenancesettings-check
排程類型:變更觸發
參數:
-
allowVersionUpgrade = true(不可自訂)
此控制項會檢查是否已啟用 Amazon Redshift 叢集的自動主要版本升級。
啟用自動主要版本升級可確保在維護時段期間安裝 Amazon Redshift 叢集的最新主要版本更新。這些更新可能包括安全修補程式和錯誤修正。隨時掌握修補程式安裝的最新消息,是保護系統安全的重要步驟。
修補
若要從 修復此問題 AWS CLI,請使用 Amazon Redshift modify-cluster命令,並設定 --allow-version-upgrade 屬性。 clustername
aws redshift modify-cluster --cluster-identifierclustername--allow-version-upgrade
【Redshift.7】 Redshift 叢集應使用增強型VPC路由
相關要求: NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 SC-7、、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)
類別:保護 > 安全網路組態 > API私有存取
嚴重性:中
資源類型: AWS::Redshift::Cluster
AWS Config 規則:redshift-enhanced-vpc-routing-enabled
排程類型:變更觸發
參數:無
此控制項會檢查 Amazon Redshift 叢集是否EnhancedVpcRouting已啟用。
增強型VPC路由會強制叢集COPY和資料儲存庫之間的所有 和UNLOAD流量通過您的 VPC。然後,您可以使用安全群組和網路存取控制清單等VPC功能來保護網路流量。您也可以使用VPC流程日誌來監控網路流量。
修補
如需詳細修復指示,請參閱《Amazon Redshift 管理指南》中的啟用增強型VPC路由。
【Redshift.8】 Amazon Redshift 叢集不應使用預設的 Admin 使用者名稱
相關要求: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
類別:識別 > 資源組態
嚴重性:中
資源類型: AWS::Redshift::Cluster
AWS Config 規則:redshift-default-admin-check
排程類型:變更觸發
參數:無
此控制項會檢查 Amazon Redshift 叢集是否已從其預設值變更管理員使用者名稱。如果 Redshift 叢集的管理員使用者名稱設定為 ,則此控制項會失敗awsuser。
建立 Redshift 叢集時,您應該將預設管理員使用者名稱變更為唯一值。預設使用者名稱是公有知識,應在組態時變更。變更預設使用者名稱可降低意外存取的風險。
修補
您無法在建立 Amazon Redshift 叢集之後變更其管理使用者名稱。若要使用非預設使用者名稱建立新的叢集,請參閱《Amazon Redshift 入門指南》中的步驟 1:建立範例 Amazon Redshift 叢集。
【Redshift.9】 Redshift 叢集不應使用預設資料庫名稱
相關要求: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
類別:識別 > 資源組態
嚴重性:中
資源類型: AWS::Redshift::Cluster
AWS Config 規則:redshift-default-db-name-check
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon Redshift 叢集是否已從其預設值變更資料庫名稱。如果 Redshift 叢集的資料庫名稱設定為 ,則控制項會失敗dev。
建立 Redshift 叢集時,您應該將預設資料庫名稱變更為唯一值。預設名稱是公開知識,應在設定時進行變更。例如,如果在IAM政策條件下使用已知名稱,可能會導致意外存取。
修補
您無法在建立 Amazon Redshift 叢集之後變更其資料庫名稱。如需建立新叢集的說明,請參閱《Amazon Redshift 入門指南》中的 Amazon Redshift 入門。
【Redshift.10】 應靜態加密 Redshift 叢集
相關要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-28、 NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)
類別:保護 > 資料保護 > 加密 data-at-rest
嚴重性:中
資源類型: AWS::Redshift::Cluster
AWS Config 規則:redshift-cluster-kms-enabled
排程類型:變更觸發
參數:無
此控制項會檢查 Amazon Redshift 叢集是否靜態加密。如果 Redshift 叢集未靜態加密,或加密金鑰與規則參數中提供的金鑰不同,則控制項會失敗。
在 Amazon Redshift 中,您可以為您的叢集開啟資料庫加密,以協助保護靜態資料。開啟叢集的加密時,叢集和其快照的資料區塊和系統中繼資料會加密。加密靜態資料是建議的最佳實務,因為它會為您的資料新增一層存取管理。加密靜態 Redshift 叢集可降低未經授權的使用者存取磁碟上存放資料的風險。
修補
若要修改 Redshift 叢集以使用KMS加密,請參閱《Amazon Redshift 管理指南》中的變更叢集加密。
【Redshift.11】 應標記 Redshift 叢集
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::Redshift::Cluster
AWS Config rule:tagged-redshift-cluster(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 |
No default value
|
此控制項會檢查 Amazon Redshift 叢集是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果叢集沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果叢集未標記任何金鑰,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或一組單獨的政策。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的ABAC適用於什麼 AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 Redshift 叢集,請參閱《Amazon Redshift 管理指南》中的在 Amazon Redshift 中標記資源。
【Redshift.12】 應標記 Redshift 事件通知訂閱
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::Redshift::EventSubscription
AWS Config rule:tagged-redshift-eventsubscription(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 |
No default value
|
此控制項會檢查 Amazon Redshift 叢集快照是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果叢集快照沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果叢集快照未加上任何金鑰的標籤,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或一組單獨的政策。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的ABAC適用於什麼 AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 Redshift 事件通知訂閱,請參閱《Amazon Redshift 管理指南》中的在 Amazon Redshift 中標記資源。
【Redshift.13】 應標記 Redshift 叢集快照
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::Redshift::ClusterSnapshot
AWS Config rule:tagged-redshift-clustersnapshot(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 |
No default value
|
此控制項會檢查 Amazon Redshift 叢集快照是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果叢集快照沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果叢集快照未加上任何金鑰的標籤,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或一組單獨的政策。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的什麼是 ABAC AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 Redshift 叢集快照,請參閱《Amazon Redshift 管理指南》中的在 Amazon Redshift 中標記資源。
【Redshift.14】 應標記 Redshift 叢集子網路群組
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::Redshift::ClusterSubnetGroup
AWS Config rule:tagged-redshift-clustersubnetgroup(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 |
No default value
|
此控制項會檢查 Amazon Redshift 叢集子網路群組是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果叢集子網路群組沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果叢集子網路群組未加上任何金鑰的標籤,則會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或一組單獨的政策。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的ABAC適用於什麼 AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 Redshift 叢集子網路群組,請參閱《Amazon Redshift 管理指南》中的在 Amazon Redshift 中標記資源。
【Redshift.15】 Redshift 安全群組應僅允許從受限原始伺服器傳入叢集連接埠
相關要求:PCIDSSv4.0.1/1.3.1
類別:保護 > 安全網路組態 > 安全群組組態
嚴重性:高
資源類型: AWS::Redshift::Cluster
AWS Config 規則:redshift-unrestricted-port-access
排程類型:定期
參數:無
此控制項會檢查與 Amazon Redshift 叢集相關聯的安全群組是否具有輸入規則,允許從網際網路 (0.0.0.0/0 或 ::/0) 存取叢集連接埠。如果安全群組傳入規則允許從網際網路存取叢集連接埠,則控制項會失敗。
允許對 Redshift 叢集連接埠 (IP 地址加上 /0 尾碼) 進行不受限制的傳入存取,可能會導致未經授權的存取或安全事件。我們建議您在建立安全群組和設定傳入規則時,套用最低權限存取的主體。
修補
若要將 Redshift 叢集連接埠的輸入限制為受限原始伺服器,請參閱《Amazon VPC使用者指南》中的使用安全群組規則。更新連接埠範圍與 Redshift 叢集連接埠相符且 IP 連接埠範圍為 0.0.0.0/0 的規則。
【Redshift.16】 Redshift 叢集子網路群組應具有來自多個可用區域的子網路
類別:復原 > 彈性 > 高可用性
嚴重性:中
資源類型: AWS::Redshift::ClusterSubnetGroup
AWS Config 規則:redshift-cluster-subnet-group-multi-az
排程類型:變更觸發
參數:無
控制項會檢查 Amazon Redshift 叢集子網路群組是否有來自多個可用區域 (AZ) 的子網路。如果叢集子網路群組沒有至少來自兩個不同 的子網路,則控制項會失敗AZs。
跨多個 設定子網路AZs有助於確保您的 Redshift 資料倉儲即使在發生故障事件時仍可繼續操作。
修補
若要修改 Redshift 叢集子網路群組以跨越多個 AZs,請參閱《Amazon Redshift 管理指南》中的修改叢集子網路群組。
