Stellen Sie sicher, dass neue Amazon Redshift Redshift-Cluster über erforderliche Endpunkte SSL verfügen

Erstellt von Priyanka Chaudhary () AWS

Umwelt: Produktion

Technologien: Sicherheit, Identität, Compliance; Analytik

AWSDienste: AWS CloudTrail; Amazon CloudWatch Events; Amazon Redshift; AmazonSNS; Lambda AWS

Übersicht

Dieses Muster stellt eine Amazon Web Services (AWS) CloudFormation -Vorlage bereit, die Sie automatisch benachrichtigt, wenn ein neuer Amazon Redshift Redshift-Cluster ohne Secure Sockets Layer (SSL) -Endpunkte gestartet wird.

Amazon Redshift ist ein vollständig verwalteter, cloudbasierter Data-Warehouse-Service im Petabyte-Bereich. Er ist für die Speicherung und Analyse großer Datenmengen konzipiert. Es wird auch zur Durchführung umfangreicher Datenbankmigrationen verwendet. Aus Sicherheitsgründen unterstützt Amazon Redshift die SSL Verschlüsselung der Verbindung zwischen der SQL Server-Client-Anwendung des Benutzers und dem Amazon Redshift Redshift-Cluster. Um Ihren Cluster so zu konfigurieren, dass eine SSL Verbindung erforderlich ist, setzen Sie den require_SSL Parameter true in der Parametergruppe, die dem Cluster beim Start zugeordnet ist, auf.

Die mit diesem Muster bereitgestellte Sicherheitskontrolle überwacht Amazon Redshift API Redshift-Aufrufe in AWS CloudTrail Protokollen und initiiert ein Amazon CloudWatch Events-Ereignis für CreateCluster, ModifyCluster, RestoreFromClusterSnapshotCreateClusterParameterGroup, und. ModifyClusterParameterGroupAPIs Wenn das Ereignis eines davon erkenntAPIs, ruft es AWS Lambda auf, das ein Python-Skript ausführt. Die Python-Funktion analysiert das CloudWatch Ereignis auf die aufgelisteten CloudTrail Ereignisse. Wenn ein Amazon Redshift Redshift-Cluster aus einem vorhandenen Snapshot erstellt, geändert oder wiederhergestellt wird, eine neue Parametergruppe für den Cluster erstellt oder eine bestehende Parametergruppe geändert wird, überprüft die Funktion den require_SSL Parameter für den Cluster. Wenn der Parameterwert istfalse, sendet die Funktion eine Amazon Simple Notification Service (AmazonSNS) -Benachrichtigung mit den relevanten Informationen an den Benutzer: den Namen des Amazon Redshift Redshift-Clusters, die AWS Region, das AWS Konto und den Amazon-Ressourcennamen (ARN) für Lambda, von dem diese Benachrichtigung stammt.

Voraussetzungen und Einschränkungen

Voraussetzungen

• Ein aktives AWS-Konto.

• Eine virtuelle private Cloud (VPC) mit einer Cluster-Subnetzgruppe und einer zugehörigen Sicherheitsgruppe.

Einschränkungen

• Diese Sicherheitskontrolle ist regional. Sie müssen es in jeder AWS Region einsetzen, die Sie überwachen möchten.

Architektur

Zielarchitektur

Automatisierung und Skalierung

• Wenn Sie AWSOrganizations verwenden, können Sie AWSCloudformation verwenden, StackSets um diese Vorlage in mehreren Konten bereitzustellen, die Sie überwachen möchten.

Tools

AWSDienste

• AWS CloudFormation— AWS CloudFormation hilft Ihnen dabei, Ihre AWS Ressourcen zu modellieren und einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus zu verwalten. Sie können eine Vorlage verwenden, um Ihre Ressourcen und ihre Abhängigkeiten zu beschreiben und sie zusammen als Stapel zu starten und zu konfigurieren, anstatt Ressourcen einzeln zu verwalten.

• Amazon CloudWatch Events — Amazon CloudWatch Events bietet einen Stream von Systemereignissen, die Änderungen an AWS Ressourcen beschreiben, nahezu in Echtzeit.

• AWSLambda — AWS Lambda ist ein Rechendienst, der die Ausführung von Code unterstützt, ohne Server bereitzustellen oder zu verwalten.

• Amazon Redshift — Amazon Redshift ist ein vollständig verwalteter Data-Warehouse-Service im Petabyte-Bereich in der Cloud.

• Amazon S3 — Amazon Simple Storage Service (Amazon S3) ist ein Objektspeicherservice. Mit Amazon S3 können Sie jederzeit beliebige Mengen von Daten von überall aus im Internet speichern und aufrufen. 

• Amazon SNS — Amazon Simple Notification Service (AmazonSNS) koordiniert und verwaltet die Zustellung oder den Versand von Nachrichten zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen. Abonnenten erhalten die veröffentlichten Mitteilungen zu den Themen, die sie abonniert haben. Alle Abonnenten eines Themas erhalten dieselben Mitteilungen.

Code

Dieses Muster umfasst die folgenden Anlagen:

• RedshiftSSLEndpointsRequired.zip— Der Lambda-Code für die Sicherheitskontrolle.

• RedshiftSSLEndpointsRequired.yml— Die CloudFormation Vorlage, die das Ereignis und die Lambda-Funktion einrichtet.

Epen

Richten Sie den S3-Bucket ein

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Definieren Sie den S3-Bucket.	Wählen oder erstellen Sie in der Amazon S3 S3-Konsole einen S3-Bucket, um die Lambda-Code-ZIP-Datei zu hosten. Dieser S3-Bucket muss sich in derselben AWS Region befinden wie der Amazon Redshift Redshift-Cluster, den Sie überwachen möchten. Ein S3-Bucket-Name ist weltweit eindeutig, und der Namespace wird von allen AWS Konten gemeinsam genutzt. Der S3-Bucket-Name darf keine führenden Schrägstriche enthalten.	Cloud-Architekt
Laden Sie den Lambda-Code hoch.	Laden Sie die Lambda-Code-ZIP-Datei, die im Abschnitt Anlagen bereitgestellt wird, in den S3-Bucket hoch.	Cloud-Architekt

Stellen Sie die CloudFormation Vorlage bereit

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Starten Sie die AWS CloudFormation Vorlage.	Öffnen Sie die AWS CloudFormation Konsole in derselben AWS Region wie Ihr S3-Bucket und stellen Sie die angehängte Vorlage bereitRedshiftSSLEndpointsRequired.yml. Weitere Informationen zum Bereitstellen von AWS CloudFormation Vorlagen finden Sie in der CloudFormation Dokumentation unter Erstellen eines Stacks auf der AWS CloudFormation Konsole.	Cloud-Architekt
Vervollständigen Sie die Parameter in der Vorlage.	Wenn Sie die Vorlage starten, werden Sie zur Eingabe der folgenden Informationen aufgefordert: S3-Bucket: Geben Sie den Bucket an, den Sie im ersten Epic erstellt oder ausgewählt haben. Hier haben Sie den angehängten Lambda-Code (.zip-Datei) hochgeladen. S3-Schlüssel: Geben Sie den Speicherort der Lambda-ZIP-Datei in Ihrem S3-Bucket an (z. B. Dateiname .zip oder controls/ filename .zip). Fügen Sie keine führenden Schrägstriche ein. Benachrichtigungs-E-Mail: Geben Sie eine aktive E-Mail-Adresse an, unter der Sie SNS Amazon-Benachrichtigungen erhalten möchten. Lamba-Protokollierungsebene: Geben Sie die Protokollierungsebene und die Häufigkeit für die Lambda-Funktion an. Verwenden Sie Info, um detaillierte Informationsmeldungen über den Fortschritt, Fehler für Fehlerereignisse, die die Fortsetzung der Bereitstellung dennoch ermöglichen würden, und Warnmeldungen für potenziell schädliche Situationen zu protokollieren.	Cloud-Architekt

Bestätigen Sie das Abonnement

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Bestätigen Sie das Abonnement.	Wenn die CloudFormation Vorlage erfolgreich bereitgestellt wurde, sendet sie eine Abonnement-E-Mail an die von Ihnen angegebene E-Mail-Adresse. Sie müssen dieses E-Mail-Abonnement bestätigen, um Benachrichtigungen über Verstöße zu erhalten.	Cloud-Architekt

Zugehörige Ressourcen

• Einen S3-Bucket erstellen (Amazon S3 S3-Dokumentation)

• Dateien in einen S3-Bucket hochladen (Amazon S3 S3-Dokumentation)

• Einen Stack auf der AWS CloudFormation Konsole erstellen (AWS CloudFormation Dokumentation)

• Erstellen einer CloudWatch Ereignisregel, die bei einem AWS API Anruf ausgelöst wird, mithilfe von AWS CloudTrail (AWS CloudTrail Dokumentation)

• Erstellen eines Amazon Redshift Redshift-Clusters (Amazon Redshift Redshift-Dokumentation)

• Konfiguration von Sicherheitsoptionen für Verbindungen (Amazon Redshift Redshift-Dokumentation)

Anlagen

Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip