Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Amazon Redshift
Estos controles están relacionados con recursos de Amazon Redshift.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente
Gravedad: crítica
Tipo de recurso: AWS::Redshift::Cluster
Regla de AWS Config : redshift-cluster-public-access-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si los clústeres de Amazon Redshift son de acceso público. Evalúa el campo PubliclyAccessible del elemento de configuración del clúster.
El atributo de la configuración del clúster de Amazon Redshift PubliclyAccessible indica si el clúster es de acceso público. Si el clúster se configuró con PubliclyAccessible en true, se trata de una instancia orientada a Internet con un nombre DNS que se puede resolver públicamente y que se resuelve en una dirección IP pública.
Cuando el clúster no es accesible públicamente, se trata de una instancia interna con un nombre DNS que se resuelve en una dirección IP privada. A menos que desee que su clúster sea de acceso público, el clúster no debe configurarse con el valor PubliclyAccessible establecido como true.
Corrección
Para actualizar un clúster de Amazon Redshift para inhabilitar el acceso público, consulte Modificación de un clúster en la Guía de administración de Amazon Redshift. Establezca Accesible públicamente en No.
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2)
Categoría: Proteger - Protección de datos - Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::Redshift::Cluster
Regla de AWS Config : redshift-require-tls-ssl
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las conexiones a los clústeres de Amazon Redshift son necesarias para utilizar el cifrado en tránsito. La comprobación no se realiza correctamente si el parámetro de clúster de Amazon Redshift require_SSL no se ha establecido como True.
El TLS se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de TLS. El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS.
Corrección
Para actualizar un grupo de parámetros de Amazon Redshift para que requiera el cifrado, consulte Modificación de un grupo de parámetros en la Guía de administración de Amazon Redshift. Establecer require_ssl como True.
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Respaldos habilitados
Gravedad: media
Tipo de recurso: AWS::Redshift::Cluster
Regla de AWS Config : redshift-backup-enabled
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Periodo mínimo de retención de instantáneas en días |
Entero |
De |
|
Este control comprueba si un clúster de Amazon Redshift tiene habilitadas las instantáneas automatizadas y si el periodo de retención es superior o igual al periodo especificado. Se produce un error en el control si las instantáneas automatizadas no están habilitadas para el clúster o si el periodo de retención es inferior al periodo especificado. A menos que se proporcione un valor personalizado de parámetro para el periodo de retención de instantáneas, Security Hub utiliza un valor predeterminado de 7 días.
Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. Refuerzan la resiliencia de sus sistemas. Amazon Redshift toma instantáneas periódicas de forma predeterminada. Este control comprueba si las instantáneas automáticas están habilitadas y conservadas durante al menos siete días. Para obtener más información sobre las instantáneas automatizadas de Amazon Redshift, consulte Instantáneas automatizadas en la Guía de administración de Amazon Redshift.
Corrección
Para actualizar el período de retención de instantáneas de un clúster de Amazon Redshift, consulte Modificación de un clúster en la Guía de administración de Amazon Redshift. Para Copia de seguridad, establezca la Retención de instantáneas en un valor de 7 o superior.
Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::Redshift::Cluster
Regla de AWS Config : redshift-cluster-audit-logging-enabled (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
-
loggingEnabled = true(no personalizable)
Este control comprueba si un clúster de Amazon Redshift tiene activado el registro de auditoría.
El registro de auditoría de Amazon Redshift proporciona información adicional acerca de las conexiones y las actividades de los usuarios en su clúster. Estos datos se pueden almacenar y proteger en Amazon S3 y pueden ser útiles en las auditorías e investigaciones de seguridad. Para obtener más información, consulte Registro de auditoría de base de datos en la Guía de administración de Amazon Redshift.
Corrección
Para configurar el registro de auditoría para un clúster de Amazon Redshift, consulte Configuración de la auditoría mediante la consola en la Guía de administración de Amazon Redshift.
Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5)
Categoría: Detectar > Gestión de vulnerabilidades y parches
Gravedad: media
Tipo de recurso: AWS::Redshift::Cluster
Regla de AWS Config : redshift-cluster-maintenancesettings-check
Tipo de horario: provocado por un cambio
Parámetros:
-
allowVersionUpgrade = true(no personalizable)
Este control comprueba si las actualizaciones automáticas de las versiones principales están habilitadas para el clúster de Amazon Redshift.
La activación de las actualizaciones automáticas de las versiones principales garantiza que las últimas actualizaciones de las versiones principales de los clústeres de Amazon Redshift se instalen durante el período de mantenimiento. Estas actualizaciones pueden incluir parches de seguridad y correcciones de errores. Mantenerse al día con la instalación de los parches es un paso importante para proteger los sistemas.
Corrección
Para solucionar este problema AWS CLI, utilice el comando Amazon modify-cluster Redshift para establecer --allow-version-upgrade el atributo.
aws redshift modify-cluster --cluster-identifierclustername--allow-version-upgrade
Siendo clustername
Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
Categoría: Proteger > Configuración de red segura > Acceso privado a la API
Gravedad: media
Tipo de recurso: AWS::Redshift::Cluster
Regla de AWS Config : redshift-enhanced-vpc-routing-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de Amazon Redshift ha habilitado EnhancedVpcRouting.
El Enhanced VPC Routing fuerza a todo COPY y el tráfico de UNLOAD entre el clúster y los repositorios de datos para que pase a través de su VPC. A continuación, puede utilizar las funciones de la VPC, como los grupos de seguridad y las listas de control de acceso a la red, para proteger el tráfico de la red. También puede usar Registros de flujo de VPC para monitorear el tráfico de red.
Corrección
Para obtener instrucciones de corrección detalladas, consulte Habilitar el enrutamiento de VPC mejorado en la Guía de administración de Amazon Redshift.
Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoría: Identificar > Configuración de recursos
Gravedad: media
Tipo de recurso: AWS::Redshift::Cluster
Regla de AWS Config : redshift-default-admin-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de Amazon Redshift ha cambiado el nombre de usuario de administrador con respecto a su valor predeterminado. Este control fallará si el nombre de usuario de administrador de un clúster de Redshift se ha establecido como awsuser.
Al crear un clúster de Redshift, debe cambiar el nombre de usuario de administrador predeterminado por un valor único. Los nombres de usuario predeterminados son de dominio público y deben cambiarse al configurarlos. Cambiar los nombres de usuario predeterminados reduce el riesgo de accesos no deseados.
Corrección
No se puede cambiar el nombre de usuario de administración de su clúster de Amazon Redshift después de crearlo. Para crear un nuevo clúster, siga de base de datos, siga las instrucciones aquí.
Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoría: Identificar > Configuración de recursos
Gravedad: media
Tipo de recurso: AWS::Redshift::Cluster
Regla de AWS Config : redshift-default-db-name-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de Amazon Redshift ha cambiado el nombre de la base de datos con respecto a su valor predeterminado. El control fallará si el nombre de la base de datos de un clúster de Redshift se ha establecido como dev.
Al crear un clúster de Redshift, debe cambiar el nombre predeterminado de la base de datos por un valor único. Los nombres predeterminados son de dominio público y deben cambiarse al configurarlos. Por ejemplo, un nombre conocido podría provocar un acceso inadvertido si se utilizara en las condiciones de la política de IAM.
Corrección
No se puede cambiar el nombre de la base de datos de su clúster de Amazon Redshift después de crearlo. Para obtener instrucciones sobre cómo crear un nuevo clúster, consulte Introducción a Amazon Redshift en la Guía de introducción a Amazon Redshift.
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SI-7(6)
Categoría: Proteger - Protección de datos - Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::Redshift::Cluster
Regla de AWS Config : redshift-cluster-kms-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si los clústeres de Amazon Redshift están cifrados en reposo. El control falla si un clúster de Redshift no está cifrado en reposo o si la clave de cifrado es diferente de la clave proporcionada en el parámetro de la regla.
En Amazon Redshift, puede activar el cifrado de la base de datos de los clústeres para proteger los datos en reposo. Cuando activa el cifrado para un clúster, se cifran los bloques de datos y metadatos del sistema para el clúster y sus instantáneas. El cifrado de los datos en reposo es una práctica recomendada, ya que añade una capa de administración del acceso a los datos. El cifrado de los clústeres de Redshift en reposo reduce el riesgo de que un usuario no autorizado pueda acceder a los datos almacenados en el disco.
Corrección
Para modificar un clúster de Redshift para que utilice el cifrado de KMS, consulte Cambiar el cifrado de clústeres en la Guía de administración de Amazon Redshift.
