Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles CSPM de Security Hub para Amazon Redshift Serverless
Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Redshift Serverless. Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte Disponibilidad de los controles por región.
[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado
Categoría: Proteger > Configuración de red segura > Recursos dentro de VPC
Gravedad: alta
Tipo de recurso: AWS::RedshiftServerless::Workgroup
Regla de AWS Config: redshift-serverless-workgroup-routes-within-vpc
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si el enrutamiento de VPC mejorado está habilitado para un grupo de trabajo de Amazon Redshift sin servidor. El control falla si el enrutamiento de VPC mejorado está desactivado para el grupo de trabajo.
Si el enrutamiento de VPC mejorado está deshabilitado para un grupo de trabajo sin servidor de Amazon Redshift, Amazon Redshift direcciona el tráfico a través de Internet, incluido el tráfico a otros servicios de la red. AWS Si habilita el enrutamiento de VPC mejorado para un grupo de trabajo, Amazon Redshift fuerza todo el tráfico COPY y UNLOAD entre el clúster y los repositorios de datos a pasar por la nube virtual privada (VPC), basada en el servicio Amazon VPC. Con el enrutamiento de VPC mejorado, puede usar características estándar de VPC para controlar el flujo de datos entre el clúster de Amazon Redshift y otros recursos. Esto incluye funciones como los grupos de seguridad de VPC y las políticas de puntos finales, las listas de control de acceso a la red (ACLs) y los servidores del sistema de nombres de dominio (DNS). También puede usar los registros de flujo de VPC para supervisar el tráfico COPY y UNLOAD.
Corrección
Para obtener información sobre el enrutamiento de VPC mejorado y sobre cómo habilitarlo para un grupo de trabajo, consulte Control del tráfico de red con el enrutamiento de VPC mejorado de Redshift en la Guía de administración de Amazon Redshift.
[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL
Categoría: Proteger > Protección de datos > Cifrado de data-in-transit
Gravedad: media
Tipo de recurso: AWS::RedshiftServerless::Workgroup
Regla de AWS Config: redshift-serverless-workgroup-encrypted-in-transit
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si las conexiones a un grupo de trabajo de Amazon Redshift sin servidor deben requerir cifrar los datos en tránsito. El control falla si el parámetro de configuración require_ssl del grupo de trabajo está configurado en false.
Un grupo de trabajo sin servidor de Amazon Redshift es un conjunto de recursos informáticos que agrupa recursos informáticos, como grupos de subredes de RPUs VPC y grupos de seguridad. Las propiedades de un grupo de trabajo incluyen configuraciones de red y seguridad. Estas configuraciones especifican si las conexiones a un grupo de trabajo deben requerir el uso de SSL para cifrar los datos en tránsito.
Corrección
Para obtener información sobre cómo actualizar las configuraciones de un grupo de trabajo de Amazon Redshift sin servidor para requerir conexiones SSL, consulte Conexión a Amazon Redshift sin servidor en la Guía de administración de Amazon Redshift.
[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público
Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente
Gravedad: alta
Tipo de recurso: AWS::RedshiftServerless::Workgroup
Regla de AWS Config: redshift-serverless-workgroup-no-public-access
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si el acceso público está desactivado para un grupo de trabajo de Amazon Redshift sin servidor. Evalúa la propiedad publiclyAccessible de un grupo de trabajo de Redshift sin servidor. El control falla si el acceso público está habilitado (true) para el grupo de trabajo.
La configuración de acceso público (publiclyAccessible) de un grupo de trabajo de Amazon Redshift sin servidor especifica si se puede acceder al grupo de trabajo desde una red pública. Si el acceso público está habilitado (true) para un grupo de trabajo, Amazon Redshift crea una dirección IP elástica que hace que el grupo de trabajo sea accesible públicamente desde fuera de la VPC. Si no desea que un grupo de trabajo sea accesible públicamente, desactive el acceso público para ese grupo de trabajo.
Corrección
Para obtener información sobre cómo cambiar la configuración de acceso público de un grupo de trabajo de Amazon Redshift sin servidor, consulte Visualización de las propiedades de un grupo de trabajo en la Guía de administración de Amazon Redshift.
[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys
Requisitos relacionados: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), 2 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 NISt.800-53.r5 SI-7 (6)
Categoría: Proteger > Protección de datos > Cifrado de data-at-rest
Gravedad: media
Tipo de recurso: AWS::RedshiftServerless::Namespace
Regla de AWS Config: redshift-serverless-namespace-cmk-encryption
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
|---|---|---|---|---|
|
|
Una lista de los nombres de recursos de Amazon (ARNs) AWS KMS keys para incluirlos en la evaluación. El control genera un resultado |
StringList (máximo de 3 elementos) |
De 1 a 3 ARNs de las claves KMS existentes. Por ejemplo: |
Sin valor predeterminado |
Este control verifica si un espacio de nombres de Amazon Redshift sin servidor está cifrado en reposo con una AWS KMS key administrada por el cliente. El control falla si el espacio de nombres de Redshift sin servidor no está cifrado con una clave de KMS administrada por el cliente. Puede especificar opcionalmente una lista de claves de KMS para que el control las incluya en la evaluación.
En Amazon Redshift sin servidor, un espacio de nombres define un contenedor lógico para objetos de base de datos. Este control comprueba periódicamente si la configuración de cifrado de un espacio de nombres especifica una clave de KMS administrada por el clienteAWS KMS key, en lugar de una AWS administrada, para el cifrado de los datos del espacio de nombres. Con una clave de KMS administrada por el cliente, ejerce control pleno sobre la clave. Esto incluye definir y mantener la política de claves, administrar concesiones, rotar el material criptográfico, asignar etiquetas, crear alias y habilitar y desactivar la clave.
Corrección
Para obtener información sobre cómo actualizar la configuración de cifrado de un espacio de nombres de Amazon Redshift Serverless y especificar un espacio de nombres gestionado por el clienteAWS KMS key, consulte Cambiar el espacio de nombres de un espacio de nombres en la AWS KMS key Guía de administración de Amazon Redshift.
[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado
Categoría: Identificar > Configuración de recursos
Gravedad: media
Tipo de recurso: AWS::RedshiftServerless::Namespace
Regla de AWS Config: redshift-serverless-default-admin-check
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si el nombre de usuario de administrador de un espacio de nombres de Amazon Redshift sin servidor es el nombre de administrador predeterminado, admin. El control falla si el nombre de usuario de administrador del espacio de nombres de Redshift sin servidor es admin.
Al crear un espacio de nombres de Amazon Redshift sin servidor, debe especificar un nombre de usuario de administrador personalizado para el espacio de nombres. El nombre de usuario de administrador predeterminado es de conocimiento público. Al especificar un nombre de usuario de administrador personalizado, puede, por ejemplo, ayudar a mitigar el riesgo o la efectividad de ataques de fuerza bruta contra el espacio de nombres.
Corrección
Puede cambiar el nombre de usuario de administrador de un espacio de nombres de Amazon Redshift sin servidor mediante la consola o la API de Amazon Redshift sin servidor. Para cambiarlo mediante la consola, seleccione la configuración del espacio de nombres y luego seleccione Editar credenciales de administrador en el menú Acciones. Para cambiarlo mediante programación, utilice la UpdateNamespaceoperación o, si está utilizando la, ejecute el comando update-namespace. AWS CLI Si cambia el nombre de usuario de administrador, también debe cambiar la contraseña de administrador al mismo tiempo.
[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::RedshiftServerless::Namespace
Regla de AWS Config: redshift-serverless-publish-logs-to-cloudwatch
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si un espacio de nombres Amazon Redshift Serverless está configurado para exportar los registros de conexión y de usuario a Amazon Logs. CloudWatch El control falla si el espacio de nombres Redshift Serverless no está configurado para exportar los registros a Logs. CloudWatch
Si configura Amazon Redshift Serverless para que exporte los datos del registro de conexión (connectionlog) y del registro de usuario (userlog) a un grupo de CloudWatch registros de Amazon Logs, podrá recopilar y almacenar sus registros de registro en un almacenamiento duradero que permita realizar revisiones y auditorías de seguridad, acceso y disponibilidad. Con CloudWatch Logs, también puede realizar análisis de los datos de registro en tiempo real y utilizarlos CloudWatch para crear alarmas y revisar métricas.
Corrección
Para exportar los datos de registro de un espacio de nombres Amazon Redshift Serverless a CloudWatch Amazon Logs, se deben seleccionar los registros correspondientes para su exportación en los ajustes de configuración de los registros de auditoría del espacio de nombres. Para obtener información sobre cómo actualizar estas configuraciones, consulte Edición de la seguridad y el cifrado en la Guía de administración de Amazon Redshift.
