Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Amazon Redshift
Ces contrôles sont liés aux ressources Amazon Redshift.
Il est possible que ces commandes ne soient pas toutes disponiblesRégions AWS. Pour en savoir plus, consultez Disponibilité des contrôles par région.
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21) 53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
Gravité : Critique
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-cluster-public-access-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les clusters Amazon Redshift sont accessibles au public. Il évalue le PubliclyAccessible champ dans l'élément de configuration du cluster.
L'PubliclyAccessibleattribut de la configuration du cluster Amazon Redshift indique si le cluster est accessible au public. Lorsque le cluster est configuré avec PubliclyAccessible set totrue, il s'agit d'une instance connectée à Internet dont le nom DNS peut être résolu publiquement et qui est résolu en adresse IP publique.
Lorsque le cluster n'est pas accessible au public, il s'agit d'une instance interne avec un nom DNS qui se résout en une adresse IP privée. À moins que vous ne souhaitiez que votre cluster soit accessible au public, le cluster ne doit pas être configuré avec la PubliclyAccessible valeur définie surtrue.
Correction
Pour mettre à jour un cluster Amazon Redshift afin de désactiver l'accès public, consultez la section Modification d'un cluster dans le guide de gestion Amazon Redshift. Réglez Accessible au public sur Non.
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
Exigences connexes : NIST.800-53.R5 AC-4, NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2)
Catégorie : Protéger - Protection des données - Chiffrement des données en transit
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-require-tls-ssl
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les connexions aux clusters Amazon Redshift sont nécessaires pour utiliser le chiffrement pendant le transit. La vérification échoue si le paramètre du cluster Amazon Redshift require_SSL n'est pas défini sur. True
Le protocole TLS peut être utilisé pour empêcher les attaquants potentiels de recourir person-in-the-middle à des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées via TLS devraient être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS.
Correction
Pour mettre à jour un groupe de paramètres Amazon Redshift afin d'exiger le chiffrement, consultez la section Modification d'un groupe de paramètres dans le guide de gestion Amazon Redshift. Réglé require_ssl sur True.
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 R5 SI-13 (5)
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-backup-enabled
Type de calendrier : changement déclenché
Paramètres :
-
MinRetentionPeriod = 7
Ce contrôle vérifie si les snapshots automatisés sont activés sur les clusters Amazon Redshift. Il vérifie également si la période de conservation des instantanés est supérieure ou égale à sept.
Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent la résilience de vos systèmes. Amazon Redshift prend des instantanés périodiques par défaut. Ce contrôle vérifie si les instantanés automatiques sont activés et conservés pendant au moins sept jours. Pour plus de détails sur les instantanés automatisés Amazon Redshift, consultez la section Instantanés automatisés dans le guide de gestion Amazon Redshift.
Correction
Pour mettre à jour la période de conservation des instantanés pour un cluster Amazon Redshift, consultez la section Modification d'un cluster dans le guide de gestion Amazon Redshift. Pour Backup, définissez la rétention des snapshots sur une valeur supérieure ou égale à 7.
[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift
Exigences connexes : NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
AWS Configrègle : redshift-cluster-audit-logging-enabled (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
-
loggingEnabled = true
Ce contrôle vérifie si la journalisation des audits est activée sur un cluster Amazon Redshift.
La journalisation des audits Amazon Redshift fournit des informations supplémentaires sur les connexions et les activités des utilisateurs dans votre cluster. Ces données peuvent être stockées et sécurisées dans Amazon S3 et peuvent être utiles dans le cadre d'audits et d'enquêtes de sécurité. Pour plus d'informations, consultez la section Journalisation des audits de base de données dans le guide de gestion Amazon Redshift.
Correction
Pour configurer la journalisation des audits pour un cluster Amazon Redshift, consultez la section Configuration de l'audit à l'aide de la console dans le guide de gestion Amazon Redshift.
[Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CP-9, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)
Catégorie : Détecter > Gestion des vulnérabilités et des correctifs
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-cluster-maintenancesettings-check
Type de calendrier : changement déclenché
Paramètres :
-
allowVersionUpgrade = true
Ce contrôle vérifie si les mises à niveau automatiques des versions majeures sont activées pour le cluster Amazon Redshift.
L'activation des mises à niveau automatiques des versions majeures garantit que les dernières mises à jour des versions majeures des clusters Amazon Redshift sont installées pendant la période de maintenance. Ces mises à jour peuvent inclure des correctifs de sécurité et des corrections de bogues. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes.
Correction
Pour résoudre ce problèmeAWS CLI, utilisez la commande Amazon modify-cluster Redshift pour définir --allow-version-upgrade l'attribut.
aws redshift modify-cluster --cluster-identifierclustername--allow-version-upgrade
Où se clustername
[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré
Exigences connexes : NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Catégorie : Protection > Configuration réseau sécurisée > Accès privé à l'API
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-enhanced-vpc-routing-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon Redshift est EnhancedVpcRouting activé.
Le routage VPC amélioré force tout le UNLOAD trafic entre le cluster COPY et les référentiels de données à passer par votre VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC telles que les groupes de sécurité et les listes de contrôle d'accès réseau pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau.
Correction
Pour obtenir des instructions de correction détaillées, consultez la section Activation du routage VPC amélioré dans le guide de gestion Amazon Redshift.
[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2
Catégorie : Identifier > Configuration des ressources
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-default-admin-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon Redshift a modifié le nom d'utilisateur de l'administrateur par rapport à sa valeur par défaut. Ce contrôle échouera si le nom d'utilisateur de l'administrateur d'un cluster Redshift est défini sur. awsuser
Lorsque vous créez un cluster Redshift, vous devez remplacer le nom d'utilisateur administrateur par défaut par une valeur unique. Les noms d'utilisateur par défaut sont de notoriété publique et doivent être modifiés lors de la configuration. La modification des noms d'utilisateur par défaut réduit le risque d'accès involontaire.
Correction
Vous ne pouvez pas modifier le nom d'utilisateur administrateur de votre cluster Amazon Redshift une fois celui-ci créé. Pour créer un nouveau cluster, suivez les instructions ici.
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
Catégorie : Identifier > Configuration des ressources
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-default-db-name-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon Redshift a modifié le nom de la base de données par rapport à sa valeur par défaut. Le contrôle échouera si le nom de base de données d'un cluster Redshift est défini sur. dev
Lorsque vous créez un cluster Redshift, vous devez remplacer le nom de base de données par défaut par une valeur unique. Les noms par défaut sont de notoriété publique et doivent être modifiés lors de la configuration. Par exemple, un nom connu peut entraîner un accès involontaire s'il est utilisé dans les conditions de la politique IAM.
Correction
Vous ne pouvez pas modifier le nom de base de données de votre cluster Amazon Redshift une fois celui-ci créé. Pour obtenir des instructions sur la création d'un nouveau cluster, consultez Getting started with Amazon Redshift dans le manuel Amazon Redshift Getting Started Guide.
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger - Protection des données - Chiffrement des données au repos
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-cluster-kms-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les clusters Amazon Redshift sont chiffrés au repos. Le contrôle échoue si un cluster Redshift n'est pas chiffré au repos ou si la clé de chiffrement est différente de la clé fournie dans le paramètre de règle.
Dans Amazon Redshift, vous pouvez activer le chiffrement des bases de données pour vos clusters afin de protéger les données au repos. Lorsque vous activez le chiffrement pour un cluster, les blocs de données et les métadonnées système sont chiffrés pour le cluster et ses instantanés. Le chiffrement des données au repos est une bonne pratique recommandée car il ajoute une couche de gestion des accès à vos données. Le chiffrement des clusters Redshift au repos réduit le risque qu'un utilisateur non autorisé puisse accéder aux données stockées sur le disque.
Correction
Pour modifier un cluster Redshift afin d'utiliser le chiffrement KMS, consultez la section Modification du chiffrement du cluster dans le guide de gestion Amazon Redshift.
