Kontrol Security Hub untuk Amazon Redshift - AWS Security Hub
[Redshift.1] Cluster Amazon Redshift harus melarang akses publik[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama[Redshift.7] Cluster Redshift harus menggunakan perutean yang ditingkatkan VPC[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default[Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat[Redshift.11] Cluster Redshift harus ditandai[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai[Redshift.13] Snapshot cluster Redshift harus ditandai[Redshift.14] Grup subnet cluster Redshift harus ditandai[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk Amazon Redshift

Ini AWS Security Hub kontrol mengevaluasi layanan dan sumber daya Amazon Redshift.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[Redshift.1] Cluster Amazon Redshift harus melarang akses publik

Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::Redshift::Cluster

AWS Config aturan: redshift-cluster-public-access-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah klaster Amazon Redshift dapat diakses publik. Ini mengevaluasi PubliclyAccessible bidang dalam item konfigurasi cluster.

PubliclyAccessibleAtribut konfigurasi klaster Amazon Redshift menunjukkan apakah klaster dapat diakses publik. Ketika cluster dikonfigurasi dengan PubliclyAccessible set totrue, itu adalah instance yang menghadap Internet yang memiliki DNS nama yang dapat diselesaikan secara publik, yang diselesaikan ke alamat IP publik.

Ketika cluster tidak dapat diakses publik, itu adalah instance internal dengan DNS nama yang menyelesaikan ke alamat IP pribadi. Kecuali jika Anda bermaksud agar cluster Anda dapat diakses oleh publik, cluster tidak boleh dikonfigurasi dengan PubliclyAccessible set totrue.

Remediasi

Untuk memperbarui klaster Amazon Redshift untuk menonaktifkan akses publik, lihat Memodifikasi klaster di Panduan Manajemen Pergeseran Merah Amazon. Setel Dapat diakses publik ke No.

[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit

Persyaratan terkait: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)

Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Redshift::Cluster AWS::Redshift::ClusterParameterGroup

AWS Config aturan: redshift-require-tls-ssl

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah koneksi ke kluster Amazon Redshift diperlukan untuk menggunakan enkripsi dalam perjalanan. Pemeriksaan gagal jika parameter cluster Amazon Redshift require_SSL tidak disetel ke. True

TLSdapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi yang TLS diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampaknyaTLS.

Remediasi

Untuk memperbarui grup parameter Amazon Redshift agar memerlukan enkripsi, lihat Memodifikasi grup parameter di Panduan Manajemen Pergeseran Merah Amazon. Setel require_ssl ke Benar.

[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis

Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-13 (5)

Kategori: Pulih> Ketahanan > Cadangan diaktifkan

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Redshift::Cluster

AWS Config aturan: redshift-backup-enabled

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub

​MinRetentionPeriod

Periode retensi snapshot minimum dalam beberapa hari

Bilangan Bulat

7 untuk 35

7

Kontrol ini memeriksa apakah klaster Amazon Redshift mengaktifkan snapshot otomatis, dan periode retensi yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Kontrol gagal jika snapshot otomatis tidak diaktifkan untuk cluster, atau jika periode retensi kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi snapshot, Security Hub menggunakan nilai default 7 hari.

Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka memperkuat ketahanan sistem Anda. Amazon Redshift mengambil snapshot periodik secara default. Kontrol ini memeriksa apakah snapshot otomatis diaktifkan dan dipertahankan setidaknya selama tujuh hari. Untuk detail selengkapnya tentang snapshot otomatis Amazon Redshift, lihat Snapshot otomatis di Panduan Manajemen Pergeseran Merah Amazon.

Remediasi

Untuk memperbarui periode retensi snapshot untuk klaster Amazon Redshift, lihat Memodifikasi klaster di Panduan Manajemen Pergeseran Merah Amazon. Untuk Backup, atur retensi Snapshot ke nilai 7 atau lebih tinggi.

[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit

Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Redshift::Cluster

AWS Config aturan: redshift-cluster-audit-logging-enabled (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

  • loggingEnabled = true(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah klaster Amazon Redshift mengaktifkan pencatatan audit.

Pencatatan audit Amazon Redshift memberikan informasi tambahan tentang koneksi dan aktivitas pengguna di klaster Anda. Data ini dapat disimpan dan diamankan di Amazon S3 dan dapat membantu dalam audit dan investigasi keamanan. Untuk informasi selengkapnya, lihat Pencatatan audit database di Panduan Manajemen Pergeseran Merah Amazon.

Remediasi

Untuk mengonfigurasi pencatatan audit untuk klaster Amazon Redshift, lihat Mengonfigurasi audit menggunakan konsol di Panduan Manajemen Amazon Redshift.

[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-2, NIST .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST

Kategori: Identifikasi > Kerentanan, tambalan, dan manajemen versi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Redshift::Cluster

AWS Config aturan: redshift-cluster-maintenancesettings-check

Jenis jadwal: Perubahan dipicu

Parameter:

  • allowVersionUpgrade = true(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah pemutakhiran versi utama otomatis diaktifkan untuk klaster Amazon Redshift.

Mengaktifkan pemutakhiran versi utama otomatis memastikan bahwa pembaruan versi utama terbaru ke kluster Amazon Redshift diinstal selama jendela pemeliharaan. Pembaruan ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.

Remediasi

Untuk mengatasi masalah ini dari AWS CLI, gunakan modify-cluster perintah Amazon Redshift, dan atur atribut. --allow-version-upgrade clusternameadalah nama cluster Amazon Redshift Anda.

aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade

[Redshift.7] Cluster Redshift harus menggunakan perutean yang ditingkatkan VPC

Persyaratan terkait: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Kategori: Lindungi > Konfigurasi jaringan aman> akses API pribadi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Redshift::Cluster

AWS Config aturan: redshift-enhanced-vpc-routing-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah klaster Amazon Redshift telah EnhancedVpcRouting diaktifkan.

VPCPerutean yang ditingkatkan memaksa semua COPY dan UNLOAD lalu lintas antara cluster dan repositori data untuk melewati Anda. VPC Anda kemudian dapat menggunakan VPC fitur seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan VPC Flow Logs untuk memantau lalu lintas jaringan.

Remediasi

Untuk petunjuk remediasi mendetail, lihat Mengaktifkan VPC perutean yang disempurnakan di Panduan Manajemen Pergeseran Merah Amazon.

[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Kategori: Identifikasi > Konfigurasi Sumber Daya

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Redshift::Cluster

AWS Config aturan: redshift-default-admin-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah klaster Amazon Redshift telah mengubah nama pengguna admin dari nilai defaultnya. Kontrol ini akan gagal jika nama pengguna admin untuk cluster Redshift diatur ke. awsuser

Saat membuat klaster Redshift, Anda harus mengubah nama pengguna admin default menjadi nilai unik. Nama pengguna default adalah pengetahuan publik dan harus diubah pada konfigurasi. Mengubah nama pengguna default mengurangi risiko akses yang tidak diinginkan.

Remediasi

Anda tidak dapat mengubah nama pengguna admin untuk cluster Amazon Redshift setelah membuatnya. Untuk membuat klaster baru dengan nama pengguna non-default, lihat Langkah 1: Membuat contoh klaster Amazon Redshift di Panduan Memulai Amazon Redshift.

[Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Kategori: Identifikasi > Konfigurasi Sumber Daya

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Redshift::Cluster

AWS Config aturan: redshift-default-db-name-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah klaster Amazon Redshift telah mengubah nama database dari nilai defaultnya. Kontrol akan gagal jika nama database untuk cluster Redshift diatur ke. dev

Saat membuat cluster Redshift, Anda harus mengubah nama database default menjadi nilai unik. Nama default adalah pengetahuan publik dan harus diubah pada konfigurasi. Sebagai contoh, nama terkenal dapat menyebabkan akses yang tidak disengaja jika digunakan dalam kondisi IAM kebijakan.

Remediasi

Anda tidak dapat mengubah nama database untuk klaster Amazon Redshift setelah dibuat. Untuk petunjuk cara membuat klaster baru, lihat Memulai Amazon Redshift di Panduan Memulai Pergeseran Merah Amazon.

[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST .800-53.r5 SI-7 (6)

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Redshift::Cluster

AWS Config aturan: redshift-cluster-kms-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah cluster Amazon Redshift dienkripsi saat istirahat. Kontrol gagal jika klaster Redshift tidak dienkripsi saat istirahat atau jika kunci enkripsi berbeda dari kunci yang disediakan dalam parameter aturan.

Di Amazon Redshift, Anda dapat mengaktifkan enkripsi database untuk cluster Anda untuk membantu melindungi data saat istirahat. Saat Anda mengaktifkan enkripsi untuk cluster, blok data dan metadata sistem dienkripsi untuk cluster dan snapshot-nya. Enkripsi data saat istirahat adalah praktik terbaik yang disarankan karena menambahkan lapisan manajemen akses ke data Anda. Mengenkripsi cluster Redshift saat istirahat mengurangi risiko bahwa pengguna yang tidak sah dapat mengakses data yang disimpan pada disk.

Remediasi

Untuk mengubah klaster Redshift agar menggunakan KMS enkripsi, lihat Mengubah enkripsi klaster di Panduan Manajemen Pergeseran Merah Amazon.

[Redshift.11] Cluster Redshift harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Redshift::Cluster

AWS Config aturan: tagged-redshift-cluster (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan No default value

Kontrol ini memeriksa apakah klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. requiredTagKeys Kontrol gagal jika cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat ABAC Untuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui lebih lanjut tentang praktik terbaik penandaan, lihat Menandai AWS sumber daya di Referensi Umum AWS.

Remediasi

Untuk menambahkan tag ke klaster Redshift, lihat Menandai sumber daya di Amazon Redshift di Panduan Manajemen Pergeseran Merah Amazon.

[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Redshift::EventSubscription

AWS Config aturan: tagged-redshift-eventsubscription (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan No default value

Kontrol ini memeriksa apakah snapshot klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. requiredTagKeys Kontrol gagal jika snapshot cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat ABAC Untuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui lebih lanjut tentang praktik terbaik penandaan, lihat Menandai AWS sumber daya di Referensi Umum AWS.

Remediasi

Untuk menambahkan tag ke langganan notifikasi peristiwa Redshift, lihat Menandai sumber daya di Amazon Redshift di Panduan Manajemen Pergeseran Merah Amazon.

[Redshift.13] Snapshot cluster Redshift harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Redshift::ClusterSnapshot

AWS Config aturan: tagged-redshift-clustersnapshot (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan No default value

Kontrol ini memeriksa apakah snapshot klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. requiredTagKeys Kontrol gagal jika snapshot cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat ABAC Untuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui lebih lanjut tentang praktik terbaik penandaan, lihat Menandai AWS sumber daya di Referensi Umum AWS.

Remediasi

Untuk menambahkan tag ke snapshot klaster Redshift, lihat Menandai sumber daya di Amazon Redshift di Panduan Manajemen Pergeseran Merah Amazon.

[Redshift.14] Grup subnet cluster Redshift harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Redshift::ClusterSubnetGroup

AWS Config aturan: tagged-redshift-clustersubnetgroup (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan No default value

Kontrol ini memeriksa apakah grup subnet klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. requiredTagKeys Kontrol gagal jika grup subnet cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup subnet cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat ABAC Untuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui lebih lanjut tentang praktik terbaik penandaan, lihat Menandai AWS sumber daya di Referensi Umum AWS.

Remediasi

Untuk menambahkan tag ke grup subnet klaster Redshift, lihat Menandai sumber daya di Amazon Redshift di Panduan Manajemen Pergeseran Merah Amazon.

[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi

Kategori: Lindungi > Konfigurasi jaringan aman > Konfigurasi grup keamanan

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::Redshift::Cluster

AWS Config aturan: redshift-unrestricted-port-access

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah grup keamanan yang terkait dengan klaster Amazon Redshift memiliki aturan masuk yang mengizinkan akses ke port cluster dari internet (0.0.0.0/0 atau: :/0). Kontrol gagal jika aturan masuknya grup keamanan mengizinkan akses ke port cluster dari internet.

Mengizinkan akses masuk yang tidak terbatas ke port cluster Redshift (alamat IP dengan akhiran /0) dapat mengakibatkan akses atau insiden keamanan yang tidak sah. Kami merekomendasikan untuk menerapkan prinsip akses hak istimewa paling rendah saat membuat grup keamanan dan mengonfigurasi aturan masuk.

Remediasi

Untuk membatasi masuknya port klaster Redshift ke asal terbatas, lihat Bekerja dengan aturan grup keamanan di Panduan Pengguna Amazon. VPC Perbarui aturan di mana rentang port cocok dengan port cluster Redshift dan rentang port IP adalah 0.0.0.0/0.