翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Redshift のコントロール
これらのコントロールは Amazon Redshift リソースに関連しています。
これらのコントロールは、 AWS リージョン一部では使用できない場合があります。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります
関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)
カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース
重要度: 非常事態
リソースタイプ: AWS::Redshift::Cluster
AWS Config ルール : redshift-cluster-public-access-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon Redshift クラスターがパブリックにアクセス可能かどうかをチェックします。このコントロールは、クラスター設定項目の PubliclyAccessible
フィールドを評価します。
Amazon Redshift クラスター設定の PubliclyAccessible
属性は、クラスターがパブリックにアクセス可能かどうかを示します。クラスターが PubliclyAccessible
を true
に設定して構成されている場合、パブリックに解決可能な DNS 名を持つインターネット向けインスタンスであり、パブリック IP アドレスに解決されます。
クラスターがパブリックにアクセスできない場合、プライベート IP アドレスに解決される DNS 名を持つ内部インスタンスです。クラスターをパブリックにアクセスさせる意図がない限り、クラスターは PubliclyAccessible
を true
に設定しないでください。
修正
Amazon Redshift クラスターを更新してパブリックアクセスを無効にするには、「Amazon Redshift 管理ガイド」の「クラスターの変更」を参照してください。[Publicly Accessible] を [No] に設定します。
[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります
関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)
カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化
重要度: 中
リソースタイプ: AWS::Redshift::Cluster
AWS Config ルール : redshift-require-tls-ssl
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon Redshift クラスターへの接続において、転送中に暗号化を使用する必要があるかどうかをチェックします。Amazon Redshift クラスターパラメータ require_SSL
が True
に設定されていない場合、チェックは失敗します。
TLS は、潜在的な攻撃者がネットワークトラフィックを盗聴したり操作したりするために、 person-in-the-middle または類似の攻撃を利用することを防ぐのに役立ちます。TLS 経由の暗号化された接続のみを許可する必要があります。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。TLS のパフォーマンスプロファイルと TLS の影響を把握するには、この機能を使用してアプリケーションをテストする必要があります。
修正
Amazon Redshift パラメータグループを更新して暗号化を要求するには、「Amazon Redshift 管理ガイド」の「パラメータグループの変更」を参照してください。require_ssl
を True に設定します。
[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります
関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-13(5)
カテゴリ: リカバリ > 耐障害性 > バックアップの有効化
重要度: 中
リソースタイプ: AWS::Redshift::Cluster
AWS Config ルール : redshift-backup-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
|
最小スナップショット保持期間 (日数) |
整数 |
|
|
このコントロールは、Amazon Redshift クラスターで自動スナップショットが有効になっているかどうか、および保持期間が指定された時間枠以上であるかどうかをチェックします。クラスターの自動スナップショットが有効になっていない場合や、保持期間が指定された時間枠未満の場合、コントロールは失敗します。スナップショット保持期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 7 日を使用します。
バックアップは、セキュリティインシデントからより迅速に復元するために役立ちます。これにより、システムの耐障害性が強化されます。Amazon Redshift は、デフォルトで定期的にスナップショットを作成します。このコントロールは、自動スナップショットが有効で、少なくとも 7 日間保持されているかどうかをチェックします。Amazon Redshift の自動スナップショットの詳細については、「Amazon Redshift 管理ガイド」の「自動スナップショット」を参照してください。
修正
Amazon Redshift クラスターのスナップショット保持期間を更新するには、「Amazon Redshift 管理ガイド」の「クラスターの変更」を参照してください。[Backup] (バックアップ) の場合、[Snapshot retention] (スナップショットの保持) を 7 以上の値に設定します。
[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります
関連する要件: NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ: AWS::Redshift::Cluster
AWS Config ルール: redshift-cluster-audit-logging-enabled
(カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
-
loggingEnabled = true
(カスタマイズ不可)
このコントロールは、Amazon Redshift クラスターで監査ログ記録が有効になっているかどうかをチェックします。
Amazon Redshift 監査ログ記録は、ユーザーのクラスター内の接続とユーザーアクティビティに関する追加情報を提供します。このデータは、Amazon S3 内で保存および保護することができ、セキュリティ監査や調査に役立ちます。詳細については、「Amazon Redshift 管理ガイド」の「データベース監査ログ記録」を参照してください。
修正
Amazon Redshift クラスターの監査ログを設定するには、「Amazon Redshift 管理ガイド」の「コンソールを使用して監査を設定する」を参照してください。
[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)
カテゴリ: 検出 > 脆弱性およびパッチ管理
重要度: 中
リソースタイプ: AWS::Redshift::Cluster
AWS Config ルール : redshift-cluster-maintenancesettings-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
-
allowVersionUpgrade = true
(カスタマイズ不可)
このコントロールは、Amazon Redshift クラスターで自動メジャーバージョンアップグレードが有効になっているかどうかをチェックします。
自動メジャーバージョンアップグレードを有効にすることで、メンテナンスウィンドウ中に Amazon Redshift クラスターの最新のメジャーバージョンの更新がインストールされます。これらのアップデートには、セキュリティパッチやバグ修正が含まれる場合があります。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。
修正
からこの問題を解決するには AWS CLI、Amazon Redshift modify-cluster
コマンドを使用して属性を設定します。--allow-version-upgrade
aws redshift modify-cluster --cluster-identifier
clustername
--allow-version-upgrade
は Amazon Redshift クラスターの名前です。clustername
[Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります
関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)
カテゴリ: 保護 > セキュアなネットワーク設定 > API プライベートアクセス
重要度: 中
リソースタイプ: AWS::Redshift::Cluster
AWS Config ルール : redshift-enhanced-vpc-routing-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon Redshift クラスターで EnhancedVpcRouting
が有効かどうかをチェックします。
拡張 VPC ルーティングは、クラスターとデータリポジトリ間のすべての COPY
および UNLOAD
トラフィックが VPC を経由するよう強制します。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用して、ネットワークトラフィックをモニタリングすることもできます。
修正
詳細な修正手順については、「Amazon Redshift 管理ガイド」の「拡張された VPC ルーティングの有効化」を参照してください。
[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
カテゴリ: 識別 > リソース設定
重要度: 中
リソースタイプ: AWS::Redshift::Cluster
AWS Config ルール : redshift-default-admin-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon Redshift クラスターが、管理者ユーザーネームをデフォルト値から変更したかどうかをチェックします。Redshift クラスターの管理者ユーザーネームが awsuser
に設定されている場合、このコントロールは失敗します。
Amazon RDS クラスターを作成するときは、デフォルトの管理者ユーザーネームを一意の値に変更する必要があります。デフォルトのユーザーネームはパブリックナレッジであり、設定時に変更する必要があります。デフォルトのユーザーネームを変更すると、意図しないアクセスのリスクが軽減されます。
修正
Amazon Redshift クラスターの管理者ユーザーネームは、作成後に変更することはできません。DB クラスターを新たに作成するには、「こちら」の手順に従います。
[Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
カテゴリ: 識別 > リソース設定
重要度: 中
リソースタイプ: AWS::Redshift::Cluster
AWS Config ルール : redshift-default-db-name-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon Redshift クラスターが、データベース名をデフォルト値から変更したかどうかをチェックします。Redshift クラスターのデータベース名が dev
に設定されている場合、このコントロールは失敗します。
Redshift クラスターを作成するときは、デフォルトのデータベース名を一意の値に変更する必要があります。デフォルトの名前は一般に知られているため、設定時に変更する必要があります。よく知られた名前は、IAM ポリシー条件などで使用されると偶発的なアクセスにつながる可能性があります。
修正
Amazon Redshift クラスターのデータベース名は、作成後に変更することはできません。新規クラスターの作成方法については、「Amazon Redshift の入門ガイド」の「Amazon Redshift の開始方法」を参照してください。
[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化
重要度: 中
リソースタイプ: AWS::Redshift::Cluster
AWS Config ルール : redshift-cluster-kms-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon Redshift クラスターが保管時に暗号化されているかどうかをチェックします。Redshift クラスターが保存時に暗号化されていない場合、または暗号化キーがルールパラメータで指定されたキーと異なる場合、コントロールは失敗します。
Amazon Redshift では、クラスターに対してデータベースの暗号化を有効にして、保管中のデータを保護できます。クラスターに対して暗号化を有効にすると、クラスターとそのスナップショットのデータブロックとシステムメタデータが暗号化されます。保管中のデータの暗号化は、データにアクセス管理のレイヤーを追加できるため、推奨されるベストプラクティスです。保管中の Redshift クラスターを暗号化すると、認証されていないユーザーがディスクに保存しているデータにアクセスするリスクが低減されます。
修正
KMS 暗号化を使用するように Redshift クラスターを変更するには、Amazon Redshift 管理ガイドの「クラスターの暗号化の変更」を参照してください。