Verifique se os novos clusters do Amazon Redshift têm endpoints necessários SSL - Recomendações da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Verifique se os novos clusters do Amazon Redshift têm endpoints necessários SSL

Criado por Priyanka Chaudhary () AWS

Resumo

Esse padrão fornece um CloudFormation modelo do Amazon Web Services (AWS) que notifica você automaticamente quando um novo cluster do Amazon Redshift é lançado sem endpoints do Secure Sockets Layer SSL ().

O Amazon Redshift é um serviço de data warehouse em escala de petabytes totalmente gerenciado baseado na nuvem. Ele foi projetado para armazenamento e análise de conjuntos de dados em grande escala. Ele também é usado para realizar migrações de banco de dados em grande escala. Por motivos de segurança, o Amazon Redshift oferece suporte SSL para criptografar a conexão entre o aplicativo cliente do SQL servidor do usuário e o cluster do Amazon Redshift. Para configurar seu cluster para exigir uma SSL conexão, você define o require_SSL parâmetro como true no grupo de parâmetros associado ao cluster durante a execução.

O controle de segurança fornecido com esse padrão monitora as API chamadas do Amazon Redshift em AWS CloudTrail registros e inicia um evento Amazon CloudWatch Events para o CreateCluster,, ModifyClusterRestoreFromClusterSnapshot, e. CreateClusterParameterGroupModifyClusterParameterGroupAPIs Quando o evento detecta um delesAPIs, ele chama o AWS Lambda, que executa um script Python. A função Python analisa o CloudWatch evento para os eventos listados. CloudTrail Quando um cluster do Amazon Redshift é criado, modificado ou restaurado a partir de um snapshot existente, um novo grupo de parâmetros é criado para o cluster ou um grupo de parâmetros existente é modificado, a função verifica o parâmetro require_SSL do cluster. Se o valor do parâmetro forfalse, a função enviará uma notificação do Amazon Simple Notification Service (AmazonSNS) ao usuário com as informações relevantes: o nome do cluster Amazon Redshift, a AWS região, a AWS conta e o Amazon Resource Name (ARN) para Lambda de onde essa notificação foi originada.

Pré-requisitos e limitações

Pré-requisitos

  • Uma conta da AWS ativa.

  • Uma nuvem privada virtual (VPC) com um grupo de sub-redes de cluster e um grupo de segurança associado.

Limitações

  • Esse controle de segurança é regional. Você deve implantá-lo em cada AWS região que deseja monitorar.

Arquitetura

Arquitetura de destino

Fluxo de trabalho para enviar uma notificação quando um novo cluster do Amazon Redshift é lançado sem SSL endpoints.

Automação e escala

Ferramentas

Serviços do AWS

  • AWS CloudFormation— AWS CloudFormation ajuda você a modelar e configurar seus AWS recursos, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida. Você pode usar um modelo para descrever seus recursos e as dependências deles, além de inicializá-los e configurá-los juntos como uma pilha, em vez de gerenciar recursos individualmente.

  • Amazon CloudWatch Events — O Amazon CloudWatch Events fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos AWS recursos.

  • AWSLambda — O AWS Lambda é um serviço de computação que oferece suporte à execução de código sem provisionar ou gerenciar servidores.

  • Amazon Redshift: o Amazon Redshift é um serviço de data warehouse em escala de petabytes totalmente gerenciado na nuvem.

  • Amazon S3: o Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos. Você pode utilizar o Amazon S3 para armazenar e recuperar qualquer volume de dados, a qualquer momento, de qualquer lugar na web. 

  • Amazon SNS — O Amazon Simple Notification Service (AmazonSNS) coordena e gerencia a entrega ou o envio de mensagens entre editores e clientes, incluindo servidores web e endereços de e-mail. Os assinantes recebem todas as mensagens publicadas nos tópicos para os quais eles se inscrevem, e todos os assinantes em um tópico recebem as mesmas mensagens.

Código

Esse padrão inclui os seguintes anexos:

  • RedshiftSSLEndpointsRequired.zip: o código Lambda para o controle de segurança.

  • RedshiftSSLEndpointsRequired.yml— O CloudFormation modelo que configura o evento e a função Lambda.

Épicos

TarefaDescriçãoHabilidades necessárias

Definir o bucket do S3.

No console do Amazon S3, escolha ou crie um bucket do S3 para hospedar o arquivo .zip do código do Lambda. Esse bucket do S3 deve estar na mesma AWS região do cluster do Amazon Redshift que você deseja monitorar. O nome de um bucket do S3 é globalmente exclusivo e o namespace é compartilhado por todas as contas. AWS O nome do bucket do S3 não pode incluir barras iniciais.

Arquiteto de nuvem

Fazer o upload do código do Lambda.

Faça upload do arquivo .zip do código do Lambda fornecido na seção Anexos no bucket do S3.

Arquiteto de nuvem
TarefaDescriçãoHabilidades necessárias

Inicie o AWS CloudFormation modelo.

Abra o AWS CloudFormation console na mesma AWS região do seu bucket do S3 e implante o modelo RedshiftSSLEndpointsRequired.yml anexado. Para obter mais informações sobre a implantação AWS CloudFormation de modelos, consulte Criação de uma pilha no AWS CloudFormation console na CloudFormation documentação.

Arquiteto de nuvem

Preencher os parâmetros no modelo.

Ao iniciar o modelo, você será solicitado a fornecer as seguintes informações:

  • Bucket S3: especifique o bucket que você criou ou selecionou no primeiro épico. É onde que você fez o upload do código do Lambda anexado (arquivo .zip).

  • Chave do S3: especifique a localização do arquivo .zip do Lambda em seu bucket do S3 (por exemplo, nome do arquivo.zip ou controles/nome do arquivo.zip). Não inclua barras iniciais.

  • E-mail de notificação: forneça um endereço de e-mail ativo no qual você deseja receber SNS notificações da Amazon.

  • Nível de registro em log do Lamba: especifique o nível de registro em log e a frequência da função do Lambda. Use Informações para registrar em log mensagens informativas detalhadas sobre o progresso, Erro para eventos de erro que ainda permitiriam a continuidade da implantação e Aviso sobre situações potencialmente prejudiciais.

Arquiteto de nuvem
TarefaDescriçãoHabilidades necessárias

Confirmar a assinatura.

Quando o CloudFormation modelo é implantado com sucesso, ele envia um e-mail de assinatura para o endereço de e-mail que você forneceu. Você deve confirmar essa assinatura de e-mail para começar a receber notificações de violação.

Arquiteto de nuvem

Recursos relacionados

Anexos

Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip