Controles do Security Hub para o Amazon Redshift
Esses controles do AWS Security Hub CSPM avaliam o serviço e os recursos do Amazon Redshift. Os controles podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9), PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Gravidade: crítica
Tipo de recurso: AWS::Redshift::Cluster
AWS Config Regra: redshift-cluster-public-access-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os clusters Amazon Redshift estão acessíveis publicamente. Ele avalia o campo PubliclyAccessible no item de configuração do cluster.
O atributo PubliclyAccessible da configuração do cluster do Amazon Redshift indica se o cluster está acessível publicamente. Quando um cluster é configurado com PubliclyAccessible em true, ele será uma instância voltada para a Internet com um nome de DNS que pode ser resolvido publicamente, resultando em um endereço IP público.
Se um cluster não for acessível publicamente, ele será uma instância interna com um nome de DNS que é resolvido para um endereço IP privado. A menos que você pretenda que seu cluster seja acessível publicamente, o cluster não deve ser configurado com PubliclyAccessible definido como true.
Correção
Para atualizar um cluster do Amazon Redshift para desativar o acesso público, consulte Modificar um cluster no Guia de gerenciamento do Amazon Redshift. Defina Acessível ao público como Sim.
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), PCI DSS v4.0.1/4.2.1
Categoria: Proteger > Proteção de dados > Criptografia de dados em trânsito
Gravidade: média
Tipo de recurso: AWS::Redshift::Cluster AWS::Redshift::ClusterParameterGroup
AWS Config Regra: redshift-require-tls-ssl
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as conexões com os clusters do Amazon Redshift são necessárias para usar criptografia em trânsito. A verificação falhará se o parâmetro de cluster do Amazon Redshift require_SSL não estiver definido como True.
O TLS pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas via TLS devem ser permitidas. A criptografia de dados em trânsito pode afetar a performance. É necessário testar sua aplicação com esse atributo para entender o perfil de performance e o impacto do TLS.
Correção
Para atualizar um grupo de parâmetros do Amazon Redshift para exigir criptografia, consulte Modificar um grupo de parâmetros no Guia de gerenciamento do Amazon Redshift. Defina require_ssl como verdadeiro.
[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-13(5)
Categoria: Recuperação > Resiliência > Backups ativados
Gravidade: média
Tipo de recurso: AWS::Redshift::Cluster
AWS Config Regra: redshift-backup-enabled
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Período mínimo de retenção de snapshot em dias |
Inteiro |
|
|
Esse controle verifica se um cluster do Amazon Redshift tem snapshots automatizados habilitados e um período de retenção maior ou igual ao período de tempo especificado. O controle falhará se os snapshots automatizados não estiverem habilitados para o cluster, ou se o período de retenção for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do snapshot, o Security Hub usará um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. O Amazon Redshift faz snapshots periódicos por padrão. Esse controle verifica se os snapshots automáticos estão habilitados e retidos por pelo menos sete dias. Para obter mais detalhes sobre os snapshots automatizados do Amazon Redshift, consulte snapshots automatizados no Guia de gerenciamento do Amazon Redshift.
Correção
Para atualizar o período de retenção de snapshots para um cluster do Amazon Redshift, consulte Modificar um cluster no Guia de gerenciamento do Amazon Redshift. Em Backup, defina Retenção de snapshots para um valor de 7 ou mais.
[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.2.1
Categoria: Identificar > Registro em log
Gravidade: média
Tipo de recurso: AWS::Redshift::Cluster
Regra AWS Config: redshift-cluster-audit-logging-enabled (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
-
loggingEnabled = true(não personalizável)
Esse controle verifica se um cluster do Amazon Redshift tem log de auditoria habilitado.
O registro em log de auditoria do Amazon Redshift fornece informações adicionais sobre conexões e atividades do usuário em seu cluster. Esses dados podem ser armazenados e protegidos no Amazon S3 e podem ser úteis em auditorias e investigações de segurança. Para obter mais informações, consulte Registros em logo de auditoria de bancos de dados no Guia de gerenciamento do Amazon Redshift.
Correção
Para configurar o registro de auditoria para um cluster do Amazon Redshift, consulte Configurar auditoria usando o console no Guia de gerenciamento do Amazon Redshift.
[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5)
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Gravidade: média
Tipo de recurso: AWS::Redshift::Cluster
AWS Config Regra: redshift-cluster-maintenancesettings-check
Tipo de programação: acionado por alterações
Parâmetros:
-
allowVersionUpgrade = true(não personalizável)
Esse controle verifica se as atualizações automáticas de versões principais estão habilitadas para o cluster do Amazon Redshift.
A ativação de atualizações automáticas de versões principais garante que as atualizações mais recentes da versão principal dos clusters do Amazon Redshift sejam instaladas durante a janela de manutenção. Essas atualizações podem incluir patches de segurança e correções de erros. Manter-se atualizado com a instalação do patch é uma etapa importante para proteger os sistemas.
Correção
Para corrigir esse problema na AWS CLI, use o comando modify-cluster do Amazon Redshift e defina o atributo --allow-version-upgrade. clustername
aws redshift modify-cluster --cluster-identifierclustername--allow-version-upgrade
[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Categoria: Proteger > Configuração de rede segura > Acesso privado a API
Gravidade: média
Tipo de recurso: AWS::Redshift::Cluster
AWS Config Regra: redshift-enhanced-vpc-routing-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon Redshift foi EnhancedVpcRouting ativado.
O roteamento aprimorado de VPC força todo o tráfego COPY e UNLOAD entre o cluster e os repositórios de dados a passar pela sua VPC. Em seguida, você pode usar recursos da VPC, como grupos de segurança e listas de controle de acesso à rede, para proteger o tráfego da rede. Também é possível usar logs de fluxo da VPC para monitorar o tráfego de rede.
Correção
Para obter instruções detalhadas de correção, consulte Ativar roteamento aprimorado de VPC no Guia de gerenciamento do Amazon Redshift.
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoria: Identificar > Configuração de recursos
Gravidade: média
Tipo de recurso: AWS::Redshift::Cluster
AWS Config Regra: redshift-default-admin-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon Redshift alterou o nome de usuário do administrador de seu valor padrão. Esse controle falhará se o nome de usuário do administrador de um cluster do Redshift estiver definido como awsuser
Ao criar um cluster do Redshift, é necessário alterar o nome de usuário do administrador padrão para um valor exclusivo. Os nomes de usuário padrão são de conhecimento público e devem ser alterados na configuração. Alterar os nomes de usuário padrão reduz o risco de acesso não intencional.
Correção
Você não pode alterar o nome de usuário do administrador do cluster do Amazon Redshift depois que ele é criado. Para criar um novo cluster com um nome de usuário não padrão, consulte Etapa 1: Criar uma amostra de cluster do Amazon Redshift no Guia de conceitos básicos do Amazon Redshift.
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SI-7(6)
Categoria: Proteger > Proteção de dados > Criptografia de dados em repouso
Gravidade: média
Tipo de recurso: AWS::Redshift::Cluster
AWS Config Regra: redshift-cluster-kms-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os clusters do Amazon Redshift estão criptografados em repouso. O controle falhará se um cluster do Redshift não for criptografado em repouso ou se a chave de criptografia for diferente da chave fornecida no parâmetro da regra.
No Amazon Redshift, é possível ativar a criptografia de banco de dados para seus clusters para ajudar a proteger os dados em repouso. Quando você ativar a criptografia de um cluster, os blocos de dados e os metadados do sistema serão criptografados para o cluster e os respectivos snapshots. A criptografia de dados em repouso é uma prática recomendada, pois ela adiciona uma camada de gerenciamento de acesso aos seus dados. Criptografar clusters Redshift em repouso reduz o risco de um usuário não autenticado ter acesso aos dados armazenados em disco.
Correção
Para modificar um cluster do Redshift para usar a criptografia KMS, consulte Alterar criptografia do cluster no Guia de gerenciamento do Amazon Redshift.
[Redshift.11] Os clusters do Redshift devem ser marcados
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::Redshift::Cluster
Regra AWS Config: tagged-redshift-cluster (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. |
No default value
|
Esse controle verifica se um cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a um cluster do Redshift, consulte Marcar recursos no Amazon Redshift no Guia de gerenciamento do Amazon Redshift.
[Redshift.12] As notificações de assinatura de notificações eventos do Redshift devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::Redshift::EventSubscription
Regra AWS Config: tagged-redshift-eventsubscription (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. |
No default value
|
Esse controle verifica se um snapshop de cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o snapshot de cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o snapshot de cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a uma assinatura de notificação de eventos do Redshift, consulte Marcar recursos no Amazon Redshift no Guia de gerenciamento do Amazon Redshift.
[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::Redshift::ClusterSnapshot
Regra AWS Config: tagged-redshift-clustersnapshot (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. |
No default value
|
Esse controle verifica se um snapshop de cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o snapshot de cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o snapshot de cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a um snapshot de cluster do Redshift, consulte Marcar recursos no Amazon Redshift no Guia de gerenciamento do Amazon Redshift.
[Redshift.14] Os grupos de sub-redes de cluster do Redshift devem ser marcados
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::Redshift::ClusterSubnetGroup
Regra AWS Config: tagged-redshift-clustersubnetgroup (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. |
No default value
|
Esse controle verifica se o grupo de sub-redes de cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o grupo de sub-redes de cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de sub-redes de cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a um grupo de sub-redes de cluster do Redshift, consulte Marcar recursos no Amazon Redshift no Guia de gerenciamento do Amazon Redshift.
[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas
Requisitos relacionados: PCI DSS v4.0.1/1.3.1
Categoria: Proteger > Configuração de rede segura > Configuração do grupo de segurança
Gravidade: alta
Tipo de recurso: AWS::Redshift::Cluster
AWS Config Regra: redshift-unrestricted-port-access
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um grupo de segurança associado a um cluster do Amazon Redshift tem regras de entrada que permitem acesso à porta do cluster pela Internet (0.0.0.0/0 ou :/0). O controle falhará se as regras de entrada do grupo de segurança permitirem o acesso à porta do cluster pela Internet.
Permitir acesso de entrada irrestrito à porta de cluster do Redshift (endereço IP com sufixo /0) pode resultar em acesso não autorizado ou incidentes de segurança. Recomendamos aplicar o princípio de acesso com privilégio mínimo ao criar grupos de segurança e configurar regras de entrada.
Correção
Para restringir a entrada na porta do cluster Redshift a origens restritas, consulte Trabalhar com regras de grupos de segurança no Guia do usuário da Amazon VPC. Atualize as regras nas quais o intervalo de portas corresponda à porta do cluster do Redshift e o intervalo de portas IP seja 0.0.0.0/0.
[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade
Categoria: Recuperação > Resiliência > Alta disponibilidade
Gravidade: média
Tipo de recurso: AWS::Redshift::ClusterSubnetGroup
AWS Config Regra: redshift-cluster-subnet-group-multi-az
Tipo de programação: acionado por alterações
Parâmetros: nenhum
O controle verifica se um grupo de sub-redes de cluster do Amazon Redshift tem sub-redes de mais de uma zona de disponibilidade (AZ). O controle falhará se o grupo de sub-redes do cluster não tiver sub-redes de pelo menos duas AZs diferentes.
A configuração de sub-redes em várias AZs ajuda a garantir que seu data warehouse do Redshift possa continuar operando mesmo quando ocorrerem eventos de falha.
Correção
Para modificar um grupo de sub-redes de cluster do Redshift para abranger várias AZs, consulte Modificação de um grupo de sub-redes de cluster no Guia de gerenciamento do Amazon Redshift.
[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::Redshift::ClusterParameterGroup
AWS Config Regra: redshift-cluster-parameter-group-tagged
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredKeyTags |
Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se o grupo de parâmetros de cluster do Amazon Redshift tem as chaves de tags especificadas pelo parâmetro requiredKeyTags. O controle falhará se o grupo de parâmetros não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro requiredKeyTags. Se você não especificar nenhum valor para o parâmetro requiredKeyTags, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de parâmetros não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo aws:.
Uma tag é um rótulo que você cria e atribui a um recurso da AWS. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte Definição de permissões baseadas em atributos com autorização do ABAC no Guia do usuário do IAM. Para obter mais informações sobre tags, consulte o Guia do usuário do editor de tags e da aplicação de tags em recursos da AWS.
nota
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a partir de muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
Correção
Para obter informações sobre a adição de tags a um grupo de parâmetros de cluster do Redshift, consulte Aplicação de tags em recursos no Amazon Redshift no Guia de gerenciamento do Amazon Redshift.
[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas
Categoria: Recuperação > Resiliência > Alta disponibilidade
Gravidade: média
Tipo de recurso: AWS::Redshift::Cluster
AWS Config Regra: redshift-cluster-multi-az-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as implantações de várias zonas de disponibilidade (multi-AZ) estão habilitadas para um cluster do Amazon Redshift. O controle falhará se as implantações multi-AZ não estiverem habilitadas para um cluster do Amazon Redshift.
O Amazon Redshift oferece suporte a implantações de várias zonas de disponibilidade (multi-AZ) para clusters provisionados. Se as implantações multi-AZ estiverem habilitadas, um data warehouse do Amazon Redshift pode continuar operando em cenários de falha nos quais um evento inesperado acontece em uma zona de disponibilidade (AZ). Uma implantação multi-AZ implanta recursos computacionais em mais de uma AZ, e esses recursos computacionais podem ser acessados por meio de um único endpoint. Em caso de falha de uma AZ inteira, os recursos computacionais restantes na outra AZ permanecem disponíveis para continuar processando workloads. É possível converter um data warehouse single-AZ existente em um data warehouse multi-AZ. Recursos computacionais adicionais são então provisionados em uma segunda AZ.
Correção
Para obter informações sobre como configurar implantações multi-AZ para um cluster do Amazon Redshift, consulte Conversão de um data warehouse single-AZ em um data warehouse multi-AZ no Guia de gerenciamento do Amazon Redshift.
