AWS - Redshift Enum
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Redshift ist ein vollständig verwalteter Dienst, der auf über ein Petabyte skalieren kann und als Datenlager für Big Data-Lösungen verwendet wird. Mit Redshift-Clustern können Sie Analysen an Ihren Datensätzen durchführen, indem Sie schnelle, SQL-basierte Abfragewerkzeuge und Business-Intelligence-Anwendungen verwenden, um ein besseres Verständnis für die Vision Ihres Unternehmens zu gewinnen.
Redshift bietet Verschlüsselung im Ruhezustand mit einer vierstufigen Hierarchie von Verschlüsselungsschlüsseln, die entweder KMS oder CloudHSM zur Verwaltung der obersten Ebene von Schlüsseln verwendet. Wenn die Verschlüsselung für Ihr Cluster aktiviert ist, kann sie nicht deaktiviert werden und umgekehrt. Wenn Sie ein unverschlüsseltes Cluster haben, kann es nicht verschlüsselt werden.
Die Verschlüsselung für Ihr Cluster kann nur während seiner Erstellung erfolgen, und sobald es verschlüsselt ist, sind die Daten, Metadaten und alle Snapshots ebenfalls verschlüsselt. Die Stufenebene der Verschlüsselungsschlüssel ist wie folgt: Stufe eins ist der Master-Schlüssel, Stufe zwei ist der Cluster-Verschlüsselungsschlüssel, der CEK, Stufe drei, der Datenbank-Verschlüsselungsschlüssel, der DEK, und schließlich Stufe vier, die Datenverschlüsselungsschlüssel selbst.
Während der Erstellung Ihres Clusters können Sie entweder den Standard-KMS-Schlüssel für Redshift auswählen oder Ihren eigenen CMK auswählen, was Ihnen mehr Flexibilität bei der Kontrolle des Schlüssels gibt, insbesondere aus einer prüfbaren Perspektive.
Der Standard-KMS-Schlüssel für Redshift wird automatisch von Redshift erstellt, wenn die Schlüsseloption zum ersten Mal ausgewählt und verwendet wird, und er wird vollständig von AWS verwaltet.
Dieser KMS-Schlüssel wird dann mit dem CMK-Master-Schlüssel, Stufe eins, verschlüsselt. Dieser verschlüsselte KMS-Datenschlüssel wird dann als Cluster-Verschlüsselungsschlüssel, der CEK, Stufe zwei, verwendet. Dieser CEK wird dann von KMS an Redshift gesendet, wo er separat vom Cluster gespeichert wird. Redshift sendet dann diesen verschlüsselten CEK über einen sicheren Kanal an das Cluster, wo er im Speicher gespeichert wird.
Redshift fordert dann KMS auf, den CEK, Stufe zwei, zu entschlüsseln. Dieser entschlüsselte CEK wird dann ebenfalls im Speicher gespeichert. Redshift erstellt dann einen zufälligen Datenbank-Verschlüsselungsschlüssel, den DEK, Stufe drei, und lädt diesen in den Speicher des Clusters. Der entschlüsselte CEK im Speicher verschlüsselt dann den DEK, der ebenfalls im Speicher gespeichert wird.
Dieser verschlüsselte DEK wird dann über einen sicheren Kanal gesendet und separat von dem Cluster in Redshift gespeichert. Sowohl der CEK als auch der DEK sind jetzt im Speicher des Clusters sowohl in verschlüsselter als auch in entschlüsselter Form gespeichert. Der entschlüsselte DEK wird dann verwendet, um Datenverschlüsselungsschlüssel, Stufe vier, zu verschlüsseln, die von Redshift für jeden Datenblock in der Datenbank zufällig generiert werden.
Sie können AWS Trusted Advisor verwenden, um die Konfiguration Ihrer Amazon S3-Buckets zu überwachen und sicherzustellen, dass das Bucket-Logging aktiviert ist, was nützlich sein kann, um Sicherheitsprüfungen durchzuführen und Nutzungsmuster in S3 zu verfolgen.
Die folgenden Aktionen ermöglichen den Zugriff auf andere AWS-Konten für den Cluster:
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)