AWS - Redshift Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Redshift es un servicio completamente gestionado que puede escalar hasta más de un petabyte en tamaño, que se utiliza como un almacén de datos para soluciones de big data. Usando clústeres de Redshift, puedes ejecutar análisis sobre tus conjuntos de datos utilizando herramientas de consulta rápidas basadas en SQL y aplicaciones de inteligencia empresarial para obtener una mayor comprensión de la visión de tu negocio.
Redshift ofrece cifrado en reposo utilizando una jerarquía de cuatro niveles de claves de cifrado utilizando KMS o CloudHSM para gestionar el nivel superior de claves. Cuando el cifrado está habilitado para tu clúster, no se puede desactivar y viceversa. Cuando tienes un clúster sin cifrar, no se puede cifrar.
El cifrado para tu clúster solo puede ocurrir durante su creación, y una vez cifrado, los datos, metadatos y cualquier instantánea también están cifrados. Los niveles de jerarquía de las claves de cifrado son los siguientes: el nivel uno es la clave maestra, el nivel dos es la clave de cifrado del clúster, la CEK, el nivel tres, la clave de cifrado de la base de datos, la DEK, y finalmente el nivel cuatro, las claves de cifrado de datos en sí.
Durante la creación de tu clúster, puedes seleccionar la clave KMS predeterminada para Redshift o seleccionar tu propia CMK, lo que te da más flexibilidad sobre el control de la clave, específicamente desde una perspectiva auditable.
La clave KMS predeterminada para Redshift es creada automáticamente por Redshift la primera vez que se selecciona y utiliza la opción de clave, y es completamente gestionada por AWS.
Esta clave KMS se cifra luego con la clave maestra CMK, nivel uno. Esta clave de datos KMS cifrada se utiliza como la clave de cifrado del clúster, la CEK, nivel dos. Esta CEK se envía luego por KMS a Redshift donde se almacena por separado del clúster. Redshift luego envía esta CEK cifrada al clúster a través de un canal seguro donde se almacena en memoria.
Redshift luego solicita a KMS que descifre la CEK, nivel dos. Esta CEK descifrada también se almacena en memoria. Redshift luego crea una clave de cifrado de base de datos aleatoria, la DEK, nivel tres, y la carga en la memoria del clúster. La CEK descifrada en memoria luego cifra la DEK, que también se almacena en memoria.
Esta DEK cifrada se envía luego a través de un canal seguro y se almacena en Redshift por separado del clúster. Tanto la CEK como la DEK ahora se almacenan en la memoria del clúster tanto en forma cifrada como descifrada. La DEK descifrada se utiliza luego para cifrar las claves de datos, nivel cuatro, que son generadas aleatoriamente por Redshift para cada bloque de datos en la base de datos.
Puedes usar AWS Trusted Advisor para monitorear la configuración de tus buckets de Amazon S3 y asegurarte de que el registro de buckets esté habilitado, lo que puede ser útil para realizar auditorías de seguridad y rastrear patrones de uso en S3.
Las siguientes acciones permiten otorgar acceso a otras cuentas de AWS al clúster:
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)