AWS - Redshift Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Redshift एक पूरी तरह से प्रबंधित सेवा है जो आकार में एक पेटाबाइट से अधिक तक स्केल कर सकती है, जिसका उपयोग बिग डेटा समाधानों के लिए डेटा वेयरहाउस के रूप में किया जाता है। Redshift क्लस्टरों का उपयोग करके, आप अपने डेटा सेट के खिलाफ तेज, SQL-आधारित क्वेरी उपकरणों और व्यावसायिक बुद्धिमत्ता अनुप्रयोगों का उपयोग करके विश्लेषण चला सकते हैं ताकि आपके व्यवसाय के लिए दृष्टि की बेहतर समझ प्राप्त की जा सके।
Redshift चार-स्तरीय एन्क्रिप्शन कुंजी की हायरार्की का उपयोग करके विश्राम में एन्क्रिप्शन प्रदान करता है, जिसमें KMS या CloudHSM का उपयोग करके शीर्ष स्तर की कुंजी का प्रबंधन किया जाता है। जब आपके क्लस्टर के लिए एन्क्रिप्शन सक्षम होता है, तो इसे अक्षम नहीं किया जा सकता है और इसके विपरीत। जब आपके पास एक अनएन्क्रिप्टेड क्लस्टर होता है, तो इसे एन्क्रिप्ट नहीं किया जा सकता है।
आपके क्लस्टर के लिए एन्क्रिप्शन केवल इसके निर्माण के दौरान हो सकता है, और एक बार एन्क्रिप्ट होने के बाद, डेटा, मेटाडेटा, और कोई भी स्नैपशॉट भी एन्क्रिप्टेड होते हैं। एन्क्रिप्शन कुंजी के स्तर इस प्रकार हैं, स्तर एक मास्टर कुंजी है, स्तर दो क्लस्टर एन्क्रिप्शन कुंजी, CEK, स्तर तीन, डेटाबेस एन्क्रिप्शन कुंजी, DEK, और अंततः स्तर चार, डेटा एन्क्रिप्शन कुंजी स्वयं।
आपके क्लस्टर के निर्माण के दौरान, आप Redshift के लिए डिफ़ॉल्ट KMS कुंजी का चयन कर सकते हैं या अपनी स्वयं की CMK का चयन कर सकते हैं, जो आपको कुंजी के नियंत्रण पर अधिक लचीलापन देता है, विशेष रूप से एक ऑडिटेबल दृष्टिकोण से।
Redshift के लिए डिफ़ॉल्ट KMS कुंजी तब स्वचालित रूप से बनाई जाती है जब पहली बार कुंजी विकल्प का चयन और उपयोग किया जाता है, और यह AWS द्वारा पूरी तरह से प्रबंधित होती है।
यह KMS कुंजी फिर CMK मास्टर कुंजी, स्तर एक के साथ एन्क्रिप्ट की जाती है। यह एन्क्रिप्टेड KMS डेटा कुंजी फिर क्लस्टर एन्क्रिप्शन कुंजी, CEK, स्तर दो के रूप में उपयोग की जाती है। यह CEK फिर KMS द्वारा Redshift को भेजी जाती है जहां इसे क्लस्टर से अलग रखा जाता है। Redshift फिर इस एन्क्रिप्टेड CEK को एक सुरक्षित चैनल के माध्यम से क्लस्टर को भेजता है जहां इसे मेमोरी में संग्रहीत किया जाता है।
Redshift फिर KMS से CEK, स्तर दो को डिक्रिप्ट करने का अनुरोध करता है। यह डिक्रिप्टेड CEK फिर मेमोरी में भी संग्रहीत किया जाता है। Redshift फिर एक यादृच्छिक डेटाबेस एन्क्रिप्शन कुंजी, DEK, स्तर तीन बनाता है, और उसे क्लस्टर की मेमोरी में लोड करता है। मेमोरी में डिक्रिप्टेड CEK फिर DEK को एन्क्रिप्ट करता है, जो मेमोरी में भी संग्रहीत होता है।
यह एन्क्रिप्टेड DEK फिर एक सुरक्षित चैनल के माध्यम से भेजा जाता है और Redshift में क्लस्टर से अलग रखा जाता है। CEK और DEK अब क्लस्टर की मेमोरी में एन्क्रिप्टेड और डिक्रिप्टेड दोनों रूपों में संग्रहीत होते हैं। डिक्रिप्टेड DEK फिर डेटा कुंजी, स्तर चार, को एन्क्रिप्ट करने के लिए उपयोग किया जाता है, जो Redshift द्वारा डेटाबेस में प्रत्येक डेटा ब्लॉक के लिए यादृच्छिक रूप से उत्पन्न की जाती हैं।
आप AWS Trusted Advisor का उपयोग अपने Amazon S3 बकेट की कॉन्फ़िगरेशन की निगरानी करने के लिए कर सकते हैं और यह सुनिश्चित कर सकते हैं कि बकेट लॉगिंग सक्षम है, जो सुरक्षा ऑडिट करने और S3 में उपयोग पैटर्न को ट्रैक करने के लिए उपयोगी हो सकता है।
निम्नलिखित क्रियाएँ क्लस्टर के लिए अन्य AWS खातों को पहुँच प्रदान करने की अनुमति देती हैं:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)