AWS - Redshift Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Redshift je potpuno upravljana usluga koja može da se skalira na više od petabajta, koja se koristi kao data warehouse za rešenja velikih podataka. Koristeći Redshift klastere, možete da izvršavate analitiku nad vašim skupovima podataka koristeći brze, SQL-bazirane alate za upit i aplikacije poslovne inteligencije kako biste stekli bolje razumevanje vizije za vaše poslovanje.
Redshift nudi enkripciju u mirovanju koristeći hijerarhiju od četiri nivoa ključeva enkripcije koristeći KMS ili CloudHSM za upravljanje najvišim nivoom ključeva. Kada je enkripcija omogućena za vaš klaster, ne može se onemogućiti i obrnuto. Kada imate neenkripted klaster, ne može se enkriptovati.
Enkripcija za vaš klaster može se dogoditi samo tokom njegove kreacije, a kada je enkriptovan, podaci, metapodaci i sve snimke su takođe enkriptovani. Nivoi ključeva enkripcije su sledeći, prvi nivo je glavni ključ, drugi nivo je ključ enkripcije klastera, CEK, treći nivo, ključ enkripcije baze podataka, DEK, i konačno četvrti nivo, ključevi enkripcije podataka.
Tokom kreacije vašeg klastera, možete ili odabrati podrazumevajući KMS ključ za Redshift ili odabrati svoj vlastiti CMK, što vam daje veću fleksibilnost u kontroli ključa, posebno iz auditable perspektive.
Podrazumevajući KMS ključ za Redshift automatski se kreira od strane Redshift-a prvi put kada se opcija ključa odabere i koristi, i potpuno ga upravlja AWS.
Ovaj KMS ključ se zatim enkriptuje sa CMK glavnim ključem, prvi nivo. Ovaj enkriptovani KMS ključ podataka se zatim koristi kao ključ enkripcije klastera, CEK, drugi nivo. Ovaj CEK se zatim šalje od strane KMS-a Redshift-u gde se čuva odvojeno od klastera. Redshift zatim šalje ovaj enkriptovani CEK klasteru preko sigurnog kanala gde se čuva u memoriji.
Redshift zatim traži od KMS-a da dekriptuje CEK, drugi nivo. Ovaj dekriptovani CEK se zatim takođe čuva u memoriji. Redshift zatim kreira nasumični ključ enkripcije baze podataka, DEK, treći nivo, i učitava ga u memoriju klastera. Dekriptovani CEK u memoriji zatim enkriptuje DEK, koji se takođe čuva u memoriji.
Ovaj enkriptovani DEK se zatim šalje preko sigurnog kanala i čuva u Redshift-u odvojeno od klastera. I CEK i DEK su sada čuvani u memoriji klastera kako u enkriptovanom tako i u dekriptovanom obliku. Dekriptovani DEK se zatim koristi za enkripciju ključeva podataka, četvrti nivo, koji se nasumično generišu od strane Redshift-a za svaki blok podataka u bazi podataka.
Možete koristiti AWS Trusted Advisor za praćenje konfiguracije vaših Amazon S3 kanti i osigurati da je logovanje kanti omogućeno, što može biti korisno za izvođenje bezbednosnih audita i praćenje obrazaca korišćenja u S3.
Sledeće akcije omogućavaju dodeljivanje pristupa drugim AWS nalozima klasteru:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
