AWS - Redshift Enum

Learn & practice AWS Hacking: Learn & practice GCP Hacking:

Support HackTricks

Check the !
Join the 💬 or the or follow us on Twitter 🐦 .
Share hacking tricks by submitting PRs to the and github repos.

Amazon Redshift

Redshift ni huduma inayosimamiwa kikamilifu ambayo inaweza kupanuka hadi zaidi ya petabyte kwa ukubwa, ambayo inatumika kama ghala la data kwa suluhisho za big data. Kwa kutumia klasta za Redshift, unaweza kufanya uchambuzi dhidi ya seti zako za data kwa kutumia zana za maswali za SQL za haraka na programu za akili ya biashara ili kupata ufahamu mkubwa wa maono ya biashara yako.

Redshift inatoa usimbaji wa data wakati wa kupumzika kwa kutumia ngazi nne za funguo za usimbaji kwa kutumia KMS au CloudHSM kusimamia ngazi ya juu ya funguo. Wakati usimbaji unapoanzishwa kwa klasta yako, hauwezi kuzuiwa na kinyume chake. Wakati una klasta isiyo na usimbaji, haiwezi kusimbwa.

Usimbaji wa klasta yako unaweza kutokea tu wakati wa uundaji wake, na mara tu inaposimbwa, data, metadata, na picha zozote pia zimefungwa. Ngazi za funguo za usimbaji ni kama ifuatavyo, ngazi moja ni funguo kuu, ngazi mbili ni funguo za usimbaji za klasta, CEK, ngazi tatu, funguo za usimbaji za hifadhidata, DEK, na hatimaye ngazi nne, funguo za usimbaji wa data wenyewe.

KMS

Wakati wa uundaji wa klasta yako, unaweza kuchagua funguo za KMS za default kwa Redshift au kuchagua CMK yako mwenyewe, ambayo inakupa uwezo zaidi juu ya udhibiti wa funguo, hasa kutoka mtazamo wa kuweza kukaguliwa.

Funguo za KMS za default kwa Redshift zinaundwa kiotomatiki na Redshift wakati wa mara ya kwanza chaguo la funguo linapochaguliwa na kutumika, na inasimamiwa kikamilifu na AWS.

Funguo hii ya KMS kisha inasimbwa kwa funguo kuu ya CMK, ngazi moja. Funguo hii ya data ya KMS iliyosimbwa kisha inatumika kama funguo za usimbaji za klasta, CEK, ngazi mbili. CEK hii kisha inatumwa na KMS kwa Redshift ambapo inahifadhiwa tofauti na klasta. Redshift kisha inatuma CEK hii iliyosimbwa kwa klasta kupitia njia salama ambapo inahifadhiwa kwenye kumbukumbu.

Redshift kisha inaomba KMS kufungua CEK, ngazi mbili. CEK hii iliyofunguliwa kisha inahifadhiwa pia kwenye kumbukumbu. Redshift kisha inaunda funguo za usimbaji za hifadhidata za nasibu, DEK, ngazi tatu, na kuziingiza kwenye kumbukumbu ya klasta. CEK iliyofunguliwa kwenye kumbukumbu kisha inasimba DEK, ambayo pia inahifadhiwa kwenye kumbukumbu.

DEK hii iliyosimbwa kisha inatumwa kupitia njia salama na kuhifadhiwa katika Redshift tofauti na klasta. CEK na DEK sasa zimehifadhiwa kwenye kumbukumbu ya klasta zote kwa njia ya usimbaji na ufunguo. DEK iliyofunguliwa kisha inatumika kusimba funguo za data, ngazi nne, ambazo zinaundwa kwa nasibu na Redshift kwa kila block ya data katika hifadhidata.

Unaweza kutumia AWS Trusted Advisor kufuatilia usanidi wa ndoo zako za Amazon S3 na kuhakikisha kuwa uandishi wa ndoo umewezeshwa, ambayo inaweza kuwa muhimu kwa kufanya ukaguzi wa usalama na kufuatilia mifumo ya matumizi katika S3.

CloudHSM

Using Redshift with CloudHSM

Wakati unafanya kazi na CloudHSM ili kutekeleza usimbaji wako, kwanza lazima uanzishe muunganisho wa kuaminika kati ya mteja wako wa HSM na Redshift huku ukitumia vyeti vya mteja na seva.

Muunganisho huu unahitajika kutoa mawasiliano salama, kuruhusu funguo za usimbaji kutumwa kati ya mteja wako wa HSM na klasta zako za Redshift. Kwa kutumia jozi ya funguo za kibinafsi na za umma zilizoundwa kwa nasibu, Redshift inaunda cheti cha mteja wa umma, ambacho kinasimbwa na kuhifadhiwa na Redshift. Hii lazima ipakuliwe na kuandikishwa kwa mteja wako wa HSM, na kupewa sehemu sahihi ya HSM.

Basi lazima uweke Redshift na maelezo yafuatayo ya mteja wako wa HSM: anwani ya IP ya HSM, jina la sehemu ya HSM, nenosiri la sehemu ya HSM, na cheti cha seva ya umma ya HSM, ambacho kinasimbwa na CloudHSM kwa kutumia funguo kuu za ndani. Mara tu habari hii itakapopewa, Redshift itathibitisha na kuthibitisha kwamba inaweza kuungana na kufikia sehemu ya maendeleo.

Ikiwa sera zako za usalama za ndani au udhibiti wa utawala zinataka kwamba lazima ufanye mzunguko wa funguo, basi hii inawezekana na Redshift ikikuruhusu kubadilisha funguo za usimbaji kwa klasta zilizofungwa, hata hivyo, unahitaji kuwa makini kwamba wakati wa mchakato wa kubadilisha funguo, itafanya klasta kuwa haipatikani kwa kipindi kifupi sana, na hivyo ni bora kubadilisha funguo tu unapohitaji, au ikiwa unahisi zinaweza kuwa zimeathiriwa.

Wakati wa kubadilisha, Redshift itabadilisha CEK kwa klasta yako na kwa nakala zozote za klasta hiyo. Itabadilisha DEK kwa klasta lakini haiwezekani kubadilisha DEK kwa picha zilizohifadhiwa katika S3 ambazo zimefungwa kwa kutumia DEK. Itaiweka klasta katika hali ya 'kubadilisha funguo' hadi mchakato ukamilike wakati hali itarudi kuwa 'inapatikana'.

Enumeration

Privesc

Persistence

Hatua zifuatazo zinaruhusu kutoa ufikiaji kwa akaunti nyingine za AWS kwa klasta:

Support HackTricks

PreviousAWS - Organizations Enum NextAWS - Relational Database (RDS) Enum

Last updated 3 days ago