AWS - Redshift Enum
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Redshift, büyük veri çözümleri için bir veri ambarı olarak kullanılan, bir petabaytın üzerinde ölçeklenebilen tamamen yönetilen bir hizmettir. Redshift kümelerini kullanarak, veri setleriniz üzerinde hızlı, SQL tabanlı sorgu araçları ve iş zekası uygulamaları kullanarak analizler yapabilir ve işinizin vizyonunu daha iyi anlamak için veri toplayabilirsiniz.
Redshift, KMS veya CloudHSM kullanarak anahtarların en üst katmanını yönetmek için dört katmanlı bir şifreleme anahtarı hiyerarşisi kullanarak dinlenme sırasında şifreleme sunar. Kümeniz için şifreleme etkinleştirildiğinde, devre dışı bırakılamaz ve tam tersi de geçerlidir. Şifrelenmemiş bir kümeniz olduğunda, şifrelenemez.
Kümeniz için şifreleme yalnızca oluşturulması sırasında gerçekleşebilir ve bir kez şifrelendiğinde, veri, meta veri ve herhangi bir anlık görüntü de şifrelenir. Şifreleme anahtarlarının katmanlama seviyesi şu şekildedir: birinci katman anahtar, ikinci katman küme şifreleme anahtarı, CEK, üçüncü katman veritabanı şifreleme anahtarı, DEK ve son olarak dördüncü katman, veri şifreleme anahtarlarıdır.
Kümenizi oluştururken, Redshift için varsayılan KMS anahtarını seçebilir veya kendi CMK'nizi seçebilirsiniz; bu, anahtarın kontrolü üzerinde daha fazla esneklik sağlar, özellikle denetlenebilir bir perspektiften.
Redshift için varsayılan KMS anahtarı, anahtar seçeneği ilk kez seçildiğinde ve kullanıldığında Redshift tarafından otomatik olarak oluşturulur ve AWS tarafından tamamen yönetilir.
Bu KMS anahtarı daha sonra CMK anahtarının, birinci katman, ile şifrelenir. Bu şifrelenmiş KMS veri anahtarı daha sonra küme şifreleme anahtarı, CEK, ikinci katman olarak kullanılır. Bu CEK daha sonra KMS tarafından Redshift'e gönderilir ve burada kümeden ayrı olarak saklanır. Redshift daha sonra bu şifrelenmiş CEK'yi güvenli bir kanal üzerinden kümeye gönderir ve burada bellekte saklanır.
Redshift daha sonra KMS'ten CEK'yi, ikinci katman, şifre çözmesini talep eder. Bu şifrelenmiş CEK daha sonra bellekte de saklanır. Redshift daha sonra rastgele bir veritabanı şifreleme anahtarı, DEK, üçüncü katman oluşturur ve bunu kümenin belleğine yükler. Bellekteki şifrelenmemiş CEK, DEK'yi şifreler ve bu da bellekte saklanır.
Bu şifrelenmiş DEK daha sonra güvenli bir kanal üzerinden gönderilir ve Redshift'te kümeden ayrı olarak saklanır. Hem CEK hem de DEK artık kümenin belleğinde hem şifrelenmiş hem de şifrelenmemiş formda saklanmaktadır. Şifrelenmemiş DEK daha sonra veritabanındaki her veri bloğu için Redshift tarafından rastgele üretilen veri anahtarlarını şifrelemek için kullanılır.
Amazon S3 kovalarınızın yapılandırmasını izlemek ve kova günlüğünün etkinleştirildiğinden emin olmak için AWS Trusted Advisor'ı kullanabilirsiniz; bu, güvenlik denetimleri gerçekleştirmek ve S3'teki kullanım kalıplarını izlemek için yararlı olabilir.
Aşağıdaki eylemler, kümeye diğer AWS hesaplarına erişim verme imkanı tanır:
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
