AWS - Redshift Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Redshift - це повністю керована служба, яка може масштабуватися до понад одного петабайта, що використовується як сховище даних для рішень великого обсягу даних. Використовуючи кластери Redshift, ви можете виконувати аналітику над вашими наборами даних, використовуючи швидкі, засновані на SQL інструменти запитів та програми бізнес-аналітики для отримання більшого розуміння бачення вашого бізнесу.
Redshift пропонує шифрування в спокої, використовуючи чотирирівневу ієрархію ключів шифрування, використовуючи або KMS, або CloudHSM для управління верхнім рівнем ключів. Коли шифрування увімкнено для вашого кластера, його не можна вимкнути, і навпаки. Коли у вас є незашифрований кластер, його не можна зашифрувати.
Шифрування для вашого кластера може відбуватися лише під час його створення, і після шифрування дані, метадані та будь-які знімки також зашифровані. Рівні ключів шифрування такі: перший рівень - це головний ключ, другий рівень - це ключ шифрування кластера, CEK, третій рівень - ключ шифрування бази даних, DEK, і нарешті четвертий рівень - це самі ключі шифрування даних.
Під час створення вашого кластера ви можете вибрати ключ KMS за замовчуванням для Redshift або вибрати свій власний CMK, що дає вам більше гнучкості в контролі над ключем, зокрема з точки зору аудиту.
Ключ KMS за замовчуванням для Redshift автоматично створюється Redshift під час першого вибору та використання опції ключа, і він повністю керується AWS.
Цей ключ KMS потім шифрується головним ключем CMK, перший рівень. Цей зашифрований ключ даних KMS потім використовується як ключ шифрування кластера, CEK, другий рівень. Цей CEK потім надсилається KMS до Redshift, де він зберігається окремо від кластера. Redshift потім надсилає цей зашифрований CEK до кластера через захищений канал, де він зберігається в пам'яті.
Redshift потім запитує KMS для розшифрування CEK, другого рівня. Цей розшифрований CEK також зберігається в пам'яті. Redshift потім створює випадковий ключ шифрування бази даних, DEK, третього рівня, і завантажує його в пам'ять кластера. Розшифрований CEK в пам'яті потім шифрує DEK, який також зберігається в пам'яті.
Цей зашифрований DEK потім надсилається через захищений канал і зберігається в Redshift окремо від кластера. Як CEK, так і DEK тепер зберігаються в пам'яті кластера як в зашифрованій, так і в розшифрованій формі. Розшифрований DEK потім використовується для шифрування ключів даних, четвертого рівня, які випадковим чином генеруються Redshift для кожного блоку даних у базі даних.
Ви можете використовувати AWS Trusted Advisor для моніторингу конфігурації ваших кошиків Amazon S3 і забезпечення того, щоб ведення журналу кошика було увімкнено, що може бути корисним для проведення аудиту безпеки та відстеження шаблонів використання в S3.
Наступні дії дозволяють надати доступ до інших облікових записів AWS до кластера:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)