Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an dieHackTricks und HackTricks Cloud GitHub-Repositories senden.
Amazon Redshift
Redshift ist ein vollständig verwalteter Dienst, der auf über ein Petabyte skalieren kann und als Datenlager für Big-Data-Lösungen verwendet wird. Mit Redshift-Clustern können Sie Analysen gegen Ihre Datensätze mit schnellen, SQL-basierten Abfrage-Tools und Business-Intelligence-Anwendungen durchführen, um ein besseres Verständnis der Vision für Ihr Unternehmen zu gewinnen.
Redshift bietet eine Verschlüsselung im Ruhezustand mit einer vierstufigen Hierarchie von Verschlüsselungsschlüsseln, die entweder KMS oder CloudHSM verwenden, um die oberste Ebene der Schlüssel zu verwalten. Wenn die Verschlüsselung für Ihren Cluster aktiviert ist, kann sie nicht deaktiviert werden und umgekehrt. Wenn Sie einen unverschlüsselten Cluster haben, kann er nicht verschlüsselt werden.
Die Verschlüsselung für Ihren Cluster kann nur während seiner Erstellung erfolgen, und sobald sie verschlüsselt ist, werden auch die Daten, Metadaten und alle Snapshots verschlüsselt. Die Hierarchie der Verschlüsselungsschlüssel ist wie folgt: Stufe eins ist der Master-Key, Stufe zwei ist der Cluster-Verschlüsselungsschlüssel, der CEK, Stufe drei ist der Datenbank-Verschlüsselungsschlüssel, der DEK, und schließlich Stufe vier sind die Datenverschlüsselungsschlüssel selbst.
KMS
Während der Erstellung Ihres Clusters können Sie entweder den Standard-KMS-Schlüssel für Redshift auswählen oder Ihren eigenen CMK auswählen, was Ihnen mehr Flexibilität bei der Kontrolle des Schlüssels gibt, insbesondere aus auditiver Sicht.
Der Standard-KMS-Schlüssel für Redshift wird automatisch von Redshift erstellt, wenn der Schlüsseloption zum ersten Mal ausgewählt und verwendet wird, und er wird vollständig von AWS verwaltet.
Dieser KMS-Schlüssel wird dann mit dem CMK-Masterschlüssel, Stufe eins, verschlüsselt. Dieser verschlüsselte KMS-Datenschlüssel wird dann als Cluster-Verschlüsselungsschlüssel, der CEK, Stufe zwei, verwendet. Dieser CEK wird dann von KMS an Redshift gesendet, wo er separat vom Cluster gespeichert wird. Redshift sendet dann diesen verschlüsselten CEK über einen sicheren Kanal an den Cluster, wo er im Speicher gespeichert wird.
Redshift fordert dann KMS auf, den CEK, Stufe zwei, zu entschlüsseln. Dieser entschlüsselte CEK wird dann ebenfalls im Speicher gespeichert. Redshift erstellt dann einen zufälligen Datenbank-Verschlüsselungsschlüssel, den DEK, Stufe drei, und lädt ihn in den Speicher des Clusters. Der entschlüsselte CEK im Speicher verschlüsselt dann den DEK, der ebenfalls im Speicher gespeichert wird.
Dieser verschlüsselte DEK wird dann über einen sicheren Kanal gesendet und separat von Redshift vom Cluster gespeichert. Sowohl der CEK als auch der DEK werden jetzt im Speicher des Clusters sowohl in verschlüsselter als auch in entschlüsselter Form gespeichert. Der entschlüsselte DEK wird dann verwendet, um Datenverschlüsselungsschlüssel, Stufe vier, zu verschlüsseln, die von Redshift für jeden Datenblock in der Datenbank zufällig generiert werden.
Sie können den AWS Trusted Advisor verwenden, um die Konfiguration Ihrer Amazon S3-Buckets zu überwachen und sicherzustellen, dass das Bucket-Logging aktiviert ist, was für die Durchführung von Sicherheitsaudits und die Verfolgung von Nutzungsverhalten in S3 nützlich sein kann.
CloudHSM
Verwendung von Redshift mit CloudHSM
Wenn Sie mit CloudHSM arbeiten, um Ihre Verschlüsselung durchzuführen, müssen Sie zunächst eine vertrauenswürdige Verbindung zwischen Ihrem HSM-Client und Redshift einrichten und dabei Client- und Serverzertifikate verwenden.
Diese Verbindung ist erforderlich, um sichere Kommunikation zu ermöglichen, die es ermöglicht, Verschlüsselungsschlüssel zwischen Ihrem HSM-Client und Ihren Redshift-Clustern zu senden. Mit einem zufällig generierten privaten und öffentlichen Schlüsselpaar erstellt Redshift ein öffentliches Clientzertifikat, das von Redshift verschlüsselt und gespeichert wird. Dies muss heruntergeladen und bei Ihrem HSM-Client registriert und dem richtigen HSM-Partition zugewiesen werden.
Sie müssen dann Redshift mit den folgenden Details Ihres HSM-Clients konfigurieren: die HSM-IP-Adresse, den HSM-Partitionsnamen, das HSM-Partitionspasswort und das öffentliche HSM-Serverzertifikat, das von CloudHSM unter Verwendung eines internen Masterschlüssels verschlüsselt wird. Sobald diese Informationen bereitgestellt wurden, wird Redshift bestätigen und überprüfen, dass es eine Verbindung herstellen und auf die Entwicklungspartition zugreifen kann.
Wenn Ihre internen Sicherheitsrichtlinien oder Governance-Steuerungen vorschreiben, dass Sie eine Schlüsselrotation anwenden müssen, ist dies mit Redshift möglich, sodass Sie Verschlüsselungsschlüssel für verschlüsselte Cluster rotieren können. Sie müssen jedoch beachten, dass während des Schlüsselrotationsprozesses der Cluster für eine sehr kurze Zeit nicht verfügbar ist, und es ist daher am besten, Schlüssel nur dann zu rotieren, wenn Sie dies benötigen, oder wenn Sie glauben, dass sie kompromittiert wurden.
Während der Rotation wird Redshift den CEK für Ihren Cluster und für alle Backups dieses Clusters rotieren. Es wird einen DEK für den Cluster rotieren, aber es ist nicht möglich, einen DEK für die in S3 gespeicherten Snapshots zu rotieren, die mit dem DEK verschlüsselt wurden. Der Cluster wird in einen Zustand der 'Schlüsselrotation' versetzt, bis der Prozess abgeschlossen ist, wenn der Status wieder auf 'verfügbar' zurückkehrt.
Enumeration
# Get clustersawsredshiftdescribe-clusters## Get if publicly accessibleawsredshiftdescribe-clusters|jq-r".Clusters[].PubliclyAccessible"## Get DB username to loginawsredshiftdescribe-clusters|jq-r".Clusters[].MasterUsername"## Get endpointawsredshiftdescribe-clusters|jq-r".Clusters[].Endpoint"## Public addresses of the nodesawsredshiftdescribe-clusters|jq-r".Clusters[].ClusterNodes[].PublicIPAddress"## Get IAM roles of the clustersawsredshiftdescribe-clusters|jq-r".Clusters[].IamRoles"# Endpoint access & authorizationawsredshiftdescribe-endpoint-accessawsredshiftdescribe-endpoint-authorization# Get credentialsawsredshiftget-cluster-credentials--db-user<username>--cluster-identifier<cluster-id>## By default, the temporary credentials expire in 900 seconds. You can optionally specify a duration between 900 seconds (15 minutes) and 3600 seconds (60 minutes).
awsredshiftget-cluster-credentials-with-iam--cluster-identifier<cluster-id>## Gives creds to access redshift with the IAM redshift permissions given to the current AWS account## More in https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-access-control-identity-based.html# Authentication profilesawsredshiftdescribe-authentication-profiles# Snapshotsawsredshiftdescribe-cluster-snapshots# Scheduled actionsawsredshiftdescribe-scheduled-actions# Connect# The redshift instance must be publicly available (not by default), the sg need to allow inbounds connections to the port and you need creds
psql-hredshift-cluster-1.sdflju3jdfkfg.us-east-1.redshift.amazonaws.com-Uadmin-ddev-p5439
Privilegienerweiterung
Persistenz
Die folgenden Aktionen ermöglichen es, anderen AWS-Konten Zugriff auf den Cluster zu gewähren:
