今天,我很高興地宣布,亞馬遜紅移 (Amazon Redshift) 這個廣泛使用的全管理、PB 級數據倉庫,正在邁出重要一步,加強我們客戶數據倉庫的預設安全性。一些新創建的預置叢集、亞馬遜紅移無伺服器 (Amazon Redshift Serverless) 工作組和從快照還原的叢集的預設安全設置已經改變。這些變更包括禁用公共訪問、啟用數據庫加密和強制安全連接。
亞馬遜紅移已經支持傳輸中和靜態加密。數據庫加密非常重要,因為它有助於保護敏感數據免受未經授權的訪問。此外,限制公共訪問可以是有利的,因為它限制了威脅面,並有助於防止未經授權的訪問數據庫。通過將亞馬遜紅移叢集限制在客戶的虛擬私有雲 (VPC) 中,叢集與公共互聯網隔離,這大大降低了未經授權的第三方發現和訪問數據倉庫的可能性。
強制安全連接是另一個重要的安全措施。這強制應用程序和數據庫之間的通信加密,減少竊聽和中間人攻擊的風險,幫助保護傳輸數據的機密性和完整性。
通過為新創建的預置叢集、無伺服器工作組和從快照還原的叢集實施額外的安全預設,亞馬遜紅移幫助客戶遵循數據安全的最佳實踐,而不需要額外的設置,降低潛在錯誤配置的風險。
這些新的安全增強包括三個主要變更:
預設禁用公共訪問
對於新創建或還原的預置叢集,公共訪問將預設禁用。這意味著新創建的叢集將僅在您的 VPC 內可訪問,無法從公共互聯網訪問。隨著這一變更,如果您從 AWS 管理控制台創建預置叢集,則叢集將預設禁用公共訪問。具體來說,PubliclyAccessible 參數將預設設置為 false。這一變更也將反映在 CreateCluster 和 RestoreFromClusterSnapshot API 操作以及相應的控制台、AWS CLI 和 AWS CloudFormation 中。預設情況下,僅允許來自同一 VPC 的客戶端應用程序連接到叢集。要從另一個 VPC 的應用程序訪問您的數據倉庫,您必須配置跨 VPC 訪問。
如果您仍然需要公共訪問,您必須明確覆蓋預設並在運行 CreateCluster 或 RestoreFromClusterSnapshot API 操作時將 PubliclyAccessible 參數設置為 true。對於公共可訪問的叢集,我們建議您始終使用安全組或網絡訪問控制列表 (network ACLs) 來限制訪問。
預設啟用加密
隨著這一變更,亞馬遜紅移控制台將不再提供創建未加密叢集的功能。當您使用控制台、CLI、API 或 CloudFormation 創建預置叢集而未指定 AWS 密鑰管理服務 (AWS KMS) 密鑰時,叢集將自動使用 AWS 擁有的密鑰加密。AWS 擁有的密鑰由 AWS 管理。
如果您使用自動化腳本創建未加密叢集或使用未加密叢集進行數據共享,這一更新可能會影響您。如果您定期創建新的未加密消費者叢集並使用它們進行數據共享,請檢查您的配置以確保生產者和消費者叢集均已加密,以減少數據共享工作負載中斷的可能性。
預設強制安全連接
隨著這一變更,將為新創建或還原的叢集引入一個名為 default.redshift-2.0 的新預設參數組,require_ssl 參數將預設設置為 true。未指定參數組創建的新叢集將自動使用 default.redshift-2.0 參數組。當您通過控制台創建叢集時,將自動選擇新的 default.redshift-2.0 參數組。這一變更也將反映在 CreateCluster 和 RestoreFromClusterSnapshot API 操作以及相應的控制台、AWS CLI 和 AWS CloudFormation 操作中。
對於使用現有或自定義參數組的客戶,服務將繼續遵循您參數組中指定的 require_ssl 值。然而,我們建議您將 require_ssl 參數更新為 true,以增強連接的安全性。您仍然可以根據需要更改自定義參數組中的 require_ssl 值。您可以按照亞馬遜紅移管理指南中的步驟配置連接的安全選項。
我們建議所有亞馬遜紅移客戶檢查他們目前的服務配置,並考慮在他們的應用程序中實施新的安全措施。這些安全增強可能會影響依賴公共訪問、未加密叢集或非 SSL 連接的現有工作流程。我們建議您檢查並更新您的配置、腳本和工具,以符合這些新的預設。
如果您對本文有反饋,請在下方的評論區提交評論。如果您對本文有疑問,請聯繫 AWS 支持。
本文由 AI 台灣 運用 AI 技術編撰,內容僅供參考,請自行核實相關資訊。
歡迎加入我們的 AI TAIWAN 台灣人工智慧中心 FB 社團,
隨時掌握最新 AI 動態與實用資訊!
