2min Security

Amazon Redshift neemt hardere maatregelen tegen data exposure

Amazon Redshift neemt hardere maatregelen tegen data exposure

Amazon Redshift krijgt standaard nieuwe securityfeatures die ervoor moeten zorgen dat de populaire datawarehouse-oplossing een stuk veiliger wordt. Dit moet voorkomen dat misconfiguraties en onveilige standaardinstellingen tot datalekken leiden.

Amazon Redshift had regelmatig te maken met datalekken. Vooral door slechte configuraties en niet goed doordachte standaardinstellingen. AWS heeft hier naar eigen zeggen een einde aan gemaakt door de oplossing te voorzien van drie nieuwe standaard security-instellingen. Deze instellingen richten zich op nieuw aangemaakte clusters en moeten de dataveiligheid van het platform verbeteren en de kans op ‘catastrofale’ datalekken verminderen.

Nieuwe standaardinstellingen

In de eerste plaats is in de standaardinstellingen de publieke toegang tot nieuwe clusters beperkt. Deze clusters zijn nu standaard beperkt tot de Virtual Private Cloud (VPC) van de eindgebruiker, zodat externe toegang niet meer mogelijk is.

Wanneer publieke toegang toch gewenst is, moet dit expliciet worden aangezet. De techgigant raadt klanten hierbij aan deze toegang op beperkte basis te verlenen met securitygroepen en network access control lists (ACL’s).

De tweede verandering die AWS nu standaard in Amazon Redshift heeft doorgevoerd, is het standaard instellen van encryptie voor alle clusters. Dit moet volgens de techgigant garanderen dat bij eventuele ongeautoriseerde toegang de data niet kan lekken.

Gebruikers moeten nu een specifieke encryptie-key opgeven voor hun clusters. Ook kunnen deze worden versleuteld via een door de techgigant beheerde Key Management Service (KMS)-key.

Daarnaast moeten eindgebruikers die niet-versleutelde clusters gebruiken voor het delen van data ervoor zorgen dat zowel de ‘producer’- als de ‘consumer’-clusters versleuteld zijn. Wanneer deze workflows niet zijn aangepast, kan dit mogelijk tot problemen leiden wanneer wijzigingen live gaan.

De derde en laatste verandering die de techgigant nu voor Amazon Redshift doorvoert, is het standaard verplicht stellen van secure SSL (TLS)-verbindingen voor alle nieuwe en herstelde clusters. Dit moet het onderscheppen van data en man-in-the-middle-aanvallen voorkomen.

Eindgebruikers met zogenoemde ‘custom parameter groups’ worden opgeroepen SSL handmatig in te schakelen om hun security te verbeteren.

Aandacht voor alle gebruikers

AWS geeft expliciet aan dat deze nieuwe verbeteringen vooral invloed hebben op nieuw opgezette clusters, serverless workgroups en herstelde clusters. Bestaande setups worden hierdoor niet direct getroffen.

Wel roept de techgigant klanten op om hun configuraties opnieuw te bekijken en te updaten om aan de nieuwe standaardinstellingen voor security te voldoen.

Lees ook: AWS-CTO Werner Vogels kijkt in zijn glazen bol