Cómo auditar Amazon Redshift
Auditar Amazon Redshift es un requisito fundamental para las organizaciones que ejecutan análisis en infraestructuras reguladas. Los clústeres de Redshift sirven a herramientas de inteligencia empresarial (BI), tuberías automatizadas y consumidores externos, lo que hace que la visibilidad continua de la actividad de la base de datos sea obligatoria para la seguridad y el cumplimiento. Esta visibilidad se basa en prácticas como la monitorización de la actividad de la base de datos, donde los equipos rastrean las acciones de los usuarios y el comportamiento de las consultas a lo largo de las cargas de trabajo.
Amazon Redshift es un almacén de datos columnar distribuido, construido para análisis a gran escala. Expone telemetría a través de tablas del sistema y registros exportados, pero no ofrece auditoría centralizada por defecto. Los datos de actividad se distribuyen a través de los nodos del clúster y almacenamiento externo, por lo que los equipos deben procesarlos y correlacionarlos para mantener un historial de actividad de datos coherente y un registro de auditoría defendible.
Importancia de la Auditoría
La auditoría brinda a los equipos control sobre los entornos de Amazon Redshift donde muchos usuarios y herramientas acceden a los mismos datos. Sin auditoría, las organizaciones pierden visibilidad sobre cómo los usuarios leen, modifican o estructuran los datos, lo que debilita la seguridad de la base de datos.
Un proceso de auditoría estructurado registra quién accedió a qué datos, qué consultas se ejecutaron y cómo cambiaron los objetos. Esta visibilidad sostiene una monitorización efectiva de la actividad de la base de datos y una respuesta más rápida a comportamientos anómalos.
Manteniendo un confiable historial de actividad de base de datos, los equipos aplican controles de acceso, apoyan auditorías y preservan la responsabilidad. La auditoría convierte a Redshift en una plataforma de datos observable con un registro de auditoría claro y consistente.
Capacidades Nativas de Auditoría de Amazon Redshift
Amazon Redshift captura la actividad de la base de datos mediante tablas internas del sistema y registros de auditoría opcionales exportados a Amazon S3. Estos mecanismos proporcionan visibilidad sobre el comportamiento del usuario y la ejecución de consultas, pero requieren análisis manual para ensamblar un registro de auditoría completo.
Tablas y Vistas del Sistema
Amazon Redshift almacena metadatos de ejecución en tablas internas del sistema como STL_QUERY, STL_CONNECTION_LOG, STL_DDLTEXT y STL_SCAN. Estas tablas exponen sentencias SQL ejecutadas, eventos de autenticación, cambios de esquema y patrones de acceso a nivel de tabla.
Los administradores consultan directamente estas tablas para revisar la actividad histórica. Por ejemplo, STL_QUERY proporciona detalles de ejecución de consultas, incluyendo tiempo de ejecución, identidad del usuario y texto de la consulta:
SELECT
q.query,
q.userid,
q.starttime,
q.endtime,
q.text
FROM stl_query q
WHERE q.starttime >= GETDATE() - INTERVAL '1 day'
ORDER BY q.starttime DESC;
La actividad de autenticación y sesión aparece en STL_CONNECTION_LOG, que registra intentos de conexión exitosos y fallidos:
SELECT
recordtime,
remotehost,
username,
event
FROM stl_connection_log
WHERE recordtime >= GETDATE() - INTERVAL '1 day'
ORDER BY recordtime DESC;
Los cambios a nivel de esquema se registran en STL_DDLTEXT, que almacena sentencias DDL ejecutadas:
SELECT
xid,
starttime,
text
FROM stl_ddltext
WHERE starttime >= GETDATE() - INTERVAL '1 day'
ORDER BY starttime DESC;
Para identificar tablas accedidas, los equipos a menudo correlacionan STL_QUERY con STL_SCAN, que rastrea los escaneos de tablas a nivel de nodo:
SELECT
q.query,
s.tbl,
s.perm_table_name
FROM stl_query q
JOIN stl_scan s
ON q.query = s.query
WHERE q.query = 123456;
Estas tablas proporcionan una visibilidad detallada, pero los equipos deben unir manualmente múltiples vistas para reconstruir la actividad completa del usuario a través de nodos distribuidos.
Registros de Auditoría Exportados
Amazon Redshift puede exportar registros de auditoría a Amazon S3, incluyendo eventos de autenticación, registros del ciclo de vida de conexión y sentencias SQL ejecutadas. Estos registros soportan la retención a largo plazo y análisis externos.
Cuando está habilitado, Redshift genera registros de usuarios y conexiones. Un registro típico de actividad de usuario se ve así:
2024-11-18T10:42:31Z user=bi_user db=analytics pid=4321
LOG: statement: SELECT customer_id, total_amount FROM sales;
Los eventos de conexión se registran por separado, permitiendo que los equipos rastreen la creación de sesiones y autorizaciones:
2024-11-18T10:40:12Z user=etl_user remotehost=10.12.4.23
LOG: connection authorized
Dado que Redshift escribe estos registros de forma asincrónica y los almacena fuera del clúster, los equipos los utilizan principalmente para análisis retrospectivos. Generalmente, las organizaciones los ingresan en plataformas de análisis de registros o sistemas SIEM, donde se requiere un análisis adicional y correlación para construir una vista coherente de auditoría.
Centralizando la Auditoría de Amazon Redshift con DataSunrise
DataSunrise mejora la auditoría de Redshift consolidando los datos de actividad en un registro de auditoría unificado y estructurado. En lugar de depender únicamente de tablas del sistema o registros exportados, la plataforma centraliza la actividad de Redshift usando modos de implementación no intrusivos que preservan el contexto de ejecución.
Captura Correlacionada de Actividad
DataSunrise correlaciona la actividad de Redshift en registros de auditoría normalizados que incluyen sentencias SQL, identidades de usuario, metadatos de sesión, objetos accedidos y marcas de tiempo. Esta correlación elimina la necesidad de reconstruir manualmente la actividad a partir de múltiples fuentes de datos.
Cada registro de auditoría refleja un evento de ejecución completo, facilitando la interpretación y el análisis de la actividad.
Definición Granular de Reglas de Auditoría
Las reglas de auditoría pueden definirse con precisión para enfocarse en la actividad relevante. Las políticas pueden dirigirse a usuarios específicos, roles, esquemas, tablas o tipos de operación, lo que permite a las organizaciones capturar acciones sensibles o de alto riesgo sin saturar el almacenamiento de auditoría con datos innecesarios.
Este enfoque selectivo mejora la claridad de la auditoría mientras apoya la monitorización continua.
Registro de Auditoría Unificado e Historial de Actividad
Todos los eventos capturados se almacenan en un registro de auditoría centralizado que admite búsqueda, filtrado y análisis histórico. Los equipos de seguridad y cumplimiento obtienen acceso directo a un historial estructurado de la actividad de la base de datos que preserva la atribución de usuarios y el contexto de ejecución.
A diferencia de las tablas del sistema sin procesar o archivos de registro independientes, este historial de auditoría proporciona una vista consistente de la actividad en todo el entorno Redshift.
Informes Orientados al Cumplimiento
DataSunrise estructura los datos de auditoría en formatos adecuados para los flujos de trabajo de cumplimiento. Los registros de auditoría pueden revisarse, filtrarse y exportarse de manera consistente, simplificando auditorías regulatorias y reduciendo el esfuerzo requerido para recolectar y preparar evidencias.
Este enfoque estructurado para informes soporta la gobernanza y responsabilidad a largo plazo en plataformas analíticas.
Ventajas Clave de la Auditoría Centralizada para Amazon Redshift
| Capacidad | Beneficio Operativo |
|---|---|
| Registro de auditoría unificado | Visibilidad consolidada de la actividad |
| Correlación en tiempo real | Análisis e investigación más rápido |
| Registros conscientes de consultas | Contexto claro de ejecución |
| Reglas de auditoría granulares | Auditoría enfocada y con bajo ruido |
| Informes estructurados | Preparación simplificada de auditorías |
Conclusión
Amazon Redshift captura la actividad de la base de datos mediante tablas del sistema y registros exportados. Estos mecanismos nativos soportan auditoría básica, pero los equipos deben correlacionar y normalizar los datos para mantener un historial confiable de actividad de base de datos.
Cuando las organizaciones centralizan la actividad de Redshift en un registro de auditoría unificado, obtienen visibilidad consistente para supervisión de seguridad, informes de cumplimiento y gobernanza a largo plazo. La auditoría centralizada convierte a Redshift en una plataforma analítica transparente y responsable.
Para los equipos que operan Amazon Redshift en entornos regulados o sensibles a la seguridad, una estrategia de auditoría estructurada sigue siendo esencial para operaciones responsables de datos y monitorización efectiva de la actividad de la base de datos.
