Kontrol Security Hub untuk Amazon MSK - AWS Security Hub
[MSK.1] MSK cluster harus dienkripsi saat transit di antara node broker[MSK.2] MSK cluster harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi[MSK.3] Konektor MSK Connect harus dienkripsi saat transit

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk Amazon MSK

AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya Amazon Managed Streaming for Apache Kafka (MSKAmazon).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[MSK.1] MSK cluster harus dienkripsi saat transit di antara node broker

Persyaratan terkait: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)

Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::MSK::Cluster

AWS Config aturan: msk-in-cluster-node-require-tls

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah MSK klaster Amazon dienkripsi saat transit dengan HTTPS (TLS) di antara node broker klaster. Kontrol gagal jika komunikasi teks biasa diaktifkan untuk koneksi node broker cluster.

HTTPSmenawarkan lapisan keamanan ekstra seperti yang digunakan TLS untuk memindahkan data dan dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Secara default, Amazon MSK mengenkripsi data dalam perjalanan dengan. TLS Namun, Anda dapat mengganti default ini pada saat Anda membuat cluster. Sebaiknya gunakan koneksi terenkripsi melalui HTTPS (TLS) untuk koneksi node broker.

Remediasi

Untuk memperbarui setelan enkripsi untuk MSK cluster, lihat Memperbarui setelan keamanan klaster di Panduan Pengembang Amazon Managed Streaming for Apache Kafka.

[MSK.2] MSK cluster harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi

Persyaratan terkait: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::MSK::Cluster

AWS Config aturan: msk-enhanced-monitoring-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah MSK klaster Amazon telah meningkatkan pemantauan yang dikonfigurasi, yang ditentukan oleh tingkat pemantauan setidaknyaPER_TOPIC_PER_BROKER. Kontrol gagal jika tingkat pemantauan untuk cluster diatur ke DEFAULT atauPER_BROKER.

Tingkat PER_TOPIC_PER_BROKER pemantauan memberikan wawasan yang lebih terperinci tentang kinerja MSK klaster Anda, dan juga menyediakan metrik yang terkait dengan pemanfaatan sumber daya, seperti CPU dan penggunaan memori. Ini membantu Anda mengidentifikasi kemacetan kinerja dan pola pemanfaatan sumber daya untuk masing-masing topik dan broker. Visibilitas ini, pada gilirannya, dapat mengoptimalkan kinerja broker Kafka Anda.

Remediasi

Untuk mengonfigurasi pemantauan yang disempurnakan untuk MSK klaster, selesaikan langkah-langkah berikut:

  1. Buka MSK konsol Amazon di https://console.aws.amazon.com/msk/rumah? region=us-east-1#/home/.

  2. Pada panel navigasi, silakan pilih Klaster. Kemudian, pilih cluster.

  3. Untuk Tindakan, pilih Edit pemantauan.

  4. Pilih opsi untuk pemantauan tingkat topik yang ditingkatkan.

  5. Pilih Simpan perubahan.

Untuk informasi selengkapnya tentang tingkat pemantauan, lihat Memperbarui setelan keamanan klaster di Panduan Pengembang Amazon Managed Streaming for Apache Kafka.

[MSK.3] Konektor MSK Connect harus dienkripsi saat transit

Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::KafkaConnect::Connector

AWS Config aturan: msk-connect-connector-encrypted (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah konektor Amazon MSK Connect dienkripsi saat transit. Kontrol ini gagal jika konektor tidak dienkripsi saat transit.

Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara klaster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.

Remediasi

Anda dapat mengaktifkan enkripsi saat transit saat membuat konektor MSK Connect. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat konektor. Untuk informasi selengkapnya, lihat Membuat konektor di Panduan Pengembang Amazon Managed Streaming for Apache Kafka Kafka.