Controlli Security Hub per Amazon MSK - AWS Security Hub
[MSK.1] MSK i cluster devono essere crittografati durante il transito tra i nodi broker[MSK.2] i MSK cluster dovrebbero avere configurato un monitoraggio avanzato[MSK.3] I connettori MSK Connect devono essere crittografati in transito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli Security Hub per Amazon MSK

Questi AWS Security Hub controlli valutano il servizio e le risorse Amazon Managed Streaming for Apache Kafka (MSKAmazon).

Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[MSK.1] MSK i cluster devono essere crittografati durante il transito tra i nodi broker

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::MSK::Cluster

Regola AWS Config : msk-in-cluster-node-require-tls

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un MSK cluster Amazon è crittografato in transito con HTTPS (TLS) tra i nodi broker del cluster. Il controllo fallisce se la comunicazione in testo semplice è abilitata per una connessione al nodo del broker del cluster.

HTTPSoffre un ulteriore livello di sicurezza in quanto viene utilizzato TLS per spostare i dati e può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. Per impostazione predefinita, Amazon MSK crittografa i dati in transito conTLS. Tuttavia, puoi ignorare questa impostazione predefinita al momento della creazione del cluster. Ti consigliamo di utilizzare connessioni crittografate su HTTPS (TLS) per le connessioni ai nodi broker.

Correzione

Per aggiornare le impostazioni di crittografia per MSK i cluster, consulta Aggiornamento delle impostazioni di sicurezza di un cluster nella Amazon Managed Streaming for Apache Kafka Developer Guide.

[MSK.2] i MSK cluster dovrebbero avere configurato un monitoraggio avanzato

Requisiti correlati: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2

Categoria: Rilevamento > Servizi di rilevamento

Gravità: bassa

Tipo di risorsa: AWS::MSK::Cluster

Regola AWS Config : msk-enhanced-monitoring-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un MSK cluster Amazon ha configurato il monitoraggio avanzato, specificato da un livello di monitoraggio di almenoPER_TOPIC_PER_BROKER. Il controllo fallisce se il livello di monitoraggio per il cluster è impostato su DEFAULT oPER_BROKER.

Il livello di PER_TOPIC_PER_BROKER monitoraggio fornisce informazioni più dettagliate sulle prestazioni del MSK cluster e fornisce anche metriche relative all'utilizzo delle risorse, come CPU l'utilizzo della memoria. Ciò consente di identificare i punti deboli in termini di prestazioni e i modelli di utilizzo delle risorse per singoli argomenti e broker. Questa visibilità, a sua volta, può ottimizzare le prestazioni dei vostri broker Kafka.

Correzione

Per configurare il monitoraggio avanzato per un MSK cluster, completa i seguenti passaggi:

  1. Aprire la MSK console Amazon a https://console.aws.amazon.com/msk/casa? region=us-east-1#/home/.

  2. Nel pannello di navigazione scegliere Clusters (Cluster). Quindi, scegli un cluster.

  3. Per Azione, seleziona Modifica monitoraggio.

  4. Seleziona l'opzione per il monitoraggio avanzato a livello di argomento.

  5. Scegli Save changes (Salva modifiche).

Per ulteriori informazioni sui livelli di monitoraggio, consulta la sezione Aggiornamento delle impostazioni di sicurezza di un cluster nella Amazon Managed Streaming for Apache Kafka Developer Guide.

[MSK.3] I connettori MSK Connect devono essere crittografati in transito

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::KafkaConnect::Connector

AWS Config regola: msk-connect-connector-encrypted (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un connettore Amazon MSK Connect è crittografato in transito. Questo controllo fallisce se il connettore non è crittografato in transito.

I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.

Correzione

È possibile abilitare la crittografia in transito quando si crea un connettore MSK Connect. Non è possibile modificare le impostazioni di crittografia dopo aver creato un connettore. Per ulteriori informazioni, consulta Creare un connettore nella Amazon Managed Streaming for Apache Kafka Developer Guide.