Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM del Security Hub per Amazon MSK
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Managed Streaming for Apache Kafka (Amazon MSK). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1
**Categoria: Protezione > Protezione dei dati > Crittografia** di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::MSK::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon MSK è crittografato in transito con HTTPS (TLS) tra i nodi broker del cluster. Il controllo fallisce se la comunicazione in testo semplice è abilitata per una connessione al nodo del broker del cluster.
HTTPS offre un ulteriore livello di sicurezza in quanto utilizza TLS per spostare i dati e può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o simili attacchi per intercettare o manipolare il traffico di rete. Per impostazione predefinita, Amazon MSK crittografa i dati in transito con TLS. Tuttavia, puoi ignorare questa impostazione predefinita al momento della creazione del cluster. Consigliamo di utilizzare connessioni crittografate tramite HTTPS (TLS) per le connessioni ai nodi del broker.
### Correzione
Per informazioni sull'aggiornamento delle impostazioni di crittografia per un cluster Amazon MSK, consulta [Updating security settings of a cluster](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.
## [MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
Requisiti **correlati**:, NIST.800-53.R5 SI-2 NIST.800-53.r5 CA-7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::MSK::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon MSK ha configurato il monitoraggio avanzato, specificato da un livello di monitoraggio di almeno`PER_TOPIC_PER_BROKER`. Il controllo fallisce se il livello di monitoraggio per il cluster è impostato su `DEFAULT` o`PER_BROKER`.
Il livello di `PER_TOPIC_PER_BROKER` monitoraggio fornisce informazioni più dettagliate sulle prestazioni del cluster MSK e fornisce anche metriche relative all'utilizzo delle risorse, come l'utilizzo della CPU e della memoria. Ciò consente di identificare i punti deboli in termini di prestazioni e i modelli di utilizzo delle risorse per singoli argomenti e broker. Questa visibilità, a sua volta, può ottimizzare le prestazioni dei vostri broker Kafka.
### Correzione
Per configurare il monitoraggio avanzato per un cluster MSK, completa i seguenti passaggi:
1. Aprire la console Amazon MSK a [https://console.aws.amazon.com/msk/casa? region=us-east-1\$1/home/.](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/)
1. Nel pannello di navigazione scegliere **Cluster**. Quindi, scegli un cluster.
1. Per **Azione**, seleziona **Modifica monitoraggio**.
1. Seleziona l'opzione per il monitoraggio **avanzato a livello di argomento**.
1. Scegli **Save changes** (Salva modifiche).
Per ulteriori informazioni sui livelli di monitoraggio, consulta i [parametri di Amazon MSK per il monitoraggio dei broker Standard CloudWatch](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.
## [MSK.3] I connettori MSK Connect devono essere crittografati in transito
**Requisiti correlati**: PCI DSS v4.0.1/4.2.1
**Categoria: Protezione > Protezione dei dati > Crittografia** di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::KafkaConnect::Connector`
**AWS Config regola:** `msk-connect-connector-encrypted` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se un connettore Amazon MSK Connect è crittografato in transito. Questo controllo fallisce se il connettore non è crittografato in transito.
I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.
### Correzione
È possibile abilitare la crittografia in transito quando si crea un connettore MSK Connect. Non è possibile modificare le impostazioni di crittografia dopo aver creato un connettore. Per ulteriori informazioni, consulta [Creare un connettore](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.
## [MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
**Categoria:** Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::MSK::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'accesso pubblico è disabilitato per un cluster Amazon MSK. Il controllo fallisce se l'accesso pubblico è abilitato per il cluster MSK.
Per impostazione predefinita, i client possono accedere a un cluster Amazon MSK solo se si trovano nello stesso VPC del cluster. Tutte le comunicazioni tra i client Kafka e un cluster MSK sono private per impostazione predefinita e i dati in streaming non attraversano Internet. Tuttavia, se un cluster MSK è configurato per consentire l'accesso pubblico, chiunque su Internet può stabilire una connessione ai broker Apache Kafka in esecuzione all'interno del cluster. Ciò può portare a problemi come l'accesso non autorizzato, la violazione dei dati o lo sfruttamento delle vulnerabilità. Se si limita l'accesso a un cluster richiedendo misure di autenticazione e autorizzazione, è possibile proteggere le informazioni sensibili e mantenere l'integrità delle risorse.
### Correzione
Per informazioni sulla gestione dell'accesso pubblico a un cluster Amazon MSK, consulta [Turn on public access to an MSK Provisioned cluster](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.
## [MSK.5] I connettori MSK devono avere la registrazione abilitata
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::KafkaConnect::Connector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la registrazione è abilitata per un connettore Amazon MSK. Il controllo fallisce se la registrazione è disabilitata per il connettore MSK.
I connettori Amazon MSK integrano sistemi esterni e servizi Amazon con Apache Kafka copiando continuamente i dati in streaming da una fonte di dati in un cluster Apache Kafka o copiando continuamente i dati da un cluster in un data sink. MSK Connect può scrivere eventi di registro che possono aiutare a eseguire il debug di un connettore. Quando crei un connettore, puoi specificare zero o più delle seguenti destinazioni di log: Amazon CloudWatch Logs, Amazon S3 e Amazon Data Firehose.
**Nota**
Se un plug-in non definisce i valori di configurazione sensibili come segreti, tali valori possono apparire nei log dei connettori. Kafka Connect tratta i valori di configurazione non definiti allo stesso modo di qualsiasi altro valore non crittografato.
### Correzione
Per abilitare la registrazione per un connettore Amazon MSK esistente, devi ricreare il connettore con la configurazione di registrazione appropriata. Per informazioni sulle opzioni di configurazione, consulta [Logging for MSK Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.
## [MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password
**Gravità:** media
**Tipo di risorsa:** `AWS::MSK::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'accesso non autenticato è abilitato per un cluster Amazon MSK. Il controllo fallisce se è abilitato l'accesso non autenticato per il cluster MSK.
Amazon MSK supporta i meccanismi di autenticazione e autorizzazione dei client per controllare l'accesso a un cluster. Questi meccanismi verificano l'identità dei client che si connettono al cluster e determinano le azioni che i client possono eseguire. Un cluster MSK può essere configurato per consentire l'accesso non autenticato, il che consente a qualsiasi client con connettività di rete di pubblicare e sottoscrivere argomenti di Kafka senza fornire credenziali. L'esecuzione di un cluster MSK senza richiedere l'autenticazione viola il principio del privilegio minimo e può esporre il cluster ad accessi non autorizzati. Può consentire a qualsiasi client di accedere, modificare o eliminare i dati relativi agli argomenti di Kafka, con conseguenti potenziali violazioni dei dati, modifiche non autorizzate dei dati o interruzioni del servizio. Consigliamo di abilitare meccanismi di autenticazione come l'autenticazione IAM, SASL/SCRAM o il TLS reciproco per garantire un controllo adeguato degli accessi e mantenere la conformità alla sicurezza.
### Correzione
Per informazioni sulla modifica delle impostazioni di autenticazione per un cluster Amazon MSK, consulta le seguenti sezioni della *Amazon Managed Streaming for Apache Kafka Developer [Guide: Aggiornamento delle impostazioni di sicurezza di un [cluster](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html) Amazon](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) MSK e Autenticazione e autorizzazione per* Apache Kafka. APIs