Amazon 用の Security Hub コントロール MSK - AWS Security Hub
〔MSK.1] MSKクラスターはブローカーノード間で転送中に暗号化する必要があります〔MSK.2] MSKクラスターには拡張モニタリングが設定されている必要があります〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon 用の Security Hub コントロール MSK

これらの AWS Security Hub コントロールは、Amazon Managed Streaming for Apache Kafka (Amazon MSK) サービスとリソースを評価します。

これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔MSK.1] MSKクラスターはブローカーノード間で転送中に暗号化する必要があります

関連する要件: NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23 (3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8、 (1)、 NIST.800-53.r5 SC-8(2)

カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit

重要度:

リソースタイプ : AWS::MSK::Cluster

AWS Config ルール : msk-in-cluster-node-require-tls

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MSKクラスターがクラスターのブローカーノード間で HTTPS (TLS) で転送中に暗号化されているかどうかを確認します。クラスターブローカーノード接続でプレーンテキスト通信が有効になっていると、コントロールは失敗します。

HTTPS は、データの移動TLSに使用する追加のセキュリティレイヤーを提供し、潜在的な攻撃者がネットワークトラフィックを盗聴または操作するために または類似の攻撃を使用する person-in-the-middleのを防ぐのに役立ちます。デフォルトでは、Amazon MSK は を使用して転送中のデータを暗号化しますTLS。ただし、このデフォルトはクラスターの作成時に上書きできます。ブローカーノード接続には、暗号化された接続を HTTPS (TLS) よりも使用することをお勧めします。

修正

MSK クラスターの暗号化設定を更新するには、「Amazon Managed Streaming for Apache Kafka デベロッパーガイド」の「クラスターのセキュリティ設定の更新」を参照してください。

〔MSK.2] MSKクラスターには拡張モニタリングが設定されている必要があります

関連要件: NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ : AWS::MSK::Cluster

AWS Config ルール : msk-enhanced-monitoring-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MSKクラスターに、少なくとも のモニタリングレベルで指定された拡張モニタリングが設定されているかどうかを確認しますPER_TOPIC_PER_BROKER。クラスターのモニタリングレベルが DEFAULT または PER_BROKER に設定されている場合、コントロールは失敗します。

PER_TOPIC_PER_BROKER モニタリングレベルは、MSKクラスターのパフォーマンスに関するより詳細なインサイトを提供し、 CPU やメモリ使用量などのリソース使用率に関連するメトリクスも提供します。これにより、個々のトピックおよびブローカーのパフォーマンスボトルネックやリソース使用パターンを特定できるようになります。この可視性により、Kafka ブローカーのパフォーマンスを最適化できます。

修正

MSK クラスターの拡張モニタリングを設定するには、次の手順を実行します。

  1. Amazon MSKコンソールをhttps://console.aws.amazon.com/msk/ホーム?region=us-east-1#/home/ で開きます。

  2. ナビゲーションペインで [Clusters] (クラスター) を選択します。次に、クラスターを選択します。

  3. [アクション][モニタリングを編集] を選択します。

  4. [拡張トピックレベルモニタリング] のオプションを選択します。

  5. [Save changes] (変更の保存) をクリックします。

モニタリングレベルの詳細については、「Amazon Managed Streaming for Apache Kafka デベロッパーガイド」の「クラスターのセキュリティ設定の更新」を参照してください。

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit

重要度:

リソースタイプ : AWS::KafkaConnect::Connector

AWS Config ルール: msk-connect-connector-encrypted (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MSK Connect コネクタが転送中に暗号化されているかどうかを確認します。コネクタが転送中に暗号化されていない場合、このコントロールは失敗します。

転送中のデータとは、クラスター内のノード間やクラスターとアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する場合があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。

修正

MSK Connect コネクタを作成するときに、転送中の暗号化を有効にできます。コネクタの作成後に暗号化設定を変更することはできません。詳細については、「Amazon Managed Streaming for Apache Kafka デベロッパーガイド」の「コネクタを作成する」を参照してください。