Amazon용 Security Hub 제어 MSK - AWS 보안 허브
[MSK.1] MSK 클러스터는 브로커 노드 간에 전송 중에 암호화되어야 합니다.[MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.[MSK.3] MSK Connect 커넥터는 전송 중에 암호화되어야 합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon용 Security Hub 제어 MSK

이러한 AWS Security Hub 제어는 Amazon Managed Streaming for Apache Kafka(Amazon MSK) 서비스 및 리소스를 평가합니다.

이러한 제어는 일부 에서 사용하지 못할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[MSK.1] MSK 클러스터는 브로커 노드 간에 전송 중에 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2)

범주: 보호 > 데이터 보호 > 암호화 data-in-transit

심각도: 중간

리소스 유형: AWS::MSK::Cluster

AWS Config 규칙: msk-in-cluster-node-require-tls

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon MSK 클러스터가 클러스터의 브로커 노드 간에 HTTPS (TLS)를 사용하여 전송 중에 암호화되는지 여부를 확인합니다. 클러스터 브로커 노드 연결에 일반 텍스트 통신이 활성화된 경우 제어가 실패합니다.

HTTPS 는 가 데이터를 이동하는 TLS 데 사용하는 추가 보안 계층을 제공하며, 잠재적 공격자가 또는 유사한 공격을 사용하여 person-in-the-middle 네트워크 트래픽을 도청하거나 조작하는 것을 방지하는 데 사용할 수 있습니다. 기본적으로 AmazonMSK은 를 사용하여 전송 중인 데이터를 암호화합니다TLS. 그러나 클러스터를 생성할 때 이 기본값을 재정의할 수 있습니다. HTTPS (TLS) for broker 노드 연결을 통해 암호화된 연결을 사용하는 것이 좋습니다.

이제 Security Hub가 와 통합되었습니다

MSK 클러스터에 대한 암호화 설정을 업데이트하려면 Amazon Managed Streaming for Apache Kafka 개발자 안내서 클러스터 보안 설정 업데이트를 참조하세요.

[MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

범주: 감지 > 감지 서비스

심각도: 낮음

리소스 유형: AWS::MSK::Cluster

AWS Config 규칙: msk-enhanced-monitoring-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon MSK 클러스터에 모니터링 수준 이상으로 지정된 향상된 모니터링이 구성되어 있는지 확인합니다PER_TOPIC_PER_BROKER. 클러스터의 모니터링 수준이 DEFAULT 또는 PER_BROKER로 설정된 경우 제어가 실패합니다.

PER_TOPIC_PER_BROKER 모니터링 수준은 MSK 클러스터의 성능에 대한 보다 세분화된 통찰력을 제공하고 및 메모리 사용량과 같은 리소스 사용률CPU과 관련된 지표도 제공합니다. 이를 통해 개별 주제 및 브로커의 성능 병목 현상과 리소스 사용 패턴을 식별할 수 있습니다. 이러한 가시성을 통해 결국 Kafka 브로커의 성능을 최적화할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

MSK 클러스터에 대한 향상된 모니터링을 구성하려면 다음 단계를 완료합니다.

  1. 집에서 Amazon MSK 콘솔을 엽니다.region=us-east-1#/home/. https://console.aws.amazon.com/msk/

  2. 탐색 창에서 클러스터(Clusters)를 선택합니다. 그런 다음 클러스터를 선택합니다.

  3. 작업에서 모니터링 편집을 선택합니다.

  4. 향상된 주제 수준 모니터링 옵션을 선택합니다.

  5. Save changes(변경 사항 저장)를 선택합니다.

모니터링 수준에 대한 자세한 내용은 Amazon Managed Streaming for Apache Kafka 개발자 안내서에서 클러스터의 보안 설정 업데이트를 참조하세요.

[MSK.3] MSK Connect 커넥터는 전송 중에 암호화되어야 합니다.

범주: 보호 > 데이터 보호 > 암호화 data-in-transit

심각도: 중간

리소스 유형: AWS::KafkaConnect::Connector

AWS Config 규칙: msk-connect-connector-encrypted (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon MSK Connect 커넥터가 전송 중에 암호화되었는지 확인합니다. 전송 중에 커넥터가 암호화되지 않으면 이 제어가 실패합니다.

전송 중인 데이터는 클러스터의 노드 사이 또는 클러스터와 애플리케이션 사이와 같이 한 위치에서 다른 위치로 이동하는 데이터를 나타냅니다. 데이터는 인터넷 또는 프라이빗 네트워크 내에서 이동할 수 있습니다. 전송 데이터를 암호화하면 권한이 없는 사용자가 네트워크 트래픽을 도청할 위험이 줄어듭니다.

이제 Security Hub가 와 통합되었습니다

MSK Connect 커넥터를 생성할 때 전송 중 암호화를 활성화할 수 있습니다. 커넥터를 생성한 후에는 암호화 설정을 변경할 수 없습니다. 자세한 내용은 Amazon Managed Streaming for Apache Kafka 개발자 안내서커넥터 생성을 참조하세요.