Controles do Security Hub para Amazon MSK - AWS Security Hub
[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para Amazon MSK

Esses AWS Security Hub controles avaliam o serviço e os recursos do Amazon Managed Streaming for Apache Kafka (MSKAmazon).

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)

Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit

Severidade: média

Tipo de recurso: AWS::MSK::Cluster

Regra do AWS Config : msk-in-cluster-node-require-tls

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Isso controla se um MSK cluster da Amazon está criptografado em trânsito com HTTPS (TLS) entre os nós intermediários do cluster. O controle falhará se a comunicação de texto simples estiver habilitada para uma conexão de nó do agente do cluster.

HTTPSoferece uma camada extra de segurança, pois é usada TLS para mover dados e pode ser usada para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Por padrão, a Amazon MSK criptografa os dados em trânsito comTLS. Entretanto, é possível substituir esse padrão no momento de criação do cluster. Recomendamos o uso de conexões criptografadas em vez de HTTPS (TLS) para conexões de nós intermediários.

Correção

Para atualizar as configurações de criptografia para MSK clusters, consulte Atualização das configurações de segurança de um cluster no Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka.

[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado

Requisitos relacionados: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::MSK::Cluster

Regra do AWS Config : msk-enhanced-monitoring-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um MSK cluster da Amazon tem um monitoramento aprimorado configurado, especificado por um nível de monitoramento de pelo menosPER_TOPIC_PER_BROKER. O controle falhará se o nível de monitoramento do cluster estiver definido como DEFAULT ou PER_BROKER.

O nível de PER_TOPIC_PER_BROKER monitoramento fornece informações mais granulares sobre o desempenho do seu MSK cluster e também fornece métricas relacionadas à utilização de recursos, como uso CPU de memória. Isso ajuda você a identificar gargalos de performance e padrões de utilização de recursos para tópicos e agentes individuais. Essa visibilidade, por sua vez, pode otimizar a performance dos seus agentes do Kafka.

Correção

Para configurar o monitoramento aprimorado para um MSK cluster, conclua as seguintes etapas:

  1. Abra o MSK console da Amazon em https://console.aws.amazon.com/msk/casa? region=us-east-1#/home/.

  2. No painel de navegação, escolha Clusters. Em seguida, escolha um cluster.

  3. Em Ação, selecione Editar monitoramento.

  4. Selecione a opção para Monitoramento aprimorado em nível de tópico.

  5. Escolha Salvar alterações.

Para obter mais informações sobre os níveis de monitoramento, consulte Atualização das configurações de segurança de um cluster no Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka.

[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito

Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit

Severidade: média

Tipo de recurso: AWS::KafkaConnect::Connector

Regra AWS Config : msk-connect-connector-encrypted (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um MSK conector do Amazon Connect está criptografado em trânsito. Esse controle falhará se o conector não estiver criptografado em trânsito.

Dados em trânsito se referem aos dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e o aplicativo. Os dados podem se mover pela Internet ou dentro de uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.

Correção

Você pode ativar a criptografia em trânsito ao criar um MSK conector Connect. Você não pode alterar as configurações de criptografia depois de criar um conector. Para obter mais informações, consulte Criar um conector no Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka.