As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controles CSPM do Security Hub para Amazon MSK
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Managed Streaming for Apache Kafka (Amazon MSK). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::MSK::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon MSK é criptografado em trânsito com HTTPS (TLS) entre os nós de agente do cluster. O controle falhará se a comunicação de texto simples estiver habilitada para uma conexão de nó do agente do cluster.
O HTTPS oferece uma camada extra de segurança, pois usa TLS para mover dados e pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Por padrão, o Amazon MSK criptografa dados em trânsito com TLS. Entretanto, é possível substituir esse padrão no momento de criação do cluster. Recomendamos o uso de conexões criptografadas via HTTPS (TLS) para conexões de nós do agente.
### Correção
Para obter informações sobre a atualização das configurações de criptografia para um cluster do Amazon MSK, consulte [Atualização de configurações de segurança de um cluster](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) no *Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka*.
## [MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado
**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::MSK::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon MSK tem um monitoramento aprimorado configurado, especificado por um nível de monitoramento de pelo menos `PER_TOPIC_PER_BROKER`. O controle falhará se o nível de monitoramento do cluster estiver definido como `DEFAULT` ou `PER_BROKER`.
O nível de monitoramento `PER_TOPIC_PER_BROKER` fornece insights mais granulares sobre a performance do seu cluster do MSK e também fornece métricas relacionadas à utilização de recursos, como uso de CPU e memória. Isso ajuda você a identificar gargalos de performance e padrões de utilização de recursos para tópicos e agentes individuais. Essa visibilidade, por sua vez, pode otimizar a performance dos seus agentes do Kafka.
### Correção
Para configurar o monitoramento aprimorado para um cluster do MSK, conclua as etapas a seguir:
1. Abra o console Amazon MSK em [https://console.aws.amazon.com/msk/casa? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).
1. No painel de navegação, escolha **Clusters**. Em seguida, escolha um cluster.
1. Em **Ação**, selecione **Editar monitoramento**.
1. Selecione a opção para **Monitoramento aprimorado em nível de tópico**.
1. Escolha **Salvar alterações**.
Para obter mais informações sobre os níveis de monitoramento, consulte [as métricas do Amazon MSK para monitorar corretores padrão CloudWatch no Guia do desenvolvedor](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html) do *Amazon Managed Streaming for Apache Kafka*.
## [MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito
**Requisitos relacionados:** PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::KafkaConnect::Connector`
**AWS Config regra:** `msk-connect-connector-encrypted` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um conector do Amazon MSK Connect é criptografado em trânsito. Esse controle falhará se o conector não for criptografado em trânsito.
Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.
### Correção
É possível habilitar a criptografia em trânsito ao criar um conector do MSK Connect. Não é possível alterar as configurações de criptografia após a criação de um conector. Para obter mais informações, consulte [IAM access control](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html) (Controle de acesso do IAM) no Create a connector no *Amazon Managed Streaming for Apache Kafka Developer Guide*.
## [MSK.4] Os clusters do MSK devem ter acesso público desabilitado
**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::MSK::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o acesso público está desabilitado para um cluster do Amazon MSK. O controle falhará se o acesso público estiver habilitado para o cluster do MSK.
Por padrão, os clientes só podem acessar um cluster do Amazon MSK se estiverem na mesma VPC do cluster. Toda comunicação entre os clientes Kafka e um cluster do MSK é privada por padrão e os dados de streaming nunca cruzam a Internet. No entanto, se um cluster do MSK estiver configurado para permitir acesso público, qualquer pessoa na Internet poderá estabelecer uma conexão com os agentes do Apache Kafka que estão sendo executados no cluster. Isso pode levar a problemas como acesso não autorizado, violações de dados ou exploração de vulnerabilidades. Se você restringir o acesso a um cluster exigindo medidas de autenticação e autorização, poderá ajudar a proteger as informações sensíveis e a manter a integridade dos recursos.
### Correção
Para obter informações sobre o gerenciamento do acesso público a um cluster do Amazon MSK, consulte [Habilitação do acesso público a um cluster provisionado pelo MSK](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html) no *Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka*.
## [MSK.5] Os conectores do MSK devem ter o registro em log habilitado
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::KafkaConnect::Connector`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o registro em log está habilitado para um conector do Amazon MSK. O controle falhará se o registro em log não estiver habilitado para o conector do MSK.
Os conectores do Amazon MSK integram sistemas externos e serviços da Amazon ao Apache Kafka, copiando continuamente dados de streaming de uma fonte de dados para o cluster do Apache Kafka ou copiando continuamente os dados do cluster para um coletor de dados. O MSK Connect pode gravar eventos de log que podem ajudar a depurar um conector. Ao criar um conector, você pode especificar zero ou mais dos seguintes destinos de log: Amazon CloudWatch Logs, Amazon S3 e Amazon Data Firehose.
**nota**
Valores confidenciais de configuração podem aparecer nos registros do conector se um plug-in não definir esses valores como secretos. O Kafka Connect trata valores de configuração indefinidos da mesma forma que qualquer outro valor de texto simples.
### Correção
Para habilitar o registro em log para um conector do Amazon MSK existente, você precisa recriar o conector com a configuração de registro apropriada. Para obter informações sobre as opções de configuração, consulte [Regisro em log do Amazon Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) no *Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka*.
## [MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado
**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
**Gravidade:** média
**Tipo de recurso:** `AWS::MSK::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o acesso não autenticado está habilitado para um cluster do Amazon MSK. O controle falhará se o acesso não autenticado estiver habilitado para o cluster do MSK.
O Amazon MSK oferece suporte a mecanismos de autenticação e autorização de clientes para controlar o acesso a um cluster. Esses mecanismos verificam a identidade dos clientes que se conectam ao cluster e determinam quais ações os clientes podem realizar. Um cluster do MSK pode ser configurado para permitir acesso não autenticado, o que permite que qualquer cliente com conectividade de rede publique e assine tópicos do Kafka sem fornecer credenciais. Executar um cluster do MSK sem exigir autenticação viola o princípio do privilégio mínimo e pode expor o cluster a acesso não autorizado. Isso pode permitir que qualquer cliente acesse, modifique ou exclua dados nos tópicos do Kafka, o que pode resultar em violações de dados, modificações de dados não autorizadas ou interrupções no serviço. Recomendamos habilitar os mecanismos de autenticação, como a autenticação do IAM, SASL/SCRAM ou TLS mútuo, para garantir o controle de acesso adequado e manter a conformidade de segurança.
### Correção
Para obter informações sobre como alterar as configurações de autenticação de um cluster Amazon MSK, consulte as seguintes seções do [Guia do desenvolvedor do *Amazon Managed Streaming for Apache Kafka*: Atualizar as configurações de segurança de um [cluster](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html) Amazon MSK e Autenticação](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) e autorização para o Apache Kafka. APIs