本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于亚马逊的 Security Hub 控件 MSK
这些 AWS Security Hub 控制措施评估了适用于 Apache Kafka 的亚马逊托管流媒体(MSK亚马逊)服务和资源。
这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[MSK.1] MSK 集群应在代理节点之间传输时进行加密
相关要求: NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 3、 NIST.800-53.r5 SC-2 3 (3)、 NIST.800-53.r5 SC-7 (3)、(4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 (1)、 NIST.800-53.r5 SC-8 (2)
类别:保护 > 数据保护 > 加密 data-in-transit
严重性:中
资源类型:AWS::MSK::Cluster
AWS Config 规则:msk-in-cluster-node-require-tls
计划类型:已触发变更
参数:无
此控制检查集群中是否使用 HTTPS (TLS) 在MSK集群的代理节点之间传输 Amazon 集群进行加密。如果为集群代理节点连接启用了纯文本通信,则控制失败。
HTTPS它在用于移动数据时提供了额外的安全层,可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。TLS默认情况下,Amazon MSK 会对传输中的数据进行加密。TLS但是,您可以在创建集群时覆盖此默认值。我们建议使用加密连接,而不是 HTTPS (TLS) for broker 节点连接。
修复
要更新MSK集群的加密设置,请参阅《适用于 A pache Managed Kafka 的亚马逊托管流开发者指南》中的 “更新集群的安全设置”。
[MSK.2] MSK 集群应配置增强监控
相关要求: NIST.800-53.r5 CA-7,NIST.800-53.r5 SI-2
类别:检测 > 检测服务
严重性:低
资源类型:AWS::MSK::Cluster
AWS Config 规则:msk-enhanced-monitoring-enabled
计划类型:已触发变更
参数:无
此控件检查 Amazon MSK 集群是否配置了增强型监控,该监控级别至少为PER_TOPIC_PER_BROKER。如果集群的监控级别设置为 DEFAULT 或 PER_BROKER,则控制失败。
PER_TOPIC_PER_BROKER监控级别可以更精细地了解MSK集群的性能,还提供与资源利用率相关的指标,例如CPU和内存使用情况。这可以帮助您确定各个主题和代理的性能瓶颈和资源利用率模式。反过来,这种可见性可以优化 Kafka 代理的性能。
修复
要为MSK群集配置增强监控,请完成以下步骤:
在家打开亚马逊https://console.aws.amazon.com/msk/主MSK机? region=us
-east-1#/home/。 在导航窗格中,选择集群。然后选择一个集群。
在操作中,选择编辑监控。
选择增强主题级别监控选项。
选择 Save changes(保存更改)。
有关监控级别的更多信息,请参阅《Amazon Managed Streaming for Apache Kafka 开发人员指南》中的更新集群的安全设置。
[MSK.3] MSK Connect 连接器在传输过程中应进行加密
类别:保护 > 数据保护 > 加密 data-in-transit
严重性:中
资源类型:AWS::KafkaConnect::Connector
AWS Config 规则:msk-connect-connector-encrypted(自定义 Security Hub 规则)
计划类型:已触发变更
参数:无
此控件会检查 Amazon MSK Connect 连接器在传输过程中是否经过加密。如果连接器在传输过程中未加密,则此控件将失败。
传输中的数据是指从一个位置移动到另一个位置的数据,例如在集群中的节点之间或集群与应用程序之间。数据可能通过互联网或在私有网络内移动。对传输中数据进行加密可降低未经授权的用户侦听网络流量的风险。
修复
创建 C MSK onnect 连接器时,可以启用传输中的加密。创建连接器后,您无法更改加密设置。有关更多信息,请参阅《适用于 A pache 的亚马逊托管流媒体 Kafka 开发者指南》中的创建连接器。
