本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Amazon 的 Security Hub 控制項 MSK

這些 AWS Security Hub 控制項會評估 Amazon Managed Streaming for Apache Kafka (Amazon MSK) 服務和資源。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊，請參閱各區域控制項的可用性。

【MSK.1】 MSK叢集應該在代理程式節點之間傳輸時加密

相關要求： NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(1)、 NIST.800-53.r5 SC-8(2)、PCIDSSv4.0.1/4.2.1

類別：保護 > 資料保護 > 加密 data-in-transit

嚴重性：中

資源類型： AWS::MSK::Cluster

AWS Config 規則：msk-in-cluster-node-require-tls

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon MSK叢集是否在叢集的代理程式節點之間使用 HTTPS(TLS) 傳輸中加密。如果啟用叢集代理程式節點連線的純文字通訊，則控制項會失敗。

HTTPS 提供額外的安全層TLS，因為它會用來移動資料，並可用來協助防止潛在攻擊者使用 person-in-the-middle 或類似的攻擊來竊聽或控制網路流量。根據預設，Amazon 會使用 MSK加密傳輸中的資料TLS。不過，您可以在建立叢集時覆寫此預設值。我們建議透過 HTTPS(TLS) for-broker 節點連線使用加密連線。

修補

若要更新MSK叢集的加密設定，請參閱《Amazon Managed Streaming for Apache Kafka 開發人員指南》中的更新叢集的安全設定。

【MSK.2】 MSK叢集應該已設定增強型監控

相關要求： NIST.800-53.r5 CA-7NIST.800-53.r5 SI-2

類別：偵測 > 偵測服務

嚴重性：低

資源類型： AWS::MSK::Cluster

AWS Config 規則：msk-enhanced-monitoring-enabled

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon MSK叢集是否已設定增強型監控，由至少 的監控層級指定PER_TOPIC_PER_BROKER。如果叢集的監控層級設定為 DEFAULT或 ，則控制項會失敗PER_BROKER。

PER_TOPIC_PER_BROKER 監控層級可讓您更詳細地了解MSK叢集的效能，也提供與資源使用率相關的指標，例如 CPU和 記憶體使用量。這可協助您識別個別主題和代理程式的效能瓶頸和資源使用率模式。此可見性可最佳化 Kafka 代理程式的效能。

修補

若要設定MSK叢集的增強型監控，請完成下列步驟：

如需監控層級的詳細資訊，請參閱《Amazon Managed Streaming for Apache Kafka 開發人員指南》中的更新叢集的安全性設定。

【MSK.3】 MSK 連線連接器應在傳輸中加密

相關要求：PCIDSSv4.0.1/4.2.1

類別：保護 > 資料保護 > 加密 data-in-transit

嚴重性：中

資源類型： AWS::KafkaConnect::Connector

AWS Config rule：msk-connect-connector-encrypted（自訂 Security Hub 規則）

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon MSK Connect 連接器是否在傳輸中加密。如果連接器未在傳輸中加密，則此控制項會失敗。

傳輸中的資料是指從一個位置移動到另一個位置的資料，例如叢集中的節點之間，或叢集與您的應用程式之間。資料可能會跨網際網路或在私有網路中移動。加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。

修補

您可以在建立 MSK Connect 連接器時啟用傳輸中的加密。您無法在建立連接器後變更加密設定。如需詳細資訊，請參閱《Amazon Managed Streaming for Apache Kafka 開發人員指南》中的建立連接器。