适用于 Amazon MSK 的 Security Hub
这些 Amazon Security Hub 控件可评估 Amazon Managed Streaming for Apache Kafka(Amazon MSK)服务和资源。
这些控件可能并未在所有的 Amazon Web Services 区域 上提供。有关更多信息,请参阅 按地区划分的控件可用性。
[MSK.1] MSK 集群应在代理节点之间传输时进行加密
相关要求:NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)。
类别:保护 > 数据保护 > 传输中数据加密
严重性:中
资源类型:AWS::MSK::Cluster
Amazon Config 规则:msk-in-cluster-node-require-tls
计划类型:已触发变更
参数:无
此控件可检查 Amazon MSK 集群在传输过程中是否在集群的代理节点之间使用 HTTPS (TLS) 进行加密。如果为集群代理节点连接启用了纯文本通信,则控制失败。
HTTPS 使用 TLS 来移动数据,因此提供了额外的安全层,可用于帮助防止潜在攻击者使用中间人攻击或类似攻击来侦听或操纵网络流量。默认情况下,Amazon MSK 使用 TLS 对传输中数据进行加密。但是,您可以在创建集群时覆盖此默认值。对于代理节点连接,我们建议使用通过 HTTPS (TLS) 的加密连接。
修复
要更新 MSK 集群的加密设置,请参阅 适用于 Apache Kafka 的 Amazon Managed Streaming 开发人员指南中的更新集群的安全设置。
[MSK.2] MSK 集群应配置增强型监控
相关要求:NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2。
类别:检测 > 检测服务
严重性:低
资源类型:AWS::MSK::Cluster
Amazon Config 规则:msk-enhanced-monitoring-enabled
计划类型:已触发变更
参数:无
此控件检查 Amazon MSK 集群是否配置了增强型监控,且监控级别至少指定为 PER_TOPIC_PER_BROKER
。如果集群的监控级别设置为 DEFAULT
或 PER_BROKER
,则控制失败。
PER_TOPIC_PER_BROKER
监控级别可以帮助您更精细地了解 MSK 集群的性能,还提供与资源利用率相关的指标,例如 CPU 和内存使用情况。这可以帮助您确定各个主题和代理的性能瓶颈和资源利用率模式。反过来,这种可见性可以优化 Kafka 代理的性能。
修复
要为 MSK 集群配置增强型监控,请完成以下步骤:
打开 Amazon MSK 控制台,网址为:https://console.aws.amazon.com/msk/home?region=us-east-1#/home/
。 在导航窗格中,选择集群。然后选择一个集群。
在操作中,选择编辑监控。
选择增强主题级别监控选项。
选择 Save changes(保存更改)。
有关监控级别的更多信息,请参阅《Amazon Managed Streaming for Apache Kafka 开发人员指南》中的更新集群的安全设置。
[MSK.3] MSK Connect 连接器应在传输过程中进行加密
类别:保护 > 数据保护 > 传输中数据加密
严重性:中
资源类型:AWS::KafkaConnect::Connector
Amazon Config规则:msk-connect-connector-encrypted
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:无
此控件可检查 Amazon MSK Connect 连接器是否在传输过程中进行加密。如果连接器未在传输过程中进行加密,则此控件将失败。
传输中数据是指从一个位置移动到另一个位置的数据,例如在集群中的节点之间或在集群和应用程序之间。数据可能通过互联网或在私有网络内移动。对传输中数据进行加密可降低未经授权的用户侦听网络流量的风险。
修复
您可以在创建 MSK Connect 连接器时启用传输中加密。创建集群后,将无法更改加密设置。有关更多信息,请参阅《Amazon Managed Streaming for Apache Kafka Developer Guide》中的 Create a connector。