本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon MSK 控件
这些控件与 Amazon Managed Streaming for Apache Kafka (Amazon MSK) 资源有关。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[MSK.1] MSK 集群应在代理节点之间传输时进行加密
相关要求:NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)。
类别:保护 > 数据保护 > 加密 data-in-transit
严重性:中
资源类型:AWS::MSK::Cluster
Amazon Config 规则:msk-in-cluster-node-require-tls
计划类型:已触发变更
参数:无
它控制检查 Amazon MSK 集群在传输过程中是否在集群的代理节点之间使用 HTTPS (TLS) 进行加密。如果为集群代理节点连接启用了纯文本通信,则控制失败。
HTTPS 提供了额外的安全层,因为它使用 TLS 来移动数据,可用于帮助防止潜在的攻击者使用 person-in-the-middle 或类似的攻击来窃听或操纵网络流量。默认情况下,Amazon MSK 使用 TLS 对传输中数据进行加密。但是,您可以在创建集群时覆盖此默认值。对于代理节点连接,我们建议使用通过 HTTPS (TLS) 的加密连接。
修复
要更新 MSK 集群的加密设置,请参阅 适用于 Apache Kafka 的 Amazon Managed Streaming 开发人员指南中的更新集群的安全设置。
[MSK.2] MSK 集群应配置增强型监控
相关要求:NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2。
类别:检测 > 检测服务
严重性:低
资源类型:AWS::MSK::Cluster
Amazon Config 规则:msk-enhanced-monitoring-enabled
计划类型:已触发变更
参数:无
此控件检查 Amazon MSK 集群是否配置了增强型监控,且监控级别至少指定为 PER_TOPIC_PER_BROKER
。如果集群的监控级别设置为 DEFAULT
或 PER_BROKER
,则控制失败。
PER_TOPIC_PER_BROKER
监控级别可以帮助您更精细地了解 MSK 集群的性能,还提供与资源利用率相关的指标,例如 CPU 和内存使用情况。这可以帮助您确定各个主题和代理的性能瓶颈和资源利用率模式。反过来,这种可见性可以优化 Kafka 代理的性能。
修复
要为 MSK 集群配置增强型监控,请完成以下步骤:
打开 Amazon MSK 控制台,网址为:https://console.aws.amazon.com/msk/home?region=us-east-1#/home/
。 在导航窗格中,选择集群。然后选择一个集群。
在操作中,选择编辑监控。
选择增强主题级别监控选项。
选择 保存更改。
有关监控级别的更多信息,请参阅《Amazon Managed Streaming for Apache Kafka 开发人员指南》中的更新集群的安全设置。