Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerelemente für Amazon MSK

Diese AWS Security Hub Kontrollen bewerten den Service und die Ressourcen von Amazon Managed Streaming for Apache Kafka (Amazon MSK). Die Steuerelemente sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

Verwandte Anforderungen: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit

Schweregrad: Mittel

Art der Ressource: AWS::MSK::Cluster

AWS Config -Regel: msk-in-cluster-node-require-tls

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Steuerung prüft, ob ein Amazon MSK-Cluster bei der Übertragung mit HTTPS (TLS) zwischen den Broker-Knoten des Clusters verschlüsselt ist. Die Steuerung schlägt fehl, wenn die Klartext-Kommunikation für eine Cluster-Broker-Knotenverbindung aktiviert ist.

HTTPS bietet eine zusätzliche Sicherheitsebene, da TLS für die Übertragung von Daten verwendet wird, und kann dazu beitragen, potenzielle Angreifer daran zu hindern, person-in-the-middle Netzwerkverkehr mit oder ähnlichen Angriffen zu belauschen oder zu manipulieren. Standardmäßig verschlüsselt Amazon MSK Daten bei der Übertragung mit TLS. Sie können diese Standardeinstellung jedoch bei der Erstellung des Clusters überschreiben. Wir empfehlen die Verwendung verschlüsselter Verbindungen über HTTPS (TLS) für Broker-Knotenverbindungen.

Abhilfe

Informationen zur Aktualisierung der Verschlüsselungseinstellungen für einen Amazon MSK-Cluster finden Sie unter Aktualisieren der Sicherheitseinstellungen eines Clusters im Amazon Managed Streaming for Apache Kafka Developer Guide.

[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Art der Ressource: AWS::MSK::Cluster

AWS Config -Regel: msk-enhanced-monitoring-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob für einen Amazon MSK-Cluster eine erweiterte Überwachung konfiguriert ist, die durch eine Überwachungsebene von mindestens PER_TOPIC_PER_BROKER angegeben wird. Die Steuerung schlägt fehl, wenn die Überwachungsebene für den Cluster auf DEFAULT oder PER_BROKER gesetzt ist.

Die PER_TOPIC_PER_BROKER Überwachungsebene bietet detailliertere Einblicke in die Leistung Ihres MSK-Clusters und bietet auch Metriken zur Ressourcennutzung, z. B. zur CPU- und Speicherauslastung. Auf diese Weise können Sie Leistungsengpässe und Ressourcennutzungsmuster für einzelne Themen und Broker identifizieren. Diese Transparenz kann wiederum die Leistung Ihrer Kafka-Broker optimieren.

Abhilfe

Gehen Sie wie folgt vor, um die erweiterte Überwachung für einen MSK-Cluster zu konfigurieren:

Weitere Informationen zu Überwachungsebenen finden Sie unter Amazon MSK-Metriken für die Überwachung von Standard-Brokern mit CloudWatch im Amazon Managed Streaming for Apache Kafka Developer Guide.

[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

Verwandte Anforderungen: PCI DSS v4.0.1/4.2.1

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit

Schweregrad: Mittel

Art der Ressource: AWS::KafkaConnect::Connector

AWS Config Regel: msk-connect-connector-encrypted (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter: Keine

Diese Kontrolle prüft, ob ein Amazon MSK Connect-Konnektor während der Übertragung verschlüsselt ist. Diese Kontrolle schlägt fehl, wenn der Connector bei der Übertragung nicht verschlüsselt wird.

Daten während der Übertragung beziehen sich auf Daten, die von einem Ort an einen anderen übertragen werden, z. B. zwischen Knoten in Ihrem Cluster oder zwischen Ihrem Cluster und Ihrer Anwendung. Daten können über das Internet oder innerhalb eines privaten Netzwerks übertragen werden. Durch die Verschlüsselung von Daten während der Übertragung wird das Risiko verringert, dass ein nicht autorisierter Benutzer den Netzwerkverkehr abhören kann.

Abhilfe

Sie können die Verschlüsselung bei der Übertragung aktivieren, wenn Sie einen MSK Connect-Connector erstellen. Sie können die Verschlüsselungseinstellungen nach dem Erstellen eines Connectors nicht ändern. Weitere Informationen finden Sie unter Create a Connector im Amazon Managed Streaming for Apache Kafka Developer Guide.

[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein

Kategorie: Schützen > Sichere Zugriffsverwaltung > Ressource nicht öffentlich zugänglich

Schweregrad: Kritisch

Art der Ressource: AWS::MSK::Cluster

AWS Config -Regel: msk-cluster-public-access-disabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob der öffentliche Zugriff für einen Amazon MSK-Cluster deaktiviert ist. Die Kontrolle schlägt fehl, wenn der öffentliche Zugriff für den MSK-Cluster aktiviert ist.

Standardmäßig können Clients nur dann auf einen Amazon MSK-Cluster zugreifen, wenn sie sich in derselben VPC wie der Cluster befinden. Die gesamte Kommunikation zwischen Kafka-Clients und einem MSK-Cluster ist standardmäßig privat und Streaming-Daten werden nicht über das Internet übertragen. Wenn ein MSK-Cluster jedoch so konfiguriert ist, dass er öffentlichen Zugriff zulässt, kann jeder im Internet eine Verbindung zu Apache Kafka-Brokern herstellen, die innerhalb des Clusters ausgeführt werden. Dies kann zu Problemen wie unberechtigtem Zugriff, Datenschutzverletzungen oder der Ausnutzung von Sicherheitslücken führen. Wenn Sie den Zugriff auf einen Cluster einschränken, indem Sie Authentifizierungs- und Autorisierungsmaßnahmen vorschreiben, können Sie dazu beitragen, vertrauliche Informationen zu schützen und die Integrität Ihrer Ressourcen aufrechtzuerhalten.

Abhilfe

Informationen zur Verwaltung des öffentlichen Zugriffs auf einen Amazon MSK-Cluster finden Sie unter Aktivieren des öffentlichen Zugriffs auf einen von MSK bereitgestellten Cluster im Amazon Managed Streaming for Apache Kafka Developer Guide.

[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::KafkaConnect::Connector

AWS Config -Regel: msk-connect-connector-logging-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die Protokollierung für einen Amazon MSK-Connector aktiviert ist. Die Steuerung schlägt fehl, wenn die Protokollierung für den MSK-Connector deaktiviert ist.

Amazon MSK-Konnektoren integrieren externe Systeme und Amazon-Services mit Apache Kafka, indem sie kontinuierlich Streaming-Daten aus einer Datenquelle in einen Apache Kafka-Cluster oder kontinuierlich Daten aus einem Cluster in eine Datensenke kopieren. MSK Connect kann Protokollereignisse schreiben, die beim Debuggen eines Connectors helfen können. Wenn Sie einen Connector erstellen, können Sie null oder mehr der folgenden Protokollziele angeben: Amazon CloudWatch Logs, Amazon S3 und Amazon Data Firehose.

Abhilfe

Um die Protokollierung für einen vorhandenen Amazon MSK-Connector zu aktivieren, müssen Sie den Connector mit der entsprechenden Protokollierungskonfiguration neu erstellen. Informationen zu Konfigurationsoptionen finden Sie unter Logging for MSK Connect im Amazon Managed Streaming for Apache Kafka Developer Guide.

[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren

Kategorie: Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung

Schweregrad: Mittel

Art der Ressource: AWS::MSK::Cluster

AWS Config -Regel: msk-unrestricted-access-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Kontrolle prüft, ob der nicht authentifizierte Zugriff für einen Amazon MSK-Cluster aktiviert ist. Die Kontrolle schlägt fehl, wenn der nicht authentifizierte Zugriff für den MSK-Cluster aktiviert ist.

Amazon MSK unterstützt Client-Authentifizierungs- und Autorisierungsmechanismen, um den Zugriff auf einen Cluster zu kontrollieren. Diese Mechanismen überprüfen die Identität der Clients, die sich mit dem Cluster verbinden, und bestimmen, welche Aktionen Clients ausführen können. Ein MSK-Cluster kann so konfiguriert werden, dass er nicht authentifizierten Zugriff ermöglicht, sodass jeder Client mit Netzwerkkonnektivität Kafka-Themen veröffentlichen und abonnieren kann, ohne Anmeldeinformationen angeben zu müssen. Das Ausführen eines MSK-Clusters ohne Authentifizierung verstößt gegen das Prinzip der geringsten Rechte und kann den Cluster unberechtigtem Zugriff aussetzen. Es kann jedem Client ermöglichen, auf Daten in Kafka-Themen zuzugreifen, diese zu ändern oder zu löschen, was möglicherweise zu Datenschutzverletzungen, unbefugten Datenänderungen oder Dienstunterbrechungen führen kann. Wir empfehlen, Authentifizierungsmechanismen wie IAM-Authentifizierung, SASL/SCRAM oder Mutual TLS zu aktivieren, um eine angemessene Zugriffskontrolle zu gewährleisten und die Einhaltung der Sicherheitsbestimmungen zu gewährleisten.

Abhilfe

Informationen zum Ändern der Authentifizierungseinstellungen für einen Amazon MSK-Cluster finden Sie in den folgenden Abschnitten des Amazon Managed Streaming for Apache Kafka Developer Guide: Sicherheitseinstellungen eines Amazon MSK-Clusters aktualisieren und Authentifizierung und Autorisierung für Apache Kafka. APIs