Prácticas recomendadas de seguridad para Amazon MQ

Los siguientes patrones de diseño pueden mejorar la seguridad de su agente de Amazon MQ.

Para obtener más información acerca de cómo Amazon MQ cifra sus datos, así como una lista de protocolos compatibles, consulte el tema sobre protección de datos.

Preferir agentes sin accesibilidad pública

A los agentes creados sin acceso público no se puede obtener acceso desde fuera de la VPC. Esto reduce enormemente la susceptibilidad del agente a ataques de denegación distribuida del servicio (DDoS) de la Internet pública. Para obtener más información, consulte la entrada sobre cómo prepararse para los ataques DDoS reduciendo la superficie de ataque en el blog de seguridad de AWS.

Configurar siempre una asignación de autorizaciones

Debido a que ActiveMQ no tiene configurada ninguna asignación de autorizaciones, cualquier usuario autenticado puede llevar a cabo cualquier acción en el agente. Por lo tanto, la práctica recomendada consiste en restringir los permisos por grupo. Para obtener más información, consulte authorizationEntry.

Bloqueo de protocolos innecesarios con grupos de seguridad de VPC

Para mejorar la seguridad de los agentes privados, debe restringir las conexiones de los protocolos y puertos innecesarios configurando correctamente el grupo de seguridad de Amazon VPC. Por ejemplo, para restringir el acceso a la mayoría de los protocolos y permitir el acceso a OpenWire y a la consola web, puede permitir el acceso únicamente a 61617 y 8162. De este modo, limitaría su exposición mediante el bloqueo de los protocolos que no están en uso y permitiría que OpenWire y la consola web funcionaran normalmente.

Permita únicamente los puertos de los protocolos que esté utilizando.

Para obtener más información, consulte: