Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Amazon MSK
Estos AWS Security Hub controles evalúan el servicio y los recursos de Amazon Managed Streaming for Apache Kafka (Amazon MSK). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte Disponibilidad de los controles por región.
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
Requisitos relacionados: NIST.800-53.r5 SC-1 3 NIST.800-53.r5 AC-4, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
Categoría: Proteger > Protección de datos > Cifrado de data-in-transit
Gravedad: media
Tipo de recurso: AWS::MSK::Cluster
Regla de AWS Config : msk-in-cluster-node-require-tls
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de Amazon MSK está cifrado en tránsito con HTTPS (TLS) entre los nodos intermediarios del clúster. El control falla si la comunicación de texto sin formato está habilitada para una conexión de nodo intermediario del clúster.
HTTPS ofrece un nivel de seguridad adicional, ya que utiliza el TLS para mover los datos y se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. De forma predeterminada, Amazon MSK cifra los datos en tránsito con TLS. Sin embardo, puede anular este valor predeterminado en el momento en que cree el clúster. Recomendamos utilizar conexiones cifradas a través de HTTPS (TLS) para las conexiones de nodos intermediarios.
Corrección
Para obtener información sobre cómo actualizar la configuración de cifrado de un clúster de Amazon MSK, consulte Actualización de la configuración de seguridad de un clúster en la Guía para desarrolladores de Amazon Managed Streaming for Apache Kafka.
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
Requisitos relacionados: NIST.800-53.r5 NIST.800-53.r5 CA-7 SI-2
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::MSK::Cluster
Regla de AWS Config : msk-enhanced-monitoring-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de Amazon MSK tiene configurada la supervisión mejorada, especificada mediante un nivel de supervisión de al menos PER_TOPIC_PER_BROKER. Se produce un error en el control si el nivel de supervisión del clúster está establecido en DEFAULT o PER_BROKER.
El nivel de supervisión PER_TOPIC_PER_BROKER proporciona información más detallada sobre el rendimiento del clúster de MSK y también proporciona métricas relacionadas con el uso de los recursos, como el uso de la CPU y la memoria. Esto ayuda a identificar los cuellos de botella en el rendimiento y los patrones de uso de los recursos para temas y agentes individuales. Esta visibilidad, a su vez, puede optimizar el rendimiento de sus agentes de Kafka.
Corrección
Para configurar la supervisión mejorada para un clúster de MSK, haga lo siguiente:
¿Abrir la consola Amazon MSK en https://console.aws.amazon.com/msk/casa? region=us-east-1#/home/
. -
En el panel de navegación, seleccione Clusters (Clústeres). A continuación, elija una etiqueta de clúster.
-
En Acción, seleccione Editar supervisión.
-
Seleccione la opción Supervisión mejorada a nivel de tema.
-
Seleccione Save changes (Guardar cambios).
Para obtener más información sobre los niveles de monitoreo, consulte las métricas de Amazon MSK para monitorear a los corredores estándar CloudWatch en la Guía para desarrolladores de Amazon Managed Streaming for Apache Kafka.
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
Requisitos relacionados: PCI DSS v4.0.1/4.2.1
Categoría: Proteger > Protección de datos > Cifrado de data-in-transit
Gravedad: media
Tipo de recurso: AWS::KafkaConnect::Connector
Regla de AWS Config : msk-connect-connector-encrypted (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un conector Amazon MSK Connect está cifrado en tránsito. Este control falla si el conector no está cifrado en tránsito.
Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.
Corrección
Puede habilitar el cifrado en tránsito cuando crea un conector MSK Connect. No puede cambiar la configuración de cifrado después de crear un conector. Para obtener más información, consulte Crear un conector en la Guía para desarrolladores de Amazon Managed Streaming para Apache Kafka.
[MSK.4] Los clústeres de MSK deberían tener el acceso público desactivado
Categoría: Proteger > Gestión del acceso seguro > Recurso no accesible públicamente
Gravedad: crítica
Tipo de recurso: AWS::MSK::Cluster
Regla de AWS Config : msk-cluster-public-access-disabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el acceso público está inhabilitado para un clúster de Amazon MSK. El control falla si el acceso público está habilitado para el clúster de MSK.
De forma predeterminada, los clientes solo pueden acceder a un clúster de Amazon MSK si están en la misma VPC que el clúster. Todas las comunicaciones entre los clientes de Kafka y un clúster de MSK son privadas de forma predeterminada y los datos de streaming no atraviesan Internet. Sin embargo, si un clúster de MSK está configurado para permitir el acceso público, cualquier usuario de Internet puede establecer una conexión con los agentes de Apache Kafka que se ejecutan en el clúster. Esto puede provocar problemas como el acceso no autorizado, las filtraciones de datos o la explotación de vulnerabilidades. Si restringe el acceso a un clúster exigiendo medidas de autenticación y autorización, puede ayudar a proteger la información confidencial y a mantener la integridad de sus recursos.
Corrección
Para obtener información sobre la administración del acceso público a un clúster de Amazon MSK, consulte Activar el acceso público a un clúster aprovisionado de MSK en la Guía para desarrolladores de Amazon Managed Streaming for Apache Kafka.
[MSK.5] Los conectores MSK deben tener el registro activado
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::KafkaConnect::Connector
Regla de AWS Config : msk-connect-connector-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el registro está habilitado para un conector de Amazon MSK. El control falla si el registro está deshabilitado en el conector MSK.
Los conectores Amazon MSK integran sistemas externos y servicios de Amazon con Apache Kafka copiando continuamente datos de streaming desde una fuente de datos a un clúster de Apache Kafka o copiando continuamente datos de un clúster a un receptor de datos. MSK Connect puede escribir eventos de registro que pueden ayudar a depurar un conector. Al crear un conector, puede especificar cero o más de los siguientes destinos de registro: Amazon CloudWatch Logs, Amazon S3 y Amazon Data Firehose.
nota
Los valores de configuración confidenciales pueden aparecer en los registros de los conectores si un complemento no los define como secretos. Kafka Connect trata los valores de configuración indefinidos de la misma manera que cualquier otro valor de texto sin formato.
Corrección
Para habilitar el registro de un conector Amazon MSK existente, debe volver a crear el conector con la configuración de registro adecuada. Para obtener información sobre las opciones de configuración, consulte Logging for MSK Connect en la Guía para desarrolladores de Amazon Managed Streaming for Apache Kafka.
[MSK.6] Los clústeres de MSK deberían deshabilitar el acceso no autenticado
Categoría: Proteger > Gestión del acceso seguro > Autenticación sin contraseña
Gravedad: media
Tipo de recurso: AWS::MSK::Cluster
Regla de AWS Config : msk-unrestricted-access-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el acceso no autenticado está habilitado para un clúster de Amazon MSK. El control falla si el acceso no autenticado está habilitado para el clúster de MSK.
Amazon MSK admite los mecanismos de autenticación y autorización de los clientes para controlar el acceso a un clúster. Estos mecanismos verifican la identidad de los clientes que se conectan al clúster y determinan qué acciones pueden realizar los clientes. Se puede configurar un clúster de MSK para permitir el acceso no autenticado, lo que permite a cualquier cliente con conectividad a la red publicar temas de Kafka y suscribirse a ellos sin necesidad de proporcionar credenciales. La ejecución de un clúster de MSK sin requerir autenticación infringe el principio del privilegio mínimo y puede exponer el clúster a un acceso no autorizado. Puede permitir a cualquier cliente acceder a los datos de los temas de Kafka, modificarlos o eliminarlos, lo que podría provocar filtraciones de datos, modificaciones no autorizadas de los datos o interrupciones del servicio. Recomendamos habilitar mecanismos de autenticación como la autenticación de IAM, el SASL/SCRAM o el TLS mutuo para garantizar un control de acceso adecuado y mantener el cumplimiento de las normas de seguridad.
Corrección
Para obtener información sobre cómo cambiar la configuración de autenticación de un clúster de Amazon MSK, consulte las siguientes secciones de la Guía para desarrolladores de Amazon Managed Streaming for Apache Kafka: Actualización de la configuración de seguridad de un clúster de Amazon MSK y Autenticación y autorización para Apache Kafka. APIs
