Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour Amazon MSK

Ces AWS Security Hub contrôles évaluent le service et les ressources Amazon Managed Streaming for Apache Kafka (Amazon MSK). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker

Exigences associées : NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::MSK::Cluster

Règle AWS Config  : msk-in-cluster-node-require-tls

Type de calendrier : changement déclenché

Paramètres : Aucun

Cela permet de vérifier si un cluster Amazon MSK est chiffré en transit avec le protocole HTTPS (TLS) entre les nœuds courtiers du cluster. Le contrôle échoue si la communication en texte brut est activée pour une connexion à un nœud de cluster broker.

Le protocole HTTPS offre un niveau de sécurité supplémentaire car il utilise le protocole TLS pour déplacer les données et peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Par défaut, Amazon MSK chiffre les données en transit avec le protocole TLS. Toutefois, vous pouvez annuler cette valeur par défaut au moment de créer le cluster. Nous recommandons d'utiliser des connexions chiffrées via HTTPS (TLS) pour les connexions aux nœuds de courtage.

Correction

Pour plus d'informations sur la mise à jour des paramètres de chiffrement d'un cluster Amazon MSK, consultez la section Mise à jour des paramètres de sécurité d'un cluster dans le manuel Amazon Managed Streaming for Apache Kafka Developer Guide.

[MSK.2] La surveillance améliorée des clusters MSK doit être configurée

Exigences connexes : NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

Catégorie : Détecter - Services de détection

Gravité : Faible

Type de ressource : AWS::MSK::Cluster

Règle AWS Config  : msk-enhanced-monitoring-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un cluster Amazon MSK dispose d'une surveillance améliorée configurée, spécifiée par un niveau de surveillance d'au moinsPER_TOPIC_PER_BROKER. Le contrôle échoue si le niveau de surveillance du cluster est défini sur DEFAULT ouPER_BROKER.

Le niveau PER_TOPIC_PER_BROKER de surveillance fournit des informations plus détaillées sur les performances de votre cluster MSK et fournit également des mesures relatives à l'utilisation des ressources, telles que l'utilisation du processeur et de la mémoire. Cela vous permet d'identifier les obstacles aux performances et les modèles d'utilisation des ressources pour des sujets et des courtiers individuels. Cette visibilité peut à son tour optimiser les performances de vos courtiers Kafka.

Correction

Pour configurer la surveillance améliorée pour un cluster MSK, procédez comme suit :

Pour plus d'informations sur les niveaux de surveillance, consultez les métriques Amazon MSK relatives à la surveillance des courtiers standard CloudWatch dans le guide du développeur Amazon Managed Streaming for Apache Kafka.

[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport

Exigences associées : PCI DSS v4.0.1/4.2.1

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::KafkaConnect::Connector

AWS Config règle : msk-connect-connector-encrypted (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un connecteur Amazon MSK Connect est chiffré pendant le transport. Ce contrôle échoue si le connecteur n'est pas chiffré pendant le transport.

Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.

Correction

Vous pouvez activer le chiffrement en transit lorsque vous créez un connecteur MSK Connect. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un connecteur. Pour plus d'informations, consultez la section Créer un connecteur dans le guide du développeur Amazon Managed Streaming for Apache Kafka.

[MSK.4] L'accès public aux clusters MSK doit être désactivé

Catégorie : Protéger > Gestion des accès sécurisés > Ressource non accessible au public

Gravité : Critique

Type de ressource : AWS::MSK::Cluster

Règle AWS Config  : msk-cluster-public-access-disabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'accès public est désactivé pour un cluster Amazon MSK. Le contrôle échoue si l'accès public est activé pour le cluster MSK.

Par défaut, les clients peuvent accéder à un cluster Amazon MSK uniquement s'ils se trouvent dans le même VPC que le cluster. Toutes les communications entre les clients Kafka et un cluster MSK sont privées par défaut et les données en streaming ne transitent pas par Internet. Toutefois, si un cluster MSK est configuré pour autoriser l'accès public, n'importe qui sur Internet peut établir une connexion avec les courtiers Apache Kafka qui s'exécutent au sein du cluster. Cela peut entraîner des problèmes tels qu'un accès non autorisé, des violations de données ou l'exploitation de vulnérabilités. Si vous limitez l'accès à un cluster en exigeant des mesures d'authentification et d'autorisation, vous pouvez contribuer à protéger les informations sensibles et à préserver l'intégrité de vos ressources.

Correction

Pour plus d'informations sur la gestion de l'accès public à un cluster Amazon MSK, consultez la section Activer l'accès public à un cluster MSK provisioned dans le guide du développeur Amazon Managed Streaming for Apache Kafka.

[MSK.5] La journalisation des connecteurs MSK doit être activée

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::KafkaConnect::Connector

Règle AWS Config  : msk-connect-connector-logging-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la journalisation est activée pour un connecteur Amazon MSK. Le contrôle échoue si la journalisation est désactivée pour le connecteur MSK.

Les connecteurs Amazon MSK intègrent des systèmes externes et des services Amazon à Apache Kafka en copiant en continu les données de streaming d'une source de données vers un cluster Apache Kafka, ou en copiant en continu les données d'un cluster vers un récepteur de données. MSK Connect peut écrire des événements de journal qui peuvent aider à déboguer un connecteur. Lorsque vous créez un connecteur, vous pouvez spécifier au moins zéro des destinations de journal suivantes : Amazon CloudWatch Logs, Amazon S3 et Amazon Data Firehose.

Correction

Pour activer la journalisation pour un connecteur Amazon MSK existant, vous devez recréer le connecteur avec la configuration de journalisation appropriée. Pour plus d'informations sur les options de configuration, consultez la section Logging for MSK Connect du manuel Amazon Managed Streaming for Apache Kafka Developer Guide.

[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié

Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe

Gravité : Moyenne

Type de ressource : AWS::MSK::Cluster

Règle AWS Config  : msk-unrestricted-access-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'accès non authentifié est activé pour un cluster Amazon MSK. Le contrôle échoue si l'accès non authentifié est activé pour le cluster MSK.

Amazon MSK prend en charge les mécanismes d'authentification et d'autorisation des clients pour contrôler l'accès à un cluster. Ces mécanismes vérifient l'identité des clients qui se connectent au cluster et déterminent les actions que les clients peuvent effectuer. Un cluster MSK peut être configuré pour autoriser un accès non authentifié, ce qui permet à tout client connecté au réseau de publier des sujets Kafka et de s'y abonner sans fournir d'informations d'identification. L'exécution d'un cluster MSK sans authentification enfreint le principe du moindre privilège et peut exposer le cluster à un accès non autorisé. Il peut permettre à n'importe quel client d'accéder, de modifier ou de supprimer des données dans les rubriques Kafka, ce qui peut entraîner des violations de données, des modifications non autorisées des données ou des interruptions de service. Nous recommandons d'activer les mécanismes d'authentification tels que l'authentification IAM, le SASL/SCRAM ou le protocole TLS mutuel pour garantir un contrôle d'accès approprié et garantir la conformité en matière de sécurité.

Correction

Pour plus d'informations sur la modification des paramètres d'authentification d'un cluster Amazon MSK, consultez les sections suivantes du guide du développeur Amazon Managed Streaming for Apache Kafka : Mettre à jour les paramètres de sécurité d'un cluster Amazon MSK et Authentification et autorisation pour Apache Kafka. APIs