Kontrol Security Hub untuk Amazon MSK - AWS Security Hub
[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi[MSK.3] Konektor MSK Connect harus dienkripsi saat transit[MSK.4] Kluster MSK harus menonaktifkan akses publik[MSK.5] Konektor MSK seharusnya mengaktifkan logging[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk Amazon MSK

AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya Amazon Managed Streaming for Apache Kafka (Amazon MSK). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker

Persyaratan terkait: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, 3 ( NIST.800-53.r5 SC-23), (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::MSK::Cluster

AWS Config aturan: msk-in-cluster-node-require-tls

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah kluster MSK Amazon dienkripsi dalam perjalanan dengan HTTPS (TLS) di antara node broker cluster. Kontrol gagal jika komunikasi teks biasa diaktifkan untuk koneksi node broker cluster.

HTTPS menawarkan lapisan keamanan ekstra karena menggunakan TLS untuk memindahkan data dan dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Secara default, Amazon MSK mengenkripsi data dalam perjalanan dengan TLS. Namun, Anda dapat mengganti default ini pada saat Anda membuat cluster. Sebaiknya gunakan koneksi terenkripsi melalui HTTPS (TLS) untuk koneksi node broker.

Remediasi

Untuk informasi tentang memperbarui setelan enkripsi untuk klaster MSK Amazon, lihat Memperbarui setelan keamanan klaster di Panduan Pengembang Amazon Managed Streaming for Apache Kafka.

[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi

Persyaratan terkait: NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::MSK::Cluster

AWS Config aturan: msk-enhanced-monitoring-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah klaster MSK Amazon telah meningkatkan pemantauan yang dikonfigurasi, yang ditentukan oleh tingkat pemantauan setidaknyaPER_TOPIC_PER_BROKER. Kontrol gagal jika tingkat pemantauan untuk cluster diatur ke DEFAULT atauPER_BROKER.

Tingkat PER_TOPIC_PER_BROKER pemantauan memberikan wawasan yang lebih terperinci tentang kinerja klaster MSK Anda, dan juga menyediakan metrik yang terkait dengan pemanfaatan sumber daya, seperti penggunaan CPU dan memori. Ini membantu Anda mengidentifikasi kemacetan kinerja dan pola pemanfaatan sumber daya untuk masing-masing topik dan broker. Visibilitas ini, pada gilirannya, dapat mengoptimalkan kinerja broker Kafka Anda.

Remediasi

Untuk mengonfigurasi pemantauan yang disempurnakan untuk klaster MSK, selesaikan langkah-langkah berikut:

  1. Buka konsol MSK Amazon di https://console.aws.amazon.com/msk/rumah? region=us-east-1#/home/.

  2. Pada panel navigasi, silakan pilih Klaster. Kemudian, pilih cluster.

  3. Untuk Tindakan, pilih Edit pemantauan.

  4. Pilih opsi untuk pemantauan tingkat topik yang ditingkatkan.

  5. Pilih Simpan perubahan.

Untuk informasi selengkapnya tentang tingkat pemantauan, lihat metrik MSK Amazon untuk memantau pialang Standar CloudWatch di Panduan Pengembang Amazon Managed Streaming for Apache Kafka.

[MSK.3] Konektor MSK Connect harus dienkripsi saat transit

Persyaratan terkait: PCI DSS v4.0.1/4.2.1

Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::KafkaConnect::Connector

AWS Config aturan: msk-connect-connector-encrypted (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah konektor Amazon MSK Connect dienkripsi saat transit. Kontrol ini gagal jika konektor tidak dienkripsi saat transit.

Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara klaster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.

Remediasi

Anda dapat mengaktifkan enkripsi saat transit saat Anda membuat konektor MSK Connect. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat konektor. Untuk informasi selengkapnya, lihat Membuat konektor di Panduan Pengembang Amazon Managed Streaming for Apache Kafka Kafka.

[MSK.4] Kluster MSK harus menonaktifkan akses publik

Kategori: Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::MSK::Cluster

AWS Config aturan: msk-cluster-public-access-disabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah akses publik dinonaktifkan untuk klaster MSK Amazon. Kontrol gagal jika akses publik diaktifkan untuk kluster MSK.

Secara default, klien dapat mengakses kluster MSK Amazon hanya jika mereka berada di VPC yang sama dengan cluster. Semua komunikasi antara klien Kafka dan kluster MSK bersifat pribadi secara default dan data streaming tidak melintasi internet. Namun, jika cluster MSK dikonfigurasi untuk memungkinkan akses publik, siapa pun di internet dapat membuat koneksi ke broker Apache Kafka yang berjalan di dalam cluster. Hal ini dapat menyebabkan masalah seperti akses tidak sah, pelanggaran data, atau eksploitasi kerentanan. Jika Anda membatasi akses ke klaster dengan mengharuskan tindakan otentikasi dan otorisasi, Anda dapat membantu melindungi informasi sensitif dan menjaga integritas sumber daya Anda.

Remediasi

Untuk informasi tentang mengelola akses publik ke klaster MSK Amazon, lihat Mengaktifkan akses publik ke klaster yang disediakan MSK di Panduan Pengembang Amazon Managed Streaming for Apache Kafka.

[MSK.5] Konektor MSK seharusnya mengaktifkan logging

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::KafkaConnect::Connector

AWS Config aturan: msk-connect-connector-logging-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan untuk konektor MSK Amazon. Kontrol gagal jika logging dinonaktifkan untuk konektor MSK.

Konektor MSK Amazon mengintegrasikan sistem eksternal dan layanan Amazon dengan Apache Kafka dengan terus menyalin data streaming dari sumber data ke cluster Apache Kafka, atau terus menyalin data dari cluster ke dalam data sink. MSK Connect dapat menulis peristiwa log yang dapat membantu men-debug konektor. Saat membuat konektor, Anda dapat menentukan nol atau lebih dari tujuan log berikut: Amazon CloudWatch Log, Amazon S3, dan Amazon Data Firehose.

catatan

Nilai konfigurasi sensitif dapat muncul di log konektor jika plugin tidak mendefinisikan nilai-nilai tersebut sebagai rahasia. Kafka Connect memperlakukan nilai konfigurasi yang tidak ditentukan sama dengan nilai plaintext lainnya.

Remediasi

Untuk mengaktifkan logging untuk konektor MSK Amazon yang ada, Anda harus membuat ulang konektor dengan konfigurasi logging yang sesuai. Untuk informasi tentang opsi konfigurasi, lihat Logging untuk MSK Connect di Panduan Pengembang Amazon Managed Streaming for Apache Kafka Kafka.

[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi

Kategori: Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::MSK::Cluster

AWS Config aturan: msk-unrestricted-access-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah akses yang tidak diautentikasi diaktifkan untuk klaster MSK Amazon. Kontrol gagal jika akses yang tidak diautentikasi diaktifkan untuk kluster MSK.

Amazon MSK mendukung otentikasi klien dan mekanisme otorisasi untuk mengontrol akses ke cluster. Mekanisme ini memverifikasi identitas klien yang terhubung ke cluster dan menentukan tindakan mana yang dapat dilakukan klien. Kluster MSK dapat dikonfigurasi untuk memungkinkan akses yang tidak diautentikasi, yang memungkinkan klien dengan konektivitas jaringan untuk mempublikasikan dan berlangganan topik Kafka tanpa memberikan kredensyal. Menjalankan klaster MSK tanpa memerlukan otentikasi melanggar prinsip hak istimewa paling sedikit dan dapat mengekspos cluster ke akses yang tidak sah. Ini dapat memungkinkan klien untuk mengakses, memodifikasi, atau menghapus data dalam topik Kafka, berpotensi mengakibatkan pelanggaran data, modifikasi data yang tidak sah, atau gangguan layanan. Sebaiknya aktifkan mekanisme otentikasi seperti autentikasi IAM, SASL/SCRAM, atau TLS timbal balik untuk memastikan kontrol akses yang tepat dan menjaga kepatuhan keamanan.

Remediasi

Untuk informasi tentang mengubah setelan autentikasi untuk kluster MSK Amazon, lihat bagian berikut dari Panduan Pengembang Amazon Managed Streaming for Apache Kafka: Perbarui pengaturan keamanan klaster MSK Amazon serta Otentikasi dan otorisasi untuk Apache Kafka. APIs