Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli del Security Hub per Amazon MSK
Questi AWS Security Hub controlli valutano il servizio e le risorse Amazon Managed Streaming for Apache Kafka (Amazon MSK). I controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::MSK::Cluster
Regola AWS Config : msk-in-cluster-node-require-tls
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Amazon MSK è crittografato in transito con HTTPS (TLS) tra i nodi broker del cluster. Il controllo fallisce se è abilitata la comunicazione in testo semplice per una connessione al nodo del broker del cluster.
HTTPS offre un ulteriore livello di sicurezza in quanto utilizza TLS per spostare i dati e può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o simili attacchi per intercettare o manipolare il traffico di rete. Per impostazione predefinita, Amazon MSK crittografa i dati in transito con TLS. Tuttavia, puoi ignorare questa impostazione predefinita al momento della creazione del cluster. Consigliamo di utilizzare connessioni crittografate tramite HTTPS (TLS) per le connessioni ai nodi del broker.
Correzione
Per informazioni sull'aggiornamento delle impostazioni di crittografia per un cluster Amazon MSK, consulta Updating security settings of a cluster nella Amazon Managed Streaming for Apache Kafka Developer Guide.
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
Requisiti correlati:, NIST.800-53.R5 SI-2 NIST.800-53.r5 CA-7
Categoria: Rilevamento > Servizi di rilevamento
Gravità: bassa
Tipo di risorsa: AWS::MSK::Cluster
Regola AWS Config : msk-enhanced-monitoring-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Amazon MSK ha configurato il monitoraggio avanzato, specificato da un livello di monitoraggio di almenoPER_TOPIC_PER_BROKER. Il controllo fallisce se il livello di monitoraggio per il cluster è impostato su DEFAULT oPER_BROKER.
Il livello di PER_TOPIC_PER_BROKER monitoraggio fornisce informazioni più dettagliate sulle prestazioni del cluster MSK e fornisce anche metriche relative all'utilizzo delle risorse, come l'utilizzo della CPU e della memoria. Ciò consente di identificare i punti deboli in termini di prestazioni e i modelli di utilizzo delle risorse per singoli argomenti e broker. Questa visibilità, a sua volta, può ottimizzare le prestazioni dei vostri broker Kafka.
Correzione
Per configurare il monitoraggio avanzato per un cluster MSK, completa i seguenti passaggi:
Aprire la console Amazon MSK a https://console.aws.amazon.com/msk/casa? region=us-east-1#/home/.
-
Nel pannello di navigazione scegliere Clusters (Cluster). Quindi, scegli un cluster.
-
Per Azione, seleziona Modifica monitoraggio.
-
Seleziona l'opzione per il monitoraggio avanzato a livello di argomento.
-
Scegli Save changes (Salva modifiche).
Per ulteriori informazioni sui livelli di monitoraggio, consulta i parametri di Amazon MSK per il monitoraggio dei broker Standard CloudWatch nella Amazon Managed Streaming for Apache Kafka Developer Guide.
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
Requisiti correlati: PCI DSS v4.0.1/4.2.1
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::KafkaConnect::Connector
AWS Config regola: msk-connect-connector-encrypted (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un connettore Amazon MSK Connect è crittografato in transito. Questo controllo fallisce se il connettore non è crittografato in transito.
I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.
Correzione
È possibile abilitare la crittografia in transito quando si crea un connettore MSK Connect. Non è possibile modificare le impostazioni di crittografia dopo aver creato un connettore. Per ulteriori informazioni, consulta Creare un connettore nella Amazon Managed Streaming for Apache Kafka Developer Guide.
[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
Categoria: Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico
Severità: critica
Tipo di risorsa: AWS::MSK::Cluster
Regola AWS Config : msk-cluster-public-access-disabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se l'accesso pubblico è disabilitato per un cluster Amazon MSK. Il controllo fallisce se l'accesso pubblico è abilitato per il cluster MSK.
Per impostazione predefinita, i client possono accedere a un cluster Amazon MSK solo se si trovano nello stesso VPC del cluster. Tutte le comunicazioni tra i client Kafka e un cluster MSK sono private per impostazione predefinita e i dati in streaming non attraversano Internet. Tuttavia, se un cluster MSK è configurato per consentire l'accesso pubblico, chiunque su Internet può stabilire una connessione ai broker Apache Kafka in esecuzione all'interno del cluster. Ciò può portare a problemi come l'accesso non autorizzato, la violazione dei dati o lo sfruttamento delle vulnerabilità. Se si limita l'accesso a un cluster richiedendo misure di autenticazione e autorizzazione, è possibile proteggere le informazioni sensibili e mantenere l'integrità delle risorse.
Correzione
Per informazioni sulla gestione dell'accesso pubblico a un cluster Amazon MSK, consulta Turn on public access to an MSK Provisioned cluster nella Amazon Managed Streaming for Apache Kafka Developer Guide.
[MSK.5] I connettori MSK devono avere la registrazione abilitata
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::KafkaConnect::Connector
Regola AWS Config : msk-connect-connector-logging-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la registrazione è abilitata per un connettore Amazon MSK. Il controllo fallisce se la registrazione è disabilitata per il connettore MSK.
I connettori Amazon MSK integrano sistemi esterni e servizi Amazon con Apache Kafka copiando continuamente i dati in streaming da una fonte di dati in un cluster Apache Kafka o copiando continuamente i dati da un cluster in un data sink. MSK Connect è in grado di scrivere eventi di registro che possono aiutare a eseguire il debug di un connettore. Quando crei un connettore, puoi specificare zero o più delle seguenti destinazioni di log: Amazon CloudWatch Logs, Amazon S3 e Amazon Data Firehose.
Nota
Se un plug-in non definisce i valori di configurazione sensibili come segreti, tali valori possono apparire nei log dei connettori. Kafka Connect tratta i valori di configurazione non definiti allo stesso modo di qualsiasi altro valore non crittografato.
Correzione
Per abilitare la registrazione per un connettore Amazon MSK esistente, devi ricreare il connettore con la configurazione di registrazione appropriata. Per informazioni sulle opzioni di configurazione, consulta Logging for MSK Connect nella Amazon Managed Streaming for Apache Kafka Developer Guide.
[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
Categoria: Protezione > Gestione sicura degli accessi > Autenticazione senza password
Gravità: media
Tipo di risorsa: AWS::MSK::Cluster
Regola AWS Config : msk-unrestricted-access-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se l'accesso non autenticato è abilitato per un cluster Amazon MSK. Il controllo fallisce se è abilitato l'accesso non autenticato per il cluster MSK.
Amazon MSK supporta i meccanismi di autenticazione e autorizzazione dei client per controllare l'accesso a un cluster. Questi meccanismi verificano l'identità dei client che si connettono al cluster e determinano le azioni che i client possono eseguire. Un cluster MSK può essere configurato per consentire l'accesso non autenticato, il che consente a qualsiasi client con connettività di rete di pubblicare e sottoscrivere argomenti di Kafka senza fornire credenziali. L'esecuzione di un cluster MSK senza richiedere l'autenticazione viola il principio del privilegio minimo e può esporre il cluster ad accessi non autorizzati. Può consentire a qualsiasi client di accedere, modificare o eliminare i dati relativi agli argomenti di Kafka, con conseguenti potenziali violazioni dei dati, modifiche non autorizzate dei dati o interruzioni del servizio. Consigliamo di abilitare meccanismi di autenticazione come l'autenticazione IAM, SASL/SCRAM o il TLS reciproco per garantire un controllo adeguato degli accessi e mantenere la conformità alla sicurezza.
Correzione
Per informazioni sulla modifica delle impostazioni di autenticazione per un cluster Amazon MSK, consulta le seguenti sezioni della Amazon Managed Streaming for Apache Kafka Developer Guide: Aggiornamento delle impostazioni di sicurezza di un cluster Amazon MSK e Autenticazione e autorizzazione per Apache Kafka. APIs
