Amazon MSK の Security Hub コントロール - AWS Security Hub
[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります[MSK.5] MSK コネクタではログ記録が有効になっている必要があります[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon MSK の Security Hub コントロール

これらの AWS Security Hub コントロールは、Amazon Managed Streaming for Apache Kafka (Amazon MSK) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります

関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/4.2.1

カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化

重要度:

リソースタイプ : AWS::MSK::Cluster

AWS Config ルール : msk-in-cluster-node-require-tls

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは Amazon MSK クラスターが、クラスターのブローカーノードで HTTPS (TLS) で転送中のデータを暗号化しているかどうかを確認します。クラスターブローカーノード接続でプレーンテキスト通信が有効になっていると、コントロールは失敗します。

HTTPS ではデータの移動に TLS を使用する追加のセキュリティレイヤーが提供されており、これをすると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。デフォルトでは、Amazon MSK は転送中のデータを TLS で暗号化します。ただし、このデフォルトはクラスターの作成時に上書きできます。ブローカーノード接続には、HTTPS (TLS) 経由の暗号化接続を使用することをお勧めします。

修正

Amazon MSK クラスターの暗号化設定の更新については、「Amazon Managed Streaming for Apache Kafka デベロッパーガイド」の「クラスターのセキュリティ設定の更新」を参照してください。

[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります

関連する要件: NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ : AWS::MSK::Cluster

AWS Config ルール : msk-enhanced-monitoring-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MSK クラスターに、少なくとも PER_TOPIC_PER_BROKER のモニタリングレベルで指定された拡張モニタリングが設定されているかどうかをチェックします。クラスターのモニタリングレベルが DEFAULT または PER_BROKER に設定されている場合、コントロールは失敗します。

PER_TOPIC_PER_BROKER モニタリングレベルでは、MSK クラスターのパフォーマンスをより詳細に把握できる他、CPU やメモリ使用量などのリソース使用率に関連するメトリクスも表示されます。これにより、個々のトピックおよびブローカーのパフォーマンスボトルネックやリソース使用パターンを特定できるようになります。この可視性により、Kafka ブローカーのパフォーマンスを最適化できます。

修正

MSK クラスターの拡張モニタリングを設定するには、以下の手順を実行します。

  1. https://console.aws.amazon.com/msk/home?region=us-east-1#/home/ で Amazon MSK コンソールを開きます。

  2. ナビゲーションペインで [Clusters] (クラスター) を選択してください。次に、クラスターを選択します。

  3. [アクション][モニタリングを編集] を選択します。

  4. [拡張トピックレベルモニタリング] のオプションを選択します。

  5. [Save changes] (変更の保存) をクリックします。

モニタリングレベルの詳細については、「Amazon Managed Streaming for Apache Kafka デベロッパーガイド」のCloudWatch で標準ブローカーをモニタリングするための Amazon MSK メトリクス」を参照してください。

[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります

関連する要件: PCI DSS v4.0.1/4.2.1

カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化

重要度:

リソースタイプ : AWS::KafkaConnect::Connector

AWS Config ルール: msk-connect-connector-encrypted (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MSK Connect コネクタが転送中の暗号化されているかどうかを確認します。コネクタが転送中に暗号化されていない場合、このコントロールは失敗します。

転送中のデータとは、クラスター内のノード間やクラスターとアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する場合があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。

修正

MSK Connect コネクタを作成するときに、転送中の暗号化を有効にすることができます。コネクタを作成した後で暗号化設定を変更することはできません。詳細については、「Amazon Managed Streaming for Apache Kafka デベロッパーガイド」の「コネクタの作成」を参照してください。

[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります

カテゴリ: 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース

重要度: 非常事態

リソースタイプ : AWS::MSK::Cluster

AWS Config ルール : msk-cluster-public-access-disabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MSK クラスターでパブリックアクセスが無効になっているかどうかをチェックします。MSK クラスターでパブリックアクセスが有効になっている場合、コントロールは失敗します。

デフォルトでは、クライアントはクラスターと同じ VPC にある場合にのみ Amazon MSK クラスターにアクセスできます。Kafka クライアントと MSK クラスター間のすべての通信はデフォルトでプライベートであり、ストリーミングデータはインターネットを経由しません。ただし、MSK クラスターがパブリックアクセスを許可するように設定されている場合、インターネット上の誰でも、クラスター内で実行されている Apache Kafka ブローカーへの接続を確立できます。これにより、不正アクセス、データ侵害、脆弱性の悪用などの問題が発生する可能性があります。認証と認可の手段を要求してクラスターへのアクセスを制限すると、機密情報を保護し、リソースの整合性を維持できます。

修正

Amazon MSK クラスターへのパブリックアクセスの管理については、「Amazon Managed Streaming for Apache Kafka デベロッパーガイド」の「MSK プロビジョンドクラスターへのパブリックアクセスを有効にする」を参照してください。

[MSK.5] MSK コネクタではログ記録が有効になっている必要があります

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::KafkaConnect::Connector

AWS Config ルール : msk-connect-connector-logging-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MSK コネクタのログ記録が有効になっているかどうかを確認します。MSK コネクタのログ記録が無効になっていると、コントロールは失敗します。

Amazon MSK コネクタは、データソースから Apache Kafka クラスターにストリーミングデータを継続的にコピーするか、クラスターからデータシンクにデータを継続的にコピーすることで、外部システムと Amazon サービスを Apache Kafka と統合します。MSK Connect は、コネクタのデバッグに役立つログイベントを書き込むことができます。コネクタを作成するときに、Amazon CloudWatch Logs、Amazon S3、Amazon Data Firehose のログ送信先を 0 つ以上指定できます。

注記

プラグインで機密設定値をシークレットとして定義していない場合、機密設定値がコネクタログに表示される可能性があります。Kafka Connect は、未定義の設定値を他のプレーンテキスト値と同じように扱います。

修正

既存の Amazon MSK コネクタのログ記録を有効にするには、適切なログ記録設定でコネクタを再作成する必要があります。設定オプションの詳細については、「Amazon Managed Streaming for Apache Kafka デベロッパーガイド」の「MSK Connect のログ記録」を参照してください。

[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります

カテゴリ: 保護 > セキュアなアクセス管理 > パスワードレス認証

重要度:

リソースタイプ : AWS::MSK::Cluster

AWS Config ルール : msk-unrestricted-access-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MSK クラスターで認証されていないアクセスが有効になっているかどうかを確認します。MSK クラスターで認証されていないアクセスが有効になっている場合、コントロールは失敗します。

Amazon MSK は、クラスターへのアクセスを制御するためのクライアント認証および認可メカニズムをサポートしています。これらのメカニズムは、クラスターに接続するクライアントのアイデンティティを検証し、クライアントが実行できるアクションを決定します。MSK クラスターは、認証されていないアクセスを許可するように設定できます。これにより、ネットワーク接続を持つすべてのクライアントは、認証情報を指定せずに Kafka トピックを発行およびサブスクライブできます。認証を必要とせずに MSK クラスターを実行することは、最小特権の原則に違反し、クラスターが不正アクセスにさらされる可能性があります。これにより、すべてのクライアントが Kafka トピックのデータにアクセス、変更、または削除でき、データ侵害、不正なデータ変更、またはサービスの中断につながる可能性があります。適切なアクセスコントロールを確保し、セキュリティコンプライアンスを維持するために、IAM 認証、SASL/SCRAM、相互 TLS などの認証メカニズムを有効にすることをお勧めします。

修正

Amazon MSK クラスターの認証設定を変更する方法については、Amazon Managed Streaming for Apache Kafka デベロッパーガイドの以下のセクションを参照してください。Amazon MSK クラスターのセキュリティ設定の更新と、Apache Kafka APIs の認証と認可