Amazon MSK에 대한 Security Hub 제어 - AWS Security Hub
[MSK.1] MSK 클러스터는 브로커 노드 간 전송 중 암호화되어야 합니다.[MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.[MSK.3] MSK Connect 커넥터는 전송 중에 암호화되어야 합니다.[MSK.4] MSK 클러스터에는 퍼블릭 액세스가 비활성화되어 있어야 합니다.[MSK.5] MSK 커넥터에는 로깅이 활성화되어 있어야 합니다.[MSK.6] MSK 클러스터는 인증되지 않은 액세스를 비활성화해야 합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon MSK에 대한 Security Hub 제어

이러한 AWS Security Hub 제어는 Amazon Managed Streaming for Apache Kafka(Amazon MSK) 서비스 및 리소스를 평가합니다. 컨트롤을 전혀 사용하지 못할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[MSK.1] MSK 클러스터는 브로커 노드 간 전송 중 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), PCI DSS v4.0.1/4.2.1

범주: 보호 > 데이터 보호 > 전송 중인 데이터 암호화

심각도: 중간

리소스 유형: AWS::MSK::Cluster

AWS Config 규칙: msk-in-cluster-node-require-tls

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon MSK 클러스터가 클러스터의 브로커 노드 사이에서 HTTPS(TLS)를 사용하여 전송 중 암호화되었는지 확인합니다. 클러스터 브로커 노드 연결에 일반 텍스트 통신이 활성화된 경우, 제어가 실패합니다.

HTTPS는 TLS를 사용하여 데이터를 이동하므로 추가 보안 계층을 제공하며 잠재적 공격자가 중간자 또는 그와 유사한 공격을 사용하여 네트워크 트래픽을 염탐하거나 조작하지 못하게 하는 데 사용할 수 있습니다. 기본적으로 Amazon MSK는 TLS를 사용하여 전송 중 데이터를 암호화합니다. 그러나 클러스터를 생성할 때 이 기본값을 재정의할 수 있습니다. 브로커 노드 연결에는 HTTPS(TLS)를 통한 암호화된 연결을 사용하는 것이 좋습니다.

문제 해결

Amazon MSK 클러스터의 암호화 설정 업데이트에 대한 자세한 내용은 Amazon Managed Streaming for Apache Kafka 개발자 안내서클러스터의 보안 설정 업데이트를 참조하세요.

[MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

범주: 감지 > 감지 서비스

심각도: 낮음

리소스 유형: AWS::MSK::Cluster

AWS Config 규칙: msk-enhanced-monitoring-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon MSK 클러스터에 PER_TOPIC_PER_BROKER 이상의 모니터링 수준으로 지정된 향상된 모니터링이 구성되어 있는지 확인합니다. 클러스터의 모니터링 수준이 DEFAULT 또는 PER_BROKER로 설정된 경우, 제어가 실패합니다.

PER_TOPIC_PER_BROKER 모니터링 수준은 MSK 클러스터의 성능에 대한 보다 세밀한 인사이트를 제공하고 CPU 및 메모리 사용량 등 리소스 사용률과 관련된 메트릭도 제공합니다. 이를 통해 개별 주제 및 브로커의 성능 병목 현상과 리소스 사용 패턴을 식별할 수 있습니다. 이러한 가시성을 통해 결국 Kafka 브로커의 성능을 최적화할 수 있습니다.

문제 해결

MSK 클러스터에 대한 향상된 모니터링을 구성하려면 다음 단계를 완료하세요.

  1. https://console.aws.amazon.com/msk/home?region=us-east-1#/home/에서 Amazon MSK 콘솔을 엽니다.

  2. 탐색 창에서 클러스터를 선택합니다. 그런 다음 클러스터를 선택합니다.

  3. 작업에서 모니터링 편집을 선택합니다.

  4. 향상된 주제 수준 모니터링 옵션을 선택합니다.

  5. 변경 사항 저장을 선택합니다.

모니터링 수준에 대한 자세한 내용은 Amazon Managed Streaming for Apache Kafka 개발자 안내서의 CloudWatch를 사용하여 표준 브로커를 모니터링하기 위한 Amazon MSK 지표를 참조하세요.

[MSK.3] MSK Connect 커넥터는 전송 중에 암호화되어야 합니다.

관련 요구 사항: PCI DSS v4.0.1/4.2.1

범주: 보호 > 데이터 보호 > 전송 중인 데이터 암호화

심각도: 중간

리소스 유형: AWS::KafkaConnect::Connector

AWS Config 규칙: msk-connect-connector-encrypted (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon MSK Connect 커넥터가 전송 중에 암호화되었는지 확인합니다. 전송 중에 커넥터가 암호화되지 않으면 이 제어가 실패합니다.

전송 중 데이터는 클러스터의 노드 사이 또는 클러스터와 애플리케이션 사이와 같이 한 위치에서 다른 위치로 이동하는 데이터를 나타냅니다. 데이터는 인터넷 또는 프라이빗 네트워크 내에서 이동할 수 있습니다. 전송 데이터를 암호화하면 권한이 없는 사용자가 네트워크 트래픽을 도청할 위험이 줄어듭니다.

문제 해결

MSK Connect 커넥터를 생성할 때 전송 중 암호화를 활성화할 수 있습니다. 클러스터를 생성한 후에는 암호화 설정을 변경할 수 없습니다. 자세한 내용은 Amazon Managed Streaming for Apache Kafka 개발자 안내서커넥터 생성을 참조하세요.

[MSK.4] MSK 클러스터에는 퍼블릭 액세스가 비활성화되어 있어야 합니다.

범주: 보호 > 보안 액세스 관리 > 공개적으로 액세스할 수 없는 리소스

심각도: 심각

리소스 유형: AWS::MSK::Cluster

AWS Config 규칙: msk-cluster-public-access-disabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon MSK 클러스터에 대한 퍼블릭 액세스가 비활성화되었는지 확인합니다. MSK 클러스터에 퍼블릭 액세스가 활성화된 경우 제어가 실패합니다.

기본적으로 클라이언트는 클러스터와 동일한 VPC에 있는 경우에만 Amazon MSK 클러스터에 액세스할 수 있습니다. Kafka 클라이언트와 MSK 클러스터 간의 모든 통신은 기본적으로 비공개이며 스트리밍 데이터는 인터넷을 통과하지 않습니다. 그러나 MSK 클러스터가 퍼블릭 액세스를 허용하도록 구성된 경우 인터넷상의 모든 사용자가 클러스터 내에서 실행 중인 Apache Kafka 브로커에 대한 연결을 설정할 수 있습니다. 이로 인해 무단 액세스, 데이터 침해 또는 취약성 악용과 같은 문제가 발생할 수 있습니다. 인증 및 권한 부여 조치를 요구하여 클러스터에 대한 액세스를 제한하는 경우 민감한 정보를 보호하고 리소스의 무결성을 유지하는 데 도움이 될 수 있습니다.

문제 해결

Amazon MSK 클러스터에 대한 퍼블릭 액세스 관리에 대한 자세한 내용은 Amazon Managed Streaming for Apache Kafka 개발자 안내서의 MSK 프로비저닝된 클러스터에 대한 퍼블릭 액세스 활성화를 참조하세요.

[MSK.5] MSK 커넥터에는 로깅이 활성화되어 있어야 합니다.

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::KafkaConnect::Connector

AWS Config 규칙: msk-connect-connector-logging-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon MSK 커넥터에 로깅이 활성화되어 있는지 확인합니다. MSK 커넥터에 대한 로깅이 비활성화되면 제어가 실패합니다.

Amazon MSK 커넥터는 데이터 소스의 스트리밍 데이터를 Apache Kafka 클러스터로 지속적으로 복사하거나 클러스터의 데이터를 데이터 싱크로 지속적으로 복사하여 외부 시스템과 Amazon 서비스를 Apache Kafka와 통합합니다. MSK Connect는 커넥터 디버깅에 도움이 되는 로그 이벤트를 작성할 수 있습니다. 커넥터를 생성할 때 Amazon CloudWatch Logs, Amazon S3, Amazon Data Firehose 중 0개 이상의 로그 대상을 지정할 수 있습니다.

참고

플러그인이 해당 값을 보안 암호로 정의하지 않은 경우 커넥터 로그에 민감한 구성 값이 표시될 수 있습니다. Kafka Connect는 정의되지 않은 구성 값을 기타 일반 텍스트 값과 동일하게 취급합니다.

문제 해결

기존 Amazon MSK 커넥터에 대한 로깅을 활성화하려면 적절한 로깅 구성으로 커넥터를 다시 생성해야 합니다. 구성 옵션에 대한 자세한 내용은 Amazon Managed Streaming for Apache Kafka 개발자 안내서의 MSK Connect 로깅을 참조하세요.

[MSK.6] MSK 클러스터는 인증되지 않은 액세스를 비활성화해야 합니다.

범주: 보호 > 보안 액세스 관리 > 비밀번호 없는 인증

심각도: 중간

리소스 유형: AWS::MSK::Cluster

AWS Config 규칙: msk-unrestricted-access-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon MSK 클러스터에 대해 인증되지 않은 액세스가 활성화되어 있는지 확인합니다. MSK 클러스터에 대해 인증되지 않은 액세스가 활성화된 경우 제어가 실패합니다.

Amazon MSK는 클러스터에 대한 액세스를 제어하는 클라이언트 인증 및 권한 부여 메커니즘을 지원합니다. 이러한 메커니즘은 클러스터에 연결하는 클라이언트의 ID를 확인하고 클라이언트가 수행할 수 있는 작업을 결정합니다. 인증되지 않은 액세스를 허용하도록 MSK 클러스터를 구성할 수 있습니다. 이렇게 하면 네트워크 연결이 가능한 모든 클라이언트가 자격 증명을 제공하지 않고도 Kafka 주제를 게시하고 구독할 수 있습니다. 인증 없이 MSK 클러스터를 실행하면 최소 권한 원칙을 위반하고 클러스터가 무단 액세스에 노출될 수 있습니다. 이를 통해 모든 클라이언트가 Kafka 주제의 데이터에 액세스, 수정 또는 삭제할 수 있으므로 데이터 침해, 무단 데이터 수정 또는 서비스 중단이 발생할 수 있습니다. 적절한 액세스 제어를 보장하고 보안 규정 준수를 유지하려면 IAM 인증, SASL/SCRAM 또는 상호 TLS와 같은 인증 메커니즘을 활성화하는 것이 좋습니다.

문제 해결

Amazon MSK 클러스터의 인증 설정 변경에 대한 자세한 내용은 Amazon Managed Streaming for Apache Kafka 개발자 안내서: Amazon MSK 클러스터의 보안 설정 업데이트Apache Kafka APIs.