As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para o Amazon MSK
Esses AWS Security Hub controles avaliam o serviço e os recursos do Amazon Managed Streaming for Apache Kafka (Amazon MSK). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::MSK::Cluster
Regra do AWS Config : msk-in-cluster-node-require-tls
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster Amazon MSK é criptografado em trânsito com HTTPS (TLS) entre os nós de agente do cluster. O controle falhará se a comunicação de texto simples estiver habilitada para uma conexão de nó do agente do cluster.
O HTTPS oferece uma camada extra de segurança, pois usa TLS para mover dados e pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Por padrão, o Amazon MSK criptografa dados em trânsito com TLS. Entretanto, é possível substituir esse padrão no momento de criação do cluster. Recomendamos o uso de conexões criptografadas via HTTPS (TLS) para conexões de nós do agente.
Correção
Para obter informações sobre a atualização das configurações de criptografia de um cluster Amazon MSK, consulte Atualização das configurações de segurança de um cluster no Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka.
[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado
Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
Categoria: Detectar > Serviços de detecção
Severidade: baixa
Tipo de recurso: AWS::MSK::Cluster
Regra do AWS Config : msk-enhanced-monitoring-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster Amazon MSK tem um monitoramento aprimorado configurado, especificado por um nível de monitoramento de pelo menos PER_TOPIC_PER_BROKER. O controle falhará se o nível de monitoramento do cluster estiver definido como DEFAULT ou PER_BROKER.
O nível de monitoramento PER_TOPIC_PER_BROKER fornece insights mais granulares sobre a performance do seu cluster do MSK e também fornece métricas relacionadas à utilização de recursos, como uso de CPU e memória. Isso ajuda você a identificar gargalos de performance e padrões de utilização de recursos para tópicos e agentes individuais. Essa visibilidade, por sua vez, pode otimizar a performance dos seus agentes do Kafka.
Correção
Para configurar o monitoramento aprimorado para um cluster do MSK, conclua as etapas a seguir:
Abra o console Amazon MSK em https://console.aws.amazon.com/msk/casa? region=us-east-1#/home/
. -
No painel de navegação, escolha Clusters. Em seguida, escolha um cluster.
-
Em Ação, selecione Editar monitoramento.
-
Selecione a opção para Monitoramento aprimorado em nível de tópico.
-
Escolha Salvar alterações.
Para obter mais informações sobre os níveis de monitoramento, consulte as métricas do Amazon MSK para monitorar corretores padrão CloudWatch no Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka.
[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito
Requisitos relacionados: PCI DSS v4.0.1/4.2.1
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::KafkaConnect::Connector
Regra AWS Config : msk-connect-connector-encrypted (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um conector do Amazon MSK Connect é criptografado em trânsito. Esse controle falhará se o conector não for criptografado em trânsito.
Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.
Correção
Você pode habilitar a criptografia em trânsito ao criar um conector do MSK Connect. Não é possível alterar as configurações de criptografia após a criação de um conector. Para obter mais informações, consulte IAM access control (Controle de acesso do IAM) no Create a connector no Amazon Managed Streaming for Apache Kafka Developer Guide.
[MSK.4] Os clusters MSK devem ter o acesso público desativado
Categoria: Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
Severidade: crítica
Tipo de recurso: AWS::MSK::Cluster
Regra do AWS Config : msk-cluster-public-access-disabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o acesso público está desabilitado para um cluster Amazon MSK. O controle falhará se o acesso público estiver habilitado para o cluster MSK.
Por padrão, os clientes podem acessar um cluster Amazon MSK somente se estiverem na mesma VPC do cluster. Toda comunicação entre clientes Kafka e um cluster MSK é privada por padrão e os dados de streaming não atravessam a Internet. No entanto, se um cluster MSK estiver configurado para permitir acesso público, qualquer pessoa na Internet poderá estabelecer uma conexão com os corretores Apache Kafka que estão sendo executados no cluster. Isso pode levar a problemas como acesso não autorizado, violações de dados ou exploração de vulnerabilidades. Se você restringir o acesso a um cluster exigindo medidas de autenticação e autorização, poderá ajudar a proteger informações confidenciais e manter a integridade de seus recursos.
Correção
Para obter informações sobre como gerenciar o acesso público a um cluster do Amazon MSK, consulte Ativar o acesso público a um cluster provisionado pelo MSK no Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka.
[MSK.5] Os conectores MSK devem ter o registro ativado
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::KafkaConnect::Connector
Regra do AWS Config : msk-connect-connector-logging-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o registro está habilitado para um conector Amazon MSK. O controle falhará se o registro estiver desativado para o conector MSK.
Os conectores Amazon MSK integram sistemas externos e serviços da Amazon com o Apache Kafka copiando continuamente dados de streaming de uma fonte de dados para um cluster do Apache Kafka ou copiando continuamente dados de um cluster para um coletor de dados. O MSK Connect pode gravar eventos de log que podem ajudar a depurar um conector. Ao criar um conector, você pode especificar zero ou mais dos seguintes destinos de log: Amazon CloudWatch Logs, Amazon S3 e Amazon Data Firehose.
nota
Valores confidenciais de configuração podem aparecer nos registros do conector se um plug-in não definir esses valores como secretos. O Kafka Connect trata valores de configuração indefinidos da mesma forma que qualquer outro valor de texto simples.
Correção
Para habilitar o registro em log para um conector Amazon MSK existente, você precisa recriar o conector com a configuração de registro apropriada. Para obter informações sobre as opções de configuração, consulte Logging for MSK Connect no Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka.
[MSK.6] Os clusters MSK devem desativar o acesso não autenticado
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
Severidade: média
Tipo de recurso: AWS::MSK::Cluster
Regra do AWS Config : msk-unrestricted-access-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o acesso não autenticado está habilitado para um cluster Amazon MSK. O controle falhará se o acesso não autenticado estiver habilitado para o cluster MSK.
O Amazon MSK oferece suporte a mecanismos de autenticação e autorização de clientes para controlar o acesso a um cluster. Esses mecanismos verificam a identidade dos clientes que se conectam ao cluster e determinam quais ações os clientes podem realizar. Um cluster MSK pode ser configurado para permitir acesso não autenticado, o que permite que qualquer cliente com conectividade de rede publique e assine tópicos do Kafka sem fornecer credenciais. Executar um cluster MSK sem exigir autenticação viola o princípio do privilégio mínimo e pode expor o cluster ao acesso não autorizado. Ele pode permitir que qualquer cliente acesse, modifique ou exclua dados nos tópicos do Kafka, o que pode resultar em violações de dados, modificações de dados não autorizadas ou interrupções no serviço. Recomendamos ativar mecanismos de autenticação, como autenticação IAM, SASL/SCRAM ou TLS mútuo, para garantir o controle de acesso adequado e manter a conformidade de segurança.
Correção
Para obter informações sobre como alterar as configurações de autenticação de um cluster Amazon MSK, consulte as seguintes seções do Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka: Atualizar as configurações de segurança de um cluster Amazon MSK e Autenticação e autorização para o Apache Kafka. APIs
