As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles CSPM do Security Hub para Amazon MSK
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Managed Streaming for Apache Kafka (Amazon MSK). Os controles podem não estar disponíveis em todosRegiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Gravidade: média
Tipo de recurso: AWS::MSK::Cluster
Regra do AWS Config: msk-in-cluster-node-require-tls
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon MSK é criptografado em trânsito com HTTPS (TLS) entre os nós de agente do cluster. O controle falhará se a comunicação de texto simples estiver habilitada para uma conexão de nó do agente do cluster.
O HTTPS oferece uma camada extra de segurança, pois usa TLS para mover dados e pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Por padrão, o Amazon MSK criptografa dados em trânsito com TLS. Entretanto, é possível substituir esse padrão no momento de criação do cluster. Recomendamos o uso de conexões criptografadas via HTTPS (TLS) para conexões de nós do agente.
Correção
Para obter informações sobre a atualização das configurações de criptografia para um cluster do Amazon MSK, consulte Atualização de configurações de segurança de um cluster no Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka.
[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado
Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
Categoria: Detectar > Serviços de detecção
Gravidade: baixa
Tipo de recurso: AWS::MSK::Cluster
Regra do AWS Config: msk-enhanced-monitoring-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon MSK tem um monitoramento aprimorado configurado, especificado por um nível de monitoramento de pelo menos PER_TOPIC_PER_BROKER. O controle falhará se o nível de monitoramento do cluster estiver definido como DEFAULT ou PER_BROKER.
O nível de monitoramento PER_TOPIC_PER_BROKER fornece insights mais granulares sobre a performance do seu cluster do MSK e também fornece métricas relacionadas à utilização de recursos, como uso de CPU e memória. Isso ajuda você a identificar gargalos de performance e padrões de utilização de recursos para tópicos e agentes individuais. Essa visibilidade, por sua vez, pode otimizar a performance dos seus agentes do Kafka.
Correção
Para configurar o monitoramento aprimorado para um cluster do MSK, conclua as etapas a seguir:
Abra o console Amazon MSK em https://console.aws.amazon.com/msk/casa? region=us-east-1#/home/
. -
No painel de navegação, escolha Clusters. Em seguida, escolha um cluster.
-
Em Ação, selecione Editar monitoramento.
-
Selecione a opção para Monitoramento aprimorado em nível de tópico.
-
Escolha Salvar alterações.
Para obter mais informações sobre os níveis de monitoramento, consulte as métricas do Amazon MSK para monitorar corretores padrão CloudWatch no Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka.
[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito
Requisitos relacionados: PCI DSS v4.0.1/4.2.1
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Gravidade: média
Tipo de recurso: AWS::KafkaConnect::Connector
AWS Configregra: msk-connect-connector-encrypted (regra CSPM personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um conector do Amazon MSK Connect é criptografado em trânsito. Esse controle falhará se o conector não for criptografado em trânsito.
Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.
Correção
É possível habilitar a criptografia em trânsito ao criar um conector do MSK Connect. Não é possível alterar as configurações de criptografia após a criação de um conector. Para obter mais informações, consulte IAM access control (Controle de acesso do IAM) no Create a connector no Amazon Managed Streaming for Apache Kafka Developer Guide.
[MSK.4] Os clusters do MSK devem ter acesso público desabilitado
Categoria: Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
Gravidade: crítica
Tipo de recurso: AWS::MSK::Cluster
Regra do AWS Config: msk-cluster-public-access-disabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o acesso público está desabilitado para um cluster do Amazon MSK. O controle falhará se o acesso público estiver habilitado para o cluster do MSK.
Por padrão, os clientes só podem acessar um cluster do Amazon MSK se estiverem na mesma VPC do cluster. Toda comunicação entre os clientes Kafka e um cluster do MSK é privada por padrão e os dados de streaming nunca cruzam a Internet. No entanto, se um cluster do MSK estiver configurado para permitir acesso público, qualquer pessoa na Internet poderá estabelecer uma conexão com os agentes do Apache Kafka que estão sendo executados no cluster. Isso pode levar a problemas como acesso não autorizado, violações de dados ou exploração de vulnerabilidades. Se você restringir o acesso a um cluster exigindo medidas de autenticação e autorização, poderá ajudar a proteger as informações sensíveis e a manter a integridade dos recursos.
Correção
Para obter informações sobre o gerenciamento do acesso público a um cluster do Amazon MSK, consulte Habilitação do acesso público a um cluster provisionado pelo MSK no Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka.
[MSK.5] Os conectores do MSK devem ter o registro em log habilitado
Categoria: Identificar > Registro em log
Gravidade: média
Tipo de recurso: AWS::KafkaConnect::Connector
Regra do AWS Config: msk-connect-connector-logging-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o registro em log está habilitado para um conector do Amazon MSK. O controle falhará se o registro em log não estiver habilitado para o conector do MSK.
Os conectores do Amazon MSK integram sistemas externos e serviços da Amazon ao Apache Kafka, copiando continuamente dados de streaming de uma fonte de dados para o cluster do Apache Kafka ou copiando continuamente os dados do cluster para um coletor de dados. O MSK Connect pode gravar eventos de log que podem ajudar a depurar um conector. Ao criar um conector, você pode especificar zero ou mais dos seguintes destinos de log: Amazon CloudWatch Logs, Amazon S3 e Amazon Data Firehose.
nota
Valores confidenciais de configuração podem aparecer nos registros do conector se um plug-in não definir esses valores como secretos. O Kafka Connect trata valores de configuração indefinidos da mesma forma que qualquer outro valor de texto simples.
Correção
Para habilitar o registro em log para um conector do Amazon MSK existente, você precisa recriar o conector com a configuração de registro apropriada. Para obter informações sobre as opções de configuração, consulte Regisro em log do Amazon Connect no Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka.
[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
Gravidade: média
Tipo de recurso: AWS::MSK::Cluster
Regra do AWS Config: msk-unrestricted-access-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o acesso não autenticado está habilitado para um cluster do Amazon MSK. O controle falhará se o acesso não autenticado estiver habilitado para o cluster do MSK.
O Amazon MSK oferece suporte a mecanismos de autenticação e autorização de clientes para controlar o acesso a um cluster. Esses mecanismos verificam a identidade dos clientes que se conectam ao cluster e determinam quais ações os clientes podem realizar. Um cluster do MSK pode ser configurado para permitir acesso não autenticado, o que permite que qualquer cliente com conectividade de rede publique e assine tópicos do Kafka sem fornecer credenciais. Executar um cluster do MSK sem exigir autenticação viola o princípio do privilégio mínimo e pode expor o cluster a acesso não autorizado. Isso pode permitir que qualquer cliente acesse, modifique ou exclua dados nos tópicos do Kafka, o que pode resultar em violações de dados, modificações de dados não autorizadas ou interrupções no serviço. Recomendamos habilitar os mecanismos de autenticação, como a autenticação do IAM, SASL/SCRAM ou TLS mútuo, para garantir o controle de acesso adequado e manter a conformidade de segurança.
Correção
Para obter informações sobre como alterar as configurações de autenticação de um cluster Amazon MSK, consulte as seguintes seções do Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka: Atualizar as configurações de segurança de um cluster Amazon MSK e Autenticação e autorização para o Apache Kafka. APIs
