Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Amazon MSK
Ces contrôles sont liés aux ressources Amazon Managed Streaming for Apache Kafka (Amazon MSK).
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.
[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker
Exigences connexes : NIST.800-53.R5 AC-4, NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2)
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::MSK::Cluster
Règle AWS Config : msk-in-cluster-node-require-tls
Type de calendrier : changement déclenché
Paramètres : Aucun
Cela permet de vérifier si un cluster Amazon MSK est chiffré en transit avec le protocole HTTPS (TLS) entre les nœuds courtiers du cluster. Le contrôle échoue si la communication en texte brut est activée pour une connexion à un nœud de cluster broker.
Le protocole HTTPS offre un niveau de sécurité supplémentaire car il utilise le protocole TLS pour déplacer les données et peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Par défaut, Amazon MSK chiffre les données en transit avec le protocole TLS. Toutefois, vous pouvez annuler cette valeur par défaut au moment de créer le cluster. Nous recommandons d'utiliser des connexions chiffrées via HTTPS (TLS) pour les connexions aux nœuds de courtage.
Correction
Pour mettre à jour les paramètres de chiffrement des clusters MSK, consultez la section Mise à jour des paramètres de sécurité d'un cluster dans le manuel Amazon Managed Streaming for Apache Kafka Developer Guide.
[MSK.2] La surveillance améliorée des clusters MSK doit être configurée
Exigences connexes : NIST.800-53.R5 CA-7, NIST.800-53.R5 SI-2
Catégorie : Détecter - Services de détection
Gravité : Faible
Type de ressource : AWS::MSK::Cluster
Règle AWS Config : msk-enhanced-monitoring-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon MSK dispose d'une surveillance améliorée configurée, spécifiée par un niveau de surveillance d'au moinsPER_TOPIC_PER_BROKER
. Le contrôle échoue si le niveau de surveillance du cluster est défini sur DEFAULT
ouPER_BROKER
.
Le niveau PER_TOPIC_PER_BROKER
de surveillance fournit des informations plus détaillées sur les performances de votre cluster MSK et fournit également des mesures relatives à l'utilisation des ressources, telles que l'utilisation du processeur et de la mémoire. Cela vous permet d'identifier les obstacles aux performances et les modèles d'utilisation des ressources pour des sujets et des courtiers individuels. Cette visibilité peut à son tour optimiser les performances de vos courtiers Kafka.
Correction
Pour configurer la surveillance améliorée pour un cluster MSK, procédez comme suit :
Ouvrez la console Amazon MSK à l’adresse https://console.aws.amazon.com/msk/home?region=us-east-1#/home/
. Dans le panneau de navigation, choisissez Clusters. Choisissez ensuite un cluster.
Pour Action, sélectionnez Modifier la surveillance.
Sélectionnez l'option Surveillance thématique améliorée.
Sélectionnez Enregistrer les modifications.
Pour plus d'informations sur les niveaux de surveillance, consultez la section Mise à jour des paramètres de sécurité d'un cluster dans le manuel Amazon Managed Streaming for Apache Kafka Developer Guide.