Praktik terbaik keamanan untuk Amazon MQ - Amazon MQ
Lebih memilih broker tanpa aksesibilitas publikSelalu konfigurasikan peta otorisasiMemblokir Protokol yang Tidak Diperlukan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik keamanan untuk Amazon MQ

Pola desain berikut dapat meningkatkan keamanan broker Amazon MQ Anda.

Untuk informasi selengkapnya tentang cara Amazon MQ mengenkripsi data Anda, serta daftar protokol yang didukung, lihat Perlindungan Data.

Lebih memilih broker tanpa aksesibilitas publik

Broker yang dibuat tanpa aksesibilitas publik tidak dapat diakses dari luar VPC Anda. Hal ini sangat mengurangi kerentanan broker terhadap serangan Distributed Denial of Service (DDoS) dari internet publik. Untuk informasi selengkapnya, lihat Mengakses konsol web broker Amazon MQ tanpa aksesibilitas publik dalam panduan ini dan How to Help Prepare for DDoS Attacks by Reducing Your Attack Surface dalam Blog Keamanan AWS.

Selalu konfigurasikan peta otorisasi

Karena ActiveMQ tidak memiliki peta otorisasi yang dikonfigurasi secara default, setiap pengguna yang diautentikasi dapat melakukan tindakan apa pun pada broker. Dengan demikian, praktik terbaiknya adalah membatasi izin menurut grup. Untuk informasi selengkapnya, lihat authorizationEntry.

penting

Jika menentukan peta otorisasi yang tidak menyertakan grup activemq-webconsole, Anda tidak dapat menggunakan Konsol Web ActiveMQ karena grup tidak berwenang untuk mengirim pesan ke, atau menerima pesan dari, broker Amazon MQ.

Blokir protokol yang tidak diperlukan dengan grup keamanan VPC

Untuk meningkatkan keamanan, Anda harus membatasi koneksi protokol dan port yang tidak diperlukan melalui konfigurasi Grup Keamanan Amazon VPC yang benar. Misalnya, untuk membatasi akses ke sebagian besar protokol seraya memungkinkan akses ke OpenWire dan konsol web, Anda dapat mengizinkan akses ke 61617 dan 8162 saja. Ini membatasi paparan Anda dengan memblokir protokol yang tidak digunakan, seraya memungkinkan OpenWire dan konsol web berfungsi secara normal.

Hanya memungkinkan port protokol yang Anda gunakan.

  • AMQP: 5671

  • MQTT: 8883

  • OpenWire: 61617

  • MENGINJAK-INJAK: 61614

  • WebSocket: 61619

Untuk informasi selengkapnya, lihat: