Best practice di sicurezza per Amazon MQ - Amazon MQ
Preferire broker senza accesso pubblicoConfigurare sempre una mappa di autorizzazioneBlocca i protocolli non necessari

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice di sicurezza per Amazon MQ

I seguenti modelli di progettazione possono migliorare la sicurezza del broker Amazon MQ.

Per maggiori informazioni su come Amazon MQ crittografa i dati e per un elenco dei protocolli supportati, consultare Protezione dei dati.

Preferire broker senza accesso pubblico

I broker creati senza accessibilità pubblica sono accessibili solo dal VPC. Questo riduce notevolmente la sensibilità del broker ad attacchi DDoS (Distributed Denial of Service) provenienti dalla rete Internet pubblica. Per ulteriori informazioni, consulta Accesso alla console Web del broker senza accessibilità pubblica in questa guida e How to Help Prepare for DDoS Attacks by Reducing Your Attack Surface nel Blog di AWS sulla sicurezza.

Configurare sempre una mappa di autorizzazione

Poiché ActiveMQ non dispone di una mappa di autorizzazione configurata per impostazione predefinita, qualsiasi utente autenticato è in grado di eseguire qualsiasi azione sul broker. Pertanto, una best practice prevede di limitare le autorizzazioni per gruppo. Per ulteriori informazioni, consulta authorizationEntry.

Importante

Se si specifica una mappa di autorizzazione che non include il gruppo activemq-webconsole, non è possibile utilizzare ActiveMQ Web Console perché il gruppo non è autorizzato a inviare messaggi o ricevere messaggi dalil broker Amazon MQ.

Bloccare i protocolli non necessari con i gruppi di sicurezza VPC

Per migliorare la sicurezza, è consigliabile limitare le connessioni delle porte e dei protocolli non necessari configurando correttamente il gruppo di sicurezza Amazon VPC. Ad esempio, per limitare l'accesso alla maggior parte dei protocolli, e consentirlo a OpenWire e alla console Web, è possibile autorizzare l'accesso solo per 61617 e 8162. In questo modo si limita l'esposizione tramite il blocco dei protocolli non utilizzati, mentre si consente a OpenWire e alla console Web di funzionare normalmente.

Consenti solo le porte dei protocolli che stai utilizzando.

  • AMQP: 5671

  • MQTT: 8883

  • OpenWire: 61617

  • STOMP: 61614

  • WebSocket: 61619

Per ulteriori informazioni, consultare: