Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

Amazon の Security Hub コントロール MSK

PDF
RSS
フォーカスモード
Amazon の Security Hub コントロール MSK - AWS Security Hub
〔MSK.1] MSKクラスターは、ブローカーノード間で転送中に暗号化する必要があります〔MSK.2] MSKクラスターには拡張モニタリングが設定されている必要があります〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

これらの AWS Security Hub コントロールは、Amazon Managed Streaming for Apache Kafka (Amazon MSK) サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔MSK.1] MSKクラスターは、ブローカーノード間で転送中に暗号化する必要があります

関連する要件: NIST.800-53.r5 AC-4 、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23 (3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(1)、 NIST.800-53.r5 SC-8(2)PCIDSS、v4.0.1/4.2.1

カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit

重要度:

リソースタイプ : AWS::MSK::Cluster

AWS Config ルール : msk-in-cluster-node-require-tls

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MSKクラスターがクラスターのブローカーノード間で HTTPS (TLS) を使用して転送中に暗号化されているかどうかを確認します。クラスターブローカーノード接続でプレーンテキスト通信が有効になっていると、コントロールは失敗します。

HTTPS は、データの移動TLSに使用するセキュリティを強化し、潜在的な攻撃者がネットワークトラフィックを傍受または操作するために または同様の攻撃を使用すること person-in-the-middleを防ぐのに役立ちます。デフォルトでは、Amazon MSK は を使用して転送中のデータを暗号化しますTLS。ただし、このデフォルトはクラスターの作成時に上書きできます。ブローカーノード接続には、 HTTPS (TLS) 経由で暗号化された接続を使用することをお勧めします。

修正

MSK クラスターの暗号化設定を更新するには、「Amazon Managed Streaming for Apache Kafka デベロッパーガイド」の「クラスターのセキュリティ設定の更新」を参照してください。

〔MSK.2] MSKクラスターには拡張モニタリングが設定されている必要があります

関連する要件: NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ : AWS::MSK::Cluster

AWS Config ルール : msk-enhanced-monitoring-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MSKクラスターに、少なくとも のモニタリングレベルで指定された拡張モニタリングが設定されているかどうかを確認しますPER_TOPIC_PER_BROKER。クラスターのモニタリングレベルが DEFAULT または PER_BROKER に設定されている場合、コントロールは失敗します。

PER_TOPIC_PER_BROKER モニタリングレベルは、MSKクラスターのパフォーマンスをより詳細に把握し、 CPUやメモリ使用量などのリソース使用率に関連するメトリクスも提供します。これにより、個々のトピックおよびブローカーのパフォーマンスボトルネックやリソース使用パターンを特定できるようになります。この可視性により、Kafka ブローカーのパフォーマンスを最適化できます。

修正

MSK クラスターの拡張モニタリングを設定するには、次のステップを実行します。

  1. https://console.aws.amazon.com/msk/home?region=us-east-1#/home/ で Amazon MSKコンソールを開きます。

  2. ナビゲーションペインで [Clusters] (クラスター) を選択します。次に、クラスターを選択します。

  3. [アクション][モニタリングを編集] を選択します。

  4. [拡張トピックレベルモニタリング] のオプションを選択します。

  5. [Save changes] (変更の保存) をクリックします。

モニタリングレベルの詳細については、「Amazon Managed Streaming for Apache Kafka デベロッパーガイド」の「クラスターのセキュリティ設定の更新」を参照してください。

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

関連する要件: PCI DSS v4.0.1/4.2.1

カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit

重要度:

リソースタイプ : AWS::KafkaConnect::Connector

AWS Config ルール: msk-connect-connector-encrypted (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MSK Connect コネクタが転送中に暗号化されているかどうかを確認します。コネクタが転送中に暗号化されていない場合、このコントロールは失敗します。

転送中のデータとは、クラスター内のノード間やクラスターとアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する場合があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。

修正

MSK Connect コネクタを作成するときに、転送中の暗号化を有効にできます。コネクタを作成した後で暗号化設定を変更することはできません。詳細については、「Amazon Managed Streaming for Apache Kafka デベロッパーガイド」の「コネクタの作成」を参照してください。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.