Amazon MSK の Security Hub コントロール - AWS Security Hub
[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります

Amazon MSK の Security Hub コントロール

これらの AWS Security Hub コントロールは、Amazon Managed Streaming for Apache Kafka (Amazon MSK) サービスとリソースを評価します。

これらのコントロールは、すべての AWS リージョン で使用できるとは限りません。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります

関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)

カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化

重要度:

リソースタイプ : AWS::MSK::Cluster

AWS Config ルール : msk-in-cluster-node-require-tls

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは Amazon MSK クラスターが、クラスターのブローカーノードで HTTPS (TLS) で転送中のデータを暗号化しているかどうかを確認します。クラスターブローカーノード接続でプレーンテキスト通信が有効になっていると、コントロールは失敗します。

HTTPS ではデータの移動に TLS を使用する追加のセキュリティレイヤーが提供されており、これをすると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。デフォルトでは、Amazon MSK は転送中のデータを TLS で暗号化します。ただし、このデフォルトはクラスターの作成時に上書きできます。ブローカーノード接続には、HTTPS (TLS) 経由の暗号化接続を使用することをお勧めします。

修正

MSK クラスターの暗号化設定を更新するには、「Amazon Managed Streaming for Apache Kafka デベロッパーガイド」の「クラスターのセキュリティ設定の更新」を参照してください。

[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります

関連する要件: NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ : AWS::MSK::Cluster

AWS Config ルール : msk-enhanced-monitoring-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MSK クラスターに、少なくとも PER_TOPIC_PER_BROKER のモニタリングレベルで指定された拡張モニタリングが設定されているかどうかをチェックします。クラスターのモニタリングレベルが DEFAULT または PER_BROKER に設定されている場合、コントロールは失敗します。

PER_TOPIC_PER_BROKER モニタリングレベルでは、MSK クラスターのパフォーマンスをより詳細に把握できる他、CPU やメモリ使用量などのリソース使用率に関連するメトリクスも表示されます。これにより、個々のトピックおよびブローカーのパフォーマンスボトルネックやリソース使用パターンを特定できるようになります。この可視性により、Kafka ブローカーのパフォーマンスを最適化できます。

修正

MSK クラスターの拡張モニタリングを設定するには、以下の手順を実行します。

  1. https://console.aws.amazon.com/msk/home?region=us-east-1#/home/ で Amazon MSK コンソールを開きます。

  2. ナビゲーションペインで [Clusters] (クラスター) を選択します。次に、クラスターを選択します。

  3. [アクション][モニタリングを編集] を選択します。

  4. [拡張トピックレベルモニタリング] のオプションを選択します。

  5. [Save changes] (変更の保存) をクリックします。

モニタリングレベルの詳細については、「Amazon Managed Streaming for Apache Kafka デベロッパーガイド」の「クラスターのセキュリティ設定の更新」を参照してください。

[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります

カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化

重要度:

リソースタイプ : AWS::KafkaConnect::Connector

AWS Config ルール: msk-connect-connector-encrypted (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MSK Connect コネクタが転送中の暗号化されているかどうかを確認します。コネクタが転送中に暗号化されていない場合、このコントロールは失敗します。

転送中のデータとは、クラスター内のノード間やクラスターとアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する場合があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。

修正

MSK Connect コネクタを作成するときに、転送中の暗号化を有効にすることができます。コネクタを作成した後で暗号化設定を変更することはできません。詳細については、「Amazon Managed Streaming for Apache Kafka デベロッパーガイド」の「コネクタの作成」を参照してください。