Amazon MQ에 대한 보안 모범 사례

다음 설계 패턴은 Amazon MQ 브로커의 보안을 개선할 수 있습니다.

Amazon MQ가 데이터를 암호화하는 방법과 지원되는 프로토콜 목록에 대한 자세한 내용은 데이터 보호를 참조하세요.

퍼블릭 액세스 가능성이 없는 브로커 선호

퍼블릭 액세스 기능 없이 생성된 브로커는 VPC 외부에서 액세스할 수 없습니다. 따라서 브로커가 퍼블릭 인터넷에서 분산 서비스 거부(DDoS) 공격을 받을 가능성이 대폭 감소합니다. 자세한 내용은 이 가이드의 퍼블릭 액세스 가능성이 없는 브로커 웹 콘솔에 액세스 단원과 AWS 보안 블로그의 공격 노출 영역을 줄여 DDoS 공격에 대비하는 방법을 참조하세요.

항상 권한 부여 맵 구성

ActiveMQ에서는 기본적으로 권한 부여 맵이 구성되지 않기 때문에 모든 인증된 사용자가 브로커에서 모든 작업을 수행할 수 있습니다. 따라서 그룹별로 권한을 제한하는 것이 모범 사례입니다. 자세한 정보는 authorizationEntry을 참조하세요.

중요

activemq-webconsole 그룹을 포함하지 않는 권한 부여 맵을 지정하는 경우, 그룹이 Amazon MQ 브로커에 메시지를 보내거나 브로커에서 메시지를 수신할 권한이 없기 때문에 ActiveMQ 웹 콘솔을 사용할 수 없습니다.

VPC 보안 그룹으로 불필요한 프로토콜 차단

보안을 강화하려면 Amazon VPC 보안 그룹을 적절하게 구성하여 불필요한 프로토콜 및 포트의 연결을 제한해야 합니다. 예를 들어, 대부분의 프로토콜에 대한 액세스는 제한하면서 OpenWire 및 웹 콘솔에 대한 액세스는 허용하기 위해 61617 및 8162에 대한 액세스만 허용할 수 있습니다. 이렇게 하면 OpenWire 및 웹 콘솔이 제대로 작동하도록 허용하면서 사용하지 않는 프로토콜은 차단하여 노출이 제한됩니다.

사용 중인 프로토콜 포트만 허용합니다.

• AMQP: 5671

• MQTT: 8883

• OpenWire: 61617

• STOMP: 61614

• WebSocket: 61619

자세한 내용은 다음을 참조하세요.

• Configure Additional Broker Settings

• VPC의 보안 그룹

• VPC의 기본 보안 그룹

• 보안 그룹 작업