아마존 MSK 컨트롤

이러한 컨트롤은 Apache Kafka용 아마존 매니지드 스트리밍 (Amazon) 리소스와 관련이 있습니다. MSK

이러한 컨트롤을 모두 사용할 수 있는 것은 아닙니다. AWS 리전자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[MSK.1] 브로커 노드 간 전송 시 MSK 클러스터는 암호화되어야 합니다.

관련 요구 사항: NIST .800-53.r5 AC-4, .800-53.r5 SC-13, NIST .800-53.r5 SC-23, .800-53.r5 SC-23 (3), NIST .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-8 (1), .800-53.r5 SC-8 (1), NIST .800-53.r5 SC-8 (2)) NIST NIST NIST

범주: 보호 > 데이터 보호 > 암호화 data-in-transit

심각도: 중간

리소스 유형: AWS::MSK::Cluster

AWS Config 규칙: msk-in-cluster-node-require-tls

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 MSK 클러스터의 브로커 노드 간에 Amazon 클러스터가 전송 중에 HTTPS (TLS) 로 암호화되었는지 여부를 확인합니다. 클러스터 브로커 노드 연결에 일반 텍스트 통신이 활성화된 경우 제어가 실패합니다.

HTTPS데이터 이동에 사용되는 추가 보안 TLS 계층을 제공하며 잠재적 공격자가 네트워크 트래픽을 도청하거나 조작하기 위한 person-in-the-middle 또는 유사한 공격을 사용하지 못하도록 방지하는 데 사용할 수 있습니다. 기본적으로 Amazon은 전송 데이터를 MSK 암호화합니다. TLS 그러나 클러스터를 생성할 때 이 기본값을 재정의할 수 있습니다. 브로커용 노드 연결 HTTPS (TLS) 을 통한 암호화된 연결을 사용하는 것이 좋습니다.

이제 Security Hub가 와 통합되었습니다

MSK클러스터의 암호화 설정을 업데이트하려면 Apache Kafka용 Amazon Managed Streaming 개발자 안내서의 클러스터 보안 설정 업데이트를 참조하십시오.

[MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.

관련 요구 사항: NIST .800-53.r5 CA-7, .800-53.r5 SI-2 NIST

범주: 감지 > 감지 서비스

심각도: 낮음

리소스 유형: AWS::MSK::Cluster

AWS Config 규칙: msk-enhanced-monitoring-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon MSK 클러스터에 모니터링 수준 이상으로 지정된 향상된 모니터링이 구성되어 있는지 확인합니다PER_TOPIC_PER_BROKER. 클러스터의 모니터링 수준이 DEFAULT 또는 PER_BROKER로 설정된 경우 제어가 실패합니다.

PER_TOPIC_PER_BROKER모니터링 수준은 MSK 클러스터 성능에 대한 보다 세밀한 통찰력을 제공하고 메모리 사용량과 같은 리소스 CPU 사용률과 관련된 지표도 제공합니다. 이를 통해 개별 주제 및 브로커의 성능 병목 현상과 리소스 사용 패턴을 식별할 수 있습니다. 이러한 가시성을 통해 결국 Kafka 브로커의 성능을 최적화할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

MSK클러스터에 대한 향상된 모니터링을 구성하려면 다음 단계를 완료하십시오.

1. https://console.aws.amazon.com/msk/집에서 Amazon MSK 콘솔을 여시겠습니까? 지역=미국-동부-1#/홈/.

2. 탐색 창에서 클러스터를 선택합니다. 그런 다음 클러스터를 선택합니다.

3. 작업에서 모니터링 편집을 선택합니다.

4. 향상된 주제 수준 모니터링 옵션을 선택합니다.

5. Save changes(변경 사항 저장)를 선택합니다.

모니터링 수준에 대한 자세한 내용은 Amazon Managed Streaming for Apache Kafka 개발자 안내서에서 클러스터의 보안 설정 업데이트를 참조하세요.