Amazon MSK에 대한 Security Hub 제어 - AWS Security Hub

Amazon MSK에 대한 Security Hub 제어

이러한 AWS Security Hub 제어는 Amazon Managed Streaming for Apache Kafka(Amazon MSK) 서비스 및 리소스를 평가합니다.

AWS 리전에서는 이러한 제어를 모두 사용하지 못할 수도 있습니다. 자세한 내용은 리전별 제어 기능 사용 가능 여부 섹션을 참조하세요.

[MSK.1] MSK 클러스터는 브로커 노드 간 전송 중 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2)

범주: 보호 > 데이터 보호 > 전송 중인 데이터 암호화

심각도: 중간

리소스 유형: AWS::MSK::Cluster

AWS Config 규칙: msk-in-cluster-node-require-tls

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon MSK 클러스터가 클러스터의 브로커 노드 사이에서 HTTPS(TLS)를 사용하여 전송 중 암호화되었는지 확인합니다. 클러스터 브로커 노드 연결에 일반 텍스트 통신이 활성화된 경우, 제어가 실패합니다.

HTTPS는 TLS를 사용하여 데이터를 이동하므로 추가 보안 계층을 제공하며 잠재적 공격자가 중간자 또는 그와 유사한 공격을 사용하여 네트워크 트래픽을 염탐하거나 조작하지 못하게 하는 데 사용할 수 있습니다. 기본적으로 Amazon MSK는 TLS를 사용하여 전송 중 데이터를 암호화합니다. 그러나 클러스터를 생성할 때 이 기본값을 재정의할 수 있습니다. 브로커 노드 연결에는 HTTPS(TLS)를 통한 암호화된 연결을 사용하는 것이 좋습니다.

이제 Security Hub가 와 통합되었습니다

MSK 클러스터의 암호화 설정을 업데이트하려면 Amazon Managed Streaming for Apache Kafka(Amazon MSK) 개발자 안내서클러스터 보안 설정 업데이트를 참조하세요.

[MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

범주: 감지 > 감지 서비스

심각도: 낮음

리소스 유형: AWS::MSK::Cluster

AWS Config 규칙: msk-enhanced-monitoring-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon MSK 클러스터에 PER_TOPIC_PER_BROKER 이상의 모니터링 수준으로 지정된 향상된 모니터링이 구성되어 있는지 확인합니다. 클러스터의 모니터링 수준이 DEFAULT 또는 PER_BROKER로 설정된 경우, 제어가 실패합니다.

PER_TOPIC_PER_BROKER 모니터링 수준은 MSK 클러스터의 성능에 대한 보다 세밀한 인사이트를 제공하고 CPU 및 메모리 사용량 등 리소스 사용률과 관련된 지표도 제공합니다. 이를 통해 개별 주제 및 브로커의 성능 병목 현상과 리소스 사용 패턴을 식별할 수 있습니다. 이러한 가시성을 통해 결국 Kafka 브로커의 성능을 최적화할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

MSK 클러스터에 대한 향상된 모니터링을 구성하려면 다음 단계를 완료하세요.

  1. https://console.aws.amazon.com/msk/home?region=us-east-1#/home/에서 Amazon MSK 콘솔을 엽니다.

  2. 탐색 창에서 클러스터(Clusters)를 선택합니다. 그런 다음 클러스터를 선택합니다.

  3. 작업에서 모니터링 편집을 선택합니다.

  4. 향상된 주제 수준 모니터링 옵션을 선택합니다.

  5. Save changes(변경 사항 저장)를 선택합니다.

모니터링 수준에 대한 자세한 내용은 Amazon Managed Streaming for Apache Kafka 개발자 안내서에서 클러스터의 보안 설정 업데이트를 참조하세요.

[MSK.3] MSK Connect 커넥터는 전송 중에 암호화되어야 합니다.

범주: 보호 > 데이터 보호 > 전송 중인 데이터 암호화

심각도: 중간

리소스 유형: AWS::KafkaConnect::Connector

AWS Config규칙: msk-connect-connector-encrypted (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon MSK Connect 커넥터가 전송 중에 암호화되었는지 확인합니다. 전송 중에 커넥터가 암호화되지 않으면 이 제어가 실패합니다.

전송 중 데이터는 클러스터의 노드 사이 또는 클러스터와 애플리케이션 사이와 같이 한 위치에서 다른 위치로 이동하는 데이터를 나타냅니다. 데이터는 인터넷 또는 프라이빗 네트워크 내에서 이동할 수 있습니다. 전송 데이터를 암호화하면 권한이 없는 사용자가 네트워크 트래픽을 도청할 위험이 줄어듭니다.

이제 Security Hub가 와 통합되었습니다

MSK Connect 커넥터를 생성할 때 전송 중 암호화를 활성화할 수 있습니다. 클러스터를 생성한 후에는 암호화 설정을 변경할 수 없습니다. 자세한 내용은 Amazon Managed Streaming for Apache Kafka 개발자 안내서커넥터 생성을 참조하세요.