本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon MSK 控制
這些控制項與 Apache 卡夫卡 (AmazonMSK) 資源的 Amazon 受管串流有關。
這些控制項可能並非全部可用 AWS 區域。如需詳細資訊,請參閱 各區域控制項的可用性。
[MSK.1] MSK 叢集在代理程式節點之間的傳輸過程中應加密
相關要求:NIST.800-53.R5 交流電四、NIST .800-53.R5 SC-23、.800-53.R5 SC-23 (3)、NIST .800-53.R5(四)、NIST .800-53.R5(4)、.800-53.R5 NIST NIST NIST NIST SC-13
分類:保護 > 資料保護 > 加密 data-in-transit
嚴重性:中
資源類型:AWS::MSK::Cluster
AWS Config 規則:msk-in-cluster-node-require-tls
排程類型:已觸發變更
參數:無
此控制項可檢查 Amazon MSK 叢集是否在傳輸過程中使用 HTTPS (TLS) 在叢集的代理程式節點之間進行加密。如果叢集代理程式節點連線啟用純文字通訊,則控制項會失敗。
HTTPS在移動資料時提供額外一層的安全性,並可用來協助防止潛在攻擊者利用 person-in-the-middle 或類似攻擊來竊聽或操控網路流量。TLS根據預設MSK,Amazon 會使用TLS. 但是,您可以在建立叢集時覆寫此預設值。我們建議透過 HTTPS (TLS) for Broker 節點連線使用加密連線。
修補
若要更新MSK叢集的加密設定,請參閱 Amazon Apache Kafka 受管串流開發人員指南中的更新叢集的安全設定。
[MSK.2] MSK 叢集應配置增強型監控
相關需求:NISTNIST
類別:偵測 > 偵測服務
嚴重性:低
資源類型:AWS::MSK::Cluster
AWS Config 規則:msk-enhanced-monitoring-enabled
排程類型:已觸發變更
參數:無
此控制項可檢查 Amazon MSK 叢集是否已設定增強型監控,監控層級至少指定為PER_TOPIC_PER_BROKER
。如果叢集的監視層級設為DEFAULT
或,則控制項會失敗PER_BROKER
。
PER_TOPIC_PER_BROKER
監控層級可提供更精細的MSK叢集效能洞察,並提供與資源使用率相關的指標,例如CPU和記憶體使用量。這可協助您識別個別主題和代理程式的效能瓶頸和資源使用模式。反過來,這種可見性可以優化您的卡夫卡經紀人的性能。
修補
若要設定MSK叢集的增強型監控,請完成下列步驟:
在https://console.aws.amazon.com/msk/家打開 Amazon MSK 控制台? 區域 = us-east-1 #/
家/. 在導覽窗格中,選擇叢集。然後,選擇叢集。
對於動作,選取編輯監視。
選取 [增強型主題層級監視] 選項。
選擇儲存變更。
如需監控層級的詳細資訊,請參閱 Amazon Apache Kafka 受管串流開發人員指南中的更新叢集的安全設定。