Amazon MSK 控制 - AWS Security Hub
[MSK.1] MSK 叢集在代理程式節點之間的傳輸過程中應加密[MSK.2] MSK 叢集應配置增強型監控

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon MSK 控制

這些控制項與 Apache 卡夫卡 (AmazonMSK) 資源的 Amazon 受管串流有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊,請參閱 各區域控制項的可用性

[MSK.1] MSK 叢集在代理程式節點之間的傳輸過程中應加密

相關要求:NIST.800-53.R5 交流電四、NIST .800-53.R5 SC-23、.800-53.R5 SC-23 (3)、NIST .800-53.R5(四)、NIST .800-53.R5(4)、.800-53.R5 NIST NIST NIST NIST SC-13

分類:保護 > 資料保護 > 加密 data-in-transit

嚴重性:

資源類型:AWS::MSK::Cluster

AWS Config 規則:msk-in-cluster-node-require-tls

排程類型:已觸發變更

參數:

此控制項可檢查 Amazon MSK 叢集是否在傳輸過程中使用 HTTPS (TLS) 在叢集的代理程式節點之間進行加密。如果叢集代理程式節點連線啟用純文字通訊,則控制項會失敗。

HTTPS在移動資料時提供額外一層的安全性,並可用來協助防止潛在攻擊者利用 person-in-the-middle 或類似攻擊來竊聽或操控網路流量。TLS根據預設MSK,Amazon 會使用TLS. 但是,您可以在建立叢集時覆寫此預設值。我們建議透過 HTTPS (TLS) for Broker 節點連線使用加密連線。

修補

若要更新MSK叢集的加密設定,請參閱 Amazon Apache Kafka 受管串流開發人員指南中的更新叢集的安全設定

[MSK.2] MSK 叢集應配置增強型監控

相關需求:NISTNIST

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::MSK::Cluster

AWS Config 規則:msk-enhanced-monitoring-enabled

排程類型:已觸發變更

參數:

此控制項可檢查 Amazon MSK 叢集是否已設定增強型監控,監控層級至少指定為PER_TOPIC_PER_BROKER。如果叢集的監視層級設為DEFAULT或,則控制項會失敗PER_BROKER

PER_TOPIC_PER_BROKER監控層級可提供更精細的MSK叢集效能洞察,並提供與資源使用率相關的指標,例如CPU和記憶體使用量。這可協助您識別個別主題和代理程式的效能瓶頸和資源使用模式。反過來,這種可見性可以優化您的卡夫卡經紀人的性能。

修補

若要設定MSK叢集的增強型監控,請完成下列步驟:

  1. https://console.aws.amazon.com/msk/家打開 Amazon MSK 控制台? 區域 = us-east-1 #/ 家/.

  2. 在導覽窗格中,選擇叢集。然後,選擇叢集。

  3. 對於動作,選取編輯監視

  4. 選取 [增強型主題層級監視] 選項。

  5. 選擇儲存變更

如需監控層級的詳細資訊,請參閱 Amazon Apache Kafka 受管串流開發人員指南中的更新叢集的安全設定