Controles de Security Hub para Amazon MSK
Estos controles de AWS Security Hub CSPM evalúan el servicio y los recursos de Amazon Managed Streaming para Apache Kafka (Amazon MSK). Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), PCI DSS v4.0.1/4.2.1
Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::MSK::Cluster
AWS Config Regla de: msk-in-cluster-node-require-tls
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de Amazon MSK está cifrado en tránsito con HTTPS (TLS) entre los nodos intermediarios del clúster. El control falla si la comunicación de texto sin formato está habilitada para una conexión de nodo intermediario del clúster.
HTTPS ofrece un nivel de seguridad adicional, ya que utiliza TLS para mover datos y se puede utilizar para ayudar a evitar posibles ataques de “persona en medio” o similares para espiar o manipular el tráfico de red. De forma predeterminada, Amazon MSK cifra los datos en tránsito con TLS. Sin embardo, puede anular este valor predeterminado en el momento en que cree el clúster. Recomendamos utilizar conexiones cifradas a través de HTTPS (TLS) para las conexiones de nodos intermediarios.
Corrección
Para obtener información sobre cómo actualizar la configuración de cifrado de un clúster de Amazon MSK, consulte Actualización de la configuración de seguridad de un clúster en la Guía para desarrolladores de Amazon Managed Streaming para Apache Kafka.
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::MSK::Cluster
AWS Config Regla de: msk-enhanced-monitoring-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un clúster de Amazon MSK tiene configurada la supervisión mejorada, especificada mediante un nivel de supervisión de al menos PER_TOPIC_PER_BROKER. Se produce un error en el control si el nivel de supervisión del clúster está establecido en DEFAULT o PER_BROKER.
El nivel de supervisión PER_TOPIC_PER_BROKER proporciona información más detallada sobre el rendimiento del clúster de MSK y también proporciona métricas relacionadas con el uso de los recursos, como el uso de la CPU y la memoria. Esto ayuda a identificar los cuellos de botella en el rendimiento y los patrones de uso de los recursos para temas y agentes individuales. Esta visibilidad, a su vez, puede optimizar el rendimiento de sus agentes de Kafka.
Corrección
Para configurar la supervisión mejorada para un clúster de MSK, haga lo siguiente:
Abra la consola de Amazon MSK en https://console.aws.amazon.com/msk/home?region=us-east-1#/home/
. -
En el panel de navegación, seleccione Clusters (Clústeres). A continuación, elija una etiqueta de clúster.
-
En Acción, seleccione Editar supervisión.
-
Seleccione la opción Supervisión mejorada a nivel de tema.
-
Seleccione Save changes (Guardar cambios).
Para obtener más información sobre los niveles de supervisión, consulte Métricas de Amazon MSK para supervisar agentes estándar con CloudWatch en la Guía para desarrolladores de Amazon Managed Streaming para Apache Kafka.
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
Requisitos relacionados: PCI DSS v4.0.1/4.2.1
Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::KafkaConnect::Connector
Regla de AWS Config: msk-connect-connector-encrypted (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un conector Amazon MSK Connect está cifrado en tránsito. Este control falla si el conector no está cifrado en tránsito.
Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.
Corrección
Puede habilitar el cifrado en tránsito cuando crea un conector MSK Connect. No puede cambiar la configuración de cifrado después de crear un conector. Para obtener más información, consulte Crear un conector en la Guía para desarrolladores de Amazon Managed Streaming para Apache Kafka.
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
Categoría: Proteger > Gestión del acceso seguro > Recurso no accesible públicamente
Gravedad: crítica
Tipo de recurso: AWS::MSK::Cluster
AWS Config Regla de: msk-cluster-public-access-disabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control verifica que el acceso público esté desactivado para un clúster de Amazon MSK. El control falla si el acceso público está habilitado para el clúster de MSK.
De forma predeterminada, los clientes solo pueden acceder a un clúster de Amazon MSK cuando se encuentran en la misma VPC que el clúster. Toda la comunicación entre clientes de Kafka y un clúster de MSK es privada de forma predeterminada, y los datos de streaming no atraviesan Internet. Sin embargo, si un clúster de MSK está configurado para permitir acceso público, cualquier persona en Internet puede establecer una conexión con los agentes de Apache Kafka que se ejecutan dentro del clúster. Esto puede provocar problemas como acceso no autorizado, filtraciones de datos o explotación de vulnerabilidades. Si restringe el acceso a un clúster mediante medidas de autenticación y autorización, puede ayudar a proteger información confidencial y mantener la integridad de los recursos.
Corrección
Para obtener información sobre cómo administrar el acceso público a un clúster de Amazon MSK, consulte Activación del acceso público para un clúster aprovisionado de MSK en la Guía del desarrollador de Amazon Managed Streaming para Apache Kafka.
[MSK.5] Los conectores de MSK deben tener el registro habilitado
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::KafkaConnect::Connector
AWS Config Regla de: msk-connect-connector-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control verifica si el registro está habilitado para un conector de Amazon MSK. El control falla si el registro está desactivado para el conector de MSK.
Los conectores de Amazon MSK integran sistemas externos y servicios de Amazon con Apache Kafka mediante la copia continua de datos en streaming desde un origen de datos a un clúster de Apache Kafka, o mediante la copia continua de datos desde un clúster hacia un receptor de datos. MSK Connect puede generar eventos de registro que ayudan a depurar un conector. Cuando crea un conector, puede especificar uno o varios de los siguientes destinos de registro: Registros de Amazon CloudWatch, Amazon S3 y Amazon Data Firehose.
nota
Los valores de configuración confidenciales pueden aparecer en los registros de los conectores si un complemento no los define como secretos. Kafka Connect trata los valores de configuración indefinidos de la misma manera que cualquier otro valor de texto sin formato.
Corrección
Para habilitar el registro en un conector de Amazon MSK existente, debe volver a crear el conector con la configuración de registro correspondiente. Para obtener información sobre las opciones de configuración, consulte Registro para MSK Connect en la Guía del desarrollador de Amazon Managed Streaming para Apache Kafka.
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
Categoría: Proteger > Gestión del acceso seguro > Autenticación sin contraseña
Gravedad: media
Tipo de recurso: AWS::MSK::Cluster
AWS Config Regla de: msk-unrestricted-access-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el acceso sin autenticación está desactivado para un clúster de Amazon MSK. El control falla si el acceso sin autenticación está habilitado para el clúster de MSK.
Amazon MSK admite mecanismos de autenticación y autorización para controlar el acceso a un clúster. Estos mecanismos verifican la identidad de los clientes que se conectan al clúster y determinan qué acciones pueden realizar. Un clúster de MSK se puede configurar para permitir acceso sin autenticación, lo que posibilita que cualquier cliente con conectividad de red publique y se suscriba a temas de Kafka sin proporcionar credenciales. Ejecutar un clúster de MSK sin exigir autenticación infringe el principio de privilegio mínimo y puede exponer el clúster a accesos no autorizados. Esto permite que cualquier cliente acceda, modifique o elimine datos en los temas de Kafka, lo que puede provocar filtraciones de datos, modificaciones no autorizadas o interrupciones del servicio. Recomendamos habilitar mecanismos de autenticación como la autenticación mediante IAM, SASL/SCRAM o TLS mutuo para garantizar un control de acceso adecuado y mantener el cumplimiento de seguridad.
Corrección
Para obtener información sobre cómo cambiar la configuración de autenticación de un clúster de Amazon MSK, consulte las siguientes secciones de la Guía para desarrolladores de Amazon Managed Streaming para Apache Kafka: Actualización de la configuración de seguridad de un clúster de Amazon MSK y Autenticación y autorización para las API de Apache Kafka.
