AWS - MSK Enum
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Managed Streaming for Apache Kafka (Amazon MSK) ist ein vollständig verwalteter Dienst, der die Entwicklung und Ausführung von Anwendungen erleichtert, die Streaming-Daten über Apache Kafka verarbeiten. Die Steuerungsebene, einschließlich Erstellung, Aktualisierung und Löschung von Clustern, wird von Amazon MSK angeboten. Der Dienst ermöglicht die Nutzung von Apache Kafka Datenebene-Operationen, die die Datenproduktion und -konsumtion umfassen. Er basiert auf Open-Source-Versionen von Apache Kafka, was die Kompatibilität mit bestehenden Anwendungen, Tools und Plugins sowohl von Partnern als auch aus der Apache Kafka-Community sicherstellt, ohne dass Änderungen am Anwendungscode erforderlich sind.
In Bezug auf die Zuverlässigkeit ist Amazon MSK so konzipiert, dass es automatisch gängige Clusterfehler-Szenarien erkennt und sich davon erholt, sodass Produzenten- und Konsumenten-Anwendungen ihre Datenverarbeitungs- und Leseaktivitäten mit minimalen Unterbrechungen fortsetzen können. Darüber hinaus zielt es darauf ab, die Datenreplikationsprozesse zu optimieren, indem versucht wird, den Speicher von ersetzten Brokern wiederzuverwenden, wodurch das Volumen der von Apache Kafka zu replizierenden Daten minimiert wird.
Es gibt 2 Arten von Kafka-Clustern, die AWS erstellen lässt: Bereitgestellt und Serverlos.
Aus der Sicht eines Angreifers müssen Sie wissen, dass:
Serverlos kann nicht direkt öffentlich sein (es kann nur in einem VPN ohne öffentlich exponierte IP ausgeführt werden). Bereitgestellt kann jedoch so konfiguriert werden, dass es eine öffentliche IP erhält (standardmäßig geschieht dies nicht) und die Sicherheitsgruppe so konfiguriert wird, dass die relevanten Ports exponiert werden.
Serverlos unterstützt nur IAM als Authentifizierungsmethode. Bereitgestellt unterstützt SASL/SCRAM (Passwort) Authentifizierung, IAM Authentifizierung, AWS Zertifikat Manager (ACM) Authentifizierung und unauthentifizierten Zugriff.
Beachten Sie, dass es nicht möglich ist, ein bereitgestelltes Kafka öffentlich zu exponieren, wenn der unauthentifizierte Zugriff aktiviert ist.
Wenn Sie Zugriff auf das VPC haben, in dem sich ein Provisioned Kafka befindet, könnten Sie unauthorisierten Zugriff aktivieren, wenn Sie SASL/SCRAM-Authentifizierung verwenden, das Passwort aus dem Geheimnis lesen, einigen anderen kontrollierten Benutzern IAM-Berechtigungen geben (wenn IAM oder serverless verwendet wird) oder mit Zertifikaten persistieren.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)