AWS - MSK Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
**Amazon Managed Streaming for Apache Kafka (Amazon MSK)**는 Apache Kafka를 통해 스트리밍 데이터를 처리하는 애플리케이션의 개발 및 실행을 용이하게 하는 완전 관리형 서비스입니다. 클러스터의 생성, 업데이트 및 삭제를 포함한 제어-plane 작업은 Amazon MSK에서 제공합니다. 이 서비스는 데이터 생산 및 소비를 포함하는 Apache Kafka data-plane operations의 사용을 허용합니다. 이는 Apache Kafka의 오픈 소스 버전에서 운영되며, 기존 애플리케이션, 도구 및 파트너와 Apache Kafka 커뮤니티의 플러그인과의 호환성을 보장하여 애플리케이션 코드의 변경 필요성을 없앱니다.
신뢰성 측면에서 Amazon MSK는 일반적인 클러스터 실패 시나리오를 자동으로 감지하고 복구하도록 설계되어, 생산자 및 소비자 애플리케이션이 최소한의 중단으로 데이터 쓰기 및 읽기 활동을 지속할 수 있도록 보장합니다. 또한, 교체된 브로커의 저장소를 재사용하려고 시도하여 데이터 복제 프로세스를 최적화하여 Apache Kafka가 복제해야 하는 데이터 양을 최소화하는 것을 목표로 합니다.
AWS에서 생성할 수 있는 Kafka 클러스터의 유형은 두 가지입니다: 프로비저닝 및 서버리스.
공격자의 관점에서 알아야 할 사항은 다음과 같습니다:
서버리스는 직접적으로 공개될 수 없습니다 (공개적으로 노출된 IP 없이 VPN에서만 실행될 수 있습니다). 그러나 프로비저닝은 공개 IP를 얻도록 구성할 수 있습니다 (기본적으로는 그렇지 않음) 및 관련 포트를 노출하도록 보안 그룹을 구성할 수 있습니다.
서버리스는 인증 방법으로 IAM만 지원합니다. 프로비저닝은 SASL/SCRAM (비밀번호) 인증, IAM 인증, AWS Certificate Manager (ACM) 인증 및 인증되지 않은 접근을 지원합니다.
인증되지 않은 접근이 활성화된 경우 프로비저닝된 Kafka를 공개적으로 노출하는 것은 불가능하다는 점에 유의하십시오.
Provisioned Kafka가 있는 VPC에 접근할 수 있다면, 무단 접근을 활성화할 수 있습니다. SASL/SCRAM 인증을 사용하고, 비밀에서 비밀번호를 읽고, 다른 제어된 사용자 IAM 권한을 부여하거나 (IAM 또는 서버리스 사용 시) 인증서로 지속할 수 있습니다.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)