AWS - MSK Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Managed Streaming for Apache Kafka (Amazon MSK) to usługa, która jest w pełni zarządzana, ułatwiająca rozwój i realizację aplikacji przetwarzających dane strumieniowe za pomocą Apache Kafka. Operacje w płaszczyźnie kontrolnej, w tym tworzenie, aktualizacja i usuwanie klastrów, są oferowane przez Amazon MSK. Usługa pozwala na wykorzystanie operacji w płaszczyźnie danych Apache Kafka, obejmujących produkcję i konsumpcję danych. Działa na otwartych wersjach Apache Kafka, zapewniając zgodność z istniejącymi aplikacjami, narzędziami i wtyczkami zarówno od partnerów, jak i społeczności Apache Kafka, eliminując potrzebę wprowadzania zmian w kodzie aplikacji.
Pod względem niezawodności, Amazon MSK jest zaprojektowany do automatycznego wykrywania i odzyskiwania z powszechnych scenariuszy awarii klastra, zapewniając, że aplikacje producentów i konsumentów kontynuują swoje działania związane z zapisywaniem i odczytywaniem danych z minimalnymi zakłóceniami. Ponadto ma na celu optymalizację procesów replikacji danych, starając się ponownie wykorzystać pamięć masową zastąpionych brokerów, co minimalizuje ilość danych, które muszą być replikowane przez Apache Kafka.
Istnieją 2 typy klastrów Kafka, które AWS pozwala tworzyć: Provisioned i Serverless.
Z punktu widzenia atakującego musisz wiedzieć, że:
Serverless nie może być bezpośrednio publiczny (może działać tylko w VPN bez publicznie wystawionego IP). Jednak Provisioned może być skonfigurowany do uzyskania publicznego IP (domyślnie tego nie robi) i skonfigurowania grupy zabezpieczeń w celu wystawienia odpowiednich portów.
Serverless obsługuje tylko IAM jako metodę uwierzytelniania. Provisioned obsługuje uwierzytelnianie SASL/SCRAM (hasło), uwierzytelnianie IAM, uwierzytelnianie AWS Certificate Manager (ACM) oraz dostęp nieautoryzowany.
Zauważ, że nie jest możliwe publiczne wystawienie Provisioned Kafka, jeśli dostęp nieautoryzowany jest włączony.
Jeśli masz dostęp do VPC, w którym znajduje się Provisioned Kafka, możesz włączyć nieautoryzowany dostęp, jeśli uwierzytelnianie SASL/SCRAM, odczytać hasło z sekretu, nadać inne kontrolowane uprawnienia IAM (jeśli używane są IAM lub serverless) lub utrzymać się przy certyfikatach.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)