AWS - MSK Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Managed Streaming for Apache Kafka (Amazon MSK) to usługa, która jest w pełni zarządzana, ułatwiająca rozwój i realizację aplikacji przetwarzających dane strumieniowe za pomocą Apache Kafka. Operacje kontrolne, w tym tworzenie, aktualizacja i usuwanie klastrów, są oferowane przez Amazon MSK. Usługa pozwala na wykorzystanie operacji data-plane Apache Kafka, obejmujących produkcję i konsumpcję danych. Działa na otwartych wersjach Apache Kafka, zapewniając zgodność z istniejącymi aplikacjami, narzędziami i wtyczkami zarówno od partnerów, jak i społeczności Apache Kafka, eliminując potrzebę wprowadzania zmian w kodzie aplikacji.
Pod względem niezawodności, Amazon MSK jest zaprojektowany do automatycznego wykrywania i odzyskiwania z powszechnych scenariuszy awarii klastra, zapewniając, że aplikacje producentów i konsumentów kontynuują swoje działania związane z zapisywaniem i odczytywaniem danych z minimalnymi zakłóceniami. Ponadto ma na celu optymalizację procesów replikacji danych, starając się ponownie wykorzystać pamięć masową zastąpionych brokerów, co minimalizuje ilość danych, które muszą być replikowane przez Apache Kafka.
Istnieją 2 typy klastrów Kafka, które AWS pozwala tworzyć: Provisioned i Serverless.
Z punktu widzenia atakującego musisz wiedzieć, że:
Serverless nie może być bezpośrednio publiczny (może działać tylko w VPN bez publicznie wystawionego IP). Jednak Provisioned można skonfigurować, aby uzyskać publiczny IP (domyślnie tego nie robi) i skonfigurować grupę zabezpieczeń, aby ujawniać odpowiednie porty.
Serverless obsługuje tylko IAM jako metodę uwierzytelniania. Provisioned obsługuje uwierzytelnianie SASL/SCRAM (hasło), uwierzytelnianie IAM, uwierzytelnianie AWS Certificate Manager (ACM) oraz dostęp nieautoryzowany.
Zauważ, że nie jest możliwe publiczne ujawnienie Provisioned Kafka, jeśli dostęp nieautoryzowany jest włączony.
Jeśli masz dostęp do VPC, w którym znajduje się Provisioned Kafka, możesz włączyć nieautoryzowany dostęp, jeśli uwierzytelnianie SASL/SCRAM, odczytać hasło z sekretu, nadać innym kontrolowanym użytkownikom uprawnienia IAM (jeśli użyto IAM lub serverless) lub utrzymać się przy certyfikatach.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)