AWS - MSK Enum
Amazon MSK
Amazon Managed Streaming for Apache Kafka (Amazon MSK) je usluga koja je potpuno upravljana, olakšavajući razvoj i izvršavanje aplikacija koje obrađuju tok podataka putem Apache Kafka-e. Amazon MSK nudi operacije upravljanja kontrolne ravni, uključujući kreiranje, ažuriranje i brisanje klastera. Usluga omogućava korišćenje operacija podataka Apache Kafka-e, uključujući proizvodnju i potrošnju podataka. Radi na open-source verzijama Apache Kafka-e, obezbeđujući kompatibilnost sa postojećim aplikacijama, alatima i pluginovima kako od partnera, tako i od Apache Kafka zajednice, eliminišući potrebu za izmenama u kodu aplikacije.
Što se tiče pouzdanosti, Amazon MSK je dizajniran da automatski otkriva i oporavlja se od uobičajenih scenarija kvarova klastera, obezbeđujući da aplikacije proizvođača i potrošača nastave sa svojim aktivnostima pisanja i čitanja podataka sa minimalnim prekidima. Osim toga, cilj mu je optimizacija procesa replikacije podataka pokušajem ponovne upotrebe skladišta zamenjenih broker-a, čime se smanjuje količina podataka koja treba da se replikuje putem Apache Kafka-e.
Tipovi
Postoje 2 tipa Kafka klastera koje AWS dozvoljava kreiranje: Provisioned i Serverless.
Sa stanovišta napadača, trebate znati da:
Serverless ne može biti direktno javan (može se pokrenuti samo u VPN-u bez bilo kakve javno izložene IP adrese). Međutim, Provisioned se može konfigurisati da dobije javnu IP adresu (podrazumevano je da je nema) i konfigurisati security group da izloži relevantne portove.
Serverless podržava samo IAM kao metodu autentifikacije. Provisioned podržava SASL/SCRAM (password) autentifikaciju, IAM autentifikaciju, AWS Certificate Manager (ACM) autentifikaciju i Neautentifikovan pristup.
Imajte na umu da nije moguće javno izložiti Provisioned Kafka ako je omogućen neautentifikovan pristup.
Enumeracija
Kafka IAM pristup (u serverless okruženju)
AWS Managed Streaming for Apache Kafka (MSK) je usluga koja omogućava upravljanje Apache Kafka klasterima u AWS cloud okruženju. Kada koristite serverless arhitekturu za Kafka klaster, možete koristiti IAM (Identity and Access Management) politike za kontrolu pristupa resursima.
IAM politike definišu dozvole za AWS resurse kao što su klasteri, teme i particije. Možete koristiti IAM politike za omogućavanje ili ograničavanje pristupa određenim akcijama, kao što su čitanje, pisanje ili upravljanje temama i particijama.
Da biste omogućili IAM pristup za Kafka klaster u serverless okruženju, morate kreirati IAM politike koje definišu dozvole za određene korisnike ili grupe korisnika. Ove politike se zatim pridružuju korisnicima ili grupama korisnika putem IAM uloga.
Kada korisnik ili grupa korisnika ima odgovarajuće IAM dozvole, mogu pristupiti Kafka klasteru i izvršavati odobrene akcije. Ovo omogućava kontrolu pristupa i osigurava da samo ovlašćeni korisnici mogu manipulisati Kafka resursima.
Važno je pažljivo konfigurisati IAM politike kako biste osigurali da samo neophodne akcije budu dozvoljene i da se spreči neovlašćeni pristup ili zloupotreba Kafka klastera.
Privesc
Neautentifikovan pristup
Upornost
Ako ćete imati pristup VPC-u gde se nalazi Provisioned Kafka, možete omogućiti neovlašćen pristup, ako je SASL/SCRAM autentifikacija, pročitajte lozinku iz tajnog mesta, dodelite nekim drugim kontrolisanim IAM dozvolama korisnika (ako se koristi IAM ili serverless) ili upornost sa sertifikatima.
Reference
Last updated