AWS - MSK Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Managed Streaming for Apache Kafka (Amazon MSK), Apache Kafka üzerinden akış verilerini işleyen uygulamaların geliştirilmesini ve yürütülmesini kolaylaştıran tamamen yönetilen bir hizmettir. Küme oluşturma, güncelleme ve silme gibi kontrol düzlemi işlemleri Amazon MSK tarafından sunulmaktadır. Hizmet, veri üretimi ve tüketimini kapsayan Apache Kafka veri düzlemi işlemlerinin kullanılmasına izin verir. Mevcut uygulamalar, araçlar ve hem ortaklardan hem de Apache Kafka topluluğundan eklentilerle uyumluluğu sağlamak için Apache Kafka'nın açık kaynak sürümleri üzerinde çalışır ve uygulama kodunda değişiklik yapma ihtiyacını ortadan kaldırır.
Güvenilirlik açısından, Amazon MSK, yaygın küme arıza senaryolarını otomatik olarak tespit edip kurtulacak şekilde tasarlanmıştır, böylece üretici ve tüketici uygulamaları veri yazma ve okuma faaliyetlerine minimum kesinti ile devam edebilir. Ayrıca, Apache Kafka tarafından çoğaltılması gereken veri hacmini azaltarak, değiştirilen brokerların depolamasını yeniden kullanmaya çalışarak veri çoğaltma süreçlerini optimize etmeyi hedefler.
AWS'nin oluşturulmasına izin verdiği 2 tür Kafka kümesi vardır: Provisioned ve Serverless.
Bir saldırgan açısından bilmeniz gerekenler:
Serverless doğrudan kamuya açık olamaz (sadece herhangi bir kamuya açık IP olmadan bir VPN'de çalışabilir). Ancak, Provisioned bir kamu IP'si almak için yapılandırılabilir (varsayılan olarak bunu yapmaz) ve ilgili portları açığa çıkarmak için güvenlik grubunu yapılandırabilir.
Serverless yalnızca IAM kimlik doğrulama yöntemi destekler. Provisioned, SASL/SCRAM (şifre) kimlik doğrulaması, IAM kimlik doğrulaması, AWS Sertifika Yöneticisi (ACM) kimlik doğrulaması ve Kimlik Doğrulaması Olmayan erişimi destekler.
Kimlik doğrulaması olmayan erişim etkinleştirildiğinde, bir Provisioned Kafka'nın kamuya açık hale getirilmesinin mümkün olmadığını unutmayın.
Eğer bir Provisioned Kafka'nın bulunduğu VPC'ye erişiminiz olacaksa, yetkisiz erişimi etkinleştirebilirsiniz, eğer SASL/SCRAM kimlik doğrulaması varsa, şifreyi gizli bilgiden okuyabilir, bazı diğer kontrol edilen kullanıcı IAM izinleri verebilir (eğer IAM veya sunucusuz kullanılıyorsa) veya sertifikalarla devam edebilirsiniz.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
