Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Managed Streaming for Apache Kafka (Amazon MSK) — це повністю керована служба, яка полегшує розробку та виконання додатків, що обробляють потокові дані через Apache Kafka. Операції контрольної площини, включаючи створення, оновлення та видалення кластерів, пропонуються Amazon MSK. Служба дозволяє використовувати операції даних Apache Kafka, що охоплюють виробництво та споживання даних. Вона працює на відкритих версіях Apache Kafka, забезпечуючи сумісність з існуючими додатками, інструментами та плагінами як від партнерів, так і від спільноти Apache Kafka, усуваючи необхідність у змінах у коді додатка.
Щодо надійності, Amazon MSK розроблений для автоматичного виявлення та відновлення від поширених сценаріїв збоїв кластерів, забезпечуючи, щоб додатки виробників і споживачів продовжували свої дії з запису та читання даних з мінімальними перервами. Крім того, він прагне оптимізувати процеси реплікації даних, намагаючись повторно використовувати зберігання замінених брокерів, тим самим зменшуючи обсяг даних, які потрібно реплікувати Apache Kafka.
Існує 2 типи кластерів Kafka, які AWS дозволяє створювати: Provisioned і Serverless.
З точки зору атакуючого, вам потрібно знати, що:
Serverless не може бути безпосередньо публічним (він може працювати лише у VPN без будь-якої публічно відкритої IP-адреси). Однак Provisioned може бути налаштований для отримання публічної IP-адреси (за замовчуванням цього не відбувається) і налаштувати групу безпеки для відкриття відповідних портів.
Serverless підтримує лише IAM як метод аутентифікації. Provisioned підтримує аутентифікацію SASL/SCRAM (пароль), аутентифікацію IAM, аутентифікацію AWS Certificate Manager (ACM) та неаутентифікований доступ.
Зверніть увагу, що неможливо публічно відкрити Provisioned Kafka, якщо увімкнено неаутентифікований доступ.
Якщо ви матимете доступ до VPC, де знаходиться Provisioned Kafka, ви могли б увімкнути несанкціонований доступ, якщо SASL/SCRAM аутентифікація, прочитати пароль з секрету, надати деякі інші контрольовані права IAM (якщо використовується IAM або безсерверні технології) або зберегти з сертифікатами.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
