AWS - MSK Enum
Amazon MSK
Amazon Managed Streaming for Apache Kafka (Amazon MSK)は、Apache Kafkaを介してストリーミングデータを処理するアプリケーションの開発と実行を容易にする、完全に管理されたサービスです。Amazon MSKによって、クラスタの作成、更新、削除などのコントロールプレーン操作が提供されます。 このサービスは、Apache Kafkaのデータプレーン操作(データの生成と消費を含む)の利用を許可します。Apache Kafkaコミュニティやパートナーからの既存のアプリケーション、ツール、プラグインとの互換性を確保するため、Apache Kafkaのオープンソースバージョンで動作し、アプリケーションコードの変更が不要となります。
信頼性の観点から、Amazon MSKは一般的なクラスタ障害シナリオを自動的に検出および回復し、生産者および消費者アプリケーションがデータの書き込みと読み取り活動を最小限の中断で継続できるように設計されています。さらに、Apache Kafkaによるレプリケーションプロセスを最適化し、置換されたブローカのストレージを再利用することで、レプリケーションが必要なデータ量を最小限に抑えることを目指しています。
タイプ
AWSが作成を許可するKafkaクラスタには2つのタイプがあります: ProvisionedとServerless。
攻撃者の視点からは、以下を知っておく必要があります:
Serverlessは直接公開されない(公開されたIPを持たず、VPN内でのみ実行可能)。ただし、Provisionedはデフォルトではそうではないが、パブリックIPを取得し、セキュリティグループを構成して関連ポートを公開することができます。
Serverlessは認証方法としてIAMのみをサポートします。ProvisionedはSASL/SCRAM(パスワード)認証、IAM認証、AWS Certificate Manager(ACM)認証、および非認証アクセスをサポートします。
注意: Provisioned Kafkaを公開することはできません(非認証アクセスが有効になっている場合)
Kafka IAM アクセス(サーバーレス)
特権昇格
pageAWS - MSK Privesc認証されていないアクセス
pageAWS - MSK Unauthenticated Enum永続性
Provisioned Kafka がある VPC にアクセス権がある場合、SASL/SCRAM 認証が有効になっている場合は、秘密からパスワードを読み取り、他の制御されたユーザーに IAM 権限を付与する(IAM またはサーバーレスが使用されている場合)、または証明書を使用して永続化することができます。
参考文献
最終更新