AWS - MSK Enum
Amazon MSK
Amazon Managed Streaming for Apache Kafka (Amazon MSK) - це повністю керований сервіс, який спрощує розробку та виконання додатків, що обробляють потокові дані через Apache Kafka. Операції управління площадкою, включаючи створення, оновлення та видалення кластерів, надаються Amazon MSK. Сервіс дозволяє використовувати операції площадки обробки даних Apache Kafka, включаючи виробництво та споживання даних. Він працює на відкритих версіях Apache Kafka, забезпечуючи сумісність з існуючими додатками, інструментами та плагінами як від партнерів, так і від спільноти Apache Kafka, уникнувши необхідності внесення змін у код додатка.
З точки зору надійності Amazon MSK призначений для автоматичного виявлення та відновлення звичайних сценаріїв відмов кластера, забезпечуючи продовження роботи додатків-виробників та додатків-споживачів у їх діяльності з записом та читанням даних з мінімальними перервами. Крім того, він спрямований на оптимізацію процесів реплікації даних, намагаючись перевикористовувати сховище замінених брокерів, тим самим мінімізуючи обсяг даних, які потрібно реплікувати Apache Kafka.
Типи
Існують 2 типи кластерів Kafka, які AWS дозволяє створювати: Provisioned та Serverless.
З точки зору атакуючого важливо знати, що:
Serverless не може бути безпосередньо публічним (він може працювати лише в VPN без будь-якої публічної IP-адреси). Однак Provisioned може бути налаштований для отримання публічної IP-адреси (за замовчуванням цього не відбувається) та налаштувати групу безпеки для відкриття відповідних портів.
Serverless підтримує лише IAM як метод аутентифікації. Provisioned підтримує аутентифікацію SASL/SCRAM (пароль), аутентифікацію IAM, аутентифікацію AWS Certificate Manager (ACM) та Неаутентифікований доступ.
Зверніть увагу, що неможливо публічно використовувати Provisioned Kafka, якщо увімкнено неаутентифікований доступ.
Перелік
Доступ IAM до Kafka (у безсерверному режимі)
Підвищення привілеїв
AWS - MSK PrivescНеаутентифікований доступ
AWS - MSK Unauthenticated EnumНаполегливість
Якщо у вас є доступ до VPC, де знаходиться Provisioned Kafka, ви можете увімкнути несанкціонований доступ, якщо аутентифікація SASL/SCRAM, прочитайте пароль з секрету, надайте деякі інші керовані дозволи IAM користувачам (якщо використовується IAM або serverless) або зберігайте з сертифікатами.
Посилання
Last updated