私はKafkaを初めて使い、IOT用のKafka Productionクラスタを展開したいと考えています。私たちは、ラズベリーパイからインターネットを介してAWSで主催するカフカクラスターへのメッセージを受け取ります。IOT用Kafkaクラスタセキュリティ
外部のインターネットにKAFKA PORTを開く必要があるので、セキュリティを脅かすようなシステム脅威への道を開いています。
インターネット経由でKAFKAポートを使用して悪意のあるアクセスを防止できるように、私に何ができるか教えてください。
私は質問ではっきりしていない場合は、待ち行列の言い換えが必要な場合は教えてください。
Kafkaブローカー(Confluentのものなど)の前にRESTプロキシを使用することを検討してください。その後、公衆インターネットに公開されているREST APIを確保するのと同じように、Kafkaクラスタを保護することができます。このアーキテクチャーは、いくつかの非常に大きなIoTユースケースについて実証されています。
カフカのセキュリティにとって最も効果的な方法は2つあります。
使用
迅速な対応をいただき、ありがとうございました。私はポート濫用を回避するための対策について少し詳しくお知りになりたいと思います。どのように役立つでしょうか? – anand
SASLはポート濫用に関しては、ユーザが入ることができない認証というより効果的です。別の注意点Webアプリケーションファイアウォールはポート濫用を避けたい場合に最適ですが、WAFライセンスは非常に高価です。そして、ポート虐待は今日では非常に一般的であり、追求する必要があるベストプラクティスだけがあることを避けるための修正ソリューションはありません。実装可能なさまざまなLinuxツールもあります。あなたが人やdevを指定するためのアクセス権を提供したい場合は、セキュリティグループを使用するファイアウォールを使用することもできます。 – error2007s
パーフェクト、私はkafkaサーバーにHTTP POSTを使用してデータを送信し、それをKAFKAにプッシュする類似のソリューションを考えていました。しかし、これは私の問題のきれいな解決策であるようです。 – anand