Amazon web services 物联网卡夫卡集群安全_Amazon Web Services_Apache Kafka_Bigdata

Amazon web services 物联网卡夫卡集群安全

amazon-web-services apache-kafka

Amazon web services 物联网卡夫卡集群安全,amazon-web-services,apache-kafka,bigdata,Amazon Web Services,Apache Kafka,Bigdata,我是卡夫卡新手，希望为物联网部署卡夫卡生产集群。我们将通过互联网接收来自Raspberry Pi的消息，并将其发送到我们将在AWS上托管的卡夫卡集群现在的问题是，由于我们需要向外部互联网开放卡夫卡端口，我们正在打开一条应对系统威胁的途径，因为向外部世界开放端口将危及安全请告诉我可以做些什么，以便我们可以防止通过互联网使用KAFKA端口进行恶意访问请原谅，如果我不清楚这个问题，请务必告诉我是否需要重新表述问题。有两种方法对卡夫卡安全最有效为Kafka实现SSL加密使用SASL进行身份验证

我是卡夫卡新手，希望为物联网部署卡夫卡生产集群。我们将通过互联网接收来自Raspberry Pi的消息，并将其发送到我们将在AWS上托管的卡夫卡集群

现在的问题是，由于我们需要向外部互联网开放卡夫卡端口，我们正在打开一条应对系统威胁的途径，因为向外部世界开放端口将危及安全

请告诉我可以做些什么，以便我们可以防止通过互联网使用KAFKA端口进行恶意访问

请原谅，如果我不清楚这个问题，请务必告诉我是否需要重新表述问题。

有两种方法对卡夫卡安全最有效

为Kafka实现SSL加密

使用SASL进行身份验证

你可以遵循这个指南

考虑在您的Kafka经纪人面前使用REST代理（例如Confluent的代理）。然后，您就可以保护您的Kafka集群，就像保护任何暴露在公共internet上的REST API一样。此体系结构在生产中已被证明适用于多个非常大的物联网用例。

感谢您的快速响应，我想了解一些有关我们可以采取哪些措施来避免端口滥用的详细信息。这将有什么帮助？SASL将更有效地解决端口滥用问题，因为没有身份验证，用户无法进入。另一方面，如果您希望避免端口滥用，Web应用程序防火墙是最佳选择，但此选项取决于您的预算，因为WAF许可证非常昂贵。滥用港口的现象现在已经司空见惯，没有任何解决办法可以避免，只有最佳实践需要遵循。您还可以实现各种linux工具。如果您想提供指定人员或开发人员的访问权限，您可以使用的另一个方法是防火墙使用安全组。完美的，我正在考虑类似的解决方案，其中我将使用HTTP POST将数据发送到kafka服务器，然后将其推送到kafka。但这似乎是一个更干净的解决我的问题的办法。