安全认证机制
SASL (Simple Authentication and Security Layer)
- SASL/PLAIN:基于用户名密码的简单认证
- SASL/SCRAM:基于 Salted Challenge Response Authentication Mechanism
- SASL/GSSAPI (Kerberos):企业级身份验证协议
- SASL/OAUTHBEARER:基于 OAuth 2.0 的令牌认证
SSL/TLS 认证
- 客户端认证:通过证书验证客户端身份
- 服务器认证:验证 Kafka broker 的身份
- 双向认证:客户端和服务器相互验证
数据加密机制
传输层加密
- SSL/TLS 加密:保护数据在网络传输过程中的安全
- 端到端加密:确保数据在传输过程中无法被窃取
存储加密
- 磁盘加密:对存储在磁盘上的数据进行加密
- 日志加密:对消息日志进行加密存储
配置示例
Broker 配置
# SSL 配置
listeners=SSL://:9093
ssl.keystore.location=/path/to/keystore.jks
ssl.keystore.password=password
ssl.key.password=password
ssl.truststore.location=/path/to/truststore.jks
ssl.truststore.password=password
# SASL 配置
security.inter.broker.protocol=SASL_SSL
sasl.mechanism.inter.broker.protocol=GSSAPI
sasl.enabled.mechanisms=GSSAPI
客户端配置
# Java 客户端配置
props.put("security.protocol", "SASL_SSL");
props.put("sasl.mechanism", "GSSAPI");
props.put("sasl.kerberos.service.name", "kafka");
访问控制
ACL (Access Control Lists)
- Topic 级别权限:控制对特定 Topic 的读写权限
- Group 级别权限:管理消费者组的访问权限
- Cluster 级别权限:控制集群级别的操作权限
授权机制
- Simple ACL Provider:内置的简单访问控制
- Custom Authorizer:自定义授权实现
- Ranger/Kylo 集成:企业级访问控制解决方案
最佳实践
- 最小权限原则:为每个组件分配必需的最小权限
- 定期证书轮换:定期更新 SSL 证书和认证凭证
- 审计日志:记录所有认证和授权活动
- 网络隔离:使用防火墙和 VPN 保护 Kafka 集群
监控和运维
- 安全事件监控:跟踪认证失败和未授权访问尝试
- 性能影响评估:评估加密和认证对性能的影响
- 合规性检查:确保满足行业安全标准要求