kafka配置Ubuntu时如何保障数据安全

Kafka 在 Ubuntu 的数据安全配置清单

一 传输加密与认证

• 启用 SSL/TLS 对客户端与 Broker、Broker 与 Broker 之间的通信进行加密，建议使用 SASL_SSL 组合认证与加密。示例 listeners 配置：listeners=SASL_SSL://0.0.0.0:9093；inter.broker.protocol=SASL_SSL；security.inter.broker.protocol=SASL_SSL。在 server.properties 中配置密钥库与信任库：ssl.keystore.location、ssl.keystore.password、ssl.key.password、ssl.truststore.location、ssl.truststore.password。证书可用 Java keytool 生成并导入信任库，确保证书链与主机名校验正确。生产环境建议禁用 PLAINTEXT 端口，仅开放加密端口。对于需要动态增删用户的场景，使用 SASL/SCRAM 更便捷；若需企业级统一身份，可启用 Kerberos/GSSAPI。

二 身份认证与访问控制

• 在 Broker 启用 SASL 并指定机制（如 PLAIN、SCRAM、GSSAPI），为客户端与 Broker 间、Broker 与 Broker 间分别配置认证方式。创建 JAAS 配置文件并在启动脚本中指定，例如：KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required … } 。
• 启用 ACL 细粒度授权，按 User:principal 对主题、消费组、集群等资源授予 READ、WRITE、DESCRIBE、CREATE、DELETE、ALTER 等权限，遵循最小权限原则；对管理操作单独建立高权限账号并隔离用途。示例：kafka-configs.sh --bootstrap-server broker:9093 --alter --add-config ‘SCRAM-SHA-256=[iterations=8192,password=…]’ --entity-type users --entity-name app_user；随后对指定 topic 授予权限（read/write/describe）。

三 网络安全与系统加固

• 使用 UFW/iptables 限制访问来源，仅放通管理网与业务网段对 9093（SASL_SSL）与（如仍使用）2181（Zookeeper）的访问；云环境配合 安全组/VPC 做二层/三层隔离。
• 将 Kafka 进程运行在专用的 非 root 系统用户/用户组下，目录与文件设置最小权限；对 server.properties、密钥库/信任库、JAAS 等敏感文件设置 600 权限并限制所属用户组；开启 日志审计，定期审查访问与异常行为。

四 数据安全运维实践

• 定期 更新 Kafka 与依赖组件，修补已知漏洞；对配置变更、ACL 调整、证书轮换建立 变更流程与回滚预案。
• 实施 定期备份（如镜像日志目录至加密存储、定期导出关键元数据），并进行恢复演练；结合 监控与告警（JMX/Prometheus/Grafana）观察异常流量、认证失败与延迟抖动。
• 对 Zookeeper/KRaft 也启用认证与访问控制，避免成为安全短板；对外仅暴露必要端口，内部通信走 TLS。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！