Elasticsearch安全性实践

默认的Elasticsearch配置缺少企业级安全功能。 通过加密,访问控制等来确保您的部署是安全的。

前言

Elasticsearch已迅速并将其确立为企业应用程序开发人员的流行选择,这是理所应当的。与功能强大的分布式开源搜索和日志分析引擎相关的一个负面影响是,它吸引了安全隐患的头条新闻。这种安全声誉无可争议。我认为这更多地说明了这样一个事实,即组织经常在对待任何数据存储解决方案所需的尊重时都无法对待Elasticsearch安全性。有了适当的关注和对Elasticsearch特定需求的正确理解,该技术就可以足够安全地满足企业需求。

基本的默认Elasticsearch配置缺少企业级安全功能。这种组合-一个简单的部署,随后在随后进行安全加固时很容易被忽略-可以很容易导致宽松的访问限制和数据保护。而且,正如过去几年的头条新闻所显示的那样。但是,通过实施企业级安全性并遵循最佳实践,企业可以消除使Elasticsearch数据陷入危险的错误。

了解企业级Elasticsearch安全性的两种选择

对于大多数Elasticsearch而言,Elastic Stack扩展X-Pack一直是有效Elasticsearch安全性的唯一可靠选择。但是,这也是您要支付的价格的问题:X-Pack的企业级安全性需要购买Elastic的昂贵企业订阅。

第二种选择是在2019年出现的,这是亚马逊支持的Elasticsearch的Open Distro首次亮相。这个开源项目提供了许多企业级安全功能,包括使用OpenSSL或TLS 1.2加密传输中的数据。通过这种加密,Elasticsearch的Open Distro使企业可以满足有关数据保护的法规遵从性规则,可以轻松地与公钥基础结构集成,并可以保护内部集群节点和外部客户端流量。

Open Distro还与身份验证基础结构集成,使企业能够利用LDAP / Active Directory,Kerberos,SAML和其他广泛使用的身份验证协议。 Open Distro还提供了基于角色的细化访问控制(RBAC),以便将单个用户的访问限制为仅对其所需的集群操作,文档,索引和字段。开源选件还根据政府和行业法规遵从框架的要求,提供对安全事件的知情响应,以及跟踪和记录所有用户操作的审核日志和监视。

X-Pack提供了几乎等效的功能集合,包括SSL或TLS加密,用户身份验证,RBAC,IP筛选,合规审计跟踪和安全监视等等。 X-Pack现在还具有一个开放的代码库,该代码库具有许多有用的功能,例如监视,可免费使用。但是,由于仍然需要许可费才能利用X-Pack的全部功能,因此,对于实现Elasticsearch安全性而言,它仍然是相当昂贵的选择。

企业Elasticsearch安全最佳实践

企业的Elasticsearch安全策略,无论采用哪种技术,都应采用以下最佳做法:

加密所有内部和外部数据流量:利用TLS,并确保同时加密Elasticsearch群集内部的流量和连接到群集的所有数据源流量。
严格控制访问:利用RBAC和安全的身份验证方法来紧密控制对Elasticsearch的所有索引,文档和其他敏感元素的访问。
放置审核日志记录:实施审核日志,以便跟踪Elasticsearch集群中所有用户的操作。监视那些日志中的可疑活动,并利用此信息更有效地响应安全事件。
仅在必要时将Elasticsearch集群暴露于Internet并提供保护:研究Elasticsearch安全漏洞事件时,如果团队在安全性之前提供便利,并在开发和测试阶段将Elasticsearch暴露于开放的Internet,则会发生常见错误。成为头条新闻的团队忽略了在部署到生产中时将Elasticsearch转换为安全配置,而使数据无法访问的外部权限。当有必要让Elasticsearch暴露在互联网上时,请使用安全配置,防火墙,基于最小特权策略的访问控制,代理以及其他可用的安全措施来保护面向Internet的服务器。
在需要时争取提供者支持:在许多情况下,企业可能会发现从执行有效安全策略方面经验丰富的托管Elasticsearch提供者那里添加外部支持和专业知识是很方便的。供应商可以运用他们的知识来满足企业在数据安全方面的特定法规合规性要求,并开箱即用地实现关键功能,包括加密,访问控制,监视和警报。

总结

Elasticsearch是一种有价值的解决方案,可以通过适当的数据安全策略和适当的保护措施来安全可靠地利用。 企业应像对待任何数据层解决方案一样谨慎地对待Elasticsearch,并使其部署与最佳实践保持一致,以优化其数据安全性和Elasticsearch所带来的利益。

SO资源郑重声明:
1. 本站所有资源来源于用户上传和网络,因此不包含技术服务请大家谅解!如有侵权请邮件联系客服!3187589@qq.com
2. 本站不保证所提供下载的资源的准确性、安全性和完整性,资源仅供下载学习之用!如有链接无法下载、失效或广告,请联系客服处理,有奖励!
3. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!如用于商业或者非法用途,与本站无关,一切后果请用户自负!

SO资源 » Elasticsearch安全性实践