导言
ElasticSearch已经迅速–而且理所当然地–成为企业应用程序开发人员的热门选择。与高能力的分布式开源搜索和日志分析引擎相关的一个负面因素是,它已经成为安全问题的头条新闻。这种安全的名声可以说是不值得的。我认为它更多地说明了这样一个事实,即组织常常不尊重Elasticearch的安全性。任何数据存储解决方案。只要对ElasticSearch的具体需求给予适当的关注和准确的理解,该技术就能充分安全地满足企业的需求。
基本的默认弹性搜索配置缺乏企业级安全功能。这种组合–一种简单的部署–在随后的安全性增强时很容易被忽略–很容易导致访问限制和数据保护松懈。而且,正如前面提到的标题在过去几年中所显示的那样。但是,通过实现企业级安全并遵循最佳实践,企业可以消除将Elasticearch数据置于危险境地的错误。
了解企业级别弹性搜索安全性的两个选项
对于大多数Elasticearch的存在,弹性堆栈扩展X-包一直是唯一可靠的选择,有效的弹性搜索安全。但是,这也是一个你得到什么的问题:X包的企业级安全需要购买弹性的昂贵的企业订阅。
第二个选择出现在2019年,亚马逊的首次亮相。用于弹性搜索的开放区域。开放源码项目提供了许多企业级的安全功能,包括利用传输中的数据进行加密。OpenSSL或TLS 1.2。通过这种加密,Elasticearch的OpenArea使企业能够满足围绕数据保护的法规遵从规则,轻松地与公钥基础设施集成,并确保内部集群节点和外部客户端通信的安全。
OpenArea还集成了身份验证基础设施,使企业能够利用LDAP/ActiveDirectory、Kerberos、SAML和其他广泛使用的身份验证协议。开放地区提供基于角色的细粒度访问控制(RBACs),以便限制个人用户访问只它们所需的群集操作、文档、索引和字段。开源选项进一步提供了对安全事件的知情响应,以及跟踪和记录所有用户操作的审计日志和监控,这是政府和行业监管法规遵守框架所要求的。
X-Pack提供了基本相同的特性集合,包括SSL或TLS加密、用户身份验证、RBAC、IP过滤、兼容的审计跟踪和安全监视等等。现在,X-Pack还提供了一个开放代码库有许多有用的特性,如监控,可以免费使用。然而,由于仍然需要许可证费用才能充分利用X-Pack的所有功能,所以要实现ElasticSearch安全性,它仍然是非常昂贵的选择。
企业弹性搜索安全最佳实践
无论哪种技术支持企业的Elasticsearch安全策略,都应该包含以下最佳实践:
- 加密所有内部和外部数据通信:利用TLS,并确保加密Elasticearch集群内的通信量和连接到集群的所有数据源通信量。
- 严格控制访问:利用RBAC和安全的身份验证方法来严格控制对所有索引、文档和其他Elasticearch的敏感元素的访问。
- 建立审计日志记录:实现审计日志,以便跟踪Elasticearch集群中所有用户的操作。监测那些可疑活动的日志,并利用这些信息更有效地应对安全事件。
- 只有在需要时并有保护的情况下,才将Elasticearch集群公开到Internet上:在研究Elasticearch安全漏洞事件时,当团队在开发和测试阶段将方便性置于安全性之前,并将Elasticearch暴露在开放的Internet上时,就会出现一个常见的错误。在部署到生产中时,那些成为头条新闻的团队忽略了将Elasticearch转换为安全配置,从而使数据暴露于外部访问中。当需要访问互联网时,使用安全配置、防火墙、基于最小特权策略的访问控制、代理和进一步可用的安全措施来保护面向互联网的服务器。
- 在需要时请提供程序支持:在许多情况下,企业可能会发现从一个在执行有效的安全策略方面经验丰富的托管ElasticSearch提供者那里添加外部支持和专业知识是合宜的。供应商可以应用他们的知识来满足企业在数据安全方面的特定监管要求,并实现关键特性的开箱即用,包括加密、访问控制、监视和警报。
结语
ElasticSearch是一种很有价值的解决方案,可以安全可靠地利用,并提供正确的数据安全策略和保护。企业应该以任何数据层解决方案所要求的那样小心地对待Elasticearch,并使其部署与最佳实践保持一致,以优化其数据安全性和Elasticearch提供的好处。
