Elasticsearch部署在邏輯隔離的專用網路中,結合多種網路存取控制、認證授權、安全加密能力,以及商業外掛程式X-Pack中的進階安全措施,確保雲上叢集的高安全性。本文介紹Elasticsearch的安全特性。
背景資訊
開源軟體一直是駭客攻擊的首選,例如之前駭客組織對MongoDB資料發起大規模的勒索軟體攻擊事件就是典型的例子。當然駭客組織也一直在關注Elasticsearch,給未進行特殊安全配置的Elasticsearch自建服務帶來資料被刪除或業務被入侵的安全風險。
阿里雲資訊安全中心曾發布《Elasticsearch被入侵的安全風險預警》,並提供過一系列安全強化的策略和方案。與自建Elasticsearch需要進行的安全配置相比,Elasticsearch在資料和服務安全上提供了更加全面和專業的方案。
安全特性說明
Elasticsearch自2017年11月提供全託管服務以來,針對叢集潛在的風險,提供了一系列的安全措施。
自建Elasticsearch與Elasticsearch服務的安全配置對比如下表。
安全指標項 | Elasticsearch預設能力 | 自建Elasticsearch需要進行的配置 |
|
| |
| 安裝三方安全外掛程式(如Searchguard、Shield等)。 | |
安全加密 |
|
|
監控審計 |
| 藉助三方工具進行審計和監控。 |
資料服務容災 |
|
|
存取控制
Elasticsearch通過以下方式進行存取控制:
專用網路訪問
通過Elasticsearch執行個體的私網地址在專用網路環境下訪問執行個體。如果您對應用程式的訪問環境安全性要求較高,可以購買與Elasticsearch執行個體在同一地區、同一可用性區域和同一專用網路下的阿里雲ECS執行個體,將應用程式部署在ECS執行個體中,然後在ECS中通過Elasticsearch的私網地址訪問執行個體。
說明專用網路是雲上私人網路,與公網隔離,可以提供更加安全的訪問環境。
訪問白名單
私網地址支援系統白名單配置,只有符合私網白名單規則的IP地址所屬裝置,才能訪問執行個體。詳細資料,請參見配置執行個體公網或私網訪問白名單。
公網地址支援公網地址訪問白名單配置,只有符合公網白名單規則的IP地址所屬裝置,才能訪問執行個體。詳細資料,請參見配置執行個體公網或私網訪問白名單。
認證授權
RAM存取控制
支援存取控制RAM策略,每個RAM帳號之間可以實現資源隔離,並且只能查看和操作屬於自己的Elasticsearch執行個體。詳細資料,請參見權限原則判定流程。
X-Pack角色許可權管控
提供了商業外掛程式X-Pack服務(X-Pack是Elasticsearch的一個商業版擴充包,將安全、警示、監控、圖形和報告功能捆綁在一個易於安裝的軟體包中),X-Pack被整合在Kibana中,提供授權認證、角色許可權管控、即時監控、可視化報表和機器學習等能力。通過X-Pack角色許可權管控,您可以進行索引層級的存取控制。詳細資料,請參見通過Elasticsearch X-Pack角色管理實現使用者權限管控和官方Security APIs。