全部產品
Search
文件中心

Elasticsearch:高安全性

更新時間:Jun 30, 2024

Elasticsearch部署在邏輯隔離的專用網路中,結合多種網路存取控制、認證授權、安全加密能力,以及商業外掛程式X-Pack中的進階安全措施,確保雲上叢集的高安全性。本文介紹Elasticsearch的安全特性。

背景資訊

開源軟體一直是駭客攻擊的首選,例如之前駭客組織對MongoDB資料發起大規模的勒索軟體攻擊事件就是典型的例子。當然駭客組織也一直在關注Elasticsearch,給未進行特殊安全配置的Elasticsearch自建服務帶來資料被刪除或業務被入侵的安全風險。

阿里雲資訊安全中心曾發布《Elasticsearch被入侵的安全風險預警》,並提供過一系列安全強化的策略和方案。與自建Elasticsearch需要進行的安全配置相比,Elasticsearch在資料和服務安全上提供了更加全面和專業的方案。

安全特性說明

Elasticsearch自2017年11月提供全託管服務以來,針對叢集潛在的風險,提供了一系列的安全措施。

自建Elasticsearch與Elasticsearch服務的安全配置對比如下表。

安全指標項

Elasticsearch預設能力

自建Elasticsearch需要進行的配置

存取控制

  • 專用網路內部署資料連結層,進行網路隔離。

  • Elasticsearch和Kibana均支援IP地址白名單設定(單個IP地址或IP網段),並且支援IPv6地址。公網地址預設禁止所有IP地址訪問,必須先配置公網地址訪問白名單才能訪問。詳細資料,請參見配置執行個體公網或私網訪問白名單

  • 不允許使用者登入叢集中各類型節點對應的伺服器。

  • 公網地址和私網地址只開放特定的服務連接埠(9200和9300)。

  • 購買雲安全產品(如安全性群組、Cloud Firewall等)對來訪IP進行隔離控制。

  • 盡量不要開啟9200連接埠。

  • 綁定訪問源IP地址。

  • 修改預設連接埠。

認證授權

  • 基於存取控制RAM(Resource Access Management)的叢集存取原則(ReadOnlyAccess唯讀訪問、FullAccess管理員等)。

  • 基於RAM的許可權控制(Instance、Account等資源及GET、POST、PUT操作等)。

  • 基於X-Pack安全外掛程式的RBAC的許可權體系,支援Field層級的資料許可權管控。

  • 基於X-Pack安全外掛程式的SSO能力,支援通過Active Directory、LDAP或Elasticsearch原生Realm驗證身份。

安裝三方安全外掛程式(如Searchguard、Shield等)。

安全加密

  • 支援HTTPS的訪問協議。

  • 支援基於KMS的待用資料儲存加密。

  • 基於X-Pack安全外掛程式的SSL/TLS節點傳輸加密。

  • 使用支援靜態加密的儲存介質。

  • 在YML配置中關閉HTTP訪問。

監控審計

  • 基於X-Pack安全外掛程式的動作記錄審計。

  • 雲端式監控(CloudMonitor)的叢集負載等全維度指標的監控。

藉助三方工具進行審計和監控。

資料服務容災

  • 資料自動定時備份。

  • 單叢集同城多活。

  • 購買檔案系統進行定期備份。

  • 維護多個叢集進行服務容災。

存取控制

Elasticsearch通過以下方式進行存取控制:

  • 專用網路訪問

    通過Elasticsearch執行個體的私網地址在專用網路環境下訪問執行個體。如果您對應用程式的訪問環境安全性要求較高,可以購買與Elasticsearch執行個體在同一地區、同一可用性區域和同一專用網路下的阿里雲ECS執行個體,將應用程式部署在ECS執行個體中,然後在ECS中通過Elasticsearch的私網地址訪問執行個體。

    說明

    專用網路是雲上私人網路,與公網隔離,可以提供更加安全的訪問環境。

  • 訪問白名單

    私網地址支援系統白名單配置,只有符合私網白名單規則的IP地址所屬裝置,才能訪問執行個體。詳細資料,請參見配置執行個體公網或私網訪問白名單

    公網地址支援公網地址訪問白名單配置,只有符合公網白名單規則的IP地址所屬裝置,才能訪問執行個體。詳細資料,請參見配置執行個體公網或私網訪問白名單

認證授權

  • RAM存取控制

    支援存取控制RAM策略,每個RAM帳號之間可以實現資源隔離,並且只能查看和操作屬於自己的Elasticsearch執行個體。詳細資料,請參見權限原則判定流程

  • X-Pack角色許可權管控

    提供了商業外掛程式X-Pack服務(X-Pack是Elasticsearch的一個商業版擴充包,將安全、警示、監控、圖形和報告功能捆綁在一個易於安裝的軟體包中),X-Pack被整合在Kibana中,提供授權認證、角色許可權管控、即時監控、可視化報表和機器學習等能力。通過X-Pack角色許可權管控,您可以進行索引層級的存取控制。詳細資料,請參見通過Elasticsearch X-Pack角色管理實現使用者權限管控官方Security APIs