2019年5月21日,Elastic官方发布消息: Elastic Stack 新版本6.8.0 和7.1.0的核心安全功能现免费提供。 这意味着用户现在能够对网络流量进行加密、创建和管理用户、定义能够保护索引和集群级别访问权限的角色,并且使用 Spaces 为 Kibana 提供全面保护。 免费提供的核心安全功能如下: 1)TLS 功能。 可对通信进行加密; 2)文件和原生 Realm。 可用于创建和管理用户; 3)基于角色的访问控制。 可用于控制用户对集群 API 和索引的访问权限;通过针对 Kibana Spaces 的安全功能,还可允许在Kibana 中实现多租户。
网上千篇一律都是这篇通稿
,不实践一把,感觉还是不好理解。
结合大家最关心的问题,从下面几个认知维度
,对Elasticsearch安全进行全面探讨。
2018年2月28日X-Pack 特性的所有代码开源,主要包含: Security、Monitoring、Alerting、Graph、Reporting、专门的 APM UI、Canvas、Elasticsearch SQL、Search Profiler、Grok Debugger、Elastic Maps Service zoom levels 以及 Machine Learning。
2019年5月21日免费开放了文章开头的基础安全功能,在这之前的版本都是仅有1个月的适用期限的。
如下功能点仍然是收费的。
付费黄金版&白金版提供功能:
付费白金版提供安全功能:
官方地址:
https://www.elastic.co/cn/subscriptions
场景一:全部“裸奔”,相信这在国内占据了非常大的比重。 内网部署,不对外提供服务。或者ES作为业务基础支撑,不公网开放9200等常用端口,开放的是业务的服务端口。
可能暴露问题:公司或团队内部开放9200、5601端口,基本head插件、kibana都能连接,极易导致线上索引或数据可能被误删
。
场景二:加了简单防护。 一般使用Nginx身份认证+防火墙策略控制。
场景三:整合使用了第三方安全认证方案。 比如:SearchGuard、ReadonlyREST。
场景四:付费购买了Elastic-Xpack黄金版或白金版服务。
一般是银行等土豪大客户,对安全、预警、机器学习等付费功能需求迫切,如:宁波银行付费购买白金服务。
可对通信进行加密。
实践一把
。在本机win10环境,部署了2节点7.1集群。
部署官网已经介绍非常详细了:
https://www.elastic.co/cn/blog/getting-started-with-elasticsearch-security。
核心步骤:
bin/elasticsearch-certutil cert -out config/elastic-certificates.p12 -pass ""
注意
:
1、此配置适用于具有多个节点的集群以及具有侦听外部接口的单个节点的集群。
2、使用环回接口的单节点集群没有此要求。
bin/elasticsearch-setup-passwords auto
自动生成相对安全,也可以手动设置密码。
可用于创建和管理用户。 1、head插件安全登录:
2、kibana安全登录:
相比于未使用x-pack安全防护的集群,节点之间的通信wireshark抓包已不能解密。
可用于控制用户对集群 API 和索引的访问权限;
通过针对 Kibana Spaces 的安全功能,还可允许在 Kibana 中实现多租户。 权限部分分解为3个维度(相对不严谨,Space更偏向于Kibana维度):
1、Space维度、 2、角色维度、 3、用户维度。
Space
是Elastic6.5版本引入的新特性,便于便于企业分组管理。
比如:开发、测试、运维、产品可以是不同的视角。
角色
:设置Elasticsearch数据的权限并控制对Kibana空间的访问。
用户
:关联对应的角色。1个角色下可以有多个用户,但一个用户唯一对应一个角色。
不尽兴怎么办? 其他内容待实践后补充完善。
参考: https://www.elastic.co/cn/blog/heya-elastic-stack-and-x-pack https://www.elastic.co/cn/blog/getting-started-with-elasticsearch-security
本文分享自 铭毅天下Elasticsearch 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!