高安全性
阿里云Elasticsearch部署在邏輯隔離的專有網(wǎng)絡(luò)中,結(jié)合多種網(wǎng)絡(luò)訪問控制、認證授權(quán)、安全加密能力,以及商業(yè)插件X-Pack中的高級安全措施,確保云上集群的高安全性。本文介紹阿里云Elasticsearch的安全特性。
背景信息
開源軟件一直是黑客攻擊的首選,例如之前黑客組織對MongoDB數(shù)據(jù)發(fā)起大規(guī)模的勒索軟件攻擊事件就是典型的例子。當然黑客組織也一直在關(guān)注Elasticsearch,給未進行特殊安全配置的Elasticsearch自建服務(wù)帶來數(shù)據(jù)被刪除或業(yè)務(wù)被入侵的安全風險。
阿里云安全中心曾發(fā)布《Elasticsearch被入侵的安全風險預(yù)警》,并提供過一系列安全加固的策略和方案。與自建Elasticsearch需要進行的安全配置相比,阿里云Elasticsearch在數(shù)據(jù)和服務(wù)安全上提供了更加全面和專業(yè)的方案。
安全特性說明
阿里云Elasticsearch自2017年11月提供全托管服務(wù)以來,針對集群潛在的風險,提供了一系列的安全措施。
自建Elasticsearch與阿里云Elasticsearch服務(wù)的安全配置對比如下表。
安全指標項 | 阿里云Elasticsearch默認能力 | 自建Elasticsearch需要進行的配置 |
|
| |
| 安裝三方安全插件(如Searchguard、Shield等)。 | |
安全加密 |
|
|
監(jiān)控審計 |
| 借助三方工具進行審計和監(jiān)控。 |
數(shù)據(jù)服務(wù)容災(zāi) |
|
|
訪問控制
阿里云Elasticsearch通過以下方式進行訪問控制:
專有網(wǎng)絡(luò)訪問
通過阿里云Elasticsearch實例的私網(wǎng)地址在專有網(wǎng)絡(luò)環(huán)境下訪問實例。如果您對應(yīng)用程序的訪問環(huán)境安全性要求較高,可以購買與阿里云Elasticsearch實例在同一地域、同一可用區(qū)和同一專有網(wǎng)絡(luò)下的阿里云ECS實例,將應(yīng)用程序部署在ECS實例中,然后在ECS中通過Elasticsearch的私網(wǎng)地址訪問實例。
說明專有網(wǎng)絡(luò)是云上私有網(wǎng)絡(luò),與公網(wǎng)隔離,可以提供更加安全的訪問環(huán)境。
訪問白名單
私網(wǎng)地址支持系統(tǒng)白名單配置,只有符合私網(wǎng)白名單規(guī)則的IP地址所屬設(shè)備,才能訪問實例。詳細信息,請參見配置實例公網(wǎng)或私網(wǎng)訪問白名單。
公網(wǎng)地址支持公網(wǎng)地址訪問白名單配置,只有符合公網(wǎng)白名單規(guī)則的IP地址所屬設(shè)備,才能訪問實例。詳細信息,請參見配置實例公網(wǎng)或私網(wǎng)訪問白名單。
認證授權(quán)
RAM訪問控制
支持訪問控制RAM策略,每個RAM賬號之間可以實現(xiàn)資源隔離,并且只能查看和操作屬于自己的Elasticsearch實例。詳細信息,請參見權(quán)限策略判定流程。
X-Pack角色權(quán)限管控
提供了商業(yè)插件X-Pack服務(wù)(X-Pack是Elasticsearch的一個商業(yè)版擴展包,將安全、告警、監(jiān)控、圖形和報告功能捆綁在一個易于安裝的軟件包中),X-Pack被集成在Kibana中,提供授權(quán)認證、角色權(quán)限管控、實時監(jiān)控、可視化報表和機器學(xué)習(xí)等能力。通過X-Pack角色權(quán)限管控,您可以進行索引級別的訪問控制。詳細信息,請參見通過Elasticsearch X-Pack角色管理實現(xiàn)用戶權(quán)限管控和官方Security APIs。