Schutz vor Erpressung durch Datendiebstahl
Anmerkung des Autors (3. August 2021): Dieser Beitrag verwendet veraltete Features. In der Dokumentation zum Thema Map custom regions with reverse geocoding (benutzerdefinierte Regionen mit umgekehrter Geocodierung zuordnen) finden Sie eine aktuelle Anleitung.
Wichtiger Hinweis für Nutzer des Elastic Stack ab Version 6.8/7.1 Die Standarddistribution des Elastic Stack enthält jetzt Sicherheits-Features, die Sie dauerhaft kostenlos nutzen können. Dazu gehören TLS-Verschlüsselung, Nutzerauthentifizierung und rollenbasierte Zugriffssteuerung. Informationen zur Implementierung finden Sie unter „Erste Schritte mit Elasticsearch Security“. |
Letzte Woche gab es einen bösartigen Angriff, bei dem Daten aus tausenden Open-Source-Datenbanken kopiert, gelöscht und gegen Lösegeld angeboten wurden. Obwohl bei diesen Angriffen keine Malware oder „Ransomware“ eingesetzt wurde und sie nichts mit Schwachstellen in den Produkt selbst zu tun haben, stellen sie ein ernstes Sicherheitsproblem dar, da Datenverlust oder die Verletzung der Datensicherheit drohen. Die gute Nachricht ist, dass man sich ganz einfach mit der richtigen Konfiguration vor dem Verlust von Daten durch Angriffe solcher Art schützen kann.
Wir nehmen diesen Vorfall daher zum Anlass, um noch einmal daran zu erinnern, wie wichtig es ist, alle Elasticsearch-Instanzen zu sichern – vor allem diejenigen, die über das Internet zugänglich sind.
Kunden, die die Elastic Cloud nutzen, können sicher sein, dass ihre Cluster mit X-Pack Security über zufällig generierte, individuelle Passwörter geschützt sind. Sie befinden sich hinter redundanten Firewalls und Proxys in der vom Kunden ausgewählten AWS-Region. Verschlüsselte TLS-Kommunikation aus dem Internet wird in der Standardkonfiguration bereitgestellt. Außerdem stellt Elastic zwei Tage lang Backups der Cluster-Daten zur Verfügung.
Für alle anderen Cluster haben wir bereits explizit darauf hingewiesen, dass ungesicherte Elasticsearch-Instanzen nicht direkt im Internet erreichbar sein sollten (z. B. in unserem Blog-Beitrag aus dem Jahr 2013). Wir haben das ebenfalls in die Praxis umgesetzt, indem unsere Standardinstallation nur auf Localhost erreichbar ist. Dennoch haben wir festgestellt, dass es immer mehr ungesicherte, über das Internet zugängliche Instanzen gibt.
Wenn du eine ungesicherte, im Internet erreichbare Instanz von Elasticsearch verwendest, empfehlen wir dringend die folgenden Schritte, um deine Daten zu schützen:
- Erstelle Backups von allen deinen Daten an einem sicheren Ort und erwäge die Nutzung von Curator-Snapshots
- Konfiguriere deine Umgebung neu, damit Elasticsearch in einem isolierten, nicht routbaren Netzwerk läuft.
- Oder, falls dein Cluster über das Internet erreichbar sein muss, beschränke den Zugriff mit einer Firewall, einem VPN, einem Reverse Proxy oder einer anderen Technologie.
Und grundsätzlich empfehlen wir immer folgende bewährte Vorgehensweisen:
- Nimm ein Upgrade auf die neueste Version des Elastic Stack vor.
- Wenn du 2.x verwendest, solltest du deine Scripting-Einstellungen prüfen oder dir unser neues Painless-Scripting in 5.x ansehen.
- Nutze TLS-Verschlüsselung, Authentifizierung, Autorisierung und IP-Filter, um deine Elasticsearch-Instanz mit X-Pack Security abzusichern.