Protégez-vous des attaques qui volent vos données contre une rançon
Remarque de l'éditeur (3 août 2021) : Cet article utilise des fonctionnalités obsolètes. Veuillez consulter la documentation sur le mappage de régions personnalisées avec le géocodage inverse pour obtenir des instructions en vigueur.
Note importante à l’attention des utilisateurs de la Suite Elastic 6.8/7.1 ou version ultérieure : La version de base de la Suite Elastic comprend désormais des fonctionnalités de sécurité que vous pouvez activer de façon permanente gratuitement. Parmi ces fonctionnalités, citons le chiffrement TLS, l'authentification utilisateur et le contrôle d'accès basé sur les rôles. Consultez l’article Prise en main de la sécurité Elasticsearch pour en savoir plus sur leur mise en œuvre. |
La semaine dernière, une attaque malveillante a été lancée, dans laquelle les données de milliers de bases de données open source ont été copiées, supprimées puis détenues contre une rançon. Bien qu'aucun malware, ni même de ransomware n'ait été utilisé dans ces attaques, et qu'elles ne soient pas liées à des failles de sécurité dans un produit, elles représentent toutefois de graves incidents de sécurité qui impliquent une perte de données, voire une divulgation de données. La bonne nouvelle c'est que la perte de données résultant d'attaques similaires est facilement évitable avec une bonne configuration.
Considérons donc cela comme un rappel qu'il est important de sécuriser toutes les instances d'Elasticsearch, particulièrement celles accessibles sur Internet.
Les clients qui ont opté pour Elastic Cloud peuvent être rassurés, leurs clusters sont protégés par la sécurité fournie par X-Pack et des mots de passes générés aléatoirement. Ces clusters sont déployés derrière des pare-feux et proxys redondés au sein de la région AWS sélectionnée par le client. Dans la configuration par défaut, la communication depuis Internet est chiffrée en TLS. De plus, Elastic effectue des sauvegardes des données du cluster avec une rétention de deux jours.
Pour tous les autres déploiements, nous vous conseillons fortement de ne pas exposer les instances d'Elasticsearch non sécurisées à Internet. À ce propos, consultez cet article de 2013. Nous avons mis cela en pratique en connectant notre installation par défaut à localhost. Néanmoins, nous avons appris qu'un nombre important d'instances non sécurisées étaient accessibles sur Internet.
Si vous disposez d'une instance d'Elasticsearch non sécurisée accessible sur Internet, nous vous recommandons de prendre des mesures immédiatement pour protéger vos données :
- Effectuez des sauvegardes de toutes vos données dans un lieu sécurisé et envisagez des backups avec Curator.
- Reconfigurez votre environnement pour qu'Elasticsearch soit exécuté sur un réseau isolé sans routage externe.
- Si vous devez absolument accéder au cluster sur Internet, limitez l'accès à votre cluster à l'aide de pare-feux, d'un VPN, d'un reverse proxy ou d'une autre technologie.
Enfin, nous vous recommandons les bonnes pratiques suivantes :
- Mettez à niveau la Suite Elastic pour obtenir les dernières versions.
- Si vous utilisez la version v2.x, vérifiez les paramètres de script ou découvrez le nouveau langage de script Painless dans la version v5.x.
- Ajoutez un chiffrement TLS, une authentification, une autorisation et le filtrage par IP pour sécuriser votre instance d'Elasticsearch avec la sécurité X-Pack.