ElasticsearchとKibanaの保護
editElasticsearchとKibanaの保護
editX-Pack securityを使用すると、クラスタを簡単に保護できます。Securityでは、データをパスワードで保護するだけでなく、通信の暗号化、ロールベースのアクセス制御、IPフィルタリング、監査などのさらに高度なセキュリティ対策を実装できます。このガイドでは、必要なセキュリティ機能を設定する方法と安全なクラスタとやり取りする方法について説明します。
Securityは、以下の方法でElasticsearchクラスタを保護します。
- パスワード保護、ロールベースのアクセス制御、およびIPフィルタリングにより不正アクセスを防止します。
- メッセージ認証とSSL/TLS暗号化によりデータの整合性を保持します。
- 監査証跡を維持して、クラスタとそこに格納されたデータに誰が何をしているかわかるようにします。
不正アクセスの防止
editElasticsearchクラスタへの不正アクセスを防止するには、ユーザーを_認証_する手段が必要です。これは単に、ユーザーが本人であることを確認するための方法が必要であるということです。たとえば、_Kelsey Andorra_という名前の人物だけが`kandorra`というユーザーとしてサインインできることを確認する必要があります。X-Pack Securityは、すぐにクラスタをパスワードで保護することができるスタンドアロンの認証方式を提供します。LDAP、 Active Directory、または PKIをすでに使用して組織内のユーザーを管理している場合、X-Pack securityはこれらのシステムと統合してユーザー認証を実行できます。
多くの場合、単純にユーザーを認証するだけでは不十分です。ユーザーがアクセスできるデータや実行できるタスクを管理する方法も必要です。X-Pack securityを使用すると、_ロール_にアクセス_権限_を割り当て、そのロールをユーザーに割り当てることでユーザーを認証できます。たとえば、このロールベースのアクセス制御メカニズム(別名RBAC)を使用すると、`kandorra`というユーザーは`events`インデックスでは読み込み操作のみを実行でき、他のインデックスでは何も実行できないように指定することができます。
X-Pack securityは、IPベースの認証もサポートしています。特定のIPアドレスまたはサブネットをホワイトリストやブラックリストに入れて、サーバーへのネットワークレベルのアクセスを管理できます。
データの整合性の保持
editセキュリティの重要な要素は、機密データの機密性を維持することです。 Elasticsearchには、偶発的なデータ損失や損傷に対する保護が組み込まれています。ただし、作為的な改ざんやデータ傍受を止めることはできません。X-Pack securityは、ノードとの通信を暗号化してデータの整合性を保持し、メッセージを認証してノード間通信の途中でデータが改ざんされていないかまたは破損していないかを検証します。さらに保護を強化するために、暗号の強度を高めたり、ノード間通信からクライアントのトラフィックを分離したりすることができます。
監査証跡の維持
editシステムの安全を維持するには警戒が必要です。X-Pack securityを使用して監査証跡を維持することにより、誰がクラスタにアクセスして何をしているのかを容易に知ることができます。アクセスパターンとクラスタへのアクセスの失敗を分析することで、試行された攻撃やデータ漏洩に関する洞察を得られます。アクティビティの監査可能なログをクラスタに保持すると、運用上の問題の診断にも役立ちます。
次はどこに
edit- 始めてみようでは、Securityのインストール方法と基本認証に使用する方法を説明します。
- Securityの機能では、Securityがユーザー認証、許可、および暗号化をサポートする方法の詳細について説明します。
- Integrationsでは、X-Pack Securityにより保護されたElasticsearchクラスタとやり取りする方法について説明します。
- Referenceでは、ユーザーに付与できるアクセス権限、`elasticsearch.yml`でSecurityに設定できる設定、およびSecurity設定情報が保存されるファイルの詳細について説明します。
ご意見、ご質問、ご提案がありますか?
editSecurity Discussion Forumで、ご意見やご質問、ご提案を共有してください。